从ASP.NET应用程序使用Active Directory时,DirectoryServicesCOMException(0x80072020)

时间:2013-06-14 07:14:42

标签: asp.net active-directory windows-integrated-auth

简介

我正在维护一个查询Active Directory的旧版ASP.NET 3.5应用程序。该应用程序使用“集成Windows身份验证”,旨在使用自己的安全上下文而不是专用的用户名和密码连接到Active Directory。

以下是相关代码。

using (DirectoryEntry root = new DirectoryEntry())
using (DirectorySearcher searcher = new DirectorySearcher(root))
{
    searcher.Filter = string.Format("(&(samAccountName={0})(objectClass=user)(objectCategory=person))", userName.Trim());
    SearchResultCollection results = searcher.FindAll();
}

虽然它使用ASP.NET 3.5,但由于现有的基础结构限制,它需要从ASP.NET 4.0应用程序池中运行。

问题

FindAll的调用在某些情况下会引发以下异常:

  

System.DirectoryServices.DirectoryServicesCOMException(0x80072020):发生操作错误。

当我使用Visual Studio调试器检查异常对象时,ExtendedErrorMessage属性包含更详细的信息:

  

000004DC:LdapErr:DSID-0C0906E8,注释:为了执行此操作,必须在连接上完成成功绑定。,data 0,v1db1

以下屏幕截图显示了Visual Studio调试器中的内容:

Image showing a DirectoryServicesCOMException with its ExtendedErrorMessage property set to 000004DC: LdapErr: DSID-0C0906E8, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, v1db1

什么有效

我找到了一些可以解决这个问题的方法,但我都不接受它们:

  1. 禁用集成Windows身份验证,而不是使用基本身份验证
  2. 在IIS中,使用网络服务帐户在ASP.NET 2.0下运行应用程序,并禁用ASP.NET模拟
  3. 仅使用 localhost 作为主机名从Web服务器访问应用程序。
  4. 在web.config中使用带有硬编码帐户的ASP.NET模拟。
  5. 什么不起作用

    我从互联网上找到了一些建议,但没有一个完全解决了这个问题:

    1. 使用HostingEnvironment.Impersonate()
    2. 禁用假冒。
    3. 我想要什么

      我希望无需在Active Directory中重新配置任何内容即可完成此项工作。它在某些IIS配置下工作正常,如上所示,所以我认为应该可以通过重新配置应用程序或IIS来使其工作(除了更改.NET框架版本)。

1 个答案:

答案 0 :(得分:3)

我认为问题有多种原因:

  1. 使用ASP.NET模拟。
  2. 在ASP.NET 4.0应用程序池下运行ASP.NET 3.5应用程序。
  3. 要解决第二个问题,请将应用程序升级到ASP.NET 4.0或将IIS配置为使用ASP.NET 2.0。