2

我在使用 WCF 服务相互通信的两个 Web 应用程序时遇到了一些问题。这是我的场景:

  • Web 应用程序“A”部署在公司 Intranet 的服务器和域“Intranet”的一部分
  • Web 应用程序“B”部署在 DMZ 的服务器中,暴露于 Internet 和域“extranet”的一部分
  • 两个域之间有防火墙,没有信任关系。
  • “A”调用“B”中的一些 WCF 服务,使用 wsHttpBinding
  • “B”中的 WCF 服务在 IIS 上的 SSL 下是传输安全的。
  • 我们正在使用用户名认证行为来认证“A”

这是服务器绑定配置:

"> 

<binding name="UsernameWithTransport">
  <security mode="TransportWithMessageCredential">
    <message clientCredentialType="UserName"
      negotiateServiceCredential="false" />
  </security>
</binding>   </wsHttpBinding>

“在我的测试环境中一切似乎都运行良好,它有两个与生产环境类似的域。然而在生产环境中,每次“A”调用“B”时我都会遇到一个丑陋的错误,即:

    System.ServiceModel.Security.MessageSecurityException: An unsecured or incorrectly secured fault was received from the other party. See the inner FaultException for the fault code and detail. ---> System.ServiceModel.FaultException: An error occurred when verifying security for the message.

Server stack trace: 
at System.ServiceModel.Channels.SecurityChannelFactory`1.SecurityRequestChannel.ProcessReply(Message reply, SecurityProtocolCorrelationState correlationState, TimeSpan timeout)
at System.ServiceModel.Channels.SecurityChannelFactory`1.SecurityRequestChannel.Request(Message message, TimeSpan timeout)
at System.ServiceModel.Security.SecuritySessionSecurityTokenProvider.DoOperation(SecuritySessionOperation operation, EndpointAddress target, Uri via, SecurityToken currentToken, TimeSpan timeout)
at System.ServiceModel.Security.SecuritySessionSecurityTokenProvider.GetTokenCore(TimeSpan timeout)
at System.IdentityModel.Selectors.SecurityTokenProvider.GetToken(TimeSpan timeout)
at System.ServiceModel.Security.SecuritySessionClientSettings`1.ClientSecuritySessionChannel.OnOpen(TimeSpan timeout)
at System.ServiceModel.Channels.CommunicationObject.Open(TimeSpan timeout)
at System.ServiceModel.Channels.ServiceChannel.OnOpen(TimeSpan timeout)
at System.ServiceModel.Channels.CommunicationObject.Open(TimeSpan timeout)
at System.ServiceModel.Channels.ServiceChannel.CallOpenOnce.System.ServiceModel.Channels.ServiceChannel.ICallOnce.Call(ServiceChannel channel, TimeSpan timeout)
at System.ServiceModel.Channels.ServiceChannel.CallOnceManager.CallOnce(TimeSpan timeout, CallOnceManager cascade)
at System.ServiceModel.Channels.ServiceChannel.EnsureOpened(TimeSpan timeout)
at System.ServiceModel.Channels.ServiceChannel.Call(String action, Boolean oneway, ProxyOperationRuntime operation, Object[] ins, Object[] outs, TimeSpan timeout)
at System.ServiceModel.Channels.ServiceChannel.Call(String action, Boolean oneway, ProxyOperationRuntime operation, Object[] ins, Object[] outs)
at System.ServiceModel.Channels.ServiceChannelProxy.InvokeService(IMethodCallMessage methodCall, ProxyOperationRuntime operation)
at System.ServiceModel.Channels.ServiceChannelProxy.Invoke(IMessage message)

Exception rethrown at [0]: 
at System.Runtime.Remoting.Proxies.RealProxy.HandleReturnMessage(IMessage reqMsg, IMessage retMsg)
at System.Runtime.Remoting.Proxies.RealProxy.PrivateInvoke(MessageData& msgData, Int32 type)

首先,我认为这是服务器之间时钟同步的问题,因为我可以通过改变 10 分钟的时钟来在测试环境中重现相同的异常。不幸的是,这似乎不是问题,因为我们的生产服务器是同步的。

任何信息将不胜感激!!

4

2 回答 2

0

最后我们可以解决问题,因为缺少权限,应用程序池标识无法写入“C:\Windows\Temp”。

似乎 MessageSecurityException 是一种通用的异常,可以针对许多问题抛出。要了解真正的异常,我们向服务配置添加了 serviceDebug 行为,并查看事件查看器以获取有关错误的详细信息。

这是调试配置:

<serviceBehaviors>
<behavior name="ServiceBehavior">
 <serviceMetadata httpGetEnabled="false" httpsGetEnabled="true" />
 <serviceDebug includeExceptionDetailInFaults="true" />
 <serviceSecurityAudit auditLogLocation="Application"
  suppressAuditFailure="false"
  serviceAuthorizationAuditLevel="None"
  messageAuthenticationAuditLevel="SuccessOrFailure" />
</behavior>

不管怎么说,还是要谢谢你!

于 2009-12-14T18:11:25.210 回答
0

对于匿名、用户名或证书客户端凭据类型,将此属性 [negotiateservicecredential] 设置为 false 意味着服务证书必须在带外客户端可用,并且客户端必须指定要使用的服务证书。

http://msdn.microsoft.com/en-us/library/system.servicemodel.messagesecurityoverhttp.negotiateservicecredential.aspx

于 2009-12-17T12:44:02.943 回答