klist
Zeigt eine Liste der aktuell zwischengespeicherten Kerberos-Tickets an.
Wichtig
Sie müssen mindestens ein Domänenadministrator sein oder über gleichwertige Berechtigungen verfügen, um alle Parameter dieses Befehls auszuführen.
Syntax
klist [-lh <logonID.highpart>] [-li <logonID.lowpart>] tickets | tgt | purge | sessions | kcd_cache | get | add_bind | query_bind | purge_bind
Parameter
| Parameter | BESCHREIBUNG |
|---|---|
| -lh | Gibt den hohen Teil des lokal eindeutigen Bezeichners (LUID) des Benutzers an, hexadezimal ausgedrückt. Wenn weder –lh noch –li vorhanden sind, wird der Befehl standardmäßig auf die LUID des Benutzers festgelegt, der derzeit angemeldet ist. |
| -li | Gibt den niedrigen Teil des lokal eindeutigen Bezeichners (LUID) des Benutzers an, hexadezimal ausgedrückt. Wenn weder –lh noch –li vorhanden sind, wird der Befehl standardmäßig auf die LUID des Benutzers festgelegt, der derzeit angemeldet ist. |
| Tickets | Listet die aktuell zwischengespeicherten Tickets zur Ticketerteilung (Ticket-Granting-Tickets, TGTs) und Diensttickets der angegebenen Anmeldesitzung auf. Dies ist die Standardoption. |
| tgt | Zeigt das anfängliche Kerberos-TGT an. |
| Löschen | Ermöglicht das Löschen aller Tickets der angegebenen Anmeldesitzung. |
| Sitzungen | Zeigt eine Liste der Anmeldesitzungen auf diesem Computer an. |
| kcd_cache | Zeigt die Informationen zum eingeschränkten Kerberos-Delegierungscache an. |
| get | Ermöglicht das Anfordern eines Tickets für den Zielcomputer, der durch den Dienstprinzipalnamen (Service Principal Name, SPN) angegeben wird. |
| add_bind | Ermöglicht das Angeben eines bevorzugten Domänencontrollers für die Kerberos-Authentifizierung. |
| query_bind | Zeigt eine Liste der zwischengespeicherten bevorzugten Domänencontroller für jede Domäne an, die Kerberos kontaktiert hat. |
| purge_bind | Entfernt die zwischengespeicherten bevorzugten Domänencontroller für die angegebenen Domänen. |
| kdcoptions | Zeigt die in RFC 4120 angegebenen KDC-Optionen (Key Distribution Center) an. |
| /? | Zeigt die Hilfe für diesen Befehl an. |
Hinweise
Wenn keine Parameter angegeben werden, ruft klist alle Tickets für den aktuell angemeldeten Benutzer ab.
Die Parameter zeigen die folgenden Informationen an:
tickets: Listet die aktuell zwischengespeicherten Tickets von Diensten auf, bei denen Sie sich seit der Anmeldung authentifiziert haben. Zeigt die folgenden Attribute aller zwischengespeicherten Tickets an:
LogonID: Die LUID.
Client: Die Verkettung des Clientnamens mit dem Domänennamen des Clients.
Server: Die Verkettung des Dienstnamens und des Domänennamens des Diensts.
KerbTicket Encryption Type: Der Verschlüsselungstyp, der zum Verschlüsseln des Kerberos-Tickets verwendet wird.
Ticket Flags: Die Kerberos-Ticketflags.
Start Time: Der Zeitpunkt, ab dem das Ticket gültig ist.
End Time: Der Zeitpunkt, von dem an das Ticket nicht mehr gültig ist. Wenn ein Ticket diesen Zeitpunkt überschritten hat, kann es nicht mehr zur Authentifizierung bei einem Dienst oder zur Verlängerung verwendet werden.
Renew Time: Der Zeitpunkt, zu dem eine neue anfängliche Authentifizierung erforderlich ist.
Session Key Type: Der Verschlüsselungsalgorithmus, der für den Sitzungsschlüssel verwendet wird.
tgt: Listet das anfängliche Kerberos-TGT und die folgenden Attribute des aktuell zwischengespeicherten Tickets auf:
LogonID: Hexadezimal angegeben.
ServiceName: krbtgt
TargetName
<SPN>: krbtgtDomainName: Name der Domäne, die das TGT ausstellt.
TargetDomainName: Domäne, für die das TGT ausgestellt wird.
AltTargetDomainName: Domäne, für die das TGT ausgestellt wird.
Ticket Flags: Adresse und Zielaktionen und Zieltyp.
Session Key: Schlüssellänge und Verschlüsselungsalgorithmus.
StartTime: Lokale Computerzeit, zu der das Ticket angefordert wurde.
EndTime: Der Zeitpunkt, von dem an das Ticket nicht mehr gültig ist. Wenn ein Ticket diesen Zeitpunkt überschritten hat, kann es nicht mehr zur Authentifizierung bei einem Dienst verwendet werden.
RenewUntil: Frist für die Ticketverlängerung.
TimeSkew: Zeitunterschied zum KDC (Key Distribution Center).
EncodedTicket: Codiertes Ticket.
purge – Ermöglicht Ihnen das Löschen eines bestimmten Tickets. Das Löschen von Tickets zerstört alle zwischengespeicherten Tickets. Verwenden Sie dieses Attribut daher mit Vorsicht. Es kann Ihrer Fähigkeit, sich bei Ressourcen zu authentifizieren, ein Ende setzen. In diesem Fall müssen Sie sich abmelden und erneut anmelden.
- LogonID: Hexadezimal angegeben.
sessions: Ermöglicht Ihnen das Auflisten und Anzeigen der Informationen für alle Anmeldesitzungen auf diesem Computer.
- LogonID: Wenn angegeben, wird die Anmeldesitzung nur nach dem angegebenen Wert angezeigt. Fehlt die Angabe, werden alle Anmeldesitzungen auf diesem Computer angezeigt.
kcd_cache: Ermöglicht das Anzeigen der Cacheinformationen zur eingeschränkten Kerberos-Delegierung.
- LogonID: Wenn angegeben, werden die Cacheinformationen für die Anmeldesitzung nach dem angegebenen Wert angezeigt. Fehlt die Angabe, werden die Cacheinformationen für die Anmeldesitzung des aktuellen Benutzers angezeigt.
get: Ermöglicht das Anfordern eines Tickets für das Ziel, das durch den SPN angegeben wird.
LogonID: Wenn angegeben, wird ein Ticket mithilfe der Anmeldesitzung nach dem angegebenen Wert angefordert. Fehlt die Angabe, wird ein Ticket mithilfe der Anmeldesitzung des aktuellen Benutzers angefordert.
kdcoptions: Fordert ein Ticket mit den angegebenen KDC-Optionen an
add_bind: Ermöglicht das Angeben eines bevorzugten Domänencontrollers für die Kerberos-Authentifizierung.
query_bind: Ermöglicht das Anzeigen zwischengespeicherter bevorzugter Domänencontroller für die Domänen.
purge_bind: Ermöglicht das Entfernen zwischengespeicherter bevorzugter Domänencontroller für die Domänen.
kdcoptions: Die aktuelle Liste der Optionen und ihre Erläuterungen finden Sie unter RFC 4120.
Beispiele
Geben Sie Folgendes ein, um den Kerberos-Ticketcache abzufragen, um festzustellen, ob Tickets fehlen, ob der Zielserver oder das Zielkonto fehlerhaft ist oder ob der Verschlüsselungstyp aufgrund eines Fehlers mit der Ereignis-ID 27 nicht unterstützt wird:
klist
klist –li 0x3e7
Geben Sie Folgendes ein, um mehr über die Besonderheiten der einzelnen Tickets zur Ticketerteilung zu erfahren, die für eine Anmeldesitzung auf dem Computer zwischengespeichert sind:
klist tgt
Geben Sie Folgendes ein, um den Kerberos-Ticketcache zu bereinigen, sich abzumelden und sich dann wieder anzumelden:
klist purge
klist purge –li 0x3e7
Geben Sie Folgendes ein, um eine Diagnose einer Anmeldesitzung durchzuführen und eine Anmelde-ID für einen Benutzer oder einen Dienst zu suchen:
klist sessions
Geben Sie Folgendes ein, um den Fehler der eingeschränkten Kerberos-Delegierung zu diagnostizieren und den zuletzt aufgetretenen Fehler zu ermitteln:
klist kcd_cache
Geben Sie Folgendes ein, um zu diagnostizieren, ob ein Benutzer oder ein Dienst ein Ticket für einen Server erhalten kann, oder um ein Ticket für einen bestimmten SPN anzufordern:
klist get host/%computername%
Zur Diagnose von Replikationsproblemen auf Domänencontrollern muss der Clientcomputer in der Regel einen bestimmten Domänencontroller als Ziel verwenden. Geben Sie Folgendes ein, um den Clientcomputer den jeweiligen Domänencontroller als Ziel verwenden zu lassen:
klist add_bind CONTOSO KDC.CONTOSO.COM
klist add_bind CONTOSO.COM KDC.CONTOSO.COM
Geben Sie Folgendes ein, um abzufragen, welche Domänencontroller kürzlich von diesem Computer kontaktiert wurden:
klist query_bind
Geben Sie zum erneuten Ermitteln von Domänencontrollern oder zum Leeren des Caches vor dem Erstellen neuer Domänencontrollerbindungen mit klist add_bind Folgendes ein:
klist purge_bind