Freigeben über

Anwendungsüberprüfung – Stoppcodes – NTLM

  • Artikel

Die folgenden Stoppcodes sind in diesem Testsatz enthalten.

AcquireCredentialsHandle ruft NTLM-Anmeldeinformationen explizit ab.

Wahrscheinliche Ursache

AcquireCredentialsHandle wird direkt oder indirekt von der Anwendung mit pszPackage = "NTLM" aufgerufen. "Negotiate" sollte verwendet werden, um dieses Problem zu beheben. Beispiel für einen fehlerhaften Aufruf: AcquireCredentialsHandle( ... 'NTLM', // pszPackage ... ); Ein Beispiel für einen guten Aufruf: AcquireCredentialsHandle( ... 'Negotiate', // pszPackage ... ); Ausführlichere Informationen zu diesem Stoppcode finden Sie in der Hilfe.

Von Application Verifier angezeigte Informationen
  • Parameter 1  - Nicht verwendet.
  • Parameter 2  - Nicht verwendet.
  • Parameter 3  - Nicht verwendet.
  • Parameter 4  - Nicht verwendet.

Weitere Informationen
  • Testebene:  NTLMCaller
  • Stopp-ID:  ACH_EXPLICIT_NTLM_PACKAGE
  • Code beenden:  5000000
  • Schweregrad:  Fehler
  • Einmaliger Fehler:  Nein
  • Fehlerbericht:  Brechen
  • Protokollieren in Datei:  Ja
  • Backtrace erstellen:  Ja

AcquireCredentialsHandle bevorzugt NTLM-Anmeldeinformationen. Den Wert von PackageList finden Sie unter Param1.

Wahrscheinliche Ursache

AcquireCredentialsHandle wird direkt oder indirekt von der Anwendung mit pszPackage = 'Negotiate' aufgerufen. NTLM wird jedoch in den bereitgestellten Anmeldeinformationen (pAuthData) bevorzugt. Beispiel für einen fehlerhaften Aufruf: AcquireCredentialsHandle( ... 'Negotiate', // pszPackage ... pAuthData, // pAuthData, ((SEC_WINNT_AUTH_IDENTITY_EX*)pAuthData)->PackageList ist "NTLM" oder "NTLM, KERBEROS" usw. ... ); Ein Beispiel für einen guten Aufruf: AcquireCredentialsHandle( ... 'Negotiate', // pszPackage ... pAuthData, // pAuthData, ((SEC_WINNT_AUTH_IDENTITY_EX*)pAuthData)->PackageList = NULL oder NTLM wird weniger bevorzugt. ... ); Ausführlichere Informationen zu diesem Stoppcode finden Sie in der Hilfe.

Von Application Verifier angezeigte Informationen
  • Format:  - Packagelist: %.*hs%.*ws
  • Parameter 1  - PackageList.
  • Parameter 2  - Nicht verwendet.
  • Parameter 3  - Nicht verwendet.
  • Parameter 4  - Nicht verwendet.

Weitere Informationen
  • Testebene:  NTLMCaller
  • Stopp-ID:  ACH_IMPLICITLY_USE_NTLM
  • Code beenden:  5000001
  • Schweregrad:  Fehler
  • Einmaliger Fehler:  Nein
  • Fehlerbericht:  Brechen
  • Protokollieren in Datei:  Ja
  • Backtrace erstellen:  Ja

AcquireCredentialsHandle verwendet versehentlich "-NTLM", um NTLM-Anmeldeinformationen auszuschließen. Den Wert von PackageList finden Sie unter Param1.

Wahrscheinliche Ursache

AcquireCredentialsHandle wird direkt oder indirekt von der Anwendung mit den angegebenen Anmeldeinformationen (pAuthData) aufgerufen, wobei "-NTLM" versehentlich verwendet wird, um NTLM-Anmeldeinformationen auszuschließen. '! NtLM' sollte verwendet werden, um dieses Problem zu beheben. Beispiel für einen fehlerhaften Aufruf: AcquireCredentialsHandle( ... 'Negotiate', // pszPackage ... pAuthData, // pAuthData, ((SEC_WINNT_AUTH_IDENTITY_EX*)pAuthData)->PackageList verwendet "-NTLM". ... ); Ein Beispiel für einen guten Aufruf: AcquireCredentialsHandle( ... 'Negotiate', // pszPackage ... pAuthData, // pAuthData, ((SEC_WINNT_AUTH_IDENTITY_EX*)pAuthData)->PackageList verwendet '! NTLM'. ... ); Ausführlichere Informationen zu diesem Stoppcode finden Sie in der Hilfe.

Von Application Verifier angezeigte Informationen
  • Format:  - PackageList: %.*hs%.*ws
  • Parameter 1  - PackageList.
  • Parameter 2  - Nicht verwendet.
  • Parameter 3  - Nicht verwendet.
  • Parameter 4  - Nicht verwendet.

Weitere Informationen
  • Testebene:  NTLMCaller
  • Stopp-ID:  ACH_BAD_NTLM_EXCLUSION
  • Code beenden:  5000002
  • Schweregrad:  Fehler
  • Einmaliger Fehler:  Nein
  • Fehlerbericht:  Brechen
  • Protokollieren in Datei:  Ja
  • Backtrace erstellen:  Ja

InitializeSecurityContext verwendet null- oder falsch formatiertes Ziel für den Kerberos-Dienst. Den Wert des Ziels finden Sie unter pszTargetName.

Wahrscheinliche Ursache

InitializeSecurityContext wird direkt oder indirekt von der Anwendung aufgerufen, wobei pszTargetName NULL oder falsch formatiert ist, wodurch Kerberos nicht ausgehandelt werden kann. Der Leitfaden zum Beheben dieses Problems bei der Verwendung von Kerberos wird wie folgt bereitgestellt: (1) Der Dienst, bei dem sich die Clientanwendung authentifiziert, sollte seinen SPN eindeutig in seiner Gesamtstruktur registriert haben. (2) Der Dienst muss unter dem Identitäts-, Domänenbenutzer- oder Computerkonto ausgeführt werden, wobei dieser SPN registriert ist; (3) InitializedSecuirtyContext sollte mit diesem SPN aufgerufen werden. Beispiel für einen fehlerhaften Aufruf: InitializeSecurityContext( ... NULL, // pszTargetName ... ); Ein weiteres Beispiel für einen fehlerhaften Aufruf: InitializeSecurityContext( ... '\\\\localhost', // pszTargetName ... ); Beispiel für einen guten Aufruf: InitializeSecurityContext( ... 'myservice/mymachine.mydomain.com', // pszTargetName, myservice/mymachine.mydomain.com ist ein eindeutig registrierter SPN, unter dem der Dienst ausgeführt wird. ... ); Ausführlichere Informationen zu diesem Stoppcode finden Sie in der Hilfe.

Von Application Verifier angezeigte Informationen
  • Format:  - pszTargetName: %hs%ws
  • Parameter 1  - Nicht verwendet.
  • Parameter 2  - Nicht verwendet.
  • Parameter 3  - Nicht verwendet.
  • Parameter 4  - Nicht verwendet.

Weitere Informationen
  • Testebene:  NTLMCaller
  • Stopp-ID:  ISC_MALFORMED_TARGET
  • Code beenden:  5000003
  • Schweregrad:  Fehler
  • Einmaliger Fehler:  Nein
  • Fehlerbericht:  Brechen
  • Protokollieren in Datei:  Ja
  • Backtrace erstellen:  Ja

Die Clientanwendung wird herabgestuft, um die NTLM-Authentifizierung als Ergebnis der Aushandlung zu verwenden. Weitere Informationen finden Sie unter pAuthData. pAuthData zeigt die Anmeldeinformationen und das Ziel an, die für diese Aushandlung verwendet werden.

Wahrscheinliche Ursache

Die Clientanwendung wird herabgestuft, um die NTLM-Authentifizierung als Ergebnis der Aushandlung zu verwenden. Dieses Problem kann viele Gründe haben. Die Anleitung zur Problembehandlung finden Sie wie folgt: (1) Aktivieren Sie die NTLMCaller-Appverifierschicht, wenn sie nicht aktiviert war. Diese Ebene fängt allgemein bekannte Probleme auf, die das Downgrade verursachen können. (2) Wenn pszTargetName ein SPN ist, stellen Sie sicher, dass dieser SPN eindeutig in der Gesamtstruktur registriert ist (der SPN darf nicht fehlen oder dupliziert werden); (3) Der SPN muss von dem Clientsystem gesucht werden, auf dem die Clientanwendung ausgeführt wird. (4) Der Dienst muss unter einer Identität mit verfügbaren Kerberos-Anmeldeinformationen ausgeführt werden. (5) Das Szenario sollte von Windows-Sicherheitsexperten überprüft werden. Ausführlichere Informationen zu diesem Stoppcode finden Sie in der Hilfe.

Von Application Verifier angezeigte Informationen
  • Format:  - pAuthData: %ws \n\tUser: %hs%ws \n\tDomain: %hs%ws \npszTargetName: %hs%ws
  • Parameter 1  - Nicht verwendet.
  • Parameter 2  - Nicht verwendet.
  • Parameter 3  - Nicht verwendet.
  • Parameter 4  - Nicht verwendet.

Weitere Informationen
  • Testebene:  NTLMDowngrade
  • Stopp-ID:  FALLBACK_TO_NTLM
  • Code beenden:  5010000
  • Schweregrad:  Warnung
  • Einmaliger Fehler:  Nein
  • Fehlerbericht:  Nichts
  • Protokollieren in Datei:  Ja
  • Backtrace erstellen:  Ja

Weitere Informationen

Application Verifier – Stoppcodes und Definitionen

Application Verifier – Übersicht

Application Verifier – Features

Application Verifier – Testen von Anwendungen

Application Verifier – Tests in Application Verifier

Application Verifier – Debuggen der Anwendungsüberprüfung wird beendet

Application Verifier – Häufig gestellte Fragen