Question

简介

我正在维护一个查询Active Directory的旧版ASP.NET 3.5应用程序。该应用程序使用“集成Windows身份验证”，旨在使用自己的安全上下文而不是专用的用户名和密码连接到Active Directory。

以下是相关代码。

using (DirectoryEntry root = new DirectoryEntry())
using (DirectorySearcher searcher = new DirectorySearcher(root))
{
    searcher.Filter = string.Format("(&(samAccountName={0})(objectClass=user)(objectCategory=person))", userName.Trim());
    SearchResultCollection results = searcher.FindAll();
}

虽然它使用ASP.NET 3.5，但由于现有的基础结构限制，它需要从ASP.NET 4.0应用程序池中运行。

问题

对FindAll的调用在某些情况下会引发以下异常：

System.DirectoryServices.DirectoryServicesCOMException（0x80072020）：发生操作错误。

当我使用Visual Studio调试器检查异常对象时，ExtendedErrorMessage属性包含更详细的信息：

000004DC：LdapErr：DSID-0C0906E8，注释：为了执行此操作，必须在连接上完成成功绑定。，data 0，v1db1

以下屏幕截图显示了Visual Studio调试器中的内容：

Image showing a DirectoryServicesCOMException with its ExtendedErrorMessage property set to 000004DC: LdapErr: DSID-0C0906E8, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, v1db1

什么有效

我找到了一些可以解决这个问题的方法，但我都不接受它们：

禁用集成Windows身份验证，而不是使用基本身份验证。
在IIS中，使用网络服务帐户在ASP.NET 2.0下运行应用程序，并禁用ASP.NET模拟。
仅使用 localhost 作为主机名从Web服务器访问应用程序。
在web.config中使用带有硬编码帐户的ASP.NET模拟。

什么不起作用

我从互联网上找到了一些建议，但没有一个完全解决了这个问题：

使用HostingEnvironment.Impersonate()。
禁用假冒。

我想要什么

我希望无需在Active Directory中重新配置任何内容即可完成此项工作。它在某些IIS配置下工作正常，如上所示，所以我认为应该可以通过重新配置应用程序或IIS来使其工作（除了更改.NET框架版本）。

Answer 1

我认为问题有多种原因：

使用ASP.NET模拟。
在ASP.NET 4.0应用程序池下运行ASP.NET 3.5应用程序。

要解决第二个问题，请将应用程序升级到ASP.NET 4.0或将IIS配置为使用ASP.NET 2.0。

从ASP.NET应用程序使用Active Directory时，DirectoryServicesCOMException（0x80072020）

简介

问题

什么有效

什么不起作用

我想要什么

1 个答案: