Condividi tramite

Verifica applicazione - Codici di arresto - NTLM

  • Articolo

I codici di arresto seguenti sono contenuti in questo set di test.

AcquireCredentialsHandle acquisisce le credenziali NTLM in modo esplicito.

Probabile causa

AcquireCredentialsHandle viene chiamato direttamente o indirettamente dall'applicazione con pszPackage = 'NTLM'. "Negozia" deve essere usato per risolvere questo problema. Esempio di chiamata non valida: AcquireCredentialsHandle( ... 'NTLM', // pszPackage ... ); Esempio di buona chiamata: AcquireCredentialsHandle( ... 'Negozia', // pszPackage ... ); Per informazioni più dettagliate su questo codice di arresto, vedere informazioni più dettagliate.

Informazioni visualizzate dal verificatore dell'applicazione
  • Parametro 1  - Non usato.
  • Parametro 2  - Non usato.
  • Parametro 3  - Non usato.
  • Parametro 4  - Non usato.

Informazioni aggiuntive
  • Livello di test:  NTLMCaller
  • ID di arresto:  ACH_EXPLICIT_NTLM_PACKAGE
  • Arrestare il codice:  5000000
  • Gravità:  Errore
  • Errore una sola volta:  No
  • Report degli errori:  Pausa
  • Log to file:  Sì
  • Creare backtrace:  Sì

AcquireCredentialsHandle preferisce le credenziali NTLM. Per il valore di PackageList, vedere Param1.

Probabile causa

AcquireCredentialsHandle viene chiamato direttamente o indirettamente dall'applicazione con pszPackage = 'Negotiate'. Tuttavia, NTLM è preferito nelle credenziali fornite (pAuthData). Esempio di chiamata non valida: AcquireCredentialsHandle( ... 'Negozia', // pszPackage ... pAuthData, // pAuthData, ((SEC_WINNT_AUTH_IDENTITY_EX*)pAuthData)->PackageList è 'NTLM' o 'NTLM,KERBEROS' e così via ; ); Esempio di buona chiamata: AcquireCredentialsHandle( ... 'Negozia', // pszPackage ... pAuthData, // pAuthData, ((SEC_WINNT_AUTH_IDENTITY_EX*)pAuthData)->PackageList = NULL o NTLM è meno preferito. ... ); Per informazioni più dettagliate su questo codice di arresto, vedere informazioni più dettagliate.

Informazioni visualizzate dal verificatore dell'applicazione
  • Formato:  - Packagelist: %.*hs%.*ws
  • Parametro 1  - PackageList.
  • Parametro 2  - Non usato.
  • Parametro 3  - Non usato.
  • Parametro 4  - Non usato.

Informazioni aggiuntive
  • Livello di test:  NTLMCaller
  • ID di arresto:  ACH_IMPLICITLY_USE_NTLM
  • Arrestare il codice:  5000001
  • Gravità:  Errore
  • Errore una sola volta:  No
  • Report degli errori:  Pausa
  • Log to file:  Sì
  • Creare backtrace:  Sì

AcquireCredentialsHandle usa erroneamente '-NTLM' per escludere le credenziali NTLM. Per il valore di PackageList, vedere Param1.

Probabile causa

AcquireCredentialsHandle viene chiamato direttamente o indirettamente dall'applicazione con credenziali fornite (pAuthData), in cui '-NTLM' viene usato erroneamente per escludere le credenziali NTLM. '! NTLM deve essere usato per risolvere questo problema. Esempio di chiamata non valida: AcquireCredentialsHandle( ... 'Negozia', // pszPackage ... pAuthData, // pAuthData, ((SEC_WINNT_AUTH_IDENTITY_EX*)pAuthData)->PackageList usa '-NTLM'. ... ); Esempio di buona chiamata: AcquireCredentialsHandle( ... 'Negozia', // pszPackage ... pAuthData, // pAuthData, ((SEC_WINNT_AUTH_IDENTITY_EX*)pAuthData)->PackageList usa '! NTLM'. ... ); Per informazioni più dettagliate su questo codice di arresto, vedere informazioni più dettagliate.

Informazioni visualizzate dal verificatore dell'applicazione
  • Formato:  - PackageList: %.*hs%.*ws
  • Parametro 1  - PackageList.
  • Parametro 2  - Non usato.
  • Parametro 3  - Non usato.
  • Parametro 4  - Non usato.

Informazioni aggiuntive
  • Livello di test:  NTLMCaller
  • ID di arresto:  ACH_BAD_NTLM_EXCLUSION
  • Arrestare il codice:  5000002
  • Gravità:  Errore
  • Errore una sola volta:  No
  • Report degli errori:  Pausa
  • Log to file:  Sì
  • Creare backtrace:  Sì

InitializeSecurityContext usa la destinazione NULL o la destinazione non valida per il servizio Kerberos. Per il valore della destinazione, vedere pszTargetName.

Probabile causa

InitializeSecurityContext viene chiamato direttamente o indirettamente dall'applicazione con pszTargetName in formato NULL o non valido, con cui Kerberos non può essere negoziato. Le indicazioni per risolvere questo problema per l'uso di Kerberos vengono fornite come indicato di seguito: (1) Il servizio che l'applicazione client esegue l'autenticazione per avere il relativo SPN registrato in modo univoco nella foresta; (2) Il servizio deve essere eseguito con l'account identity,domain user o computer, con questo SPN registrato; (3) InitializedSecuirtyContext deve essere chiamato con questo SPN. Esempio di chiamata non valida: InitializeSecurityContext( ... NULL, // pszTargetName ... ); Un altro esempio di chiamata non valida: InitializeSecurityContext( ... '\\\localhost', // pszTargetName ... ); Esempio di buona chiamata: InitializeSecurityContext( ... 'myservice/mymachine.mydomain.com', // pszTargetName, myservice/mymachine.mydomain.com è un SPN registrato in modo univoco in base al quale viene eseguito il servizio. ... ); Per informazioni più dettagliate su questo codice di arresto, vedere informazioni più dettagliate.

Informazioni visualizzate dal verificatore dell'applicazione
  • Formato:  - pszTargetName: %hs%ws
  • Parametro 1  - Non usato.
  • Parametro 2  - Non usato.
  • Parametro 3  - Non usato.
  • Parametro 4  - Non usato.

Informazioni aggiuntive
  • Livello di test:  NTLMCaller
  • ID di arresto:  ISC_MALFORMED_TARGET
  • Arrestare il codice:  5000003
  • Gravità:  Errore
  • Errore una sola volta:  No
  • Report degli errori:  Pausa
  • Log to file:  Sì
  • Creare backtrace:  Sì

L'applicazione client esegue il downgrade per usare l'autenticazione NTLM come risultato della negoziazione. Per altre informazioni, vedere pAuthData. pAuthData mostra le credenziali e la destinazione usata per questa negoziazione.

Probabile causa

L'applicazione client esegue il downgrade per usare l'autenticazione NTLM come risultato della negoziazione. Esistono molti motivi per questo problema. Il materiale sussidiario per la risoluzione di questo problema è riportato di seguito: (1) Attivare il livello appverifier NTLMCaller se non è attivo. Questo livello intercetta i problemi noti che possono causare il downgrade; (2) Se pszTargetName è un nome SPN, assicurarsi che il nome SPN sia registrato in modo univoco nella foresta (il nome SPN non può essere mancante o duplicato); (3) Il nome SPN deve essere cercato dal sistema client che esegue l'applicazione client; (4) Il servizio deve essere eseguito in un'identità con le credenziali Kerberos disponibili; (5) Lo scenario deve essere esaminato dagli esperti di sicurezza di Windows. Per informazioni più dettagliate su questo codice di arresto, vedere la Guida.

Informazioni visualizzate da Application Verifier
  • Formato:  - pAuthData: %ws \n\tUser: %hs%ws \n\tDomain: %hs%ws \npszTargetName: %hs%ws
  • Parametro 1  - Non usato.
  • Parametro 2  - Non usato.
  • Parametro 3  - Non usato.
  • Parametro 4  - Non usato.

Informazioni aggiuntive
  • Livello di test:  NTLMDowngrade
  • ID arresto:  FALLBACK_TO_NTLM
  • Arrestare il codice:  5010000
  • Gravità:  Avviso
  • Errore monouso:  No
  • Segnalazione errori:  Nessuno
  • Log to file (Log to file):  Sì
  • Crea backtrace:  Sì

Vedere anche

Application Verifier - Codici e definizioni di arresto

Verifica dell'applicazione - Panoramica

Verifica dell'applicazione - Funzionalità

Verifica dell'applicazione - Test delle applicazioni

Verifica dell'applicazione - Test all'interno di Application Verifier

Verifica dell'applicazione - Debug dell'arresto del verifier dell'applicazione

Application Verifier - Domande frequenti