klist

Отображает список кэшированных в настоящее время билетов Kerberos.

Важно!

Для выполнения всех параметров этой команды необходимо быть по крайней мере администратором доменаили эквивалентным ему.

Синтаксис

klist [-lh <logonID.highpart>] [-li <logonID.lowpart>] tickets | tgt | purge | sessions | kcd_cache | get | add_bind | query_bind | purge_bind

Параметры

Параметр Описание
— LH Обозначает старшую часть локального уникального идентификатора (LUID) пользователя, выраженную в шестнадцатеричном формате. Если не указано ни параметр – LH , ни -Li , команда по умолчанию принимает значение LUID пользователя, выполнившего вход.
-Li Обозначает младшую часть локального уникального идентификатора (LUID) пользователя, выраженную в шестнадцатеричном формате. Если не указано ни параметр – LH , ни -Li , команда по умолчанию принимает значение LUID пользователя, выполнившего вход.
описания Список текущих кэшированных билетов (TGT) и билетов службы для указанного сеанса входа в систему. Это параметр по умолчанию.
tgt Отображает первоначальный TGT Kerberos.
Очистка Позволяет удалить все билеты указанного сеанса входа в систему.
сеансы Отображает список сеансов входа на этот компьютер.
kcd_cache Отображает сведения кэша ограниченного делегирования Kerberos.
get Позволяет запросить билет на целевом компьютере, заданном именем участника-службы (SPN).
add_bind Позволяет указать предпочтительный контроллер домена для проверки подлинности Kerberos.
query_bind Отображает список кэшированных предпочитаемых контроллеров домена для каждого домена, с которым связывался протокол Kerberos.
purge_bind Удаление кэшированных предпочтительных контроллеров домена для указанных доменов.
кдкоптионс Отображает параметры центр распространения ключей (KDC), указанные в RFC 4120.
/? Отображает справку для этой команды.

Комментарии

  • Если параметры не указаны, klist извлекает все билеты для текущего пользователя.

  • В параметрах отображаются следующие сведения.

    • билеты . перечисляет в настоящее время кэшированные билеты служб, с которыми вы прошли проверку подлинности, с момента входа. Отображает следующие атрибуты всех кэшированных билетов:

      • Логонид: LUID.

      • Клиент: Объединение имени клиента и имени домена клиента.

      • Сервер: Объединение имени службы и имени домена службы.

      • Тип шифрования кербтиккет: Тип шифрования, используемый для шифрования билета Kerberos.

      • Флаги билета: Флаги билета Kerberos.

      • Время начала: Время, в течение которого билет действителен.

      • Время окончания: Время, когда билет стал недействительным. Если срок действия билета истек, он больше не может использоваться для проверки подлинности в службе или для продления.

      • Время продления: Время, когда требуется новая Начальная проверка подлинности.

      • Тип ключа сеанса: Алгоритм шифрования, используемый для ключа сеанса.

    • TGT — список первоначального TGT-билета Kerberos и следующие атрибуты кэшированного билета:

      • Логонид: Указывается в шестнадцатеричном формате.

      • ServiceName: krbtgt

      • TargetName : krbtgt

      • Имя_домена: Имя домена, который выдает TGT.

      • Таржетдомаиннаме: Домен, которому выдан билет TGT.

      • Алттаржетдомаиннаме: Домен, которому выдан билет TGT.

      • Флаги билета: Адрес и целевое действие и тип.

      • Ключ сеанса: Длина ключа и алгоритм шифрования.

      • Время начала: Время на локальном компьютере, на которое был запрошен билет.

      • EndTime: Время, когда билет стал недействительным. Когда билет пройдет на этот раз, он больше не может использоваться для проверки подлинности в службе.

      • Реневунтил: Крайний срок для продления билета.

      • Тимескев: Разница во времени с центр распространения ключей (KDC).

      • Енкодедтиккет: Закодированный билет.

    • очистить — позволяет удалить конкретный билет. Удаление билетов уничтожает все кэшированные билеты, поэтому используйте этот атрибут с осторожностью. Это может привести к невозможности проверки подлинности в ресурсах. В этом случае необходимо выйти из системы и снова войти в систему.

      • Логонид: Указывается в шестнадцатеричном формате.
    • сеансы . позволяет вывести список и отобразить сведения обо всех сеансах входа на этом компьютере.

      • Логонид: Отображает сеанс входа в систему только по заданному значению. Если этот параметр не указан, отображаются все сеансы входа на этот компьютер.
    • kcd_cache — позволяет отображать сведения кэша ограниченного делегирования Kerberos.

      • Логонид: Отображает сведения о кэше для сеанса входа с указанным значением. Если не указано, отображает сведения о кэше для сеанса входа текущего пользователя.
    • Get — позволяет запросить билет в целевом объекте, указанном в имени субъекта-службы.

      • Логонид: Запрашивает билет с помощью сеанса входа с указанным значением. Если не указано, запрашивает билет с помощью сеанса входа текущего пользователя.

      • кдкоптионс: Запрашивает билет с заданными параметрами KDC

    • add_bind — позволяет указать предпочтительный контроллер домена для проверки подлинности Kerberos.

    • query_bind — позволяет отображать кэшированные, предпочитаемые контроллеры домена для доменов.

    • purge_bind — позволяет удалять кэшированные, предпочитаемые контроллеры домена для доменов.

    • кдкоптионс — для текущего списка параметров и их объяснений см. RFC 4120.

Примеры

Чтобы запросить кэш билетов Kerberos для определения отсутствия билетов, если целевой сервер или учетная запись имеют ошибку или если тип шифрования не поддерживается из-за ошибки с ИДЕНТИФИКАТОРом события 27, введите:

klist
klist –li 0x3e7

Чтобы узнать о характере каждого билета предоставления билетов, который кэшируется на компьютере для сеанса входа в систему, введите:

klist tgt

Чтобы очистить кэш билетов Kerberos, выйдите из системы, а затем снова войдите в систему, введите:

klist purge
klist purge –li 0x3e7

Чтобы диагностировать сеанс входа в систему и найти Логонид для пользователя или службы, введите:

klist sessions

Чтобы диагностировать сбой ограниченного делегирования Kerberos и найти последнюю обнаруженную ошибку, введите:

klist kcd_cache

Чтобы определить, может ли пользователь или служба получить билет на сервере или запросить билет для определенного имени участника-службы, введите:

klist get host/%computername%

Для диагностики проблем репликации между контроллерами домена обычно требуется клиентский компьютер, предназначенный для определенного контроллера домена. Чтобы нацелить клиентский компьютер на конкретный контроллер домена, введите:

klist add_bind CONTOSO KDC.CONTOSO.COM
klist add_bind CONTOSO.COM KDC.CONTOSO.COM

Чтобы запросить, к каким контроллерам домена недавно обращались этот компьютер, введите:

klist query_bind

Чтобы повторно обнаружить контроллеры домена или очистить кэш перед созданием новых привязок к контроллеру домена с помощью klist add_bind , введите:

klist purge_bind

Дополнительные ссылки