显示当前缓存的 Kerberos 票证的列表。 有关如何使用此命令的示例
语法
klist [-<LogonId.HighPart> lh] [-li <LogonId.LowPart>] 票证 |tgt |清除
参数
| 参数 | 说明 |
|---|---|
|
-lh |
表示以十六进制表示高一部分用户的登录标识符 (LUID)。 如果 –lh 或 –li 都不存在,则此命令将默认为定为当前登录的用户。 |
|
-li |
表示用户的登录标识符 (LUID) 以十六进制表示的低部分。 如果 –lh 或 –li 都不存在,则此命令将默认为定为当前登录的用户。 |
|
票证 |
列出当前缓存的票证授予票证,并在指定的登录会话服务票证。 这是默认选项。 |
|
tgt |
显示初始 Kerberos 票证授予票证 (TGT)。 |
|
清除 |
使您可以删除指定的登录会话的所有限制。 |
|
/? |
此命令将显示帮助。 |
备注
如果没有提供任何参数,Klist 将检索当前登录的用户票证。
这些参数将显示以下信息:
- 票证
列出当前缓存的服务,您已经以验证自登录票证。 显示所有缓存的票证的下列属性:
- 以上: 定。
- 客户端: 连接的客户端名称和域名的客户端。
- 服务器: 连接的服务名称和域名的服务。
- KerbTicket 加密类型: 用于加密的 Kerberos 票证加密类型。
- 票证标志: Kerberos 票证标志。
- 开始时间: 从该票证将是有效的时间。
- 结束时间: 票证变为不再有效。 票证是过去的这一次,当它不再可用来对服务进行身份验证,或用于续订。
- 更新时间: 时间超出需要初始身份验证的新的位置。
- 会话密钥类型: 使用会话密钥的加密算法。
- 以上: 定。
- tgt
初始 Kerberos TGT 和当前缓存的票证的下列属性:
- 以上: 标识以十六进制格式。
- 站点: krbtgt。
- TargetName <SPN>: krbtgt
- 域发出 tgt。 名称域名:
- TargetDomainName: TGT 颁发给域。
- AltTargetDomainName: TGT 颁发给域。
- 票证标记: 地址和目标的操作和类型。
- 会话密钥: 密钥长度和加密算法。
- 开始时间: 本地计算机票证所申请的时间。
- 票证不再成为有效的结束时间: 时间。 票证是过去的这一次,当它不再可用来对服务进行身份验证。
- 票证续订的 RenewUntil: 截止时间。
- TimeSkew: 时间差别与密钥插入中心 (KDC)。
- EncodedTicket: 已编码的票证。
- 以上: 标识以十六进制格式。
- 清除
使您可以删除特定的票证。 清除票证将销毁所有票证的已缓存,因此请谨慎使用此属性。 它可能会阻止您能够对资源进行身份验证。 如果发生这种情况,必须注销并再次登录。
- 以十六进制格式标识以上。
- 以十六进制格式标识以上。
其他考虑事项
- 可在 Windows Server 2008 R2 和 Windows 7 中,Klist.exe,它要求任何特殊的安装。
示例
当诊断事件 ID 27 (当处理 TGS 请求为目标服务器 (<server>) (<account>) 的帐户不具有合适的键生成 Kerberos 票证),您可以使用 Klist 查询 Kerberos 票证缓存,以确定是否丢失了任何票证,目标服务器或客户处于错误,或者不支持的加密类型。
klist
当您诊断错误,并且您想知道哪些具体信息的每个票证授予票证缓存在计算机上为登录会话时,您可以使用 Klist 显示 TGT 信息。
klist tgt
如果无法建立连接并诊断可能花很长时间,您可以清除 Kerberos 票证缓存、 注销,然后重新登录。
klist 清除