klist

• 適用於:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Stack HCI, versions 23H2 and 22H2

顯示清單，以列出目前快取的 Kerberos 票證。

重要

您至少必須具備網域管理員或同等級的身分，才能執行這個命令的所有參數。

語法

klist [-lh <logonID.highpart>] [-li <logonID.lowpart>] tickets | tgt | purge | sessions | kcd_cache | get | add_bind | query_bind | purge_bind

參數

參數	描述
-lh	以十六進位方式表示使用者本機唯一識別碼 (LUID) 的較高部分。 如果 –lh 或 –li 都不存在，命令就會以目前已登入使用者的 LUID 做為預設值。
-li	以十六進位方式表示使用者本機唯一識別碼 (LUID) 的較低部分。 如果 –lh 或 –li 都不存在，命令就會以目前已登入使用者的 LUID 做為預設值。
tickets	列出目前快取的票證授權票證 (TGT)，以及指定登入工作階段的服務票證。 這是預設選項。
tgt	顯示初始 Kerberos TGT。
清除	可讓您刪除指定登入工作階段的所有票證。
依序傳遞	顯示清單，以列出這部電腦上的登入工作階段。
kcd_cache	顯示 Kerberos 限制委派快取資訊。
get	可讓您向服務主體名稱 (SPN) 指定的目標電腦要求票證。
add_bind	可讓您指定 Kerberos 驗證的偏好網域控制站。
query_bind	顯示清單，以列出 Kerberos 已連絡之每個網域所偏好的網域控制站。
purge_bind	移除指定網域已快取的偏好網域控制站。
kdcoptions	顯示 RFC 4120 中指定的 Kerberos 金鑰發佈中心 (KDC) 選項。
/?	顯示這個命令的說明。

備註

• 如果沒有提供任何參數，klist 就會擷取目前已登入使用者的所有票證。

• 參數會顯示下列訊息：

  • tickets - 列出您登入至今已驗證的快取服務票證。 顯示所有快取票證的下列屬性：

    • LogonID：LUID。

    • Client：用戶端名稱的和用戶端網域名稱的串連。

    • Server：服務名稱和服務網域名稱的串連。

    • KerbTicket Encryption Type：用來加密 Kerberos 票證的加密類型。

    • Ticket Flags：Kerberos 票證旗標。

    • Start Time：票證生效的時間。

    • End Time：票證不再有效的時間。 票證超過這個時間後，就再也無法用來進行服務驗證，或用於更新。

    • Renew Time：需要進行新初始驗證的時間。

    • Session Key Type：用於工作階段金鑰的加密演算法。

  • tgt - 列出初始 Kerberos TGT 和目前快取票證的下列屬性：

    • LogonID：使用十六進位加以識別。

    • ServiceName：krbtgt

    • TargetName：<SPN>krbtgt

    • DomainName：核發 TGT 的網域名稱。

    • TargetDomainName：所核發 TGT 適用的網域。

    • AltTargetDomainName：所核發 TGT 適用的網域。

    • Ticket Flags：位址和目標動作及類型。

    • Session Key：金鑰長度和加密演算法。

    • StartTime：要求票證的本機電腦時間。

    • EndTime：票證不再有效的時間。 票證超過這個時間後，就再也無法用來進行服務驗證。

    • RenewUntil： 票證的更新期限。

    • TimeSkew：與金鑰發佈中心 (KDC) 之間的時差。

    • EncodedTicket：已編碼的票證。

  • purge - 可讓您清除特定票證。 清除票證將終結您已快取的所有票證，因此請謹慎使用這個屬性。 這可能會導致您無法進行資源驗證。 如果發生上述情況，您需要登出並再次登入。

    • LogonID：使用十六進位加以識別。

  • sessions - 可讓您列出並顯示這部電腦上所有登入工作階段的資訊。

    • LogonID：如有指定，就只會顯示具有指定值的登入工作階段。 若未指定，則會顯示這部電腦上的所有登入工作階段。

  • kcd_cache - 可讓您顯示 Kerberos 限制委派快取資訊。

    • LogonID：如有指定，就會顯示具有指定值之登入工作階段的快取資訊。 若未指定，則會顯示目前使用者之登入工作階段的快取資訊。

  • get - 可讓您向 SPN 指定的目標要求票證。

    • LogonID：如有指定，就會使用具有指定值的登入工作階段來要求票證。 若未指定，則會使用目前使用者的登入工作階段來要求票證。

    • kdcoptions：使用指定的 KDC 選項來要求票證。

  • add_bind - 可讓您指定 Kerberos 驗證的偏好網域控制站。

  • query_bind - 可讓您顯示網域已快取且偏好的網域控制站。

  • purge_bind - 可讓您針對移動網域已快取且偏好的網域控制站。

  • kdcoptions - 如需目前的選項清單及其說明，請參閱 RFC 4120。

範例

若要查詢 Kerberos 票證快取，以判斷是否遺失任何票證、目標伺服器或帳戶是否發生錯誤，或是否因事件 ID 27 錯誤導致加密類型不受支援，請輸入：

klist

klist –li 0x3e7

若要了解電腦針對登入工作階段快取的每個票證授權票證的詳細資訊，請輸入：

klist tgt

若要清除 Kerberos 票證快取、登出，然後重新登入，請輸入：

klist purge

klist purge –li 0x3e7

若要診斷登入工作階段，並找出使用者或服務的 logonID，請輸入：

klist sessions

若要診斷 Kerberos 限制委派失敗，並找出所遇到的最後一個錯誤，請輸入：

klist kcd_cache

若要診斷使用者或服務能否取得伺服器票證，或取得指定 SPN 的票證，請輸入：

klist get host/%computername%

若要診斷網域控制站的複寫問題，您通常需要讓用戶端電腦以特定網域控制站為目標。 若要讓用戶端電腦以特定網域控制站為目標，請輸入：

klist add_bind CONTOSO KDC.CONTOSO.COM

klist add_bind CONTOSO.COM KDC.CONTOSO.COM

若要查詢這部電腦最近連絡的網域控制站，請輸入：

klist query_bind

若要重新探索網域控制站，或先行清除快取，再使用 klist add_bind 建立網域控制站繫結，請輸入：

klist purge_bind

相關連結

• 命令列語法關鍵