Asp.Net登录控制与不可信AD域的初始连接非常慢

Question

ASP.NET登录控件在验证到与web服务器所属的域不同的域时，与AD的初始连接非常缓慢。IIS服务器以及与Visual内置的web服务器一起使用时出现问题。

当第一次尝试使用该控件与另一个域连接时，大约需要30秒。web服务器的域和其他域之间没有信任关系(尝试连接到几个不同的域)。随后的连接快速执行，直到连接超时。

使用进行故障排除，在未找到结果名称的"C:\WINDOWS\asembly\GAC_MSIL\System.DirectoryServices\2.0.0.0_b03f5f7f11d50a3a\Netapi32.dll延迟之前有两个OpenQuery操作“，在30秒延迟后，TCP和TCP指示通信从AD服务器开始。

我们尝试过的事情：

在web.config;

• Granting对NetworkService和ASPNET的CryptoKeys权限中，
• 模拟web服务器上的管理员；通过IP而不是DNS名称指定
• ；用域和OU指定名称和ldap服务器的多个变体；使用netstat -an.
• Nslookup解决所有涉及的域和系统的端口阻塞(SYN_SENT)的
• Local entries;
• Looked，correectly.
• TraceRt显示正确的路由

F 217

任何想法或暗示都会被大惊小怪。

Answer 1

我们最后用

ConnectionProtection=“无”

将所有攻击文件关闭到安全端口上的connetc，并且只使用389。

我们还必须在connetionProtection更改后指定连接用户名，比如"ad/bob“，而不是仅仅指定"bob”。

谢谢,

埃里克-

Answer 2

我也有过同样的问题。遵循这个建议似乎已经解决了问题。

https://elgg.leeds.ac.uk/webteam/weblog/15385.html

我们让一个自定义用户作为应用程序池用户运行，允许用户读取这个目录的'C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys‘排序问题。

Answer 3

如果安装了.NET 2.0 SP1，只需将以下内容添加到machine.config (当然，所有站点都不再检查SP1)

<runtime>
   <generatePublisherEvidence enabled="false"/>
</runtime>

http://forums.asp.net/t/968778.aspx