klist
Visualizza un elenco dei ticket Kerberos attualmente memorizzati nella cache.
Importante
Per eseguire tutti i parametri di questo comando, è necessario essere almeno un Amministrazione di dominio o equivalente.
Sintassi
klist [-lh <logonID.highpart>] [-li <logonID.lowpart>] tickets | tgt | purge | sessions | kcd_cache | get | add_bind | query_bind | purge_bind
Parametri
| Parametro | Descrizione |
|---|---|
| -lh | Indica la parte alta dell'identificatore univoco locale (LUID) dell'utente, espressa in formato esadecimale. Se non sono presenti né –lh né –li , il comando usa per impostazione predefinita il LUID dell'utente che ha eseguito l'accesso. |
| -li | Indica la parte bassa dell'identificatore univoco locale (LUID) dell'utente, espressa in formato esadecimale. Se non sono presenti né –lh né –li , il comando usa per impostazione predefinita il LUID dell'utente che ha eseguito l'accesso. |
| ticket | Elenca gli attualmente memorizzati nella cache ticket di concessione-ticket (TGT) e ticket di servizio della sessione di accesso specificato. Si tratta dell'opzione predefinita. |
| TGT | Visualizza il TGT. Kerberos iniziale |
| eliminazione | Consente di eliminare tutti i ticket di sessione di accesso specificato. |
| sessioni | Visualizza un elenco di sessioni di accesso del computer. |
| kcd_cache | Visualizza il Kerberos vincolata informazioni sulla cache di delega. |
| get | Consente di richiedere un ticket al computer di destinazione specificato dal nome dell'entità servizio (SPN). |
| add_bind | Consente di specificare un controller di dominio preferito per l'autenticazione Kerberos. |
| query_bind | Visualizza un elenco di controller di dominio preferiti memorizzati nella cache per ogni dominio che abbia contattato Kerberos. |
| purge_bind | Rimuove la cache preferita controller di dominio per i domini specificati. |
| kdcoptions | Visualizza le opzioni di Centro distribuzione chiavi (KDC) specificate nella RFC 4120. |
| /? | Visualizza la Guida per questo comando. |
Osservazioni:
Se non vengono forniti parametri, klist recupera tutti i ticket per l'utente attualmente connesso.
I parametri di visualizzare le informazioni seguenti:
tickets : elenca i ticket attualmente memorizzati nella cache dei servizi a cui è stata eseguita l'autenticazione dopo l'accesso. Visualizza i seguenti attributi di tutti i ticket memorizzato nella cache:
LogonID: LUID.
Client: concatenazione del nome client e del nome di dominio del client.
Server: concatenazione del nome del servizio e del nome di dominio del servizio.
Tipo di crittografia KerbTicket: tipo di crittografia usato per crittografare il ticket Kerberos.
Flag ticket: flag di ticket Kerberos.
Ora di inizio: ora da cui il ticket è valido.
Ora di fine: l'ora in cui il ticket non diventa più valido. Quando un ticket è passato questa volta, non può più essere usato per eseguire l'autenticazione a un servizio o essere usato per il rinnovo.
Ora rinnovo: ora in cui è necessaria una nuova autenticazione iniziale.
Tipo di chiave sessione: algoritmo di crittografia usato per la chiave di sessione.
tgt : elenca il TGT Kerberos iniziale e gli attributi seguenti del ticket attualmente memorizzato nella cache:
LogonID: identificato in formato esadecimale.
ServiceName: krbtgt
TargetName
<SPN>: krbtgtDomainName: nome del dominio che rilascia il TGT.
TargetDomainName: dominio a cui viene emesso il TGT.
AltTargetDomainName: dominio a cui viene emesso il TGT.
Flag di ticket: azioni e tipo di indirizzo e destinazione.
Chiave di sessione: lunghezza della chiave e algoritmo di crittografia.
StartTime: ora del computer locale richiesta dal ticket.
EndTime: ora in cui il ticket non è più valido. Quando un ticket viene superato questo periodo, non può più utilizzato per autenticare un servizio.
RenewUntil: scadenza per il rinnovo del ticket.
TimeSkew: differenza di tempo con il Centro distribuzione chiavi (KDC).
EncodedTicket: ticket codificato.
ripulitura : consente di eliminare un ticket specifico. Eliminazione dei ticket Elimina tutti i ticket che è memorizzato nella cache, utilizzare questo attributo con cautela. Si potrebbe arrestare in grado di eseguire l'autenticazione in risorse. In questo caso, sarà necessario disconnettersi e accedere di nuovo.
- LogonID: identificato in formato esadecimale.
sessioni : consente di elencare e visualizzare le informazioni per tutte le sessioni di accesso in questo computer.
- LogonID: se specificato, visualizza la sessione di accesso solo in base al valore specificato. Se non specificato, Visualizza tutte le sessioni di accesso del computer.
kcd_cache: consente di visualizzare le informazioni sulla cache della delega vincolata Kerberos.
- LogonID: se specificato, visualizza le informazioni della cache per la sessione di accesso in base al valore specificato. Se non specificato, visualizza le informazioni della cache per la sessione di accesso dell'utente corrente.
get : consente di richiedere un ticket alla destinazione specificata dal nome SPN.
LogonID: se specificato, richiede un ticket usando la sessione di accesso in base al valore specificato. Se non specificato, richiede un ticket usando la sessione di accesso dell'utente corrente.
kdcoptions: richiede un ticket con le opzioni KDC specificate
add_bind: consente di specificare un controller di dominio preferito per l'autenticazione Kerberos.
query_bind: consente di visualizzare i controller di dominio preferiti memorizzati nella cache per i domini.
purge_bind: consente di rimuovere i controller di dominio preferiti memorizzati nella cache per i domini.
kdcoptions : per l'elenco corrente di opzioni e le relative spiegazioni, vedere RFC 4120.
Esempi
Per eseguire una query nella cache dei ticket Kerberos per determinare se mancano ticket, se il server di destinazione o l'account è in errore o se il tipo di crittografia non è supportato a causa di un errore di ID evento 27, digitare:
klist
klist –li 0x3e7
Per informazioni sulle specifiche di ogni ticket-granting-ticket memorizzato nella cache nel computer per una sessione di accesso, digitare:
klist tgt
Per eliminare la cache dei ticket Kerberos, disconnettersi e quindi eseguire nuovamente l'accesso, digitare:
klist purge
klist purge –li 0x3e7
Per diagnosticare una sessione di accesso e individuare un LOGONID per un utente o un servizio, digitare:
klist sessions
Per diagnosticare l'errore di delega vincolata Kerberos e individuare l'ultimo errore rilevato, digitare:
klist kcd_cache
Per diagnosticare se un utente o un servizio può ottenere un ticket a un server o richiedere un ticket per un nome SPN specifico, digitare:
klist get host/%computername%
Per diagnosticare i problemi di replica tra i controller di dominio, in genere è necessario che il computer client di destinazione sia un controller di dominio specifico. Per impostare come destinazione il computer client al controller di dominio specifico, digitare:
klist add_bind CONTOSO KDC.CONTOSO.COM
klist add_bind CONTOSO.COM KDC.CONTOSO.COM
Per eseguire una query sui controller di dominio contattati di recente dal computer, digitare:
klist query_bind
Per rilevare i controller di dominio o per scaricare la cache prima di creare nuove associazioni di controller di dominio con klist add_bind, digitare:
klist purge_bind