那些遇到过的问题

错误:System.DirectoryServices.AccountManagement.UserPrincipal.FindByIdentity中出现"操作错误"

use*_*084 6 c# iis-7 asp.net-mvc-3

我有以下代码来检索我的MVC3 Web应用程序中给定用户名的AD组:

PrincipalContext userDomain = new PrincipalContext(ContextType.Domain, username.Split('\\')[0]);
UserPrincipal user = UserPrincipal.FindByIdentity(userDomain, username);
PrincipalSearchResult<Principal> memberOfGroups = user.GetGroups();
IEnumerator<Principal> memberOfGroupsEnumerator = memberOfGroups.GetEnumerator();
List<string> userADGroups = new List<string>();

try
{
    while (memberOfGroupsEnumerator.MoveNext())
    {
        userADGroups.Add(memberOfGroupsEnumerator.Current.ToString());
    }
}
catch
{
    // When trying to access AD groups of a different domain, issues can arise at the end of the enumerator. These may be ignored.

}
Run Code Online (Sandbox Code Playgroud)

这在本地工作正常,但当部署到网络上的另一台机器上时出错,出现以下错误:

发生了操作错误.

错误的堆栈跟踪:

System.DirectoryServices.DirectoryServicesCOMException(0x80072020):发生操作错误.
在System.DirectoryServices.DirectoryEntry.Bind(Boolean throwIfFail)
的System.DirectoryServices.DirectoryEntry.Bind()
处于System.DirectoryServices.DirectoryEntry.get_AdsObject()
处于System.DirectoryServices.PropertyValueCollection.PopulateList()
的System.DirectoryServices.PropertyValueCollection ..
System.DirectoryServices.AccountManagement
上System.DirectoryServices.AccountManagement.PrincipalContext.DoDomainInit()
的System.DirectoryServices.AccountManagement.PrincipalContext.DoLDAPDirectoryInitNoContainer()
中的System.DirectoryServices.PropertyCollection.get_Item (String propertyName)上的ctor(DirectoryEntry条目,String propertyName).PrincipalContext.Initialize()
在System.DirectoryServices.AccountManagement.PrincipalContext.get_QueryCtx()
在System.DirectoryServices.AccountManagement.Principal.FindByIdentityWithTypeHelper(PrincipalContext上下文中,类型principalType,Nullable`1 identityType,字符串identityValue,日期时间refDate)
在的System.DirectoryServices .AccountManagement.UserPri MvcSFIWebSite.Models.User..ctor(
String username)中的ncipal.FindByIdentity(PrincipalContext context,String identityValue )

错误消息是相当模糊的,我无法弄清楚发生了什么,因为它在本地工作正常.

用于部署的计算机上的IIS使用自定义帐户而不是AppPool标识.是否应授予此帐户访问AD组目录的任何权限?IIS中是否明确要求其他任何设置才能生效?

任何建议都会非常有帮助.提前致谢.

use*_*084 18

问题是因为在web.config中将identity_impersonate设置为true,因此传递的用户令牌是辅助令牌,因此无法访问Active Directory.

这个答案解决了我的问题.

  • 我将AppPool标识(高级设置)更改为"NetworkService",它解决了我的问题. (4认同)

归档时间:

查看次数:

26511 次

最近记录:

6 年,7 月 前
Active Directory COM异常 - 发生操作错误(0x80072020) 27
更多相关链接
相关归档
如何使用C#检查注册表值是否存在? 72
为什么NullReferenceException不包含有关null的信息? 70
如何在protobuf-csharp-port和protobuf-net之间进行选择 64
MVC HTML助手和Lambda表达式 26
ContentResult vs JsonResult with ajax 12
可爱的Ruby插件Admin Design for .NET 11
ASP.Net MVC 3将字符串属性绑定为string.Empty而不是null 11
.NET MVC 3中的jQuery不显眼验证 - 显示成功复选标记 8
让IIS7重写但仍传递querystring参数? 5
Razor - 在foreach循环中设置复选框的id 5
难疑归档
JavaScript中的变量范围是什么? 1952
原子和非原子属性之间有什么区别? 1828
Python中的静态方法? 1639
丢弃Git中的本地提交 1304
在文本框中的Enter键上使用JavaScript触发按钮单击 1250
从JS数组中删除重复值 1225
从Docker容器内部,如何连接到本机的本地主机? 1176
Python中的null对象? 1097
Python类继承对象 1095
错误消息"未找到与约束合同名称匹配的导出" 1057