klist

Muestra una lista de vales kerberos almacenados actualmente en caché.

Importante

Debe ser al menos un administrador de dominio, o equivalente, para ejecutar todos los parámetros de este comando.

Sintaxis

klist [-lh <logonID.highpart>] [-li <logonID.lowpart>] tickets | tgt | purge | sessions | kcd_cache | get | add_bind | query_bind | purge_bind

Parámetros

Parámetro Descripción
-lh Denota la parte alta del identificador único local (LUID) del usuario, expresado en hexadecimal. Si no están presentes –lhni –li , el comando tiene como valor predeterminado el LUID del usuario que ha iniciado sesión actualmente.
-li Denota la parte baja del identificador único local (LUID) del usuario, expresado en hexadecimal. Si no están presentes –lhni –li , el comando tiene como valor predeterminado el LUID del usuario que ha iniciado sesión actualmente.
vales Enumera los vales de concesión de vales (TT) almacenados actualmente en caché y los vales de servicio de la sesión de inicio de sesión especificada. Ésta es la opción predeterminada.
tgt Muestra el TGT de Kerberos inicial.
purga Permite eliminar todos los vales de la sesión de inicio de sesión especificada.
sesiones Muestra una lista de sesiones de inicio de sesión en este equipo.
kcd_cache Muestra la información de caché de delegación restringida de Kerberos.
get Permite solicitar un vale al equipo de destino especificado por el nombre de entidad de seguridad de servicio (SPN).
add_bind Permite especificar un controlador de dominio preferido para la autenticación Kerberos.
query_bind Muestra una lista de controladores de dominio preferidos almacenados en caché para cada dominio con el que Kerberos se ha puesto en contacto.
purge_bind Quita los controladores de dominio preferidos almacenados en caché para los dominios especificados.
kdcoptions Muestra las Centro de distribución de claves (KDC) especificadas en RFC 4120.
/? Muestra la Ayuda de este comando.

Notas

  • Si no se proporcionan parámetros, klist recupera todos los vales del usuario que ha iniciado sesión actualmente.

  • Los parámetros muestran la siguiente información:

    • tickets : enumera los vales almacenados actualmente en caché de los servicios en los que se ha autenticado desde el inicio de sesión. Muestra los siguientes atributos de todos los vales almacenados en caché:

      • LogonID: The LUID.

      • Cliente: Concatenación del nombre de cliente y el nombre de dominio del cliente.

      • Servidor: Concatenación del nombre del servicio y el nombre de dominio del servicio.

      • Tipo de cifrado KerbTicket: Tipo de cifrado que se usa para cifrar el vale kerberos.

      • Marcas de vales: Marcas de vales de Kerberos.

      • Hora de inicio: La hora desde la que el vale es válido.

      • Hora de finalización: El momento en que el vale deja de ser válido. Cuando un vale ha pasado este tiempo, ya no se puede usar para autenticarse en un servicio ni para la renovación.

      • Tiempo de renovación: Hora a la que se requiere una nueva autenticación inicial.

      • Tipo de clave de sesión: Algoritmo de cifrado que se usa para la clave de sesión.

    • tgt : enumera el TGT de Kerberos inicial y los siguientes atributos del vale almacenado actualmente en caché:

      • LogonID: Se identifica en hexadecimal.

      • ServiceName: krbtgt

      • TargetName : krbtgt

      • Nombrededominio: Nombre del dominio que emite el TGT.

      • TargetDomainName: Dominio al que se emite el TGT.

      • AltTargetDomainName: Dominio al que se emite el TGT.

      • Marcas de vales: Tipo y acciones de dirección y destino.

      • Clave de sesión: Longitud de clave y algoritmo de cifrado.

      • Starttime: Hora del equipo local a la que se solicitó el vale.

      • Endtime: Hora en que el vale deja de ser válido. Cuando un vale ha pasado este tiempo, ya no se puede usar para autenticarse en un servicio.

      • RenewUntil: Fecha límite para la renovación de entradas.

      • TimeSkew: Diferencia horaria con el Centro de distribución de claves (KDC).

      • EncodedTicket: Vale codificado.

    • purge : permite eliminar un vale específico. Purgar vales destruye todos los vales que ha almacenado en caché, así que use este atributo con precaución. Esto podría impedir que pueda autenticarse en los recursos. Si esto sucede, tendrá que cerrar sesión e iniciar sesión de nuevo.

      • LogonID: Se identifica en hexadecimal.
    • sesiones : permite enumerar y mostrar la información de todas las sesiones de inicio de sesión en este equipo.

      • LogonID: Si se especifica, muestra la sesión de inicio de sesión solo por el valor especificado. Si no se especifica, muestra todas las sesiones de inicio de sesión en este equipo.
    • kcd_cache : permite mostrar la información de caché de delegación restringida de Kerberos.

      • LogonID: Si se especifica, muestra la información de caché de la sesión de inicio de sesión por el valor especificado. Si no se especifica, muestra la información de caché de la sesión de inicio de sesión del usuario actual.
    • get : permite solicitar un vale al destino especificado por el SPN.

      • LogonID: Si se especifica, solicita un vale mediante la sesión de inicio de sesión por el valor especificado. Si no se especifica, solicita un vale mediante la sesión de inicio de sesión del usuario actual.

      • kdcoptions: Solicita un vale con las opciones de KDC dadas

    • add_bind : permite especificar un controlador de dominio preferido para la autenticación Kerberos.

    • query_bind : permite mostrar controladores de dominio preferidos en caché para los dominios.

    • purge_bind : permite quitar controladores de dominio preferidos y almacenados en caché para los dominios.

    • kdcoptions : para obtener la lista actual de opciones y sus explicaciones, consulte RFC 4120.

Ejemplos

Para consultar la caché de vales de Kerberos para determinar si faltan vales, si el servidor o la cuenta de destino están en error o si no se admite el tipo de cifrado debido a un error de id. de evento 27, escriba:

klist
klist –li 0x3e7

Para obtener información sobre los detalles de cada vale de concesión de vales que se almacena en caché en el equipo para una sesión de inicio de sesión, escriba:

klist tgt

Para purgar la caché de vales de Kerberos, cierre la sesión y vuelva a iniciarla, escriba:

klist purge
klist purge –li 0x3e7

Para diagnosticar una sesión de inicio de sesión y buscar un logonID para un usuario o un servicio, escriba:

klist sessions

Para diagnosticar errores de delegación restringida de Kerberos y encontrar el último error que se encontró, escriba:

klist kcd_cache

Para diagnosticar si un usuario o un servicio puede obtener un vale a un servidor o solicitar un vale para un SPN específico, escriba:

klist get host/%computername%

Para diagnosticar problemas de replicación entre controladores de dominio, normalmente necesita que el equipo cliente tenga como destino un controlador de dominio específico. Para dirigir el equipo cliente al controlador de dominio específico, escriba:

klist add_bind CONTOSO KDC.CONTOSO.COM
klist add_bind CONTOSO.COM KDC.CONTOSO.COM

Para consultar qué controladores de dominio se han contactado recientemente con este equipo, escriba:

klist query_bind

Para volver a detectar controladores de dominio o para vaciar la memoria caché antes de crear nuevos enlaces de controlador de dominio con klist add_bind, escriba:

klist purge_bind

Referencias adicionales