klist

• Berlaku untuk:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Stack HCI, versions 23H2 and 22H2

Menampilkan daftar tiket Kerberos yang saat ini di-cache.

Penting

Anda harus setidaknya Admin Domain, atau yang setara, untuk menjalankan semua parameter perintah ini.

Sintaks

klist [-lh <logonID.highpart>] [-li <logonID.lowpart>] tickets | tgt | purge | sessions | kcd_cache | get | add_bind | query_bind | purge_bind

Parameter

Parameter	Deskripsi
-Lh	Menunjukkan bagian tinggi dari pengidentifikasi unik lokal (LUID) pengguna, yang dinyatakan dalam heksadesimal. Jika tidak ada –lh atau –li , perintah default ke LUID pengguna yang saat ini masuk.
-Li	Menunjukkan bagian rendah dari pengidentifikasi unik lokal (LUID) pengguna, yang dinyatakan dalam heksadesimal. Jika tidak ada –lh atau –li , perintah default ke LUID pengguna yang saat ini masuk.
Tiket	Mencantumkan tiket-pemberian tiket (TGT) yang saat ini di-cache, dan tiket layanan dari sesi masuk yang ditentukan. Ini adalah opsi default.
tgt	Menampilkan TGT Kerberos awal.
hapus menyeluruh	Memungkinkan Anda menghapus semua tiket sesi masuk yang ditentukan.
sesi	Menampilkan daftar sesi log masuk pada komputer ini.
kcd_cache	Menampilkan informasi singgahan delegasi yang dibatasi Kerberos.
get	Memungkinkan Anda meminta tiket ke komputer target yang ditentukan oleh nama perwakilan layanan (SPN).
add_bind	Memungkinkan Anda menentukan pengendali domain pilihan untuk autentikasi Kerberos.
query_bind	Menampilkan daftar pengontrol domain pilihan cache untuk setiap domain yang telah dihubungi Kerberos.
purge_bind	Menghapus pengontrol domain pilihan yang di-cache untuk domain yang ditentukan.
kdcoptions	Menampilkan opsi Pusat Distribusi Utama (KDC) yang ditentukan dalam RFC 4120.
/?	Menampilkan Bantuan untuk perintah ini.

Keterangan

• Jika tidak ada parameter yang disediakan, klist mengambil semua tiket untuk pengguna yang saat ini masuk.

• Parameter menampilkan informasi berikut:

  • tiket - Mencantumkan tiket layanan yang saat ini di-cache yang telah Anda autentikasi sejak masuk. Menampilkan atribut berikut dari semua tiket yang di-cache:

    • LogonID: LUID.

    • Klien: Penggalian nama klien dan nama domain klien.

    • Server: Perangkaian nama layanan dan nama domain layanan.

    • Jenis Enkripsi KerbTicket: Jenis enkripsi yang digunakan untuk mengenkripsi tiket Kerberos.

    • Bendera Tiket: Bendera tiket Kerberos.

    • Waktu Mulai: Waktu dari mana tiket valid.

    • Waktu Selesai: Waktu tiket menjadi tidak berlaku lagi. Ketika tiket melewati waktu ini, tiket tidak dapat lagi digunakan untuk mengautentikasi ke layanan atau digunakan untuk perpanjangan.

    • Waktu Perpanjangan: Waktu autentikasi awal baru diperlukan.

    • Jenis Kunci Sesi: Algoritma enkripsi yang digunakan untuk kunci sesi.

  • tgt - Mencantumkan TGT Kerberos awal dan atribut berikut dari tiket yang saat ini di-cache:

    • LogonID: Diidentifikasi dalam heksadesimal.

    • ServiceName: krbtgt

    • TargetName <SPN>: krbtgt

    • DomainName: Nama domain yang mengeluarkan TGT.

    • TargetDomainName: Domain tempat TGT dikeluarkan.

    • AltTargetDomainName: Domain tempat TGT dikeluarkan.

    • Bendera Tiket: Tindakan dan jenis alamat dan target.

    • Kunci Sesi: Panjang kunci dan algoritma enkripsi.

    • StartTime: Waktu komputer lokal yang diminta tiket.

    • EndTime: Waktu tiket menjadi tidak valid lagi. Ketika tiket melewati waktu ini, tiket tidak dapat lagi digunakan untuk mengautentikasi ke layanan.

    • RenewUntil: Batas waktu perpanjangan tiket.

    • TimeSkew: Perbedaan waktu dengan Key Distribution Center (KDC).

    • EncodedTicket: Tiket yang dikodekan.

  • hapus menyeluruh - Memungkinkan Anda menghapus tiket tertentu. Membersihkan tiket menghancurkan semua tiket yang telah Anda cache, jadi gunakan atribut ini dengan hati-hati. Ini mungkin menghentikan Anda untuk dapat mengautentikasi ke sumber daya. Jika ini terjadi, Anda harus log keluar dan masuk lagi.

    • LogonID: Diidentifikasi dalam heksadesimal.

  • sesi - Memungkinkan Anda untuk mencantumkan dan menampilkan informasi untuk semua sesi masuk pada komputer ini.

    • LogonID: Jika ditentukan, menampilkan sesi masuk hanya dengan nilai yang diberikan. Jika tidak ditentukan, menampilkan semua sesi log masuk pada komputer ini.

  • kcd_cache - Memungkinkan Anda menampilkan informasi cache delegasi yang dibatasi Kerberos.

    • LogonID: Jika ditentukan, menampilkan informasi cache untuk sesi masuk menurut nilai yang diberikan. Jika tidak ditentukan, menampilkan informasi cache untuk sesi masuk pengguna saat ini.

  • get - Memungkinkan Anda meminta tiket ke target yang ditentukan oleh SPN.

    • LogonID: Jika ditentukan, meminta tiket dengan menggunakan sesi masuk berdasarkan nilai yang diberikan. Jika tidak ditentukan, meminta tiket dengan menggunakan sesi masuk pengguna saat ini.

    • kdcoptions: Meminta tiket dengan opsi KDC yang diberikan

  • add_bind - Memungkinkan Anda menentukan pengendali domain pilihan untuk autentikasi Kerberos.

  • query_bind - Memungkinkan Anda menampilkan pengontrol domain yang di-cache dan disukai untuk domain.

  • purge_bind - Memungkinkan Anda menghapus pengontrol domain yang di-cache dan disukai untuk domain.

  • kdcoptions - Untuk daftar opsi saat ini dan penjelasannya, lihat RFC 4120.

Contoh

Untuk mengkueri cache tiket Kerberos untuk menentukan apakah ada tiket yang hilang, jika server atau akun target mengalami kesalahan, atau jika jenis enkripsi tidak didukung karena kesalahan EVENT ID 27, ketik:

klist

klist –li 0x3e7

Untuk mempelajari tentang spesifikasi setiap tiket yang diberikan tiket yang di-cache di komputer untuk sesi masuk, ketik:

klist tgt

Untuk menghapus menyeluruh cache tiket Kerberos, log keluar, lalu masuk kembali, ketik:

klist purge

klist purge –li 0x3e7

Untuk mendiagnosis sesi masuk dan menemukan logonID untuk pengguna atau layanan, ketik:

klist sessions

Untuk mendiagnosis kegagalan delegasi yang dibatasi Kerberos, dan untuk menemukan kesalahan terakhir yang ditemui, ketik:

klist kcd_cache

Untuk mendiagnosis apakah pengguna atau layanan bisa mendapatkan tiket ke server, atau meminta tiket untuk SPN tertentu, ketik:

klist get host/%computername%

Untuk mendiagnosis masalah replikasi di seluruh pengontrol domain, Anda biasanya memerlukan komputer klien untuk menargetkan pengontrol domain tertentu. Untuk menargetkan komputer klien ke pengontrol domain tertentu, ketik:

klist add_bind CONTOSO KDC.CONTOSO.COM

klist add_bind CONTOSO.COM KDC.CONTOSO.COM

Untuk mengkueri pengendali domain mana yang baru-baru ini dihubungi oleh komputer ini, ketik:

klist query_bind

Untuk menemukan kembali pengontrol domain, atau untuk menghapus cache sebelum membuat pengikatan pengendali domain baru dengan klist add_bind, ketik:

klist purge_bind

Tautan terkait

• Kunci Sintaks Baris Perintah