Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die folgenden Stoppcodes sind in dieser Gruppe von Tests enthalten.
AcquireCredentialsHandle erwirbt NTLM-Anmeldeinformationen explizit.
wahrscheinliche UrsacheAcquireCredentialsHandle wird direkt oder indirekt von der Anwendung mit pszPackage = 'NTLM' aufgerufen. "Aushandeln" sollte verwendet werden, um dieses Problem zu beheben. Beispiel für fehlerhaften Anruf: AcquireCredentialsHandle( ... 'NTLM', // pszPackage ... ); Ein Beispiel für einen guten Anruf: AcquireCredentialsHandle( ... 'Negotiate', // pszPackage ... ); Ausführlichere Informationen zu diesem Stoppcode finden Sie in der Hilfe.
Informationen, die von Application Verifier angezeigt werden- Parameter 1 - nicht verwendet.
- Parameter 2 - Nicht verwendet.
- Parameter 3 - Nicht verwendet.
- Parameter 4 – nicht verwendet.
- Testschicht: NTLMCaller
- Stopp-ID: ACH_EXPLICIT_NTLM_PACKAGE
- Stoppcode: 5000000
- Schweregrad: Fehler
- Einmaliger Fehler: Nein
- Fehlerbericht: Break
- Protokolldatei: ja
- Backtrace erstellen: Ja
AcquireCredentialsHandle bevorzugt NTLM-Anmeldeinformationen. Den Wert von PackageList finden Sie unter Param1.
wahrscheinliche UrsacheAcquireCredentialsHandle wird direkt oder indirekt von der Anwendung mit pszPackage = 'Negotiate' aufgerufen. NTLM wird jedoch in bereitgestellten Anmeldeinformationen (pAuthData) bevorzugt. Beispiel für fehlerhaften Anruf: AcquireCredentialsHandle( ... 'Negotiate', // pszPackage ... pAuthData, // pAuthData, ((SEC_WINNT_AUTH_IDENTITY_EX*)pAuthData)->PackageList ist "NTLM" oder "NTLM,KERBEROS" usw. ); Ein Beispiel für einen guten Anruf: AcquireCredentialsHandle( ... 'Negotiate', // pszPackage ... pAuthData, // pAuthData, ((SEC_WINNT_AUTH_IDENTITY_EX*)pAuthData)->PackageList = NULL oder NTLM wird weniger bevorzugt. ... ); Ausführlichere Informationen zu diesem Stoppcode finden Sie in der Hilfe.
Informationen, die von Application Verifier angezeigt werden- Format: - Paketliste: %.*hs%.*ws
- Parameter 1 - PackageList.
- Parameter 2 - Nicht verwendet.
- Parameter 3 - Nicht verwendet.
- Parameter 4 – nicht verwendet.
- Testschicht: NTLMCaller
- -Stopp-ID: ACH_IMPLICITLY_USE_NTLM
- Stoppcode: 5000001
- Schweregrad: Fehler
- Einmaliger Fehler: Nein
- Fehlerbericht: Break
- Protokolldatei: ja
- Backtrace erstellen: Ja
AcquireCredentialsHandle verwendet versehentlich "-NTLM", um NTLM-Anmeldeinformationen auszuschließen. Den Wert von PackageList finden Sie unter Param1.
wahrscheinliche UrsacheAcquireCredentialsHandle wird direkt oder indirekt von der Anwendung mit bereitgestellten Anmeldeinformationen (pAuthData) aufgerufen, in der "-NTLM" versehentlich verwendet wird, um NTLM-Anmeldeinformationen auszuschließen. '! NTLM' sollte verwendet werden, um dieses Problem zu beheben. Beispiel für fehlerhaften Anruf: AcquireCredentialsHandle( ... 'Negotiate', // pszPackage ... pAuthData, // pAuthData, ((SEC_WINNT_AUTH_IDENTITY_EX*)pAuthData)->PackageList verwendet "-NTLM". ... ); Ein Beispiel für einen guten Anruf: AcquireCredentialsHandle( ... 'Negotiate', // pszPackage ... pAuthData, // pAuthData, ((SEC_WINNT_AUTH_IDENTITY_EX*)pAuthData)->PackageList verwendet '! NTLM'. ... ); Ausführlichere Informationen zu diesem Stoppcode finden Sie in der Hilfe.
Informationen, die von Application Verifier angezeigt werden- Format: - PackageList: %.*hs%.*ws
- Parameter 1 - PackageList.
- Parameter 2 - Nicht verwendet.
- Parameter 3 - Nicht verwendet.
- Parameter 4 – nicht verwendet.
- Testschicht: NTLMCaller
- Stopp-ID: ACH_BAD_NTLM_EXCLUSION
- Stoppcode: 5000002
- Schweregrad: Fehler
- Einmaliger Fehler: Nein
- Fehlerbericht: Break
- Protokolldatei: ja
- Backtrace erstellen: Ja
InitializeSecurityContext verwendet NULL-Ziel oder falsch formatiertes Ziel für den Kerberos-Dienst. Den Wert des Ziels finden Sie unter "pszTargetName".
wahrscheinliche UrsacheInitializeSecurityContext wird direkt oder indirekt von der Anwendung aufgerufen, wobei pszTargetName NULL oder falsch formatiert ist, mit der Kerberos möglicherweise nicht ausgehandelt werden kann. Die Anleitung zur Behebung dieses Problems zur Verwendung von Kerberos wird wie folgt bereitgestellt: (1) Der Dienst, für den die Clientanwendung authentifiziert wird, sollte sein SPN eindeutig in der Gesamtstruktur registriert haben. (2) Der Dienst muss unter dem Identitäts-, Domänenbenutzer- oder Computerkonto ausgeführt werden, wobei dieser SPN registriert ist; (3) InitializedSecuirtyContext sollte mit diesem SPN aufgerufen werden. Beispiel für einen fehlerhaften Aufruf: InitializeSecurityContext( ... NULL, // pszTargetName ... ); Ein weiteres Beispiel für einen schlechten Anruf: InitializeSecurityContext( ... '\\\\localhost', // pszTargetName ... ); Ein Beispiel für einen guten Aufruf: InitializeSecurityContext( ... "myservice/mymachine.mydomain.com", // pszTargetName, myservice/mymachine.mydomain.com ist ein eindeutig registrierter SPN, unter dem der Dienst ausgeführt wird. ... ); Ausführlichere Informationen zu diesem Stoppcode finden Sie in der Hilfe.
Informationen, die von Application Verifier angezeigt werden- Format: - pszTargetName: %hs%ws
- Parameter 1 - nicht verwendet.
- Parameter 2 - Nicht verwendet.
- Parameter 3 - Nicht verwendet.
- Parameter 4 – nicht verwendet.
- Testschicht: NTLMCaller
- -Stopp-ID: ISC_MALFORMED_TARGET
- Stoppcode: 5000003
- Schweregrad: Fehler
- Einmaliger Fehler: Nein
- Fehlerbericht: Break
- Protokolldatei: ja
- Backtrace erstellen: Ja
Die Clientanwendung führt ein Downgrade aus, um die NTLM-Authentifizierung als Ergebnis der Aushandlung zu verwenden. Weitere Informationen finden Sie unter pAuthData. pAuthData zeigt die Anmeldeinformationen und das für diese Aushandlung verwendete Ziel an.
wahrscheinliche UrsacheDie Clientanwendung führt ein Downgrade aus, um die NTLM-Authentifizierung als Ergebnis der Aushandlung zu verwenden. Es kann viele Gründe für dieses Problem geben. Die Anleitung zur Problembehandlung wird wie folgt bereitgestellt: (1) Aktivieren Sie die NTLMCaller-Appverifier-Ebene, wenn sie nicht aktiviert war. Diese Ebene erfasst häufig bekannte Probleme, die das Downgrade verursachen können. (2) Wenn pszTargetName ein SPN ist, stellen Sie sicher, dass dieser SPN eindeutig in der Gesamtstruktur registriert ist (der SPN kann nicht fehlen oder dupliziert werden); (3) Der SPN muss vom Clientsystem, auf dem die Clientanwendung ausgeführt wird, nachschlagen; (4) Der Dienst muss unter einer Identität mit den verfügbaren Kerberos-Anmeldeinformationen ausgeführt werden; (5) Das Szenario sollte von Windows-Sicherheitsexperten überprüft werden. Ausführlichere Informationen zu diesem Stoppcode finden Sie in der Hilfe.
Informationen, die von Application Verifier angezeigt werden- Format: - pAuthData: %ws \n\tUser: %hs%ws \n\tDomain: %hs%ws \npszTargetName: %hs%ws
- Parameter 1 - nicht verwendet.
- Parameter 2 - Nicht verwendet.
- Parameter 3 - Nicht verwendet.
- Parameter 4 – nicht verwendet.
- Testebene: NTLMDowngrade
- Stopp-ID: FALLBACK_TO_NTLM
- Stoppcode: 5010000
- Schweregrad: Warnung
- Einmaliger Fehler: Nein
- Fehlerbericht: Keine
- Protokolldatei: ja
- Backtrace erstellen: Ja
Siehe auch
Application Verifier - Stop Codes and Definitions
Application Verifier – Übersicht
Application Verifier – Features
Application Verifier – Testen von Anwendungen
Application Verifier – Tests innerhalb von Application Verifier
Application Verifier – Debuggen der Anwendungsüberprüfung beendet