klist
Exibe uma lista de tíquetes Kerberos armazenados em cache no momento.
Importante
Você deve ser pelo menos um Administrador de domínio ou equivalente para executar todos os parâmetros desse comando.
Sintaxe
klist [-lh <logonID.highpart>] [-li <logonID.lowpart>] tickets | tgt | purge | sessions | kcd_cache | get | add_bind | query_bind | purge_bind
Parâmetros
Parâmetro | Descrição |
---|---|
-lh | Indica a parte alta do LUID (identificador local exclusivo) do usuário, expresso em hexadecimal. Se –lh ou –li não estiverem presentes, o comando usará como padrão o LUID do usuário que está conectado no momento. |
-li | Indica a parte baixa do LUID (identificador local exclusivo) do usuário, expresso em hexadecimal. Se –lh ou –li não estiverem presentes, o comando usará como padrão o LUID do usuário que está conectado no momento. |
tíquetes | Lista os TGTs (tíquetes de concessão de tíquetes) em cache no momento e os tíquetes de serviço da sessão de logon especificada. Essa é a opção padrão. |
tgt | Exibe o TGT inicial do Kerberos. |
purge | Permite excluir todos os tíquetes da sessão de logon especificada. |
sessões | Exibe uma lista de sessões de logon neste computador. |
kcd_cache | Exibe as informações de cache de delegação restrita de Kerberos. |
get | Permite solicitar um tíquete para o computador de destino especificado pelo SPN (nome da entidade de serviço). |
add_bind | Permite que você especifique um controlador de domínio preferencial para autenticação Kerberos. |
query_bind | Exibe uma lista de controladores de domínio preferenciais armazenados em cache para cada domínio que o Kerberos contatou. |
purge_bind | Remove os controladores de domínio preferenciais armazenados em cache para os domínios especificados. |
kdcoptions | Exibe as opções do KDC (Centro de Distribuição de Chaves) especificadas no RFC 4120. |
/? | Exibe a Ajuda para esse comando. |
Comentários
Se nenhum parâmetro for fornecido, o klist recuperará todos os tíquetes para o usuário conectado no momento.
Os parâmetros exibem as seguintes informações:
tíquetes: lista os tíquetes de serviços atualmente armazenados em cache nos quais você se autenticou desde o logon. Exibe os seguintes atributos de todos os tíquetes armazenados em cache:
LogonID: o LUID.
Cliente: a concatenação do nome do cliente e o nome de domínio do cliente.
Servidor: a concatenação do nome do serviço e o nome de domínio do serviço.
Tipo de Criptografia KerbTicket: o tipo de criptografia usado para criptografar o tíquete Kerberos.
Sinalizadores de tíquete: os sinalizadores de tíquete Kerberos.
Hora de Início: a hora de início da validade do tíquete.
Hora de Término: a hora do fim da validade do tíquete. Quando um tíquete passa desse prazo, ele não pode mais ser usado para autenticação em um serviço ou para renovação.
Hora de Renovação: a hora em que uma nova autenticação inicial é necessária.
Tipo de Chave da Sessão: o algoritmo de criptografia usado para a chave da sessão.
tgt: lista o TGT inicial do Kerberos e os seguintes atributos do tíquete armazenado em cache no momento:
LogonID: identificado em hexadecimal.
ServiceName: krbtgt
TargetName
<SPN>
: krbtgtDomainname: nome do domínio que emite o TGT.
Targetdomainname: domínio para o qual o TGT é emitido.
AltTargetDomainName: domínio para o qual o TGT é emitido.
Sinalizadores de Tíquete: ações e tipo de endereço e destino.
Chave da Sessão: comprimento da chave e algoritmo de criptografia.
StartTime: hora do computador local em que o tíquete foi solicitado.
EndTime: hora do fim da validade do tíquete. Quando um tíquete passa desse prazo, ele não pode mais ser usado para autenticação em um serviço.
RenewUntil: prazo para renovação de tíquetes.
TimeSkew: diferença de tempo com o KDC (Centro de Distribuição de Chaves).
EncodedTicket: tíquete codificado.
purge: permite a exclusão de um tíquete específico. A limpeza de tíquetes destrói todos os tíquetes que você armazenou em cache, portanto, use esse atributo com cuidado. Isso pode impedir que você se autentique nos recursos. Se isso acontecer, você precisará fazer logoff e logon novamente.
- LogonID: identificado em hexadecimal.
sessões: permite listar e exibir as informações de todas as sessões de logon neste computador.
- LogonID: se especificado, exibe a sessão de logon somente no valor fornecido. Se não for especificado, todas as sessões de logon neste computador serão exibidas.
kcd_cache: permite exibir as informações de cache de delegação restrita do Kerberos.
- LogonID: se especificado, exibe as informações de cache da sessão de logon no valor fornecido. Se não for especificado, exibe as informações de cache da sessão de logon do usuário atual.
get: permite a solicitação de um tíquete para o destino especificado pelo SPN.
LogonID: se especificado, solicita um tíquete usando a sessão de logon pelo valor fornecido. Se não especificado, solicita um tíquete usando a sessão de logon do usuário atual.
kdcoptions: solicita um tíquete com as opções de KDC fornecidas
add_bind: permite que você especifique um controlador de domínio preferencial para autenticação Kerberos.
query_bind: permite a exibição de controladores de domínio preferenciais armazenados em cache para os domínios.
purge_bind: permite a remoção de controladores de domínio preferenciais armazenados em cache para os domínios.
kdcoptions: para obter a lista atual de opções e suas explicações, consulte RFC 4120.
Exemplos
Para consultar o cache de tíquetes Kerberos para determinar se há tíquetes ausentes, se o servidor ou a conta de destino está com erro ou se não há suporte para o tipo de criptografia devido a um erro de ID de Evento 27, digite:
klist
klist –li 0x3e7
Para saber mais sobre as especificidades de cada tíquete de concessão de tíquete armazenado em cache no computador para uma sessão de logon, digite:
klist tgt
Para limpar o cache de tíquetes Kerberos e fazer logoff e logon novamente, digite:
klist purge
klist purge –li 0x3e7
Para diagnosticar uma sessão de logon e localizar um logonID para um usuário ou serviço, digite:
klist sessions
Para diagnosticar a falha de delegação restrita do Kerberos e localizar o último erro encontrado, digite:
klist kcd_cache
Para diagnosticar se um usuário ou um serviço pode obter um tíquete para um servidor ou solicitar um tíquete para um SPN específico, digite:
klist get host/%computername%
Para diagnosticar problemas de replicação entre controladores de domínio, você normalmente precisa do computador cliente para direcionar um controlador de domínio específico. Para direcionar o computador cliente para o controlador de domínio específico, digite:
klist add_bind CONTOSO KDC.CONTOSO.COM
klist add_bind CONTOSO.COM KDC.CONTOSO.COM
Para consultar quais controladores de domínio foram contatados recentemente por este computador, digite:
klist query_bind
Para redescobrir controladores de domínio ou liberar o cache antes de criar novas associações de controlador de domínio com klist add_bind
, digite:
klist purge_bind