klist

  • 项目

显示当前缓存的 Kerberos 票证列表。

重要

必须至少是域管理员或同等角色才能运行此命令的所有参数

语法

klist [-lh <logonID.highpart>] [-li <logonID.lowpart>] tickets | tgt | purge | sessions | kcd_cache | get | add_bind | query_bind | purge_bind

参数

参数 说明
-lh 表示用户的本地唯一标识符(LUID)的高位部分,以十六进制表示。 如果未提供 –lh 和 –li 中的任何一个,该命令默认将使用当前已登录用户的 LUID
-li 表示用户的本地唯一标识符(LUID)的位部分,以十六进制表示。 如果未提供 –lh 和 –li 中的任何一个,该命令默认将使用当前已登录用户的 LUID
tickets 列出当前缓存的票证授予票证 (TGT),以及指定的登录会话的服务票证。 这是默认选项。
tgt 显示初始 Kerberos TGT。
purge 用于删除指定的登录会话的所有票证。
会话 显示此计算机上的登录会话列表。
kcd_cache 显示 Kerberos 约束委派缓存信息。
get 用于向服务主体名称 (SPN) 指定的目标计算机请求票证。
add_bind 用于为 Kerberos 身份验证指定首选的域控制器。
query_bind 显示 Kerberos 联系的每个域的缓存首选域控制器列表。
purge_bind 删除指定的域的缓存首选域控制器。
kdcoptions 显示 RFC 4120 中指定的密钥发行中心 (KDC) 选项。
/? 显示此命令的帮助。

注解

  • 如果未提供任何参数,klist 将检索当前已登录用户的所有票证

  • 参数显示以下信息:

    • tickets - 列出自登录以来你已对其进行身份验证的服务的当前缓存票证。 显示所有缓存票证的以下属性:

      • LogonID:LUID

      • 客户端:客户端名称和客户端域名的串联形式

      • 服务器: 服务名称和服务域名的串联形式

      • KerbTicket 加密类型:用于加密 Kerberos 票证的加密类型

      • 票证标志:Kerberos 票证标志

      • 开始时间:票证生效时间

      • 结束时间:票证失效时间。 如果票证超过此时间,则它不再可用于对服务进行身份验证,也不可用于续订。

      • 续订时间:需要进行新的初始身份验证的时间

      • 会话密钥类型:用于会话密钥的加密算法

    • tgt - 列出当前缓存票证的初始 Kerberos TGT 和以下属性

      • LogonID:以十六进制格式进行标识

      • ServiceName:krbtgt

      • TargetName :krbtgt<SPN>

      • DomainName:颁发 TGT 的域的名称

      • TargetDomainName:TGT 颁发到的域

      • AltTargetDomainName:TGT 颁发到的域

      • 票证标志:地址和目标操作与类型

      • 会话密钥:密钥长度和加密算法

      • StartTime:请求票证时的本地计算机时间

      • EndTime:票证失效时间。 如果票证超过此时间,则它不再可用于对服务进行身份验证。

      • RenewUntil:票证续订的截止日期

      • TimeSkew:与密钥发行中心 (KDC) 的时间差

      • EncodedTicket:已编码的票证

    • purge - 用于删除特定票证。 清除票证会销毁缓存的所有票证,因此请慎用此属性。 它可能会导致你无法对资源进行身份验证。 如果发生这种情况,必须注销并再次登录。

      • LogonID:以十六进制格式进行标识

    • sessions - 用于列出和显示此计算机上所有登录会话的信息

      • LogonID:如果指定,则只按给定的值显示登录会话。 如果未指定,则显示此计算机上的所有登录会话。

    • kcd_cache - 用于显示 Kerberos 约束委派缓存信息

      • LogonID:如果指定,则按给定的值显示登录会话的缓存信息。 如果未指定,则显示当前用户的登录会话的缓存信息。

    • get - 用于向 SPN 指定的目标请求票证

      • LogonID:如果指定,则按照给定的值使用登录会话请求票证。 如果未指定,则使用当前用户的登录会话请求票证。

      • kdcoptions:使用给定的 KDC 选项请求票证

    • add_bind - 用于为 Kerberos 身份验证指定首选的域控制器

    • query_bind - 用于显示域的缓存首选域控制器

    • purge_bind - 用于删除域的缓存首选域控制器

    • kdcoptions - 有关选项及其说明的当前列表,请参阅 RFC 4120

示例

若要查询 Kerberos 票证缓存以确定是否缺少任何票证、目标服务器或帐户是否有错误,或者加密类型是否因出现事件 ID 27 错误而不受支持,请键入:

klist

klist –li 0x3e7

若要了解计算机上为登录会话缓存的每个票证授予票证的具体信息,请键入:

klist tgt

若要清除 Kerberos 票证缓存,注销然后重新登录,请键入:

klist purge

klist purge –li 0x3e7

若要诊断登录会话和查找某个用户或服务的 logonID,请键入:

klist sessions

若要诊断 Kerberos 约束委派失败和查找遇到的最后一个错误,请键入:

klist kcd_cache

若要诊断用户或服务是否可以在服务器上获取票证,或请求特定 SPN 的票证,请键入:

klist get host/%computername%

若要诊断跨域控制器复制问题,通常需要使客户端计算机以特定的域控制器为目标。 若要使客户端计算机以特定的域控制器为目标,请键入:

klist add_bind CONTOSO KDC.CONTOSO.COM

klist add_bind CONTOSO.COM KDC.CONTOSO.COM

若要查询此计算机最近联系的域控制器,请键入:

klist query_bind

若要重新发现域控制器,或者在使用 klist add_bind 创建新的域控制器绑定之前刷新缓存,请键入:

klist purge_bind