System.DirectoryServices - сервер не работает

Я получаю сообщение об ошибке на веб-сайте, на котором я использую проверку подлинности Windows.

Странные вещи:

Выполняется только в том случае, если пользователь еще не сохранен в базе данных (новый неизвестный пользователь)
Появляется только в живой системе, все в порядке в локальной среде разработки.

Это то, что я получаю в журнале регистрации:

Источник: System.DirectoryServices

Сообщение: сервер не работает.

Трассировка:
в System.DirectoryServices.DirectoryEntry.Bind(Boolean throwIfFail)
в System.DirectoryServices.DirectoryEntry.Bind()
в System.DirectoryServices.DirectoryEntry.get_AdsObject()
в System.DirectoryServices.DirectorySearcher.FindAll(Boolean findMoreThanOne)
в System.DirectoryServices.DirectorySearcher.FindOne()
в Smarthouse.Labs.DataAccess.UserListManager.SaveUser(String windowsUserName)

Вот как я реализую DirectorySearch:

private void SaveUser(string windowsUserName)
{
    string[] domainAndUser = windowsUserName.Split('\\');
    string domain = domainAndUser[0];
    string username = domainAndUser[1];

    DirectoryEntry entry = new DirectoryEntry("LDAP://" + domain);
    DirectorySearcher search = new DirectorySearcher(entry);

    try
    {
        // Bind to the native AdsObject to force authentication.
        search.Filter = "(SAMAccountName=" + username + ")";
        search.PropertiesToLoad.Add("cn");
        search.PropertiesToLoad.Add("sn");
        search.PropertiesToLoad.Add("givenName");
        search.PropertiesToLoad.Add("mail");

        SearchResult result = search.FindOne();

        if (result == null)
        {
            throw new Exception("No results found in Windows authentication.");
        }

        User userToSave = new User();
        userToSave.FirstName = (String) result.Properties["givenName"][0];
        userToSave.LastName = (String) result.Properties["sn"][0];
        userToSave.Email = (String) result.Properties["mail"][0];
        userToSave.Username = windowsUserName;
        userToSave.Guid = Guid.NewGuid();

        SaveUser(userToSave);
    }
    catch (Exception ex)
    {
        throw new Exception("Error authenticating user. " + ex.Message, ex);
    }
    finally
    {
        //Dispose service and search to prevent leek in memory
        entry.Dispose();
        search.Dispose();
    }
}

Если требуется больше примеров кода, просто скажите мне.

Ответ 1

Ваша проблема в том, что вы используете "простое" имя домена для привязки - это не будет работать в LDAP. На самом деле, если вы пытаетесь привязать к LDAP://MyDomain, то, что вы действительно, пытается связать с сервером MyDomain.

Вам нужна действительная строка привязки LDAP - что-то вроде LDAP://dc=yourdomain,dc=local или что-то еще.

Чтобы узнать, каков ваш контекст привязки LDAP по умолчанию, используйте этот фрагмент кода:

DirectoryEntry deRoot = new DirectoryEntry("LDAP://RootDSE");

if (deRoot != null)
{
   string defaultNamingContext = deRoot.Properties["defaultNamingContext"].Value.ToString();
}

После того, как у вас есть эта строка, используйте ее как свою строку привязки на сервере LDAP.

И если вы используете .NET 3.5 и выше, вы должны проверить пространство имен System.DirectoryServices.AccountManagement (S.DS.AM). Подробнее читайте здесь:

В принципе, вы можете определить контекст домена и легко найти пользователей и/или группы в AD:

// set up domain context -- no domain name needed, uses default domain 
PrincipalContext ctx = new PrincipalContext(ContextType.Domain);

// find a user
UserPrincipal user = UserPrincipal.FindByIdentity(ctx, username);

if(user != null)
{
   // do something here....     
}

Новый S.DS.AM позволяет очень легко играть с пользователями и группами в AD!

Ответ 2

Чтобы добавить к marc_s ответ, мне нужно было искать несколько доменов. Поэтому для каждого домена я сделал следующее.

                DirectoryEntry deRoot = new DirectoryEntry("LDAP://" +"DomainName"+ "/RootDSE");
                string defaultNamingContext = "LDAP://" + deRoot.Properties["defaultNamingContext"].Value.ToString();
                DirectoryEntry mySearchRoot = new DirectoryEntry(defaultNamingContext);
                DirectorySearcher myDirectorySearcher = new DirectorySearcher(mySearchRoot);

Спасибо

Ответ 3

Вы можете использовать строки привязки в формате LDAP://mydomain.com: 389. Я продолжал получать "Access denied" при попытке использовать формат LDAP://DC = mydomain, DC = com. Как только я переключился на формат LDAP://mydomain.com: 389 и связался с использованием флага AuthenticationTypes.ServerBind при построении моей DirectoryEntry, он отлично поработал. Это было в Azure App Service.

Ответ 4

Подобная ошибка произошла со мной (хотя это происходило все время, а не в конкретных случаях, как указано здесь) из-за неправильной строки подключения Active Directory. Я использовал corp вместо prod. Используйте что-то, что работает для другого приложения в вашей организации, если оно существует.