c# - C# Active Directory 调用“ChangePassword”无法联系域

Question

我将以下代码作为我的 Active Directory 用户的 Web 应用程序的一部分，以便能够更新他们的密码（同时用于 Active Directory 和 gmail）。我将 C# 与 System.DirectoryServices.AccountManagement 一起使用。

这段代码一直有效到昨天

try
{
    State.log.WriteLine("Connecting LDAP.");
    string ldapPath = "LDAP://192.168.76.3";
    DirectoryEntry directionEntry = new DirectoryEntry(ldapPath, domainName + "\\" + userName, currentPassword);
    if (directionEntry != null)
    {
        DirectorySearcher search = new DirectorySearcher(directionEntry);
        State.log.WriteLine("LDAP Connected, searching directory for SAMAccountName");
        search.Filter = "(SAMAccountName=" + userName + ")";
        SearchResult result = search.FindOne();
        if (result != null)
        {
            State.log.WriteLine("Getting User Entry.");
            DirectoryEntry userEntry = result.GetDirectoryEntry();
            if (userEntry != null)
            {
                State.log.WriteLine("Setting Password");
                if (force)
                {
                    userEntry.Invoke("SetPassword", new[] { newPassword });
                }
                else
                {
                    userEntry.Invoke("ChangePassword", new object[] { currentPassword, newPassword });
                }
                userEntry.CommitChanges();
                State.log.WriteLine("Changes Committed to ActiveDirectory.");
            }
            else
            {
                State.log.WriteLine("Could not get user Entry...");
            }
        }
        else
        {
            State.log.WriteLine("Search returned no results.");
        }
    }
    else
    {
        State.log.WriteLine("Could not connect to LDAP with given username and passwd");
    }
}

从昨天开始，这段代码进入了这一行：

userEntry.Invoke("ChangePassword", new object[] { currentPassword, newPassword });

然后抛出以下异常：

[上午 8 点 37 分 00 秒]：满足密码要求。

[上午 8 点 37 分 00 秒]：连接 LDAP。

[上午 8 点 37 分 00 秒]：LDAP 已连接，正在搜索 SAMAccountName 的目录

[8:37:01 AM]：获取用户条目。

[8:37:01 AM]：设置密码

[上午 8 点 37 分 01 秒]：无法为 jason 重置 Windows 密码。

---

调用的目标已引发异常。

---

系统无法联系域控制器来处理身份验证请求。请稍后再试。（来自 HRESULT 的异常：0x800704F1）

使用“SetPassword”的“force”选项仍然可以正常工作，但可以由非管理员用户调用的“ChangePassword”方法则不能。

Answer 1

我找到了一个解决方法，忘记发布它。我所做的是使用上面的代码对用户进行身份验证，然后调用我的“ForceChangePassword”方法：

public static void ForceChangeADPassword(String username, String newPassword)
{
    String DN = "";
    try
    {
        DN = GetObjectDistinguishedName(objectClass.user, returnType.distinguishedName, username, DOMAIN_CONTROLLER_IP);
    }
    catch(Exception e)
    {
        throw new PasswordException(String.Format("Could not find AD User {0}", username), e);
    }

    if(DN.Equals(""))
        throw new PasswordException(String.Format("Could not find AD User {0}", username));

    DirectoryEntry userEntry = new DirectoryEntry(DN.Replace("LDAP://", LdapRootPath), "accounts", AcctPwd);
    userEntry.Invoke("SetPassword", new object[] { newPassword });
    userEntry.Properties["LockOutTime"].Value = 0;

    userEntry.CommitChanges();
    userEntry.Close();
}

Answer 2

更改 userPrincipal.ChangePassword("旧通行证", "新通行证"); 至userPrincipal.SetPassword(model.NewPassword);

Answer 3

微软更新了这篇文章： https: //support.microsoft.com/en-us/kb/3177108。在这里，他们为我们提供了由原始“修复”造成的问题，以及使用 Kerberos 和自助密码重置的一些技巧。

自 2016 年 10 月 11 日起，Microsoft 重新发布了与https://technet.microsoft.com/en-us/library/security/ms16-101.aspx相关的补丁，以解决由原始更新引起的问题（您可以阅读在https://support.microsoft.com/en-us/kb/3177108中，包括您无法再更改本地帐户密码的事实）。

Answer 4

本月早些时候，微软发布了一个安全补丁，解决了密码更改领域的一些漏洞。具体来说，更新阻止了在更改密码时 Kerberos 身份验证失败后回退到 NTLM 身份验证。

您可能想在此处阅读有关更新的更多信息。