Partager via

Vérificateur d’application - Codes d’arrêt - NTLM

  • Article

Les codes d’arrêt suivants sont contenus dans cet ensemble de tests.

AcquireCredentialsHandle acquiert explicitement les informations d’identification NTLM.

Cause probable

AcquireCredentialsHandle est appelé directement ou indirectement par l’application avec pszPackage = 'NTLM'. « Negotiate » doit être utilisé pour résoudre ce problème. Exemple d’appel incorrect : AcquireCredentialsHandle( ... 'NTLM', // pszPackage ... ); Exemple d’appel correct : AcquireCredentialsHandle( ... 'Negotiate', // pszPackage ... ); Reportez-vous à l’aide pour obtenir des informations plus détaillées sur ce code d’arrêt.

Informations affichées par application Verifier
  • Paramètre 1  - Non utilisé.
  • Paramètre 2  - Non utilisé.
  • Paramètre 3  - Non utilisé.
  • Paramètre 4  - Non utilisé.

Informations supplémentaires
  • Couche de test :  NTLMCaller
  • ID d’arrêt :  ACH_EXPLICIT_NTLM_PACKAGE
  • Code d’arrêt :  5000000
  • Gravité:  Erreur
  • Erreur ponctuelle :  non
  • Rapport d’erreurs :  Pause
  • Journaliser dans le fichier :  Oui
  • Créer un retour arrière :  Oui

AcquireCredentialsHandle préfère les informations d’identification NTLM. Consultez Param1 pour connaître la valeur de PackageList.

Cause probable

AcquireCredentialsHandle est appelé directement ou indirectement par l’application avec pszPackage = 'Negotiate'. Toutefois, NTLM est préféré dans les informations d’identification fournies (pAuthData). Exemple d’appel incorrect : AcquireCredentialsHandle( ... 'Negotiate', // pszPackage ... pAuthData, // pAuthData, ((SEC_WINNT_AUTH_IDENTITY_EX*)pAuthData)->PackageList est 'NTLM' ou 'NTLM,KERBEROS', etc. ... ); Exemple d’appel correct : AcquireCredentialsHandle( ... 'Negotiate', // pszPackage ... pAuthData, // pAuthData, ((SEC_WINNT_AUTH_IDENTITY_EX*)pAuthData)->PackageList = NULL ou NTLM est moins recommandé. ... ); Reportez-vous à l’aide pour obtenir des informations plus détaillées sur ce code d’arrêt.

Informations affichées par application Verifier
  • Format:  - Packagelist : %.*hs%.*ws
  • Paramètre 1  - PackageList.
  • Paramètre 2  - Non utilisé.
  • Paramètre 3  - Non utilisé.
  • Paramètre 4  - Non utilisé.

Informations supplémentaires
  • Couche de test :  NTLMCaller
  • ID d’arrêt :  ACH_IMPLICITLY_USE_NTLM
  • Code d’arrêt :  5000001
  • Gravité:  Erreur
  • Erreur ponctuelle :  non
  • Rapport d’erreurs :  Pause
  • Journaliser dans le fichier :  Oui
  • Créer un retour arrière :  Oui

AcquireCredentialsHandle utilise par erreur « -NTLM » pour exclure les informations d’identification NTLM. Consultez Param1 pour connaître la valeur de PackageList.

Cause probable

AcquireCredentialsHandle est appelé directement ou indirectement par l’application avec les informations d’identification fournies (pAuthData), dans laquelle « -NTLM » est utilisé par erreur pour exclure les informations d’identification NTLM. '! NTLM' doit être utilisé pour résoudre ce problème. Exemple d’appel incorrect : AcquireCredentialsHandle( ... 'Negotiate', // pszPackage ... pAuthData, // pAuthData, ((SEC_WINNT_AUTH_IDENTITY_EX*)pAuthData)->PackageList utilise « -NTLM ». ... ); Exemple d’appel correct : AcquireCredentialsHandle( ... 'Negotiate', // pszPackage ... pAuthData, // pAuthData, ((SEC_WINNT_AUTH_IDENTITY_EX*)pAuthData)->PackageList utilise '! NTLM'. ... ); Reportez-vous à l’aide pour obtenir des informations plus détaillées sur ce code d’arrêt.

Informations affichées par application Verifier
  • Format:  - PackageList : %.*hs%.*ws
  • Paramètre 1  - PackageList.
  • Paramètre 2  - Non utilisé.
  • Paramètre 3  - Non utilisé.
  • Paramètre 4  - Non utilisé.

Informations supplémentaires
  • Couche de test :  NTLMCaller
  • ID d’arrêt :  ACH_BAD_NTLM_EXCLUSION
  • Code d’arrêt :  5000002
  • Gravité:  Erreur
  • Erreur ponctuelle :  non
  • Rapport d’erreurs :  Pause
  • Journaliser dans le fichier :  Oui
  • Créer un retour arrière :  Oui

InitializeSecurityContext utilise une cible NULL ou une cible incorrecte pour le service Kerberos. Consultez pszTargetName pour connaître la valeur de la cible.

Cause probable

InitializeSecurityContext est appelé directement ou indirectement par l’application avec pszTargetName null ou mal formé, avec lequel Kerberos ne peut pas être négocié. Les conseils pour résoudre ce problème pour utiliser Kerberos sont fournis ci-dessous : (1) Le service auprès lequel l’application cliente s’authentifie doit avoir son SPN inscrit de manière unique dans sa forêt ; (2) Le service doit s’exécuter sous l’identité, l’utilisateur de domaine ou le compte d’ordinateur, avec ce SPN inscrit ; (3) InitializedSecuirtyContext doit être appelé avec ce SPN. Exemple d’appel incorrect : InitializeSecurityContext( ... NULL, // pszTargetName ... ); Autre exemple d’appel incorrect : InitializeSecurityContext( ... '\\\\localhost', // pszTargetName ... ); Exemple d’appel correct : InitializeSecurityContext( ... « myservice/mymachine.mydomain.com », // pszTargetName, myservice/mymachine.mydomain.com est un SPN inscrit de manière unique sous lequel le service s’exécute. ... ); Reportez-vous à l’aide pour obtenir des informations plus détaillées sur ce code d’arrêt.

Informations affichées par application Verifier
  • Format:  - pszTargetName : %hs%ws
  • Paramètre 1  - Non utilisé.
  • Paramètre 2  - Non utilisé.
  • Paramètre 3  - Non utilisé.
  • Paramètre 4  - Non utilisé.

Informations supplémentaires
  • Couche de test :  NTLMCaller
  • ID d’arrêt :  ISC_MALFORMED_TARGET
  • Code d’arrêt :  5000003
  • Gravité:  Erreur
  • Erreur ponctuelle :  non
  • Rapport d’erreurs :  Pause
  • Journaliser dans le fichier :  Oui
  • Créer un retour arrière :  Oui

L’application cliente passe à une version antérieure pour utiliser l’authentification NTLM à la suite de la négociation. Pour plus d’informations, consultez pAuthData. pAuthData affiche les informations d’identification et la cible utilisées pour cette négociation.

Cause probable

L’application cliente passe à une version antérieure pour utiliser l’authentification NTLM à la suite de la négociation. Il peut y avoir de nombreuses raisons à ce problème. Les conseils de résolution de ce problème sont fournis ci-dessous : (1) Activer la couche appverifier NTLMCaller si elle n’était pas activée. Cette couche intercepte les problèmes couramment connus qui peuvent entraîner la rétrogradation ; (2) Si pszTargetName est un SPN, assurez-vous que ce SPN est inscrit de manière unique dans la forêt (le SPN ne peut pas être manquant ou dupliqué) ; (3) Le SPN doit être recherché par le système client exécutant l’application cliente ; (4) Le service doit s’exécuter sous une identité avec ses informations d’identification Kerberos disponibles ; (5) Le scénario doit être examiné par des experts en sécurité Windows. Reportez-vous à l’aide pour obtenir des informations plus détaillées sur ce code d’arrêt.

Informations affichées par application Verifier
  • Format:  - pAuthData: %ws \n\tUser: %hs%ws \n\tDomain: %hs%ws \npszTargetName: %hs%ws
  • Paramètre 1  - Non utilisé.
  • Paramètre 2  - Non utilisé.
  • Paramètre 3  - Non utilisé.
  • Paramètre 4  - Non utilisé.

Informations supplémentaires
  • Couche de test :  NTLMDowngrade
  • ID d’arrêt :  FALLBACK_TO_NTLM
  • Code d’arrêt :  5010000
  • Gravité:  Avertissement
  • Erreur ponctuelle :  non
  • Rapport d’erreurs :  Aucun
  • Journaliser dans le fichier :  Oui
  • Créer un retour arrière :  Oui

Voir aussi

Vérificateur d’application - Arrêter les codes et les définitions

Vérificateur d’application - Vue d’ensemble

Vérificateur d’application - Fonctionnalités

Vérificateur d’application - Test d’applications

Vérificateur d’application - Tests dans Application Verifier

Vérificateur d’application - Débogage des arrêts du vérificateur d’application

Vérificateur d’application - Forum aux questions