16

我有一个在 Novell 网络上运行的 WinForms 客户端-服务器应用程序,在连接到网络上的唯一 Windows 2003 Server 时会产生以下错误:

TYPE: System.IO.IOException
MSG: Logon failure: unknown user name or bad password.

SOURCE: mscorlib
SITE: WinIOError

  at System.IO.__Error.WinIOError(Int32 errorCode, String maybeFullPath)
  at System.IO.Directory.InternalGetFileDirectoryNames(String path,
    String userPathOriginal, String searchPattern, Boolean includeFiles, 
    Boolean includeDirs, SearchOption searchOption)
  at System.IO.DirectoryInfo.GetFiles(String searchPattern, 
    SearchOption searchOption)
  at System.IO.DirectoryInfo.GetFiles(String searchPattern)
  at Ceoimage.Basecamp.DocumentServers.ClientAccessServer.SendQueuedFiles(
    Int32 queueId, Int32 userId, IDocQueueFile[] queueFiles)
  at Ceoimage.Basecamp.ScanDocuments.DataModule.CommitDocumentToQueue(
    QueuedDocumentModelWithCollections doc, IDocQueueFile[] files)

客户的网络管理员通过手动将工作站用户名和密码与服务器上的本地用户同步来管理 Windows Server 连接。该错误的奇怪之处在于,用户可以在错误之前和之后都写入服务器,而无需显式登录。

您能解释为什么会发生错误并提供解决方案吗?

4

5 回答 5

49

尝试访问不同域中的 Windows 服务器的文件系统时,我遇到了同样的问题。问题是运行程序的用户帐户无权访问远程服务器。当您使用 Windows 资源管理器时,Windows 在幕后做了额外的工作以使其看起来无缝,因为它猜测您的远程凭据将与您的本地凭据匹配。

如果您将驱动器本地映射到远程服务器,然后在代码中使用本地映射的驱动器,则应该没有问题。如果您无法映射驱动器,但可以硬编码用于远程服务器的凭据,则可以使用以下代码:

using System;
using System.ComponentModel;
using System.Runtime.InteropServices;
using System.Security.Principal;

namespace Company.Security
{
    public class ImpersonateUser : IDisposable
    {
        [DllImport("advapi32.dll", SetLastError=true)]
        private static extern bool LogonUser(string lpszUsername, string lpszDomain, string lpszPassword, int dwLogonType, int dwLogonProvider, out IntPtr phToken);

        [DllImport( "kernel32", SetLastError = true )]
        private static extern bool CloseHandle(IntPtr hObject);

        private IntPtr userHandle = IntPtr.Zero;
        private WindowsImpersonationContext impersonationContext;

        public ImpersonateUser( string user, string domain, string password )
        {
            if ( ! string.IsNullOrEmpty( user ) )
            {
                // Call LogonUser to get a token for the user
                bool loggedOn = LogonUser( user, domain, password,
                    9 /*(int)LogonType.LOGON32_LOGON_NEW_CREDENTIALS*/,
                    3 /*(int)LogonProvider.LOGON32_PROVIDER_WINNT50*/,
                    out userHandle );
                if ( !loggedOn )
                    throw new Win32Exception( Marshal.GetLastWin32Error() );

                // Begin impersonating the user
                impersonationContext = WindowsIdentity.Impersonate( userHandle );
            }
        }

        public void Dispose()
        {
            if ( userHandle != IntPtr.Zero )
                CloseHandle( userHandle );
            if ( impersonationContext != null )
                impersonationContext.Undo();
        }
    }
}

然后您可以通过执行以下操作访问远程服务器:

using ( new ImpersonateUser( "UserID", "Domain", "Password" ) )
{
    // Any IO code within this block will be able to access the remote server.
}
于 2009-02-26T21:00:44.330 回答
3

对于 VB.Net 开发人员(如我),这里是 VB.Net 版本:

Imports System
Imports System.ComponentModel
Imports System.Runtime.InteropServices
Imports System.Security.Principal

Namespace Company.Security
    Public Class ImpersonateUser
        Implements IDisposable

        <DllImport("advapi32.dll", SetLastError:=True)> _
        Private Shared Function LogonUser(ByVal lpszUsername As String, ByVal lpszDomain As String, ByVal lpszPassword As String, ByVal dwLogonType As Integer, ByVal dwLogonProvider As Integer, ByRef phToken As IntPtr) As Integer
        End Function

        <DllImport("kernel32", SetLastError:=True)> _
        Private Shared Function CloseHandle(ByVal hObject As IntPtr) As Boolean
        End Function

        Private userHandle As IntPtr = IntPtr.Zero
        Private impersonationContext As WindowsImpersonationContext

        Public Sub New(ByVal user As String, ByVal domain As String, ByVal password As String)
            If Not String.IsNullOrEmpty(user) Then
                Dim loggedOn As Integer = LogonUser(user, domain, password, 9, 3, userHandle)
                If Not loggedOn = 1 Then
                    Throw New Win32Exception(Marshal.GetLastWin32Error())
                End If
                impersonationContext = WindowsIdentity.Impersonate(userHandle)
            End If
        End Sub

        Public Sub Dispose() Implements System.IDisposable.Dispose
            If userHandle <> IntPtr.Zero Then
                CloseHandle(userHandle)
            End If
            If impersonationContext IsNot Nothing Then
                impersonationContext.Undo()
            End If
        End Sub

    End Class
End Namespace

并像这样使用它:

using New ImpersonateUser( "UserID", "Domain", "Password" ) 
    ' ... your code here
End Using
于 2011-04-06T07:49:24.833 回答
1

我认为您应该尝试重现该问题,而不是使用数据包监视器查看网络流量并查看失败情况和成功情况之间的差异。

然后编写一个应用程序,它使用来自 windows (P/Invokes) 的原始 api 来重现您的失败情况并尝试找出哪些参数导致错误发生。如果您能够解决问题,那么只需找到如何让组件完成您想要的事情。

您可以查看的其他方向(在您可以稳定地重现问题之后):

  • 使用Process Monitor记录所有 api 调用并查看错误来自何处。
  • 在干净的虚拟机/机器上尝试并尝试在那里重现它
  • 禁用病毒扫描程序
  • 更新 Novell 客户端
于 2009-03-05T08:58:27.393 回答
1

恕我直言,这似乎是刷新过期的身份验证令牌(或类似的东西)的某种副作用。

我的情况是,作为通过代理(squid)访问 Internet 的 Active Directory 用户,我浏览时没有问题,直到我(以随机时间间隔)收到有关缺少凭据的错误,这可以通过浏览器中的页面刷新来解决,然后一切正常,直到下一个错误。

于 2009-03-05T09:19:52.677 回答
0

此地址有一个 Microsoft 示例:https ://msdn.microsoft.com/en-us/library/system.security.principal.windowsimpersonationcontext(v=vs.110).aspx

但在他们的示例中确实说:“在 Windows Vista 及更高版本上,此示例必须以管理员身份运行。”

因此,只有在大多数平台上运行代码的用户是管理员时,此解决方案才有效。

于 2018-02-27T14:58:37.973 回答