ASP经典活动目录查询权限问题。 ASP错误80072020

时间:2014-06-16 20:44:00

标签: iis asp-classic active-directory kerberos

我在Windows 2003上使用IIS 6运行ASP经典Intranet站点。在你问为什么是一个站点之前,我继承了该站点,目前它无法更改。我正在尝试转换查找旧数据库的站点的一部分,该数据库需要离开以在AD中查找用户并根据他们是否是安全组的成员来授予权限。我使用VBscript在AD中搜索用户并获取其组成员资格。我遇到的问题似乎是IIS中的双跃点或权限问题阻止了我。这是我的代码:

Dim sLogonUser : sLogonUser = Request.ServerVariables("Logon_User")
Dim sDomain : sDomain = Mid(sLogonUser, 1, Instr(1, sLogonUser, "\") - 1)
Dim sLogonName : sLogonName = Mid(sLogonUser, Instr(1, sLogonUser, "\") + 1)

response.write sDomain
response.write sLogonName
' Create ADO connection to Active Directory
Dim oConnection
Set oConnection = CreateObject("ADODB.Connection")
With oConnection
    .Provider = "ADsDSOObject"
    .Mode = "1" 'Read
    .Properties("Encrypt Password") = True 
    .Open "Active Directory Provider"
End With

' Create command to search user in Active Directory
Dim oCommand
Set oCommand = CreateObject("ADODB.Command")
oCommand.ActiveConnection = oConnection

' Build the ADsPath element of the CommandText
Dim oRoot
Dim oDomain
Dim sADsPath
Dim sFilter
Dim sAttribsToReturn
Dim sDepth
Dim oRS
Dim i
Dim value
Dim c_EmployeeDirectoryConnectionString

Set oRoot = GetObject("LDAP://" & sDomain & "/rootdse")
Set oDomain = GetObject("LDAP://" & sDomain & "/" & oRoot.Get("defaultNamingContext"))
sADsPath = "<" & oDomain.ADsPath & ">"

' Build the filter element of the CommandText
sFilter = "(&(objectCategory=Person)(objectClass=user)(sAMAccountName=" & sLogonName & "))"

' Build the returned attributes element of the CommandText
sAttribsToReturn = "distinguishedName,memberOf"

' Build the depth element of the CommandText
sDepth = "subTree"

' Assemble the CommandText
ocommand.CommandText = sADsPath & ";" & sFilter & ";" & sAttribsToReturn & ";" & sDepth

' Execute the query
Set oRS = ocommand.Execute

' Only one user should meet the criteria
If (oRS.RecordCount = 1) Then
    ' Get that user's info
    For i = 0 To oRS.Fields.Count - 1

        ' memberOf
        If (oRS.Fields(i).Name = "memberOf") Then
            ' adVariant
            For Each value In oRS.Fields(i).Value
                if Instr(value, "testgroup") <> 0 then
                response.write "member of testgroup"
                End If

        End If

End If

当您运行代码时,您可以正确地获得用户,但是当它向上查找AD时,它会失败并显示错误:'80072020' <iis site path>/test.asp, line 44

我在网络服务器上本地运行或从我的机器远程运行时收到错误。 Web服务器配置了集成的Windows身份验证。匿名身份验证已关闭,并且站点设置为使用作为域服务帐户运行的应用程序池标识。我不太了解IIS知道问题是什么,但我认为我设置错了。如果我硬编码用户名并在匿名身份验证下运行,它将查找用户就好了。任何正确方向的帮助或推动都会很棒。

2 个答案:

答案 0 :(得分:0)


答案 1 :(得分:0)

原来是一个kerberos问题。 IIS站点未正确配置为使用kerberos。因此,当用户加载页面时,它将从Windows身份验证中获取其域登录名并尝试将其传递给AD,并且由于所有用户都具有域的读取权限,因此他们应该能够查找组成员身份。但由于它没有使用kerberos,因此无法将凭据发送给AD进行查询。


我使用这个帖子作为参考:similar issue

我用这个工具来帮助我解决kerberos问题:Kerberos Delegation utility for IIS