Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Отображает список кэшированных в настоящее время билетов Kerberos.
Important
Вы должны быть как минимум администратором домена или эквивалентным администратором, чтобы запустить все параметры этой команды.
Syntax
klist [-lh <logonID.highpart>] [-li <logonID.lowpart>] tickets | tgt | purge | sessions | kcd_cache | get | add_bind | query_bind | purge_bind
Parameters
| Parameter | Description |
|---|---|
| -lh | Обозначает высокую часть локально уникального идентификатора пользователя (LUID), выраженную в шестнадцатеричном виде. Если ни -lh , ни -li не присутствуют, команда по умолчанию использует LUID пользователя, который в данный момент выполнил вход. |
| -li | Обозначает низкую часть локально уникального идентификатора пользователя (LUID), выраженную в шестнадцатеричном виде. Если ни -lh , ни -li не присутствуют, команда по умолчанию использует LUID пользователя, который в данный момент выполнил вход. |
| tickets | Перечисляет кэшированные билеты с предоставлением билетов (TGTs) и запросы на обслуживание указанного сеанса входа. Это параметр по умолчанию. |
| tgt | Отображает начальный TGT Kerberos. |
| purge | Позволяет удалить все билеты указанного сеанса входа. |
| sessions | Отображает список сеансов входа на этом компьютере. |
| kcd_cache | Отображает сведения о кэше ограниченного делегирования Kerberos. |
| get | Позволяет запрашивать билет на целевой компьютер, указанный именем субъекта-службы (SPN). |
| add_bind | Позволяет указать предпочтительный контроллер домена для проверки подлинности Kerberos. |
| query_bind | Отображает список кэшированных предпочтительных контроллеров домена для каждого домена, к которому связался Kerberos. |
| purge_bind | Удаляет кэшированные предпочтительные контроллеры домена для указанных доменов. |
| kdcoptions | Отображает параметры Центра распространения ключей (KDC), указанные в RFC 4120. |
| /? | Отображает справку для этой команды. |
Remarks
Если параметры не указаны, klist получает все билеты для текущего вошедшего в систему пользователя.
Параметры отображают следующие сведения:
tickets — список кэшированных в данный момент билетов служб, в которых вы прошли аутентификацию с момента входа в систему. Отображает следующие атрибуты всех кэшированных билетов:
Идентификатор входа: Программа LUID.
Клиент: Конкатенация имени клиента и доменного имени клиента.
Сервер: Объединение имени службы и доменного имени службы.
Тип шифрования KerbTicket: Тип шифрования, используемый для шифрования билета Kerberos.
Флажки для билетов: Флажки билетов Kerberos.
Время начала: Время, с которого билет действителен.
Время окончания: Время, когда билет становится недействительным. Когда билет истек на этот раз, он больше не может использоваться для проверки подлинности в службе или использования для продления.
Время обновления: Время, в течение которого требуется новая первоначальная аутентификация.
тип ключа сеанса: алгоритм шифрования, используемый для ключа сеанса.
tgt - Перечисляет начальный Kerberos TGT и следующие атрибуты текущего кэшированного билета:
Идентификатор входа: Идентифицирован в шестнадцатеричном формате.
ServiceName: krbtgt
TargetName
<SPN>: krbtgtДоменное имя: Имя домена, который выдает TGT.
Целевое доменное имя: Домен, на который выдан TGT.
AltTargetDomainName: Домен, на который выдан TGT.
Флажки для билетов: Адрес и целевые действия и тип.
Ключ сеанса: Длина ключа и алгоритм шифрования.
Время начала: Время на локальном компьютере, в течение которого был запрошен билет.
Окончание времени: Время, когда билет становится недействительным. Когда билет истек на этот раз, он больше не может использоваться для проверки подлинности в службе.
ОбновитьДо: Крайний срок продления билета.
TimeSkew: Разница во времени с Центром распределения ключей (KDC).
Закодированный билет: Закодированный билет.
purge - позволяет удалить определенный тикет. Очистка билетов уничтожает все билеты, которые вы кэшировали, поэтому используйте этот атрибут с осторожностью. Это может помешать вам пройти проверку подлинности в ресурсах. Если это произойдет, вам придется снова выйти из системы и войти в систему.
- Идентификатор входа: Идентифицирован в шестнадцатеричном формате.
сеансы — позволяет выводить и отображать информацию обо всех сеансах входа в систему на этом компьютере.
- Идентификатор входа: Если указано, то сеанс входа в систему отображается только по заданному значению. Если это не указано, отображаются все сеансы входа на этом компьютере.
kcd_cache — позволяет отображать сведения о кэше ограниченного делегирования Kerberos.
- Идентификатор входа: Если указано, отображается информация о кэше для сеанса входа в систему по заданному значению. Если он не указан, отображает сведения о кэше для сеанса входа текущего пользователя.
get — позволяет запрашивать билет к целевому объекту, указанному в SPN.
Идентификатор входа: Если указано, запрашивает тикет с помощью сеанса входа в систему по заданному значению. Если это не указано, запросите билет с помощью сеанса входа текущего пользователя.
KDCOPTIONS: Запрашивает билет с заданными опциями KDC
add_bind — позволяет указать предпочтительный контроллер домена для проверки подлинности Kerberos.
query_bind — позволяет отображать кэшированные предпочитаемые контроллеры домена для доменов.
purge_bind — позволяет удалять кэшированные предпочитаемые контроллеры домена для доменов.
kdcoptions - Текущий список опций и их пояснения см. в RFC 4120.
Examples
Чтобы запросить кэш билетов Kerberos, чтобы определить, отсутствуют ли билеты, если целевой сервер или учетная запись ошибаются, или если тип шифрования не поддерживается из-за ошибки События 27, введите:
klist
klist -li 0x3e7
Чтобы узнать о специфике каждого билета, который кэшируется на компьютере для сеанса входа, введите следующее:
klist tgt
Чтобы очистить кэш билетов Kerberos, выйдите из системы, а затем войдите в систему, введите следующее:
klist purge
klist purge -li 0x3e7
Чтобы диагностировать сеанс входа и найти идентификатор входа для пользователя или службы, введите следующее:
klist sessions
Чтобы диагностировать сбой ограниченного делегирования Kerberos, и найти последнюю ошибку, которая была обнаружена, введите:
klist kcd_cache
Чтобы диагностировать, может ли пользователь или служба получить билет на сервер или запросить билет для определенного субъекта-службы, введите:
klist get host/%computername%
Для диагностики проблем репликации между контроллерами домена обычно требуется клиентский компьютер для назначения определенного контроллера домена. Чтобы нацелить клиентский компьютер на конкретный контроллер домена, введите следующее:
klist add_bind CONTOSO KDC.CONTOSO.COM
klist add_bind CONTOSO.COM KDC.CONTOSO.COM
Чтобы запросить, какие контроллеры домена недавно связались с этим компьютером, введите следующее:
klist query_bind
Для повторного обнаружения контроллеров домена или очистки кэша перед созданием новых привязок контроллера домена с помощью klist add_bindвведите:
klist purge_bind
Related links
- ключа синтаксиса
Command-Line