【发布时间】:2013-12-07 21:49:57
【问题描述】:
我是 Active Directory 的新手,我接到了一项任务,即修复我们其中一台服务器上的应用程序无法访问另一台服务器上的 Active Directory 的错误。我们用来绑定到活动目录的用户是“域管理员”,我们在 C# 应用程序中使用此用户的凭据来访问具有 .net 3.5 的 System.DirectoryServices.AccountManagent 类的活动目录。
服务器与活动目录服务器在同一个域中。
在努力使应用程序运行后,网络管理员设置了对服务器计算机(安装应用程序的位置)的信任(作为最后手段),并允许应用程序运行。
网络管理员说:
“如果我在 AD 中打开计算机帐户并单击委派(然后选择“信任此计算机以委派给任何服务(仅限 Kerberos)”,它就可以工作!!我不明白为什么我应该需要为服务器启用委派,因为它已经在域中 - 但它可以工作“
我的问题是为什么这是必要的?
【问题讨论】:
-
有问题的机器在哪个域中?服务以什么用户帐户运行(在服务中)?该应用程序是否使用不同的 LDAP 凭据?如何为该 LDAP 连接设置网络凭据?
-
我会尽力回答这些问题(作为网络和 AD 的新手)1)两台机器都在域 XXX.local 中。 2)该服务作为“网络服务”帐户运行。 3) 该应用程序正在使用 PrincipalContext 类并传入“域管理员”帐户的凭据以绑定到活动目录。 4) 使用 PrincipalConext。
标签: c# networking active-directory