klist
Отображает список кэшированных в настоящее время билетов Kerberos.
Внимание
Для выполнения всех параметров этой команды необходимо быть по крайней мере Администратор доменом или эквивалентом.
Синтаксис
klist [-lh <logonID.highpart>] [-li <logonID.lowpart>] tickets | tgt | purge | sessions | kcd_cache | get | add_bind | query_bind | purge_bind
Параметры
Параметр | Описание |
---|---|
-Левая | Обозначает высокую часть локально уникального идентификатора пользователя (LUID), выраженную в шестнадцатеричном виде. Если ни lh, ни ли отсутствуют, команда по умолчанию использует LUID пользователя, вошедшего в систему. |
-Литий | Обозначает низкую часть локально уникального идентификатора пользователя (LUID), выраженную в шестнадцатеричном виде. Если ни lh, ни ли отсутствуют, команда по умолчанию использует LUID пользователя, вошедшего в систему. |
Tix | Перечисляет кэшированные билеты с предоставлением билетов (TGTs) и запросы на обслуживание указанного сеанса входа. Этот параметр по умолчанию. |
tgt | Отображает начальный TGT Kerberos. |
пользователя | Позволяет удалить все билеты указанного сеанса входа. |
сеансы | Отображает список сеансов входа на этом компьютере. |
kcd_cache | Отображает сведения о кэше ограниченного делегирования Kerberos. |
get | Позволяет запрашивать билет на целевой компьютер, указанный именем субъекта-службы (SPN). |
add_bind | Позволяет указать предпочтительный контроллер домена для проверки подлинности Kerberos. |
query_bind | Отображает список кэшированных предпочтительных контроллеров домена для каждого домена, к которому связался Kerberos. |
purge_bind | Удаляет кэшированные предпочтительные контроллеры домена для указанных доменов. |
kdcoptions | Отображает параметры Центра распространения ключей (KDC), указанные в RFC 4120. |
/? | Отображает справку для этой команды. |
Замечания
Если параметры отсутствуют, klist извлекает все билеты для текущего пользователя, вошедшего в систему.
Параметры отображают следующие сведения:
билеты — перечисляет кэшированные билеты служб, прошедших проверку подлинности с момента входа. Отображает следующие атрибуты всех кэшированных билетов:
Вход в систему: LUID.
Клиент: объединение имени клиента и доменного имени клиента.
Сервер: объединение имени службы и доменного имени службы.
Тип шифрования KerbTicket: тип шифрования, используемый для шифрования билета Kerberos.
Флаги билетов: флаги билета Kerberos.
Время начала: время, с которого действителен билет.
Время окончания: время, когда билет становится недействительным. Когда билет истек на этот раз, он больше не может использоваться для проверки подлинности в службе или использования для продления.
Время продления: время, необходимое для новой начальной проверки подлинности.
Тип ключа сеанса: алгоритм шифрования, используемый для ключа сеанса.
tgt — перечисляет исходные TGT Kerberos и следующие атрибуты кэшированного билета:
Вход в систему: определяется в шестнадцатеричном виде.
ServiceName: krbtgt
TargetName
<SPN>
: krbtgtDomainName: имя домена, который выдает TGT.
TargetDomainName: домен, в который выдан TGT.
AltTargetDomainName: домен, в который выдан TGT.
Флаги билетов: адрес и целевые действия и тип.
Ключ сеанса: длина ключа и алгоритм шифрования.
StartTime: время локального компьютера, запрашиваемое билетом.
EndTime: время, когда билет становится недействительным. Когда билет истек на этот раз, он больше не может использоваться для проверки подлинности в службе.
Продление подписки: крайний срок для продления билета.
TimeSkew: разница во времени с центром распространения ключей (KDC).
EncodedTicket: закодированный билет.
Очистка — позволяет удалить определенный билет. Очистка билетов уничтожает все билеты, которые вы кэшировали, поэтому используйте этот атрибут с осторожностью. Это может помешать вам пройти проверку подлинности в ресурсах. Если это произойдет, вам придется снова выйти из системы и войти в систему.
- Вход в систему: определяется в шестнадцатеричном виде.
сеансы — позволяет вывести список и отобразить сведения для всех сеансов входа на этом компьютере.
- Вход в систему: если задано, отображает сеанс входа только по заданному значению. Если это не указано, отображаются все сеансы входа на этом компьютере.
kcd_cache. Позволяет отображать сведения о кэше ограниченного делегирования Kerberos.
- Вход в систему: если задано, отображает сведения о кэше для сеанса входа по заданному значению. Если он не указан, отображает сведения о кэше для сеанса входа текущего пользователя.
get — позволяет запрашивать билет в целевой объект, указанный в имени участника-службы.
Вход в систему: если задано, запрашивает билет с помощью сеанса входа по заданному значению. Если это не указано, запросите билет с помощью сеанса входа текущего пользователя.
kdcoptions: запрашивает билет с заданными параметрами KDC
add_bind. Позволяет указать предпочтительный контроллер домена для проверки подлинности Kerberos.
query_bind. Позволяет отображать кэшированные, предпочитаемые контроллеры домена для доменов.
purge_bind. Позволяет удалять кэшированные, предпочитаемые контроллеры домена для доменов.
kdcoptions — текущий список параметров и их объяснения см. в rfC 4120.
Примеры
Чтобы запросить кэш билетов Kerberos, чтобы определить, отсутствуют ли билеты, если целевой сервер или учетная запись ошибаются, или если тип шифрования не поддерживается из-за ошибки События 27, введите:
klist
klist –li 0x3e7
Чтобы узнать о специфике каждого билета, который кэшируется на компьютере для сеанса входа, введите следующее:
klist tgt
Чтобы очистить кэш билетов Kerberos, выйдите из системы, а затем войдите в систему, введите следующее:
klist purge
klist purge –li 0x3e7
Чтобы диагностировать сеанс входа и найти идентификатор входа для пользователя или службы, введите следующее:
klist sessions
Чтобы диагностировать сбой ограниченного делегирования Kerberos, и найти последнюю ошибку, которая была обнаружена, введите:
klist kcd_cache
Чтобы диагностировать, может ли пользователь или служба получить билет на сервер или запросить билет для определенного субъекта-службы, введите:
klist get host/%computername%
Для диагностики проблем с реплика на контроллерах домена обычно требуется клиентский компьютер для назначения определенного контроллера домена. Чтобы нацелить клиентский компьютер на конкретный контроллер домена, введите следующее:
klist add_bind CONTOSO KDC.CONTOSO.COM
klist add_bind CONTOSO.COM KDC.CONTOSO.COM
Чтобы запросить, какие контроллеры домена недавно связались с этим компьютером, введите следующее:
klist query_bind
Для повторного обнаружения контроллеров домена или очистки кэша перед созданием привязок контроллера домена с типом klist add_bind
:
klist purge_bind
Дополнительные ссылки
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по