从你的描述和代码来看，部署到IIS后失效主要有这几个核心问题，咱们一个个拆解：

1. 未指定AD搜索根路径（SearchRoot） #

你本地运行时DirectorySearcher默认使用了当前域的上下文，但部署到IIS服务器后，服务器环境可能不在同一个域，或者DirectorySearcher无法自动识别目标AD。你本地的SearchRoot.Path是LDAP://DC=arcadis-nl,DC=local，但代码里完全没设置这个值，导致部署后搜索器不知道该连接哪个AD服务器。

解决方法：明确指定SearchRoot，直接实例化DirectoryEntry作为搜索根：

var adRoot = new DirectoryEntry("LDAP://DC=arcadis-nl,DC=local");
DirectorySearcher dirSearcher = new DirectorySearcher(adRoot);

2. Filter中的HTML转义错误 #

你代码里的Filter写了&，这是HTML的实体转义字符，但在C#代码中，LDAP Filter的逻辑与应该直接用&。如果写&，实际传递给AD的Filter会是(&(objectClass=user)...，完全不符合LDAP Filter语法，肯定搜不到任何结果。

解决方法：把&改成&，同时建议用字符串插值让代码更清晰，还要注意防止LDAP注入（对用户输入的query做特殊字符转义）：

// 先处理query的特殊字符，避免注入
string safeQuery = query.Replace("*", "\\*").Replace("(", "\\(").Replace(")", "\\)");
dirSearcher.Filter = $"(&(objectClass=user)(objectcategory=person)(mail={safeQuery}*))";

3. 空引用异常风险 #

你调用dirSearcher.FindOne()后直接访问srEmail.Properties[propName]，如果搜索不到结果，srEmail就是null，会抛出NullReferenceException导致请求失败。而且这段代码完全冗余——你后面已经调用FindAll()获取所有结果，FindOne()没有存在的必要。

解决方法：删掉FindOne()相关的冗余代码：

// 移除这两行无用且危险的代码
// SearchResult srEmail = dirSearcher.FindOne();
// ResultPropertyValueCollection valColl = srEmail.Properties[propName];

4. IIS应用池身份权限问题 #

本地运行时你用的是自己的域账号，大概率有AD读取权限，但IIS默认的应用池身份（比如ApplicationPoolIdentity）是本地账户，没有访问域AD的权限。如果IIS服务器不在arcadis-nl.local域内，或者应用池身份没有AD读取权限，就会连接失败。

解决方法：

• 把应用池身份改成有AD读取权限的域账号：在IIS管理器中找到你的应用池，右键→高级设置→进程模型→标识，选择“自定义账户”，输入有权限的域账号和密码。
• 如果服务器不在域内，需要在DirectoryEntry构造函数中指定域账号和密码：

var adRoot = new DirectoryEntry("LDAP://DC=arcadis-nl,DC=local", "域账号", "密码");

5. 缺少异常处理与日志 #

部署后出现问题无法排查，因为代码没有任何异常捕获。建议加上try-catch块，记录错误信息方便调试，生产环境不要返回具体异常细节。

解决方法：添加异常处理：

try
{
    // 你的AD搜索逻辑
}
catch (Exception ex)
{
    // 用日志框架记录详细异常，比如Serilog、Log4Net
    // 生产环境返回通用错误提示
    return Json(new { success = false, message = "获取邮件列表失败，请联系管理员" });
}

修正后的完整代码 #

[HttpGet]
public JsonResult getADEmail(string query = "")
{
    try
    {
        // 处理query特殊字符，防止LDAP注入
        string safeQuery = query.Replace("*", "\\*").Replace("(", "\\(").Replace(")", "\\)");
        
        // 指定AD搜索根
        var adRoot = new DirectoryEntry("LDAP://DC=arcadis-nl,DC=local");
        DirectorySearcher dirSearcher = new DirectorySearcher(adRoot);
        
        // 修正Filter语法
        dirSearcher.Filter = $"(&(objectClass=user)(objectcategory=person)(mail={safeQuery}*))";
        // 只加载需要的mail属性，提升搜索性能
        dirSearcher.PropertiesToLoad.Add("mail");
        
        SearchResultCollection searchResults = dirSearcher.FindAll();
        List<string> results = new List<string>();
        
        foreach (SearchResult sr in searchResults)
        {
            // 先判断属性存在且有值，避免空引用
            if (sr.Properties.Contains("mail") && sr.Properties["mail"].Count > 0)
            {
                results.Add(sr.Properties["mail"][0].ToString());
            }
        }
        
        return Json(results);
    }
    catch (Exception ex)
    {
        // 生产环境建议隐藏具体异常，日志记录详细信息
        return Json(new { success = false, message = "获取邮件列表失败，请联系管理员" });
    }
}

额外排查步骤 #

• 检查IIS服务器是否能ping通AD服务器（DC=arcadis-nl,DC=local对应的IP）。
• 检查服务器防火墙是否允许LDAP默认端口（389）的访问。
• 可以在IIS服务器上用ldp.exe工具测试AD连接，确认是否能正常绑定和搜索。

内容的提问来源于stack exchange，提问作者Md Aslam