次の方法で共有

アプリケーション検証ツール - 停止コード - NTLM

この一連のテストには、次の停止コードが含まれています。

AcquireCredentialsHandle は NTLM 資格情報を明示的に取得します。

考えられる原因

AcquireCredentialsHandle は、pszPackage = 'NTLM' を使用してアプリケーションによって直接または間接的に呼び出されます。 この問題を解決するには、"Negotiate" を使用する必要があります。 不適切な呼び出しの例: AcquireCredentialsHandle( ...'NTLM', // pszPackage ... );適切な呼び出しの例: AcquireCredentialsHandle( ...'Negotiate', // pszPackage ... );この停止コードの詳細については、ヘルプを参照してください。

アプリケーション検証ツール によって表示される 情報
  • パラメーター 1 - 使用されません。
  • パラメーター 2 - 使用されません。
  • パラメーター 3 - 使用されません。
  • パラメーター 4 - 使用されません。

追加情報
  • テスト レイヤー: NTLMCaller 
  • 停止 ID: ACH_EXPLICIT_NTLM_PACKAGE
  • 停止コード: 5000000
  • 重大度: エラー
  • 1 回限りエラー: いいえ
  • エラー レポート: 中断
  • ファイルへのログ: はい
  • バックトレースの作成 : はい

AcquireCredentialsHandle は NTLM 資格情報を優先します。 PackageList の値については、Param1 を参照してください。

考えられる原因

AcquireCredentialsHandle は、pszPackage = 'Negotiate' を使用してアプリケーションによって直接または間接的に呼び出されます。 ただし、指定された資格情報 (pAuthData) では NTLM が推奨されます。 不適切な呼び出しの例: AcquireCredentialsHandle( ...'Negotiate', // pszPackage ...pAuthData、// pAuthData、((SEC_WINNT_AUTH_IDENTITY_EX*)pAuthData)->PackageList が 'NTLM' または 'NTLM,KERBEROS' などです。適切な呼び出しの例: AcquireCredentialsHandle( ...'Negotiate', // pszPackage ...pAuthData、// pAuthData、((SEC_WINNT_AUTH_IDENTITY_EX*)pAuthData)->PackageList = NULL または NTLM は推奨されません。 ... );この停止コードの詳細については、ヘルプを参照してください。

アプリケーション検証ツール によって表示される 情報
  • 形式: - Packagelist: %.*hs%.*ws
  • パラメーター 1  - PackageList を します。
  • パラメーター 2 - 使用されません。
  • パラメーター 3 - 使用されません。
  • パラメーター 4 - 使用されません。

追加情報
  • テスト レイヤー: NTLMCaller 
  • 停止 ID: ACH_IMPLICITLY_USE_NTLM
  • Stop コード: 5000001
  • 重大度: エラー
  • 1 回限りエラー: いいえ
  • エラー レポート: 中断
  • ファイルへのログ: はい
  • バックトレースの作成 : はい

AcquireCredentialsHandle は、誤って '-NTLM' を使用して NTLM 資格情報を除外します。 PackageList の値については、Param1 を参照してください。

考えられる原因

AcquireCredentialsHandle は、指定された資格情報 (pAuthData) を使用してアプリケーションによって直接または間接的に呼び出されます。この場合、'-NTLM' は NTLM 資格情報を除外するために誤って使用されます。 '!NTLM' を使用してこの問題を解決する必要があります。 不適切な呼び出しの例: AcquireCredentialsHandle( ...'Negotiate', // pszPackage ...pAuthData、// pAuthData、((SEC_WINNT_AUTH_IDENTITY_EX*)pAuthData)- packageList が '-NTLM' を使用>。 ... );適切な呼び出しの例: AcquireCredentialsHandle( ...'Negotiate', // pszPackage ...pAuthData、// pAuthData、((SEC_WINNT_AUTH_IDENTITY_EX*)pAuthData)- PackageList>で '!NTLM'。 ... );この停止コードの詳細については、ヘルプを参照してください。

アプリケーション検証ツール によって表示される 情報
  • 形式: - PackageList: %.*hs%.*ws
  • パラメーター 1  - PackageList を します。
  • パラメーター 2 - 使用されません。
  • パラメーター 3 - 使用されません。
  • パラメーター 4 - 使用されません。

追加情報
  • テスト レイヤー: NTLMCaller 
  • 停止 ID: ACH_BAD_NTLM_EXCLUSION
  • Stop コード: 5000002
  • 重大度: エラー
  • 1 回限りエラー: いいえ
  • エラー レポート: 中断
  • ファイルへのログ: はい
  • バックトレースの作成 : はい

InitializeSecurityContext は、Kerberos サービスの NULL ターゲットまたは形式が正しくないターゲットを使用します。 ターゲットの値については、pszTargetName を参照してください。

考えられる原因

InitializeSecurityContext は、アプリケーションによって直接または間接的に呼び出され、pszTargetName が NULL または形式が正しくないため、Kerberos をネゴシエートすることはできません。 Kerberos を使用するためにこの問題を解決するためのガイダンスは次のとおりです。(1) クライアント アプリケーションが認証するサービスは、その SPN をフォレストに一意に登録する必要があります。(2) サービスは、この SPN が登録された ID、ドメイン ユーザー、またはコンピューター アカウントで実行する必要があります。(3) この SPN で InitializedSecuirtyContext を呼び出す必要があります。 不適切な呼び出しの例: InitializeSecurityContext( ...NULL、// pszTargetName ... );不適切な呼び出しの別の例: InitializeSecurityContext( ...'\\\\localhost', // pszTargetName ... );適切な呼び出しの例: InitializeSecurityContext( ...'myservice/mymachine.mydomain.com'、// pszTargetName、myservice/mymachine.mydomain.com は、サービスが実行される一意に登録された SPN です。... );この停止コードの詳細については、ヘルプを参照してください。

アプリケーション検証ツール によって表示される 情報
  • 形式: - pszTargetName: %hs%ws
  • パラメーター 1 - 使用されません。
  • パラメーター 2 - 使用されません。
  • パラメーター 3 - 使用されません。
  • パラメーター 4 - 使用されません。

追加情報
  • テスト レイヤー: NTLMCaller 
  • 停止 ID: ISC_MALFORMED_TARGET
  • 停止コード: 5000003
  • 重大度: エラー
  • 1 回限りエラー: いいえ
  • エラー レポート: 中断
  • ファイルへのログ: はい
  • バックトレースの作成 : はい

クライアント アプリケーションは、ネゴシエーションの結果として NTLM 認証を使用するようにダウングレードします。 詳細については、pAuthData を参照してください。 pAuthData には、このネゴシエーションに使用される資格情報とターゲットが表示されます。

考えられる原因

クライアント アプリケーションは、ネゴシエーションの結果として NTLM 認証を使用するようにダウングレードします。 この問題には多くの理由が考えられます。 この問題のトラブルシューティングのガイダンスは次のとおりです。(1) NTLMCaller appverifier レイヤーがオンでない場合はオンにします。 このレイヤーは、ダウングレードを引き起こす可能性のある一般的な問題をキャッチします。(2) pszTargetName が SPN の場合は、この SPN がフォレストに一意に登録されていることを確認します (SPN を見つからないか重複させることはできません)。(3) SPN は、クライアント アプリケーションを実行しているクライアント システムによって検索される必要があります。(4) サービスは、Kerberos 資格情報を使用できる ID で実行する必要があります。(5) このシナリオは、Windows セキュリティの専門家が確認する必要があります。 この停止コードの詳細については、ヘルプを参照してください。

アプリケーション検証ツール によって表示される 情報
  • 形式: - pAuthData: %ws \n\tUser: %hs%ws \n\tDomain: %hs%ws \npszTargetName: %hs%ws
  • パラメーター 1 - 使用されません。
  • パラメーター 2 - 使用されません。
  • パラメーター 3 - 使用されません。
  • パラメーター 4 - 使用されません。

追加情報
  • テスト レイヤー: NTLMDowngrade の 
  • 停止 ID: FALLBACK_TO_NTLM
  • 停止コード: 5010000
  • 重大度: 警告
  • 1 回限りエラー: いいえ
  • エラー レポート: なし
  • ファイルへのログ: はい
  • バックトレースの作成 : はい

こちらもご覧ください

アプリケーション検証ツール - 停止コードと定義

アプリケーション検証ツール - 概要

アプリケーション検証ツール - 機能

アプリケーション検証ツール - アプリケーション のテスト

アプリケーション検証ツール - アプリケーション検証ツール 内のテスト

アプリケーション検証ツール - アプリケーション検証ツールのデバッグが を停止する

アプリケーション検証ツール - よく寄せられる質問