klistklist

現在キャッシュされている Kerberos チケットの一覧を表示します。Displays a list of currently cached Kerberos tickets. この情報は、Windows Server 2012 に適用されます。This information applies to Windows Server 2012. このコマンドの使用方法の例については、次を参照してください。 します。For examples of how this command can be used, see Examples.

構文Syntax

klist [-lh <LogonId.HighPart>] [-li <LogonId.LowPart>] tickets | tgt | purge | sessions | kcd_cache | get | add_bind | query_bind | purge_bind

パラメーターParameters

パラメーターParameter 説明Description
-lh-lh 16 進数で表されるユーザーのローカル一意識別子 (LUID) の高い部分を表します。Denotes the high part of the user’s locally unique identifier (LUID), expressed in hexadecimal. Lh – も – li が存在する場合、コマンドの既定値は現在サインインしているユーザーの LUID にです。If neither –lh or –li are present, the command defaults to the LUID of the user who is currently signed in.
-li-li 16 進数で表されるユーザーのローカル一意識別子 (LUID) の下位部分を表します。Denotes the low part of the user’s locally unique identifier (LUID), expressed in hexadecimal. Lh – も – li が存在する場合、コマンドの既定値は現在サインインしているユーザーの LUID にです。If neither –lh or –li are present, the command defaults to the LUID of the user who is currently signed in.
チケットtickets 現在キャッシュされているチケット--チケット (Tgt)、および指定されたログオン セッションのサービス チケットを一覧表示します。Lists the currently cached ticket-granting-tickets (TGTs), and service tickets of the specified logon session. 既定のオプションです。This is the default option.
tgttgt 初期の Kerberos TGT を表示します。Displays the initial Kerberos TGT.
削除purge 指定されたログオン セッションのすべてのチケットを削除することができます。Allows you to delete all the tickets of the specified logon session.
セッションsessions このコンピューターにログオン セッションの一覧を表示します。Displays a list of logon sessions on this computer.
kcd_cachekcd_cache 表示、Kerberos の制約付き委任情報をキャッシュ。Displays the Kerberos constrained delegation cache information.
getget サービス プリンシパル名 (SPN) で指定された対象のコンピュータにチケットを要求することができます。Allows you to request a ticket to the target computer specified by the service principal name (SPN).
add_bindadd_bind Kerberos 認証の優先ドメイン コント ローラーを指定することができます。Allows you to specify a preferred domain controller for Kerberos authentication.
query_bindquery_bind Kerberos が接続している各ドメインのキャッシュされた優先ドメイン コント ローラーの一覧を表示します。Displays a list of cached preferred domain controllers for each domain that Kerberos has contacted.
purge_bindpurge_bind 削除指定されているドメインのドメイン コント ローラーを優先、キャッシュされたのです。Removes the cached preferred domain controllers for the domains specified.
kdcoptionskdcoptions RFC 4120 で指定されたキー配布センター (KDC) オプションが表示されます。Displays the Key Distribution Center (KDC) options specified in RFC 4120.
/?/? このコマンドのヘルプを表示します。Displays Help for this command.

注釈Remarks

メンバーシップDomain Admins、またはそれと同等がこのコマンドのすべてのパラメーターの実行に必要な最低限です。Membership in Domain Admins, or equivalent, is the minimum required to run all the parameters of this command.

パラメーターが指定されていない場合、Klist は、現在ログオンしているユーザーのすべてのチケットを取得します。If no parameters are provided, Klist will retrieve all the tickets for the currently logged on user.

パラメーターには、次の情報が表示されます。The parameters display the following information:

  • チケットtickets

    ログオンしてから認証を行うサービスの現在キャッシュされているチケットを一覧表示します。Lists the currently cached tickets of services that you have authenticated to since logon. すべてのキャッシュされたチケットの次の属性が表示されます。Displays the following attributes of all cached tickets:

    • LogonID:LUIDLogonID: The LUID
    • クライアント:クライアント名とクライアントのドメイン名の連結Client: The concatenation of the client name and the domain name of the client
    • サーバー: サービス名とサービスのドメイン名の連結Server: The concatenation of the service name and the domain name of the service
    • KerbTicket 暗号化の種類:Kerberos チケットの暗号化に使用される暗号化の種類KerbTicket Encryption Type: The encryption type that is used to encrypt the Kerberos ticket
    • チケット フラグ:Kerberos チケットのフラグTicket Flags: The Kerberos ticket flags
    • 開始時刻:時間の元のチケットが有効になりますStart Time: The time from which the ticket will be valid
    • 終了時刻:チケットが有効では不要になった時刻。End Time: The time the ticket becomes no longer valid. チケットは、この時間が、不要になったできますサービスを認証するまたは更新に使用するにはWhen a ticket is past this time, it can no longer be used to authenticate to a service or be used for renewal
    • 時間を更新するには。新しい初期認証が必要な時間Renew Time: The time that a new initial authentication is required
    • セッション キーの種類:セッション キーに使用される暗号化アルゴリズムSession Key Type: The encryption algorithm that is used for the session key
  • tgttgt

    初期の Kerberos TGT と現在キャッシュされているチケットの属性を次に示します。Lists the initial Kerberos TGT and the following attributes of the currently cached ticket:

    • LogonID:16 進数で識別されます。LogonID: Identified in hexadecimal
    • ServiceName: krbtgtServiceName: krbtgt
    • TargetName <SPN >: krbtgtTargetName <SPN>: krbtgt
    • ドメイン名:TGT を発行するドメインの名前DomainName: Name of the domain that issues the TGT
    • 証明:TGT がに対して発行されたドメインTargetDomainName: Domain that the TGT is issued to
    • AltTargetDomainName:TGT がに対して発行されたドメインAltTargetDomainName: Domain that the TGT is issued to
    • チケット フラグ:アドレスとターゲットのアクションと型Ticket Flags: Address and target actions and type
    • セッション キー:キー長や暗号化アルゴリズムSession Key: Key length and encryption algorithm
    • 開始時刻:チケットが要求されたローカル コンピューターの時刻StartTime: Local computer time that the ticket was requested
    • EndTime:チケットが有効では不要になった時刻。EndTime: Time the ticket becomes no longer valid. チケットは、この時間が、サービスに対する認証を不要になった使用できます。When a ticket is past this time, it can no longer be used to authenticate to a service.
    • RenewUntil:チケットの更新の期限RenewUntil: Deadline for ticket renewal
    • TimeSkew:キー配布センター (KDC) での時刻の差TimeSkew: Time difference with the Key Distribution Center (KDC)
    • EncodedTicket:エンコードされたチケットEncodedTicket: Encoded ticket
  • 消去purge

    特定のチケットを削除することができます。Allows you to delete a specific ticket. キャッシュしたすべてのチケットを破棄してチケットを消去、ので注意してこの属性を使用します。Purging tickets destroys all tickets that you have cached, so use this attribute with caution. リソースへの認証できない状態から停止こと可能性があります。It might stop you from being able to authenticate to resources. このような場合は、いったんログオフして再度ログインする必要があります。If this happens, you will have to log off and log on again.

    • LogonID:16 進数で識別されます。LogonID: Identified in hexadecimal
  • セッションsessions

    ボックスの一覧し、このコンピューターのすべてのログオン セッションの情報を表示することができます。Allows you to list and display the information for all logon sessions on this computer.

    • LogonID:指定した場合は、指定された値でのみログオン セッションが表示されます。LogonID: If specified, displays the logon session only by the given value. 指定しない場合は、このコンピューターにすべてのログオン セッションが表示されます。If not specified, displays all the logon sessions on this computer.
  • kcd_cachekcd_cache

    Kerberos の制約付き委任のキャッシュ情報を表示することができます。Allows you to display the Kerberos constrained delegation cache information.

    • LogonID:指定すると、指定した値によってログオン セッションのキャッシュ情報が表示されます。LogonID: If specified, displays the cache information for the logon session by the given value. 指定しない場合、現在のユーザーのログオン セッションのキャッシュ情報を表示します。If not specified, displays the cache information for the current user’s logon session.
  • getget

    SPN が指定されているターゲットへのチケットを要求することができます。Allows you to request a ticket to the target that is specified by the SPN.

    • LogonID:指定した場合は、ログオン セッションを使用して、指定した値によってしてチケットを要求します。LogonID: If specified, requests a ticket by using the logon session by the given value. 指定しない場合、現在のユーザーのログオン セッションを使用して、チケットを要求します。If not specified, requests a ticket by using the current user’s logon session.
    • kdcoptions:指定された KDC オプションでチケットを要求します。kdcoptions: Requests a ticket with the given KDC options
  • add_bindadd_bind

    Kerberos 認証の優先ドメイン コント ローラーを指定することができます。Allows you to specify a preferred domain controller for Kerberos authentication.

  • query_bindquery_bind

    ドメインのキャッシュされた、優先ドメイン コント ローラーを表示することができます。Allows you to display cached, preferred domain controllers for the domains.

  • purge_bindpurge_bind

    ドメインのキャッシュされた、優先ドメイン コント ローラーを削除することができます。Allows you to remove cached, preferred domain controllers for the domains.

  • kdcoptionskdcoptions

    現在のオプションとその説明の一覧では、次を参照してください。 RFC 4120します。For the current list of options and their explanations, see RFC 4120.

他の考慮事項Other considerations

  • Klist.exe には、Windows Server 2012 および Windows 8、および特殊なインストールは必要ありません。Klist.exe is available in Windows Server 2012 and Windows 8, and it requires no special installation.

Examples

  1. 処理中に、イベント ID 27 を診断するときにチケット保証サービス (TGS) の要求対象サーバーで、アカウントで Kerberos チケットを生成する適切なキーがありませんでした。When you are diagnosing an Event ID 27 while processing a ticket-granting service (TGS) request for the target server, the account did not have a suitable key to generate a Kerberos ticket. Klist は、任意のチケットは、対象サーバーまたはアカウントが、エラーの場合、不足している場合、または暗号化の種類がサポートされていない場合を判断するのに Kerberos チケットのキャッシュのクエリを使用できます。You can use Klist to query the Kerberos ticket cache to determine if any tickets are missing, if the target server or account is in error, or if the encryption type is not supported.
    klist 
    
    klist –li 0x3e7
    
  2. エラーを診断すると、各チケット--チケット保証チケットのログオン セッションで、コンピューターにキャッシュされているの詳細を知りたい、TGT の情報を表示するのに Klist を使用することができます。When you diagnose errors and you want to know the specifics of each ticket-granting-ticket that is cached on the computer for a logon session, you can use Klist to display the TGT information.
    klist tgt
    
  3. 接続を確立できないし、診断は長時間かかる場合がある場合、は、Kerberos チケットのキャッシュを消去に、ログオフおよびログオンし直す。If you are unable to establish a connection and diagnosis might take too long, you can purge the Kerberos ticket cache, log off, and then log back on.
    klist purge
    
    klist purge –li 0x3e7
    
  4. ユーザーまたはサービスのログオン セッションを診断する場合は、Klist 他のコマンドで使用される LogonID を検索する次のコマンドを使用できます。When you want to diagnose a logon session for a user or a service, you can use the following command to find the LogonID that is used in other Klist commands.
    klist sessions
    
  5. Kerberos の制約付き委任エラーを診断するときに発生した最後のエラーを検索するのに次のコマンドを使用できます。When you want to diagnose Kerberos constrained delegation failure, you can use the following command to find the last error that was encountered.
    klist kcd_cache
    
  6. 場合、ユーザーを診断するか、サービスがサーバーにチケットを取得できる、特定の SPN のチケットを要求するのにこのコマンドを使用できます。When you want to diagnose if a user or a service can get a ticket to a server, you can use this command to request a ticket for a specific SPN.
    klist get host/%computername%
    
  7. ドメイン コント ローラー間でレプリケーションの問題を診断する場合は、通常、クライアント コンピューターを対象に、特定のドメイン コント ローラー必要があります。When diagnosing replication issues across domain controllers, you typically need the client computer to target a specific domain controller. このような場合は、その特定のドメイン コント ローラーにクライアント コンピューターを対象とする、次のコマンドを使用することができます。In these cases, you can use the following command to target the client computer to that specific domain controller.
    klist add_bind CONTOSO KDC.CONTOSO.COM
    
    klist add_bind CONTOSO.COM KDC.CONTOSO.COM
    
  8. このコンピューターの最近の接続をどのようなドメイン コント ローラーを照会するには、次のコマンドを使用できます。To query what domain controllers this computer recently contacted, you can use the following command.
    klist query_bind
    
  9. Kerberos ドメイン コント ローラーの再検出する場合は、次のコマンドを使用することができます。When you want Kerberos to rediscover domain controllers, you can use the following command. このコマンドは、klist add_bind で新しいドメイン コント ローラーのバインドを作成する前に、キャッシュのフラッシュも使用できます。This command can also be used to flush the cache before creating new domain controller bindings with klist add_bind.
    klist purge_bind
    

その他の参照情報Additional references