UserPrincipals.GetAuthorizationGroups Beim Auflisten der Gruppen ist ein Fehler aufgetreten (1301). Nach dem Upgrade auf Server 2012 Domain Controller

Forschung:

Ähnliches Problem mit workaround, aber nicht die tatsächliche Lösung der bestehenden Probleme

Ähnliches Problem verweist Microsoft Endpunkt update als übeltäter

Die links oben, sind die meisten geeignet, um zu meinem problem, ich habe auch eingesehen jede ähnliche Frage aufgeführt, die durch Stack-Überlauf bei der Erstellung dieses post, und nur die oben genannten Fragen passen zu meinem Problem.

Hintergrund:

Ich habe mit UserPrincipal.GetAuthorizationGroups für Berechtigungen für bestimmte Seite Zugriff mit IIS 7.5 auf Server 2008 R2 in einer C#.NET 4.0 web forms-Seite für 2 und eine halbe Jahre. Auf 15 Mai 2013 haben wir entfernt eine primäre Domänencontroller unter Server 2008 (nicht r2) und ersetzt es mit einem Server 2012 Domain Controller. Am nächsten Tag begannen wir empfangen die Ausnahme unten aufgeführt.

Ich benutze Wichtigsten Kontext für die Formularauthentifizierung. Die Benutzername/Passwort-handshake erfolgreich ist, und das auth-cookie wird richtig gesetzt, aber die nachfolgenden Wichtigsten Kontext zu nennen, dass auch Anrufe UserPrincipal.GetAuthorizationGroups versagt zeitweise. Wir haben uns entschlossen ein paar BPA-Probleme, erschienen in Server 2012 Domain Controller, aber dieser hat noch das Problem zu beheben. Ich führte auch ein cron läuft auf zwei getrennten Servern. Die beiden Server nicht in die Gruppe SID Auflösung zu unterschiedlichen Zeiten, obwohl Sie die gleiche code-Basis. (Eine dev-Umgebung und Produktionsumgebung).

Das Problem löst sich vorübergehend auf web-server neu zu starten, und auch auf dem dev-server wird es lösen sich nach 12 Stunden nicht funktionieren. Die Produktions-server werden in der Regel nicht mehr ordnungsgemäß ausgeführt, bis ein Neustart ohne die Lösung selbst.

In diesem Punkt, den ich versuche zu verfeinern, die cron-targeting bestimmter Domänen-Controller im Netzwerk, als auch das neue DC-und der standard-LDAP-Abfrage, die derzeit nicht in der Ausbeute mehr gezielte Ausnahme mal. So weit wir gefunden haben, auf einem web-server, dass es kein Muster gibt an dem Tage, an dem es scheitert, aber es wird sich erholen und innerhalb von etwa 12 Stunden. Die neuesten Ergebnisse zeigen-Gruppe, SID-Auflösungsfehler zwischen 8AM-8PM, dann ist es wieder erholt, einige Tage später wird es scheitern, at 8pm wiederherzustellen und um 8 Uhr dann gut laufen für weitere 12 Stunden, und wieder scheitern. Wir hoffen, um zu sehen, wenn es nur eine bestimmte server-Kommunikation-Problem oder um zu sehen, ob es ist die gesamte Gruppe der Domänencontroller.

Ausnahme:

Exception information: 
Exception type: PrincipalOperationException 
Exception message: An error (1301) occurred while enumerating the groups.  
The group's SID could not be resolved.
at System.DirectoryServices.AccountManagement.SidList.TranslateSids(String target, IntPtr[] pSids)
at System.DirectoryServices.AccountManagement.SidList..ctor(SID_AND_ATTR[] sidAndAttr)
at System.DirectoryServices.AccountManagement.AuthZSet..ctor(Byte[] userSid, NetCred credentials, ContextOptions contextOptions, String flatUserAuthority, StoreCtx userStoreCtx, Object userCtxBase)
at System.DirectoryServices.AccountManagement.ADStoreCtx.GetGroupsMemberOfAZ(Principal p)
at System.DirectoryServices.AccountManagement.UserPrincipal.GetAuthorizationGroups()

Frage:

Angesichts der oben genannten Informationen, hat jemand eine Idee, warum die Stilllegung der Windows Server 2008 (nicht r2) und die Implementierung einer neuen Server 2012 DC verursachen würde UserPrincipal.GetAuthorizationGroups fail mit der 1301 SID Auflösung Fehler?
Ideen, die auf die Beseitigung der möglichen Ursachen würde auch geschätzt werden.

Haftungsausschluss:

Dies ist mein Erster Beitrag Stack Overflow, habe ich oft die Forschung hier aber noch nicht beigetreten sind, in den Diskussionen bis jetzt. Verzeihen Sie mir, wenn ich anderswo gepostet und fühlen sich frei, darauf hinweisen, bessere Schritte vor der Veröffentlichung.

UPDATE 13-JUN-2013:

Am 12 Juni habe ich angesprochen, die Möglichkeit, Gegenstände, die nicht entsorgt das Problem verursacht.
Der Zeitrahmen ist zu kurz, um festzustellen, ob der eingestellte code hat das Problem behoben wurde, aber ich werde auch weiterhin zu aktualisieren, wie wir arbeiten, in Richtung einer Auflösung, so dass vielleicht mit etwas Glück, jemand hier kann selbst hand anlegen.

Original-Code

    public bool isGroupMember(string userName, ArrayList groupList)
    {
        bool valid = false;

            PrincipalContext ctx = new PrincipalContext(ContextType.Domain, domain_server + ".domain.org:636", null, ContextOptions.Negotiate | ContextOptions.SecureSocketLayer);

            //find the user in the identity store
            UserPrincipal user =
                UserPrincipal.FindByIdentity(
                    ctx,
                    userName);

            //get the groups for the user principal and
            //store the results in a PrincipalSearchResult object
            PrincipalSearchResult<Principal> groups =
                user.GetAuthorizationGroups();

            //display the names of the groups to which the
            //user belongs
            foreach (Principal group in groups)
            {
                foreach (string groupName in groupList)
                {
                    if (group.ToString() == groupName)
                    {
                        valid = true;
                    }
                }

            }
        return valid;
    }

Aktualisierten Code

        public bool isGroupMember(string userName, ArrayList groupList, string domain_server)
        {
        bool valid = false;

            try
            {

                using (PrincipalContext ctx = new PrincipalContext(ContextType.Domain, domain_server + ".domain.org:636", null, ContextOptions.Negotiate | ContextOptions.SecureSocketLayer))
                {

                    //find the user in the identity store
                    UserPrincipal user =
                        UserPrincipal.FindByIdentity(
                            ctx,
                            userName);

                    try
                    {
                        //get the groups for the user principal and
                        //store the results in a PrincipalSearchResult object
                        using (PrincipalSearchResult<Principal> groups = user.GetAuthorizationGroups())
                        {
                            //display the names of the groups to which the
                            //user belongs

                            foreach (Principal group in groups)
                            {
                                foreach (string groupName in groupList)
                                {

                                    if (group.ToString() == groupName)
                                    {
                                        valid = true;
                                    }
                                }

                                group.Dispose();

                            }
                        }//end using-2
                    }
                    catch
                    {
                        log_gen("arbitrary info");
                        return false;
                    }
                }//end using-1
            }
            catch
            {
                log_gen("arbitrary info");
                return false;
            }

        return valid;

    }
Kommentar zu dem Problem
Update: möglicherweise gibt Es ein Problem mit nicht entsorgen PrincipalSearchResult. Obwohl, ich bin mir nicht sicher, warum es würde genau jetzt ein Problem nach zwei Jahren. Ich bin derzeit eingeblendet, die die iEnumerable-Elemente in [mit] Anweisungen, während Sie versuchen, die Spur zu Themen, die über perfmon. Ressource auf Leck Kommentarautor: Pynt
Update: hatte Noch ein paar Stückchen code, wurden nicht ordnungsgemäß entsorgt. Heute aktualisiert und wird auch weiterhin zu überwachen das Problem. Die Gruppe SID enumeration Fehler aufgetreten ist, alle 12 Stunden über das Wochenende, und löste sich alle 12 Stunden. Wir haben noch mehr Variablen, die Frage, die ich fälschlicherweise geschrieben wie "Mai 14", aber tatsächlich begann am "16. Mai", eine Vielzahl von .NET updates installiert wurden auf der 15th via windows update. Kommentarautor: Pynt
Update: Dur-code re-factoring als ich mehr über die richtige Entsorgung. Ich bin noch neu in C# und vererbt dieses Projekt so ein gutes Stück zu aktualisieren. Das Problem ist immer noch vorhanden, und ich bin immer noch optimieren von code auf das beste zu hoffen. Irgendwann werde ich die Rolle zurück .NET-updates, die installiert wurden auf der 15th Mai und sehen, ob die Dinge auszubügeln, aber jetzt werde ich weiterhin richtig schlecht umgesetzt-code. Kommentarautor: Pynt
Update: Der dev-server wurde eine stabile für 8 Tage, im Gegensatz zu unten gehen alle paar Tage. Die Produktion der server ist noch funktionsfähig furchtbar. Der 12-Stunden-fail-Fenster immer noch hält stark. Ein reboot, gestern um 7:48 UHR, um die Funktionalität wiederherzustellen war, gefolgt von ungefähr 12 Stunden später, um 7:54 PM wodurch die Fehlermeldung wieder. knallt Schädel in Schreibtisch Kommentarautor: Pynt
Wir haben das gleiche Problem vor wenigen Wochen. Wie ich lese deine Geschichte und die verschiedenen Antworten, ich kann bestätigen, dass das problem wahrscheinlich die eine Spitze von @Gary Hill unter. Wir haben einen dev-server auf 2008 R2 und eine prod-server im Jahr 2012. Eines Tages werden wir implementiert einige Rechte, die nach AD-Gruppen. Es funktionierte gut auf 2012, aber unser dev-server zum scheitern verurteilt war. Wir fanden heraus, dass, wenn wir implementierten ein neues sekundäres AD-server auf 2012, der dev-server verbunden war, während die anderen Server verbunden PV AD 2008 R2 waren in Ordnung. Und auch erklären, einige der Probleme, die wir erlebt zwischen 2 AD. Kommentarautor: Gregoire D.

InformationsquelleAutor der Frage Pynt | 2013-06-10

  1. 18

    Habe ich einfach das gleiche Problem und die info, die ich haben es geschafft, die Spur kann hilfreich sein; wie oben haben wir gesehen, dass dieses problem, wenn der Domänencontroller ausgeführt wird Server 2012 - zunächst mit einem Kunden-Bereitstellung und dann repliziert auf unser eigenes Netzwerk.

    Nach einigen Experimenten haben wir festgestellt, dass unser code würde gut laufen auf Server 2012, traf aber das 1301 Fehler-code, wenn das client-system läuft Server 2008. Die wichtigsten Informationen über das, was geschehen war, war das hier gefunden:

    MS-blog übersetzt von Deutsch

    Den hotfix gemäß den unten stehenden link hat das problem gelöst hat, auf unserem test-system

    SID S-1-18-1 und SID S-1-18-2 kann nicht zugeordnet werden

    Hoffe, das ist hilfreich für jemanden! Wie viele bemerkt haben diese Methode aufrufen, erscheint eher fragil und werden wir wahrscheinlich Blick auf die Umsetzung einige alternativen Ansatz, bevor wir uns auf andere Themen.

    Gary

    InformationsquelleAutor der Antwort Gary Hill

  2. 4

    Erlebten wir dieses Problem auf, wenn unser Infrastruktur-team brachte 2012 Domain Controller online. Wir hatten auch pre-2012-DCs vorhanden und so erlebten wir das Problem zeitweise. Wir kamen mit einem Update, das wollte ich teilen - es hat 2 Teile.

    Erstens, installieren Sie die hotfix erwähnt von Gary Hill. Dies beheben Sie das folgende Problem:

    Einen Fehler (1301) aufgetreten, während die Aufzählung der Gruppen. Die Gruppe, die SID konnte nicht aufgelöst werden.

    Dachten wir, wir waren zu Hause, frei nach der Installation dieses hotfix. Jedoch, nachdem es installiert wurde, bekamen wir ein anderes intermittierende Fehler. Bestimmte Gruppen, dass wir die Befragung hatte eine null - sAMAccountName Eigenschaft. Die eigentliche Eigenschaft war besiedelten im Active Directory, aber es war falsch zurückgegeben wird, wobei ein null-Wert von der API. Ich nehme an, dies ist ein Fehler irgendwo in den Active Directory-API, aber ich weiß nicht mehr als das.

    Glücklicherweise konnten wir das Problem umgehen, durch den Wechsel zu verwenden, die Gruppe Name - Eigenschaft anstelle der sAMAccountName Eigenschaft. Dieser arbeitete für uns. Ich glaube, dass sAMAccountName ist effektiv veraltet und existiert nur zur Abwärtskompatibilität Gründen. Dieses sein der Fall, es schien eine vernünftige änderung zu stellen.

    Ich lege eine abgespeckte version unserer GetRolesForUser - code zu demonstrieren, die ändern an Ort und Stelle.

    using (var context = new PrincipalContext(ContextType.Domain, _domainName))
{
    try
    {
        var p = UserPrincipal.FindByIdentity(context, IdentityType.SamAccountName, username);
        if (p == null) throw new NullReferenceException(string.Format("UserPrincipal.FindByIdentity returned null for user: {0}, this can indicate a problem with one or more of the AD controllers", username));

        var groups = p.GetAuthorizationGroups();
        var domain = username.Substring(0, username.IndexOf(@"\", StringComparison.InvariantCultureIgnoreCase)).ToLower();

        foreach (GroupPrincipal group in groups)
        {
            if (!string.IsNullOrEmpty(group.Name))
            {
                var domainGroup = domain + @"\" + group.Name.ToLower();

                if (_groupsToUse.Any(x => x.Equals(domainGroup, StringComparison.InvariantCultureIgnoreCase)))
                {
                    //Go through each application role defined and check if the AD domain group is part of it
                    foreach (string role in roleKeys)
                    {
                        string[] roleMembers = new [] { "role1", "role2" };

                        foreach (string member in roleMembers)
                        {
                            //Check if the domain group is part of the role
                            if (member.ToLower().Contains(domainGroup))
                            {
                                //Cache the Application Role (NOT the AD role)
                                results.Add(role);
                            }
                        }
                    }
                }
            }

            group.Dispose();
        }
    }
    catch (Exception ex)
    {
        throw new ProviderException("Unable to query Active Directory.", ex);
    }
}

    Hoffe, das hilft.

    InformationsquelleAutor der Antwort

  3. 4

    Hier ist meine Lösung. Es scheint zu funktionieren durchweg gut. Weil das problem tritt bei der Iteration über die Kollektion, die ich verwenden einen anderen Ansatz bei der Iteration um die Ausnahme behandeln, ohne zu blockieren die eigentliche Iteration:

    private string[] GetUserRoles(string Username)
{    
    List<string> roles = new List<string>();
    try
    {
        string domain = Username.Contains("\\") ? Username.Substring(0, Username.IndexOf("\\")) : string.Empty;
        string username = Username.Contains("\\") ? Username.Substring(Username.LastIndexOf("\\") + 1) : Username;
        if (!string.IsNullOrEmpty(domain) && !string.IsNullOrEmpty(username))
        {
            PrincipalContext principalContext = new PrincipalContext(ContextType.Domain, domain);
            UserPrincipal user = UserPrincipal.FindByIdentity(principalContext, username);
            if (user != null)
            {
                PrincipalSearchResult<Principal> groups = user.GetAuthorizationGroups();
                int count = groups.Count();
                for (int i = 0; i < count; i++)
                {
                    IEnumerable<Principal> principalCollection = groups.Skip(i).Take(1);
                    Principal principal = null;
                    try
                    {
                        principal = principalCollection.FirstOrDefault();
                    }
                    catch (Exception e)
                    {
                        //Error handling...
                        //Known exception - sometimes AD can't query a particular group, requires server hotfix?
                        //http://support.microsoft.com/kb/2830145
                    }

                    if (principal!=null && principal is GroupPrincipal)
                    {
                        GroupPrincipal groupPrincipal = (GroupPrincipal)principal;
                        if (groupPrincipal != null && !string.IsNullOrEmpty(groupPrincipal.Name))
                        {
                            roles.Add(groupPrincipal.Name.Trim());
                        }
                    }
                }
            }
        }
    }
    catch (Exception e)
    {
        //Error handling...
    }
    return roles.ToArray();
}

    InformationsquelleAutor der Antwort AlishahNovin

  4. 2

    Habe ich erlebt, error code 1301 mit UserPrincipal.GetAuthorizationGroups während der Verwendung einer Marke neue virtuelle Entwicklung-Domäne, die enthalten sind 2 workstations und 50 Benutzer/Gruppen (viele von denen sind, die gebaut sind). Wir wurden mit Windows Server 2012 R2 Essentials mit zwei Windows 8.1 Enterprise-workstations der Domäne.

    War ich in der Lage, rekursiv erhalten Sie eine Liste der Gruppenmitgliedschaft eines Benutzers mit dem folgenden code:

    class ADGroupSearch
{
    List<String> groupNames;

    public ADGroupSearch()
    {
        this.groupNames = new List<String>();
    }

    public List<String> GetGroups()
    {
        return this.groupNames;
    }

    public void AddGroupName(String groupName)
    {
        this.groupNames.Add(groupName);
    }

    public List<String> GetListOfGroupsRecursively(String samAcctName)
    {
        PrincipalContext ctx = new PrincipalContext(ContextType.Domain, System.Environment.UserDomainName);
        Principal principal = Principal.FindByIdentity(ctx, IdentityType.SamAccountName, samAcctName);
        if (principal == null)
        {
            return GetGroups();
        }
        else
        {
            PrincipalSearchResult<Principal> searchResults = principal.GetGroups();

            if (searchResults != null)
            {
                foreach (GroupPrincipal sr in searchResults)
                {
                    if (!this.groupNames.Contains(sr.Name))
                    {
                        AddGroupName(sr.Name);
                    }
                    Principal p = Principal.FindByIdentity(ctx, IdentityType.SamAccountName, sr.SamAccountName);

                    try
                    {
                        GetMembersForGroup(p);
                    }
                    catch (Exception ex)
                    {
                        //ignore errors and continue
                    }
                }

            }
            return GetGroups();
        }

    }



    private void GetMembersForGroup(Principal group)
    {
        if (group != null && typeof(GroupPrincipal) == group.GetType())
        {
            GetListOfGroupsRecursively(group.SamAccountName);
        } 
    }

    private bool IsGroup(Principal principal)
    {
        return principal.StructuralObjectClass.ToLower().Equals("group");
    }
}

    InformationsquelleAutor der Antwort TS12

  5. 1

    Ich bin in einer Umgebung mit mehreren Domänen, forests und Vertrauensstellungen. Ich habe so ziemlich das exakt gleiche code läuft auf einer web-site form verwendet, um Benutzer-security-group-lookups, die in den verschiedenen Domänen.

    Bekomme ich die genaue Fehler in einem der sehr großen Bereiche, in denen die Mitgliedschaft in der Gruppe können gehören 50+ verschiedene Gruppen. Es funktioniert in anderen Domänen Wälder.

    In meiner Forschung fand ich einen thread, der sieht nicht in Zusammenhang stehen, tatsächlich aber hat die gleiche stack-trace. Es ist für eine remote-Anwendung läuft auf dem SBS. Der thread wird erwähnt, dass der Fehler verursacht wird, durch unauflöslicher SIDS in einer Gruppe. Ich glaube, diese würden das sein, was sind bekannt als "veraltet" SIDS im active directory. Siehe den thread hier.

    Den thread schlägt vor, dass die Suche nach veraltet enteries und entfernen Sie Sie aus den Gruppen, die das problem löst. Ist es möglich die Fehlermeldung, die Sie erhalten ist, da SIDS sind immer veraltet alle 12 Stunden durch einen separaten unabhängigen Prozess? Letztlich, ich glaube, das ist ein bug im framework, und die Methode sollte nicht Abstürzen, weil veraltet/Regional SIDS.

    Glück!

    InformationsquelleAutor der Antwort Bri

  6. 1

    Wenn jemand interessiert ist, dies ist ein VB.NET version des gleichen Codes.
    Einige Dinge, die Sie tun, bevor Sie diesen code arbeiten können

    1) Sie haben Verweis auf die assembly System.DirectoryServices


    2) Stellen Sie sicher, dass pass "theusername" variable ohne die domain, also wenn Ihre domain "GIS" und Ihr Benutzername ist "Hussein" Windows in der Regel authentifizieren, die Sie als GIS - \ - Hussein. So haben Sie zu senden, in nur rein der username "Hussein". Ich arbeitete zu dem Fall empfindliche Sachen.


    3) Die Methode GetGroupsNew nimmt einen Benutzernamen und gibt eine Liste der Gruppen


    4) Die Methode isMemberofnew nimmt Sie einen Benutzernamen und ein Gruppe und überprüft, ob dieser Benutzer ist Teil dieser Gruppe ist oder nicht, das ist die, die ich interessiert war. 

    Private Function getGroupsNew(theusername As String) As List(Of String)
    Dim lstGroups As New List(Of String)
    Try

        Dim allDomains = Forest.GetCurrentForest().Domains.Cast(Of Domain)()

        Dim allSearcher = allDomains.[Select](Function(domain)
                                                  Dim searcher As New DirectorySearcher(New DirectoryEntry("LDAP://" + domain.Name))

                                                  searcher.Filter = [String].Format("(&(&(objectCategory=person)(objectClass=user)(userPrincipalName=*{0}*)))", theusername)

                                                  Return searcher

                                              End Function)

        Dim directoryEntriesFound = allSearcher.SelectMany(Function(searcher) searcher.FindAll().Cast(Of SearchResult)().[Select](Function(result) result.GetDirectoryEntry()))

        Dim memberOf = directoryEntriesFound.[Select](Function(entry)
                                                          Using entry
                                                              Return New With { _
                                                               Key .Name = entry.Name, _
                                                               Key .GroupName = DirectCast(entry.Properties("MemberOf").Value, Object()).[Select](Function(obj) obj.ToString()) _
                                                              }
                                                          End Using

                                                      End Function)



        For Each user As Object In memberOf
            For Each groupName As Object In user.GroupName
                lstGroups.Add(groupName)
            Next
        Next

        Return lstGroups

    Catch ex As Exception
        Throw
    End Try
End Function

Private Function isMemberofGroupNew(theusername As String, thegroupname As String) As Boolean

    Try

        Dim lstGroups As List(Of String) = getGroupsNew(theusername)

        For Each sGroup In lstGroups
            If sGroup.ToLower.Contains(thegroupname.ToLower) Then Return True
        Next

        Return False


    Catch ex As Exception
        Throw
    End Try

End Function

    InformationsquelleAutor der Antwort Hussein Nasser

  7. 0

    wir hatten ein ähnliches Problem nach der Aktualisierung der Domänencontroller auf 2012. Plötzlich mein Aufruf an Benutzer.GetAuthorizationGroups() gestartet scheitern, ich war immer die gleiche Ausnahme, die Sie waren (Fehler 1301). So, ich habe es auf Benutzer.Methoden getgroups(). Das klappte für eine Weile, dann begann scheitern zeitweise auf "bad username or password". Meine neueste Abhilfe erscheint, um es zu beheben, für den moment zumindest. Anstelle von aufrufen, nach der Erstellung der Benutzer-Objekt, das ich auch konstruieren, eine Gruppe-Objekt, eine für jede Gruppe, die ich sehen wollen, wenn der Benutzer Mitglied ist. ie, "user.IsMemberOf(Gruppe)". Das scheint zu funktionieren.

    try
{
using (HostingEnvironment.Impersonate())
{
    using (var principalContext = new PrincipalContext(ContextType.Domain, "MYDOMAIN"))
    {
        using (var user = UserPrincipal.FindByIdentity(principalContext, userName))
        {
            if (user == null)
            {
                Log.Debug("UserPrincipal.FindByIdentity failed for userName = " + userName + ", thus not authorized!");
                isAuthorized = false;
            }

            if (isAuthorized)
            {
                firstName = user.GivenName;
                lastName = user.Surname;

                //so this code started failing:

                //var groups = user.GetGroups();
                //adGroups.AddRange(from @group in groups where 
                //@group.Name.ToUpper().Contains("MYSEARCHSTRING") select @group.Name);

                //so the following workaround, which calls, instead, 
                //"user.IsMemberOf(group)", 
                //appears to work (for now at least).  Will monitor for issues.

                //test membership in SuperUsers
                const string superUsersGroupName = "MyApp-SuperUsers";
                using (var superUsers = GroupPrincipal.FindByIdentity(principalContext, superUsersGroupName))
                {
                    if (superUsers != null && user.IsMemberOf(superUsers))
                        //add to the list of groups this user is a member of
                        //then do something with it later
                        adGroups.Add(superUsersGroupName);                                        
                }

    InformationsquelleAutor der Antwort David Barrows

  8. 0

    Hatte ich die gleiche exception. Wenn jemand nicht will, verwendet "LDAP", verwenden Sie diesen code. Ursache, die ich bin, hatte, verschachtelte Gruppen, die ich gewohnt bin GetMembers(true) und es ist etwas länger, in der Zeit, als GetMembers().

    https://stackoverflow.com/a/27548271/1857271

    oder download der fix von hier: http://support.microsoft.com/kb/2830145

    InformationsquelleAutor der Antwort Nazar Iaremii

  9. 0

    Vor dem gleichen problem auflisten Berechtigungsgruppen und die patches bereits in der Antwort nicht gelten zu unserem web-server.

    Manuell auflisten und ignorieren die Probleme verursachen Gruppen gut funktioniert, aber:

    private static bool UserIsMember(string usr, string grp)
{
    usr = usr.ToLower();
    grp = grp.ToLower();

    using (var pc = new PrincipalContext(ContextType.Domain, "DOMAIN_NAME"))
    {
        using (var user = UserPrincipal.FindByIdentity(pc, usr))
        {
            var isMember = false;
            var authGroups = user?.GetAuthorizationGroups().GetEnumerator();

            while (authGroups?.MoveNext() ?? false)
            {
                try
                {

                    isMember = authGroups.Current.Name.ToLower().Contains(grp);
                    if (isMember) break;
                }
                catch
                {
                    //ignored
                }
            }

            authGroups?.Dispose();
            return isMember;
        }
    }
}

    InformationsquelleAutor der Antwort davidmdem

Schreibe einen Kommentar