我是Active Directory的新手,并且有一项任务是修复我们其中一台服务器上的应用无法访问另一台服务器上的活动目录的错误。我们用来绑定到活动目录的用户是"域管理员"我们在C#应用程序中使用此用户的凭据来访问具有System.DirectoryServices.AccountManagent类.net 3.5的活动目录。
服务器与活动目录服务器位于同一域中。
在努力使应用程序正常运行之后,网络管理员设置了对服务器计算机(安装了应用程序)的信任(作为最后的手段)并允许该应用程序正常工作。
网络管理员说:
"如果我在AD中打开计算机帐户并单击“委派”(然后选择“信任此计算机以委派任何服务(仅限Kerberos)”,它工作!!我无法理解为什么我需要为服务器启用授权,因为它已经在域上了 - 但它可以工作"
我的问题是为什么这有必要?
答案 0 :(得分:1)
这听起来像是一个编程错误,其中PrincipalContext没有生效。 None of these samples change the default service contex ...如果他查看事件日志,他可能会看到MachineName $(美元符号)登录。
尝试此操作 - 将服务帐户名称从LocalService设置为要与LDAP一起使用的帐户。它应该可以工作,即使没有域管理员权限。