Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Affiche la liste des tickets Kerberos actuellement mis en cache.
Important
Vous devez être au moins un administrateur de domaine, ou équivalent, pour exécuter tous les paramètres de cette commande.
Syntax
klist [-lh <logonID.highpart>] [-li <logonID.lowpart>] tickets | tgt | purge | sessions | kcd_cache | get | add_bind | query_bind | purge_bind
Parameters
| Parameter | Description |
|---|---|
| -lh | Indique la partie élevée de l’identificateur local unique (LUID) de l’utilisateur, exprimée en hexadécimal. Si ni -lh ni -li ne sont présents, la commande utilise par défaut le LUID de l’utilisateur actuellement connecté. |
| -li | Indique la partie basse de l’identificateur unique local de l’utilisateur (LUID), exprimée en hexadécimal. Si ni -lh ni -li ne sont présents, la commande utilise par défaut le LUID de l’utilisateur actuellement connecté. |
| tickets | Répertorie les tickets de ticket actuellement mis en cache (TGT) et les tickets de service de la session d’ouverture de session spécifiée. Il s’agit de l’option par défaut. |
| tgt | Affiche le TGT Kerberos initial. |
| purge | Vous permet de supprimer tous les tickets de la session d’ouverture de session spécifiée. |
| sessions | Affiche la liste des sessions d’ouverture de session sur cet ordinateur. |
| kcd_cache | Affiche les informations du cache de délégation Kerberos contrainte. |
| get | Vous permet de demander un ticket à l’ordinateur cible spécifié par le nom du principal de service (SPN). |
| add_bind | Vous permet de spécifier un contrôleur de domaine préféré pour l’authentification Kerberos. |
| query_bind | Affiche la liste des contrôleurs de domaine préférés mis en cache pour chaque domaine que Kerberos a contacté. |
| purge_bind | Supprime les contrôleurs de domaine préférés mis en cache pour les domaines spécifiés. |
| kdcoptions | Affiche les options du Centre de distribution de clés (KDC) spécifiées dans RFC 4120. |
| /? | Affiche l’aide pour cette commande. |
Remarks
Si aucun paramètre n’est fourni, klist récupère tous les tickets de l’utilisateur actuellement connecté.
Les paramètres affichent les informations suivantes :
tickets : répertorie les tickets actuellement mis en cache des services auxquels vous vous êtes authentifié depuis la connexion. Affiche les attributs suivants de tous les tickets mis en cache :
LogonID : Le LUID.
Client: La concaténation du nom du client et du nom de domaine du client.
Serveur: La concaténation du nom de service et du nom de domaine du service.
Type de chiffrement KerbTicket : Type de chiffrement utilisé pour chiffrer le ticket Kerberos.
Drapeaux de billets : Indicateurs de ticket Kerberos.
Heure de début : La date à partir de laquelle le billet est valable.
Heure de fin : Le moment où le billet n’est plus valide. Lorsqu’un ticket est passé cette fois, il ne peut plus être utilisé pour s’authentifier auprès d’un service ou être utilisé pour le renouvellement.
Renouvellement du temps : Heure à laquelle une nouvelle authentification initiale est requise.
type de clé de session : Algorithme de chiffrement utilisé pour la clé de session.
tgt - Répertorie le TGT Kerberos initial et les attributs suivants du ticket actuellement mis en cache :
LogonID : Identifié en hexadécimal.
ServiceName: krbtgt
TargetName
<SPN>: krbtgtNom de domaine : Nom du domaine qui émet le TGT.
TargetDomainName : Domaine auquel le TGT est émis.
AltTargetDomainName : Domaine auquel le TGT est émis.
Drapeaux de billets : Adressez et ciblez les actions et le type.
Clé de session : Longueur de la clé et algorithme de cryptage.
Heure de début : Heure locale de l’ordinateur où le billet a été demandé.
Heure de fin : Heure à laquelle le billet n’est plus valable. Lorsqu’un ticket est passé cette fois, il ne peut plus être utilisé pour s’authentifier auprès d’un service.
Renouvelez jusqu’à ce que : Date limite de renouvellement des billets.
TimeSkew : Décalage horaire avec le centre de distribution de clés (KDC).
Billet encodé : Billet codé.
purge - Vous permet de supprimer un ticket spécifique. Purger les tickets détruit tous les tickets que vous avez mis en cache, donc utilisez cet attribut avec prudence. Il peut vous empêcher de pouvoir vous authentifier auprès des ressources. Si cela se produit, vous devrez vous déconnecter et vous reconnecter.
- LogonID : Identifié en hexadécimal.
sessions : vous permet de répertorier et d’afficher les informations de toutes les sessions de connexion sur cet ordinateur.
- LogonID : S’il est spécifié, affiche la session de connexion uniquement sous la valeur indiquée. S’il n’est pas spécifié, affiche toutes les sessions d’ouverture de session sur cet ordinateur.
kcd_cache : permet d’afficher les informations du cache de délégation contrainte Kerberos.
- LogonID : S’il est spécifié, affiche les informations de cache pour la session d’ouverture de session en fonction de la valeur indiquée. S’il n’est pas spécifié, affiche les informations de cache de la session d’ouverture de session de l’utilisateur actuel.
get : vous permet de demander un ticket à la cible spécifiée par le SPN.
LogonID : S’il est spécifié, demande un ticket à l’aide de la session de connexion à l’aide de la valeur indiquée. Si ce n’est pas spécifié, demande un ticket à l’aide de la session d’ouverture de session de l’utilisateur actuel.
kdcoptions : Demande un ticket avec les options KDC données
add_bind : vous permet de spécifier un contrôleur de domaine préféré pour l’authentification Kerberos.
query_bind : vous permet d’afficher les contrôleurs de domaine préférés mis en cache pour les domaines.
purge_bind : vous permet de supprimer les contrôleurs de domaine préférés mis en cache pour les domaines.
kdcoptions - Pour la liste actuelle des options et leurs explications, voir RFC 4120.
Examples
Pour interroger le cache de ticket Kerberos pour déterminer si des tickets sont manquants, si le serveur ou le compte cible est en erreur, ou si le type de chiffrement n’est pas pris en charge en raison d’une erreur ID d’événement 27, tapez :
klist
klist -li 0x3e7
Pour en savoir plus sur les spécificités de chaque ticket d’octroi de ticket mis en cache sur l’ordinateur pour une session d’ouverture de session, tapez :
klist tgt
Pour vider le cache de ticket Kerberos, déconnectez-vous, puis reconnectez-vous, tapez :
klist purge
klist purge -li 0x3e7
Pour diagnostiquer une session d’ouverture de session et localiser un ID d’ouverture de session pour un utilisateur ou un service, tapez :
klist sessions
Pour diagnostiquer l’échec de délégation Kerberos contrainte et rechercher la dernière erreur rencontrée, tapez :
klist kcd_cache
Pour diagnostiquer si un utilisateur ou un service peut obtenir un ticket sur un serveur ou demander un ticket pour un SPN spécifique, tapez :
klist get host/%computername%
Pour diagnostiquer les problèmes de réplication entre les contrôleurs de domaine, vous avez généralement besoin de l’ordinateur client pour cibler un contrôleur de domaine spécifique. Pour cibler l’ordinateur client vers le contrôleur de domaine spécifique, tapez :
klist add_bind CONTOSO KDC.CONTOSO.COM
klist add_bind CONTOSO.COM KDC.CONTOSO.COM
Pour interroger les contrôleurs de domaine récemment contactés par cet ordinateur, tapez :
klist query_bind
Pour redécouvrir les contrôleurs de domaine ou vider le cache avant de créer de nouvelles liaisons de contrôleur de domaine avec klist add_bind, tapez :
klist purge_bind