klist
Отображает список кэшированных в настоящее время билетов Kerberos.
Важно!
Для выполнения всех параметров этой команды необходимо быть по крайней мере администратором доменаили эквивалентным ему.
Синтаксис
klist [-lh <logonID.highpart>] [-li <logonID.lowpart>] tickets | tgt | purge | sessions | kcd_cache | get | add_bind | query_bind | purge_bind
Параметры
| Параметр | Описание |
|---|---|
| — LH | Обозначает старшую часть локального уникального идентификатора (LUID) пользователя, выраженную в шестнадцатеричном формате. Если не указано ни параметр – LH , ни -Li , команда по умолчанию принимает значение LUID пользователя, выполнившего вход. |
| -Li | Обозначает младшую часть локального уникального идентификатора (LUID) пользователя, выраженную в шестнадцатеричном формате. Если не указано ни параметр – LH , ни -Li , команда по умолчанию принимает значение LUID пользователя, выполнившего вход. |
| описания | Список текущих кэшированных билетов (TGT) и билетов службы для указанного сеанса входа в систему. Это параметр по умолчанию. |
| tgt | Отображает первоначальный TGT Kerberos. |
| Очистка | Позволяет удалить все билеты указанного сеанса входа в систему. |
| сеансы | Отображает список сеансов входа на этот компьютер. |
| kcd_cache | Отображает сведения кэша ограниченного делегирования Kerberos. |
| get | Позволяет запросить билет на целевом компьютере, заданном именем участника-службы (SPN). |
| add_bind | Позволяет указать предпочтительный контроллер домена для проверки подлинности Kerberos. |
| query_bind | Отображает список кэшированных предпочитаемых контроллеров домена для каждого домена, с которым связывался протокол Kerberos. |
| purge_bind | Удаление кэшированных предпочтительных контроллеров домена для указанных доменов. |
| кдкоптионс | Отображает параметры центр распространения ключей (KDC), указанные в RFC 4120. |
| /? | Отображает справку для этой команды. |
Комментарии
Если параметры не указаны, klist извлекает все билеты для текущего пользователя.
В параметрах отображаются следующие сведения.
билеты . перечисляет в настоящее время кэшированные билеты служб, с которыми вы прошли проверку подлинности, с момента входа. Отображает следующие атрибуты всех кэшированных билетов:
Логонид: LUID.
Клиент: Объединение имени клиента и имени домена клиента.
Сервер: Объединение имени службы и имени домена службы.
Тип шифрования кербтиккет: Тип шифрования, используемый для шифрования билета Kerberos.
Флаги билета: Флаги билета Kerberos.
Время начала: Время, в течение которого билет действителен.
Время окончания: Время, когда билет стал недействительным. Если срок действия билета истек, он больше не может использоваться для проверки подлинности в службе или для продления.
Время продления: Время, когда требуется новая Начальная проверка подлинности.
Тип ключа сеанса: Алгоритм шифрования, используемый для ключа сеанса.
TGT — список первоначального TGT-билета Kerberos и следующие атрибуты кэшированного билета:
Логонид: Указывается в шестнадцатеричном формате.
ServiceName: krbtgt
TargetName : krbtgt
Имя_домена: Имя домена, который выдает TGT.
Таржетдомаиннаме: Домен, которому выдан билет TGT.
Алттаржетдомаиннаме: Домен, которому выдан билет TGT.
Флаги билета: Адрес и целевое действие и тип.
Ключ сеанса: Длина ключа и алгоритм шифрования.
Время начала: Время на локальном компьютере, на которое был запрошен билет.
EndTime: Время, когда билет стал недействительным. Когда билет пройдет на этот раз, он больше не может использоваться для проверки подлинности в службе.
Реневунтил: Крайний срок для продления билета.
Тимескев: Разница во времени с центр распространения ключей (KDC).
Енкодедтиккет: Закодированный билет.
очистить — позволяет удалить конкретный билет. Удаление билетов уничтожает все кэшированные билеты, поэтому используйте этот атрибут с осторожностью. Это может привести к невозможности проверки подлинности в ресурсах. В этом случае необходимо выйти из системы и снова войти в систему.
- Логонид: Указывается в шестнадцатеричном формате.
сеансы . позволяет вывести список и отобразить сведения обо всех сеансах входа на этом компьютере.
- Логонид: Отображает сеанс входа в систему только по заданному значению. Если этот параметр не указан, отображаются все сеансы входа на этот компьютер.
kcd_cache — позволяет отображать сведения кэша ограниченного делегирования Kerberos.
- Логонид: Отображает сведения о кэше для сеанса входа с указанным значением. Если не указано, отображает сведения о кэше для сеанса входа текущего пользователя.
Get — позволяет запросить билет в целевом объекте, указанном в имени субъекта-службы.
Логонид: Запрашивает билет с помощью сеанса входа с указанным значением. Если не указано, запрашивает билет с помощью сеанса входа текущего пользователя.
кдкоптионс: Запрашивает билет с заданными параметрами KDC
add_bind — позволяет указать предпочтительный контроллер домена для проверки подлинности Kerberos.
query_bind — позволяет отображать кэшированные, предпочитаемые контроллеры домена для доменов.
purge_bind — позволяет удалять кэшированные, предпочитаемые контроллеры домена для доменов.
кдкоптионс — для текущего списка параметров и их объяснений см. RFC 4120.
Примеры
Чтобы запросить кэш билетов Kerberos для определения отсутствия билетов, если целевой сервер или учетная запись имеют ошибку или если тип шифрования не поддерживается из-за ошибки с ИДЕНТИФИКАТОРом события 27, введите:
klist
klist –li 0x3e7
Чтобы узнать о характере каждого билета предоставления билетов, который кэшируется на компьютере для сеанса входа в систему, введите:
klist tgt
Чтобы очистить кэш билетов Kerberos, выйдите из системы, а затем снова войдите в систему, введите:
klist purge
klist purge –li 0x3e7
Чтобы диагностировать сеанс входа в систему и найти Логонид для пользователя или службы, введите:
klist sessions
Чтобы диагностировать сбой ограниченного делегирования Kerberos и найти последнюю обнаруженную ошибку, введите:
klist kcd_cache
Чтобы определить, может ли пользователь или служба получить билет на сервере или запросить билет для определенного имени участника-службы, введите:
klist get host/%computername%
Для диагностики проблем репликации между контроллерами домена обычно требуется клиентский компьютер, предназначенный для определенного контроллера домена. Чтобы нацелить клиентский компьютер на конкретный контроллер домена, введите:
klist add_bind CONTOSO KDC.CONTOSO.COM
klist add_bind CONTOSO.COM KDC.CONTOSO.COM
Чтобы запросить, к каким контроллерам домена недавно обращались этот компьютер, введите:
klist query_bind
Чтобы повторно обнаружить контроллеры домена или очистить кэш перед созданием новых привязок к контроллеру домена с помощью klist add_bind , введите:
klist purge_bind