通过

klist

显示当前缓存的 Kerberos 票证列表。

Important

您必须至少是 域管理员或同等人员才能运行此命令的所有参数。

Syntax

klist [-lh <logonID.highpart>] [-li <logonID.lowpart>] tickets | tgt | purge | sessions | kcd_cache | get | add_bind | query_bind | purge_bind

Parameters

Parameter Description
-lh 表示用户的本地唯一标识符(LUID)的高位部分,以十六进制表示。 如果 -lh-li 都不存在,则该命令默认为当前登录的用户的 LUID。
-li 表示用户的本地唯一标识符(LUID)的位部分,以十六进制表示。 如果 -lh-li 都不存在,则该命令默认为当前登录的用户的 LUID。
tickets 列出当前缓存的票证授予票证 (TGT),以及指定的登录会话的服务票证。 这是默认选项。
tgt 显示初始 Kerberos TGT。
清除 用于删除指定的登录会话的所有票证。
sessions 显示此计算机上的登录会话列表。
kcd_cache 显示 Kerberos 约束委派缓存信息。
get 用于向服务主体名称 (SPN) 指定的目标计算机请求票证。
add_bind 用于为 Kerberos 身份验证指定首选的域控制器。
query_bind 显示 Kerberos 联系的每个域的缓存首选域控制器列表。
purge_bind 删除指定的域的缓存首选域控制器。
kdcoptions 显示 RFC 4120 中指定的密钥发行中心 (KDC) 选项。
/? 显示此命令的帮助。

Remarks

  • 如果未提供参数, klist 将检索当前登录用户的所有工单。

  • 参数显示以下信息:

    • tickets - 列出自登录以来已对其进行身份验证的服务的当前缓存票证。 显示所有缓存票证的以下属性:

      • 登录 ID: The LUID.

      • 客户: 客户端名称和客户端域名的串联。

      • 服务器: 服务名称和服务域名的串联。

      • KerbTicket 加密类型:用于加密 Kerberos 票证的加密类型

      • 票证标志: Kerberos 票证标志。

      • 开始时间: 车票有效期。

      • 结束时间: 车票不再有效的时间。 如果票证超过此时间,则它不再可用于对服务进行身份验证,也不可用于续订。

      • 续费时间: 需要新的初始身份验证的时间。

      • 会话密钥类型:用于会话密钥的加密算法

    • tgt - 列出当前缓存票证的初始 Kerberos TGT 和以下属性:

      • 登录 ID: 以十六进制标识。

      • ServiceName: krbtgt

      • TargetName :krbtgt<SPN>

      • 域名: 颁发 TGT 的域的名称。

      • 目标域名: TGT 颁发到的域。

      • AltTargetDomainName: TGT 颁发到的域。

      • 票证标志: 地址和目标作和类型。

      • 会话密钥: 密钥长度和加密算法。

      • 开始时间: 请求票证的本地计算机时间。

      • 结束时间: 机票不再有效的时间。 如果票证超过此时间,则它不再可用于对服务进行身份验证。

      • 续订至: 机票续签的截止日期。

      • 时间偏差: 与密钥分发中心 (KDC) 的时差。

      • 编码票: 编码票。

    • 清除 - 允许您删除特定票证。 清除票证会销毁缓存的所有票证,因此请慎用此属性。 它可能会导致你无法对资源进行身份验证。 如果发生这种情况,必须注销并再次登录。

      • 登录 ID: 以十六进制标识。

    • 会话 - 允许您列出和显示此计算机上所有登录会话的信息。

      • 登录 ID: 如果指定,则仅按给定值显示登录会话。 如果未指定,则显示此计算机上的所有登录会话。

    • kcd_cache - 允许您显示 Kerberos 约束的委派缓存信息。

      • 登录 ID: 如果指定,则按给定值显示登录会话的缓存信息。 如果未指定,则显示当前用户的登录会话的缓存信息。

    • get - 允许向 SPN 指定的目标请求票证。

      • 登录 ID: 如果指定,则使用给定值的登录会话请求票证。 如果未指定,则使用当前用户的登录会话请求票证。

      • kdc选项: 请求具有给定 KDC 选项的工单

    • add_bind - 允许指定 Kerberos 身份验证的首选域控制器。

    • query_bind - 允许显示域的缓存首选域控制器。

    • purge_bind - 允许删除域的缓存首选域控制器。

    • kdcoptions - 有关当前选项列表及其解释,请参阅 RFC 4120

Examples

若要查询 Kerberos 票证缓存以确定是否缺少任何票证、目标服务器或帐户是否有错误,或者加密类型是否因出现事件 ID 27 错误而不受支持,请键入:

klist

klist -li 0x3e7

若要了解计算机上为登录会话缓存的每个票证授予票证的具体信息,请键入:

klist tgt

若要清除 Kerberos 票证缓存,注销然后重新登录,请键入:

klist purge

klist purge -li 0x3e7

若要诊断登录会话和查找某个用户或服务的 logonID,请键入:

klist sessions

若要诊断 Kerberos 约束委派失败和查找遇到的最后一个错误,请键入:

klist kcd_cache

若要诊断用户或服务是否可以在服务器上获取票证,或请求特定 SPN 的票证,请键入:

klist get host/%computername%

若要诊断跨域控制器复制问题,通常需要使客户端计算机以特定的域控制器为目标。 若要使客户端计算机以特定的域控制器为目标,请键入:

klist add_bind CONTOSO KDC.CONTOSO.COM

klist add_bind CONTOSO.COM KDC.CONTOSO.COM

若要查询此计算机最近联系的域控制器,请键入:

klist query_bind

若要重新发现域控制器,或者在使用 klist add_bind 创建新的域控制器绑定之前刷新缓存,请键入:

klist purge_bind
  • Last updated on