klist

  • Статья

Отображает список кэшированных в настоящее время билетов Kerberos.

Внимание

Для выполнения всех параметров этой команды необходимо быть по крайней мере Администратор доменом или эквивалентом.

Синтаксис

klist [-lh <logonID.highpart>] [-li <logonID.lowpart>] tickets | tgt | purge | sessions | kcd_cache | get | add_bind | query_bind | purge_bind

Параметры

Параметр Описание
-Левая Обозначает высокую часть локально уникального идентификатора пользователя (LUID), выраженную в шестнадцатеричном виде. Если ни lh, ни ли отсутствуют, команда по умолчанию использует LUID пользователя, вошедшего в систему.
-Литий Обозначает низкую часть локально уникального идентификатора пользователя (LUID), выраженную в шестнадцатеричном виде. Если ни lh, ни ли отсутствуют, команда по умолчанию использует LUID пользователя, вошедшего в систему.
Tix Перечисляет кэшированные билеты с предоставлением билетов (TGTs) и запросы на обслуживание указанного сеанса входа. Этот параметр по умолчанию.
tgt Отображает начальный TGT Kerberos.
пользователя Позволяет удалить все билеты указанного сеанса входа.
сеансы Отображает список сеансов входа на этом компьютере.
kcd_cache Отображает сведения о кэше ограниченного делегирования Kerberos.
get Позволяет запрашивать билет на целевой компьютер, указанный именем субъекта-службы (SPN).
add_bind Позволяет указать предпочтительный контроллер домена для проверки подлинности Kerberos.
query_bind Отображает список кэшированных предпочтительных контроллеров домена для каждого домена, к которому связался Kerberos.
purge_bind Удаляет кэшированные предпочтительные контроллеры домена для указанных доменов.
kdcoptions Отображает параметры Центра распространения ключей (KDC), указанные в RFC 4120.
/? Отображает справку для этой команды.

Замечания

  • Если параметры отсутствуют, klist извлекает все билеты для текущего пользователя, вошедшего в систему.

  • Параметры отображают следующие сведения:

    • билеты — перечисляет кэшированные билеты служб, прошедших проверку подлинности с момента входа. Отображает следующие атрибуты всех кэшированных билетов:

      • Вход в систему: LUID.

      • Клиент: объединение имени клиента и доменного имени клиента.

      • Сервер: объединение имени службы и доменного имени службы.

      • Тип шифрования KerbTicket: тип шифрования, используемый для шифрования билета Kerberos.

      • Флаги билетов: флаги билета Kerberos.

      • Время начала: время, с которого действителен билет.

      • Время окончания: время, когда билет становится недействительным. Когда билет истек на этот раз, он больше не может использоваться для проверки подлинности в службе или использования для продления.

      • Время продления: время, необходимое для новой начальной проверки подлинности.

      • Тип ключа сеанса: алгоритм шифрования, используемый для ключа сеанса.

    • tgt — перечисляет исходные TGT Kerberos и следующие атрибуты кэшированного билета:

      • Вход в систему: определяется в шестнадцатеричном виде.

      • ServiceName: krbtgt

      • TargetName <SPN>: krbtgt

      • DomainName: имя домена, который выдает TGT.

      • TargetDomainName: домен, в который выдан TGT.

      • AltTargetDomainName: домен, в который выдан TGT.

      • Флаги билетов: адрес и целевые действия и тип.

      • Ключ сеанса: длина ключа и алгоритм шифрования.

      • StartTime: время локального компьютера, запрашиваемое билетом.

      • EndTime: время, когда билет становится недействительным. Когда билет истек на этот раз, он больше не может использоваться для проверки подлинности в службе.

      • Продление подписки: крайний срок для продления билета.

      • TimeSkew: разница во времени с центром распространения ключей (KDC).

      • EncodedTicket: закодированный билет.

    • Очистка — позволяет удалить определенный билет. Очистка билетов уничтожает все билеты, которые вы кэшировали, поэтому используйте этот атрибут с осторожностью. Это может помешать вам пройти проверку подлинности в ресурсах. Если это произойдет, вам придется снова выйти из системы и войти в систему.

      • Вход в систему: определяется в шестнадцатеричном виде.

    • сеансы — позволяет вывести список и отобразить сведения для всех сеансов входа на этом компьютере.

      • Вход в систему: если задано, отображает сеанс входа только по заданному значению. Если это не указано, отображаются все сеансы входа на этом компьютере.

    • kcd_cache. Позволяет отображать сведения о кэше ограниченного делегирования Kerberos.

      • Вход в систему: если задано, отображает сведения о кэше для сеанса входа по заданному значению. Если он не указан, отображает сведения о кэше для сеанса входа текущего пользователя.

    • get — позволяет запрашивать билет в целевой объект, указанный в имени участника-службы.

      • Вход в систему: если задано, запрашивает билет с помощью сеанса входа по заданному значению. Если это не указано, запросите билет с помощью сеанса входа текущего пользователя.

      • kdcoptions: запрашивает билет с заданными параметрами KDC

    • add_bind. Позволяет указать предпочтительный контроллер домена для проверки подлинности Kerberos.

    • query_bind. Позволяет отображать кэшированные, предпочитаемые контроллеры домена для доменов.

    • purge_bind. Позволяет удалять кэшированные, предпочитаемые контроллеры домена для доменов.

    • kdcoptions — текущий список параметров и их объяснения см. в rfC 4120.

Примеры

Чтобы запросить кэш билетов Kerberos, чтобы определить, отсутствуют ли билеты, если целевой сервер или учетная запись ошибаются, или если тип шифрования не поддерживается из-за ошибки События 27, введите:

klist

klist –li 0x3e7

Чтобы узнать о специфике каждого билета, который кэшируется на компьютере для сеанса входа, введите следующее:

klist tgt

Чтобы очистить кэш билетов Kerberos, выйдите из системы, а затем войдите в систему, введите следующее:

klist purge

klist purge –li 0x3e7

Чтобы диагностировать сеанс входа и найти идентификатор входа для пользователя или службы, введите следующее:

klist sessions

Чтобы диагностировать сбой ограниченного делегирования Kerberos, и найти последнюю ошибку, которая была обнаружена, введите:

klist kcd_cache

Чтобы диагностировать, может ли пользователь или служба получить билет на сервер или запросить билет для определенного субъекта-службы, введите:

klist get host/%computername%

Для диагностики проблем с реплика на контроллерах домена обычно требуется клиентский компьютер для назначения определенного контроллера домена. Чтобы нацелить клиентский компьютер на конкретный контроллер домена, введите следующее:

klist add_bind CONTOSO KDC.CONTOSO.COM

klist add_bind CONTOSO.COM KDC.CONTOSO.COM

Чтобы запросить, какие контроллеры домена недавно связались с этим компьютером, введите следующее:

klist query_bind

Для повторного обнаружения контроллеров домена или очистки кэша перед созданием привязок контроллера домена с типом klist add_bind:

klist purge_bind