klist
Displays a list of currently cached Kerberos tickets.
You must be at least a Domain Admin, or equivalent, to run all the parameters of this command.
Syntax
Parameters
| Parameter | Description |
|---|---|
| -lh | Denotes the high part of the user’s locally unique identifier (LUID), expressed in hexadecimal. If neither –lh nor –li are present, the command defaults to the LUID of the user who is currently signed in. |
| -li | Denotes the low part of the user’s locally unique identifier (LUID), expressed in hexadecimal. If neither –lh nor –li are present, the command defaults to the LUID of the user who is currently signed in. |
| tickets | Lists the currently cached ticket-granting-tickets (TGTs), and service tickets of the specified logon session. This is the default option. |
| tgt | Displays the initial Kerberos TGT. |
| purge | Allows you to delete all the tickets of the specified logon session. |
| sessions | Displays a list of logon sessions on this computer. |
| kcd_cache | Displays the Kerberos constrained delegation cache information. |
| get | Allows you to request a ticket to the target computer specified by the service principal name (SPN). |
| add_bind | Allows you to specify a preferred domain controller for Kerberos authentication. |
| query_bind | Displays a list of cached preferred domain controllers for each domain that Kerberos has contacted. |
| purge_bind | Removes the cached preferred domain controllers for the domains specified. |
| kdcoptions | Displays the Key Distribution Center (KDC) options specified in RFC 4120. |
| /? | Displays Help for this command. |
Remarks
If no parameters are provided, klist retrieves all the tickets for the currently logged on user.
The parameters display the following information:
tickets — Lists the currently cached tickets of services that you have authenticated to since logon. Displays the following attributes of all cached tickets:
LogonID: The LUID.
Client: The concatenation of the client name and the domain name of the client.
Server: The concatenation of the service name and the domain name of the service.
KerbTicket Encryption Type: The encryption type that is used to encrypt the Kerberos ticket.
Ticket Flags: The Kerberos ticket flags.
Start Time: The time from which the ticket is valid.
End Time: The time the ticket becomes no longer valid. When a ticket is past this time, it can no longer be used to authenticate to a service or be used for renewal.
Renew Time: The time that a new initial authentication is required.
Session Key Type: The encryption algorithm that is used for the session key.
tgt — Lists the initial Kerberos TGT and the following attributes of the currently cached ticket:
LogonID: Identified in hexadecimal.
ServiceName: krbtgt
TargetName : krbtgt
DomainName: Name of the domain that issues the TGT.
TargetDomainName: Domain that the TGT is issued to.
AltTargetDomainName: Domain that the TGT is issued to.
Ticket Flags: Address and target actions and type.
Session Key: Key length and encryption algorithm.
StartTime: Local computer time that the ticket was requested.
EndTime: Time the ticket becomes no longer valid. When a ticket is past this time, it can no longer be used to authenticate to a service.
RenewUntil: Deadline for ticket renewal.
TimeSkew: Time difference with the Key Distribution Center (KDC).
EncodedTicket: Encoded ticket.
purge — Allows you to delete a specific ticket. Purging tickets destroys all tickets that you have cached, so use this attribute with caution. It might stop you from being able to authenticate to resources. If this happens, you’ll have to log off and log on again.
- LogonID: Identified in hexadecimal.
sessions — Allows you to list and display the information for all logon sessions on this computer.
- LogonID: If specified, displays the logon session only by the given value. If not specified, displays all the logon sessions on this computer.
kcd_cache — Allows you to display the Kerberos constrained delegation cache information.
- LogonID: If specified, displays the cache information for the logon session by the given value. If not specified, displays the cache information for the current user’s logon session.
get — Allows you to request a ticket to the target that is specified by the SPN.
LogonID: If specified, requests a ticket by using the logon session by the given value. If not specified, requests a ticket by using the current user’s logon session.
kdcoptions: Requests a ticket with the given KDC options
add_bind — Allows you to specify a preferred domain controller for Kerberos authentication.
query_bind — Allows you to display cached, preferred domain controllers for the domains.
purge_bind — Allows you to remove cached, preferred domain controllers for the domains.
kdcoptions — For the current list of options and their explanations, see RFC 4120.
Examples
To query the Kerberos ticket cache to determine if any tickets are missing, if the target server or account is in error, or if the encryption type is not supported due to an Event ID 27 error, type:
To learn about the specifics of each ticket-granting-ticket that is cached on the computer for a logon session, type:
To purge the Kerberos ticket cache, log off, and then log back on, type:
To diagnose a logon session and to locate a logonID for a user or a service, type:
To diagnose Kerberos constrained delegation failure, and to find the last error that was encountered, type:
To diagnose if a user or a service can get a ticket to a server, or to request a ticket for a specific SPN, type:
To diagnose replication issues across domain controllers, you typically need the client computer to target a specific domain controller. To target the client computer to the specific domain controller, type:
To query which domain controllers were recently contacted by this computer, type:
To rediscover domain controllers, or to flush the cache before creating new domain controller bindings with klist add_bind , type:
klist klist
Отображает список кэшированных в настоящее время билетов Kerberos. Displays a list of currently cached Kerberos tickets.
Для выполнения всех параметров этой команды необходимо быть по крайней мере администратором домена или эквивалентным ему. You must be at least a Domain Admin, or equivalent, to run all the parameters of this command.
Синтаксис Syntax
Параметры Parameters
| Параметр Parameter | Описание Description |
|---|---|
| — LH -lh | Обозначает старшую часть локального уникального идентификатора (LUID) пользователя, выраженную в шестнадцатеричном формате. Denotes the high part of the user’s locally unique identifier (LUID), expressed in hexadecimal. Если не указано ни параметр – LH , ни -Li , команда по умолчанию принимает значение LUID пользователя, выполнившего вход. If neither –lh nor –li are present, the command defaults to the LUID of the user who is currently signed in. |
| -Li -li | Обозначает младшую часть локального уникального идентификатора (LUID) пользователя, выраженную в шестнадцатеричном формате. Denotes the low part of the user’s locally unique identifier (LUID), expressed in hexadecimal. Если не указано ни параметр – LH , ни -Li , команда по умолчанию принимает значение LUID пользователя, выполнившего вход. If neither –lh nor –li are present, the command defaults to the LUID of the user who is currently signed in. |
| описания tickets | Список текущих кэшированных билетов (TGT) и билетов службы для указанного сеанса входа в систему. Lists the currently cached ticket-granting-tickets (TGTs), and service tickets of the specified logon session. Это параметр по умолчанию. This is the default option. |
| TGT tgt | Отображает первоначальный TGT Kerberos. Displays the initial Kerberos TGT. |
| Очистка purge | Позволяет удалить все билеты указанного сеанса входа в систему. Allows you to delete all the tickets of the specified logon session. |
| сеансы sessions | Отображает список сеансов входа на этот компьютер. Displays a list of logon sessions on this computer. |
| kcd_cache kcd_cache | Отображает сведения кэша ограниченного делегирования Kerberos. Displays the Kerberos constrained delegation cache information. |
| get get | Позволяет запросить билет на целевом компьютере, заданном именем участника-службы (SPN). Allows you to request a ticket to the target computer specified by the service principal name (SPN). |
| add_bind add_bind | Позволяет указать предпочтительный контроллер домена для проверки подлинности Kerberos. Allows you to specify a preferred domain controller for Kerberos authentication. |
| query_bind query_bind | Отображает список кэшированных предпочитаемых контроллеров домена для каждого домена, с которым связывался протокол Kerberos. Displays a list of cached preferred domain controllers for each domain that Kerberos has contacted. |
| purge_bind purge_bind | Удаление кэшированных предпочтительных контроллеров домена для указанных доменов. Removes the cached preferred domain controllers for the domains specified. |
| кдкоптионс kdcoptions | Отображает параметры центр распространения ключей (KDC), указанные в RFC 4120. Displays the Key Distribution Center (KDC) options specified in RFC 4120. |
| /? /? | Отображает справку для этой команды. Displays Help for this command. |
Комментарии Remarks
Если параметры не указаны, klist извлекает все билеты для текущего пользователя. If no parameters are provided, klist retrieves all the tickets for the currently logged on user.
В параметрах отображаются следующие сведения. The parameters display the following information:
билеты . перечисляет в настоящее время кэшированные билеты служб, с которыми вы прошли проверку подлинности, с момента входа. tickets — Lists the currently cached tickets of services that you have authenticated to since logon. Отображает следующие атрибуты всех кэшированных билетов: Displays the following attributes of all cached tickets:
Логонид: LUID. LogonID: The LUID.
Клиент: Объединение имени клиента и имени домена клиента. Client: The concatenation of the client name and the domain name of the client.
Сервер: Объединение имени службы и имени домена службы. Server: The concatenation of the service name and the domain name of the service.
Тип шифрования кербтиккет: Тип шифрования, используемый для шифрования билета Kerberos. KerbTicket Encryption Type: The encryption type that is used to encrypt the Kerberos ticket.
Флаги билета: Флаги билета Kerberos. Ticket Flags: The Kerberos ticket flags.
Время начала: Время, в течение которого билет действителен. Start Time: The time from which the ticket is valid.
Время окончания: Время, когда билет стал недействительным. End Time: The time the ticket becomes no longer valid. Если срок действия билета истек, он больше не может использоваться для проверки подлинности в службе или для продления. When a ticket is past this time, it can no longer be used to authenticate to a service or be used for renewal.
Время продления: Время, когда требуется новая Начальная проверка подлинности. Renew Time: The time that a new initial authentication is required.
Тип ключа сеанса: Алгоритм шифрования, используемый для ключа сеанса. Session Key Type: The encryption algorithm that is used for the session key.
TGT — список первоначального TGT-билета Kerberos и следующие атрибуты кэшированного билета: tgt — Lists the initial Kerberos TGT and the following attributes of the currently cached ticket:
Логонид: Указывается в шестнадцатеричном формате. LogonID: Identified in hexadecimal.
ServiceName: krbtgt ServiceName: krbtgt
TargetName : krbtgt TargetName : krbtgt
Имя_домена: Имя домена, который выдает TGT. DomainName: Name of the domain that issues the TGT.
Таржетдомаиннаме: Домен, которому выдан билет TGT. TargetDomainName: Domain that the TGT is issued to.
Алттаржетдомаиннаме: Домен, которому выдан билет TGT. AltTargetDomainName: Domain that the TGT is issued to.
Флаги билета: Адрес и целевое действие и тип. Ticket Flags: Address and target actions and type.
Ключ сеанса: Длина ключа и алгоритм шифрования. Session Key: Key length and encryption algorithm.
Время начала: Время на локальном компьютере, на которое был запрошен билет. StartTime: Local computer time that the ticket was requested.
EndTime: Время, когда билет стал недействительным. EndTime: Time the ticket becomes no longer valid. Когда билет пройдет на этот раз, он больше не может использоваться для проверки подлинности в службе. When a ticket is past this time, it can no longer be used to authenticate to a service.
Реневунтил: Крайний срок для продления билета. RenewUntil: Deadline for ticket renewal.
Тимескев: Разница во времени с центр распространения ключей (KDC). TimeSkew: Time difference with the Key Distribution Center (KDC).
Енкодедтиккет: Закодированный билет. EncodedTicket: Encoded ticket.
очистить — позволяет удалить конкретный билет. purge — Allows you to delete a specific ticket. Удаление билетов уничтожает все кэшированные билеты, поэтому используйте этот атрибут с осторожностью. Purging tickets destroys all tickets that you have cached, so use this attribute with caution. Это может привести к невозможности проверки подлинности в ресурсах. It might stop you from being able to authenticate to resources. В этом случае необходимо выйти из системы и снова войти в систему. If this happens, you’ll have to log off and log on again.
- Логонид: Указывается в шестнадцатеричном формате. LogonID: Identified in hexadecimal.
сеансы . позволяет вывести список и отобразить сведения обо всех сеансах входа на этом компьютере. sessions — Allows you to list and display the information for all logon sessions on this computer.
- Логонид: Отображает сеанс входа в систему только по заданному значению. LogonID: If specified, displays the logon session only by the given value. Если этот параметр не указан, отображаются все сеансы входа на этот компьютер. If not specified, displays all the logon sessions on this computer.
kcd_cache — позволяет отображать сведения кэша ограниченного делегирования Kerberos. kcd_cache — Allows you to display the Kerberos constrained delegation cache information.
- Логонид: Отображает сведения о кэше для сеанса входа с указанным значением. LogonID: If specified, displays the cache information for the logon session by the given value. Если не указано, отображает сведения о кэше для сеанса входа текущего пользователя. If not specified, displays the cache information for the current user’s logon session.
Get — позволяет запросить билет в целевом объекте, указанном в имени субъекта-службы. get — Allows you to request a ticket to the target that is specified by the SPN.
Логонид: Запрашивает билет с помощью сеанса входа с указанным значением. LogonID: If specified, requests a ticket by using the logon session by the given value. Если не указано, запрашивает билет с помощью сеанса входа текущего пользователя. If not specified, requests a ticket by using the current user’s logon session.
кдкоптионс: Запрашивает билет с заданными параметрами KDC kdcoptions: Requests a ticket with the given KDC options
add_bind — позволяет указать предпочтительный контроллер домена для проверки подлинности Kerberos. add_bind — Allows you to specify a preferred domain controller for Kerberos authentication.
query_bind — позволяет отображать кэшированные, предпочитаемые контроллеры домена для доменов. query_bind — Allows you to display cached, preferred domain controllers for the domains.
purge_bind — позволяет удалять кэшированные, предпочитаемые контроллеры домена для доменов. purge_bind — Allows you to remove cached, preferred domain controllers for the domains.
кдкоптионс — для текущего списка параметров и их объяснений см. RFC 4120. kdcoptions — For the current list of options and their explanations, see RFC 4120.
Примеры Examples
Чтобы запросить кэш билетов Kerberos для определения отсутствия билетов, если целевой сервер или учетная запись имеют ошибку или если тип шифрования не поддерживается из-за ошибки с ИДЕНТИФИКАТОРом события 27, введите: To query the Kerberos ticket cache to determine if any tickets are missing, if the target server or account is in error, or if the encryption type is not supported due to an Event ID 27 error, type:
Чтобы узнать о характере каждого билета предоставления билетов, который кэшируется на компьютере для сеанса входа в систему, введите: To learn about the specifics of each ticket-granting-ticket that is cached on the computer for a logon session, type:
Чтобы очистить кэш билетов Kerberos, выйдите из системы, а затем снова войдите в систему, введите: To purge the Kerberos ticket cache, log off, and then log back on, type:
Чтобы диагностировать сеанс входа в систему и найти Логонид для пользователя или службы, введите: To diagnose a logon session and to locate a logonID for a user or a service, type:
Чтобы диагностировать сбой ограниченного делегирования Kerberos и найти последнюю обнаруженную ошибку, введите: To diagnose Kerberos constrained delegation failure, and to find the last error that was encountered, type:
Чтобы определить, может ли пользователь или служба получить билет на сервере или запросить билет для определенного имени участника-службы, введите: To diagnose if a user or a service can get a ticket to a server, or to request a ticket for a specific SPN, type:
Для диагностики проблем репликации между контроллерами домена обычно требуется клиентский компьютер, предназначенный для определенного контроллера домена. To diagnose replication issues across domain controllers, you typically need the client computer to target a specific domain controller. Чтобы нацелить клиентский компьютер на конкретный контроллер домена, введите: To target the client computer to the specific domain controller, type:
Чтобы запросить, к каким контроллерам домена недавно обращались этот компьютер, введите: To query which domain controllers were recently contacted by this computer, type:
Чтобы повторно обнаружить контроллеры домена или очистить кэш перед созданием новых привязок к контроллеру домена с помощью klist add_bind , введите: To rediscover domain controllers, or to flush the cache before creating new domain controller bindings with klist add_bind , type:
