AXForum  
Вернуться   AXForum > Microsoft Dynamics CRM > Dynamics CRM: Администрирование
All
Забыли пароль?
Зарегистрироваться Правила Справка Пользователи Сообщения за день Поиск Все разделы прочитаны

 
 
Опции темы Поиск в этой теме Опции просмотра
Старый 10.06.2014, 18:48   #1  
Артем Enot Грунин is offline
Артем Enot Грунин
Moderator
Аватар для Артем Enot Грунин
MCBMSS
Злыдни
Most Valuable Professional
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
3,912 / 623 (28) +++++++
Регистрация: 16.08.2007
Адрес: Пермь!
Записей в блоге: 151
? Настройка IFD в CRM 2011/2013
Доброго времени суток, коллеги. Возникла потребность разобраться в настройке внешнего доступа к CRM. Интересует сценарий внешнего развертывания для доступа через Интернет: IFD. Официальный мануал говорит, что для настройки внешнего доступа необходимо сперва настроить внутренний:
  1. Complete the steps in the previous section, Implementing Claims-based Authentication - Internal Access.
  2. Configure the Microsoft Dynamics CRM Server server for IFD.
  3. Configure the AD FS for IFD.
  4. Test external claims-based authentication.
Настройка осуществляется с использованием 2 отдельных серверов CRM 2011 (Та же проблема и с 2013) и ADFS 2.1.

Проблема: при настройке сервера на этапе 2, перестает корректно работать CBA для внутреннего доступа настроенная на этапе 1. Подробнее:

1. Выполняется необходимая настройка сервера: настраивается внутреннее имя internalcrm.contoso.com:443 (используется порт по умолчанию, так как он ничем более не занят).

2. Включается CBA, адрес https://internalcrm.contoso.com/Fede...onMetadata.xml возвращает корректный XML где в качестве конечной точки указан https://internalcrm.contoso.com

3. Производится настройка ADFS в соответствии с инструкцией. Без проблем происходит NTLM авторизация в браузере (без формы) я могу заходить на адрес сервера https://internalcrm.contoso.com и адрес организации https://internalcrm.contoso.com/org

4. Производится включение и настройка IFD и вот тут все портится. Оба адреса и внутренний https://internalcrm.contoso.com/Fede...onMetadata.xml и внешний https://auth.contoso.com/FederationM...onMetadata.xml возвращают один и тот же XML где в качестве конечных точек указаны внешние адреса:
https://auth.contoso.com
https://org.contoso.com
https://dev.contoso.com

Теперь я могу зайти по внешнему адресу https://org.contoso.com и смогу авторизоваться через веб форму. Но внутренний адрес https://internalcrm.contoso.com теперь тоже ведет на форму авторизации (что логично, учитывая тот же конфиг) но, в итоге, выдает ошибку "директория не найдена", что тоже логично, так как нет организации с названием "internalcrm", или подходящей точки доступа.

В консоли ADFS тоже возникают какие-то ошибки по поводу несоответствия настроенного Relying Party его изначальному определению.

Вопрос: у кого работает, кто победил?

p.s. Каждая из задач конфигурации выполняется без каких-либо ошибок. Нет проблем с DNS, сертификатами, файрволами и пр. Несмотря на то, что в посте приводятся имена из MSDN, в нашей среде настроены правильные имена. Внешний и внутренний адреса находятся в одном домене - так и задумано, такой же сценарий, насколько я понимаю, дается в MSDN. Возможно, важный момент: у нас нет домена (внутреннего имени?) contoso.local. Исторически так сложилось, что домен изначально назван "contoso.com". Судя по настройкам DNS, которые делаются в статье MSDN это не должно быть причиной ошибки - все адреса, в итоге, заканчиваются на contoso.com. Но... не работает
__________________
http://fixrm.wordpress.com, снятие/наведение порчи. Быстро, дорого, гарантия.

MS Certified Dirty Magic Professional

Последний раз редактировалось Артем Enot Грунин; 10.06.2014 в 18:50.
Старый 11.06.2014, 16:24   #2  
MikeR is offline
MikeR
MCT
Аватар для MikeR
MCBMSS
Лучший по профессии 2015
Лучший по профессии 2014
 
1,628 / 627 (24) +++++++
Регистрация: 28.11.2005
Адрес: просто землянин
Это видео не поможет ?
__________________
Axapta book for developer
Старый 11.06.2014, 18:22   #3  
Артем Enot Грунин is offline
Артем Enot Грунин
Moderator
Аватар для Артем Enot Грунин
MCBMSS
Злыдни
Most Valuable Professional
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
3,912 / 623 (28) +++++++
Регистрация: 16.08.2007
Адрес: Пермь!
Записей в блоге: 151
Цитата:
Сообщение от MikeR Посмотреть сообщение
Это видео не поможет ?
К сожалению, его (в том числе) использовали при настройке. Почему-то во всех блогах и видео мануалах которые мне удалось найти, никто не проверяет как работает внутренний доступ после настройки внешнего. А он, к сожалению, в моем случае и ломается.

Коллеги! Неужели ни у кого не настроен IFD? Посмотрите, пожалуйста, оба ли варианта работают у вас и какие XML отдают внутренняя и внешняя ссылки?
__________________
http://fixrm.wordpress.com, снятие/наведение порчи. Быстро, дорого, гарантия.

MS Certified Dirty Magic Professional
Старый 11.06.2014, 22:24   #4  
a33ik is offline
a33ik
Чайный пьяница
Аватар для a33ik
MCP
MCBMSS
Злыдни
Соотечественники
Most Valuable Professional
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
3,243 / 896 (36) +++++++
Регистрация: 02.07.2008
Адрес: Greenville, SC
Старина, можешь мне объяснить зачем тебе оба работающих домена? Мне просто для себя интересно.
__________________
Эмо разработчик, сначала пишу код, потом плачу над его несовершенством.

Подписывайтесь на мой блог, twitter и YouTube канал.
Пользуйтесь моим Ultimate Workflow Toolkit
Старый 13.06.2014, 23:19   #5  
Артем Enot Грунин is offline
Артем Enot Грунин
Moderator
Аватар для Артем Enot Грунин
MCBMSS
Злыдни
Most Valuable Professional
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
3,912 / 623 (28) +++++++
Регистрация: 16.08.2007
Адрес: Пермь!
Записей в блоге: 151
Цитата:
Сообщение от a33ik Посмотреть сообщение
Старина, можешь мне объяснить зачем тебе оба работающих домена? Мне просто для себя интересно.
Для того, чтобы внутри не нужно было вводить логин пароль через форму. Форма уместна только снаружи, внтури хотелось бы авторизовываться сразу через NTLM
__________________
http://fixrm.wordpress.com, снятие/наведение порчи. Быстро, дорого, гарантия.

MS Certified Dirty Magic Professional
Старый 19.06.2014, 16:01   #6  
Артем Enot Грунин is offline
Артем Enot Грунин
Moderator
Аватар для Артем Enot Грунин
MCBMSS
Злыдни
Most Valuable Professional
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
3,912 / 623 (28) +++++++
Регистрация: 16.08.2007
Адрес: Пермь!
Записей в блоге: 151
Решение найдено с помощью MS Support и лично Alen George. Проблема была в том, что внутренние адреса системы в настройках деплоймента были указаны с портом по умолчанию:
X++:
internalcrm.contoso.com:443
Несмотря на то, что это поведение системы по-умолчанию, выяснилось, что ADFS подобное не любит. Если удалить порт (:443) и обновить метаданные в консоли ADFS, оба способа авторизации будут работать корректно.
__________________
http://fixrm.wordpress.com, снятие/наведение порчи. Быстро, дорого, гарантия.

MS Certified Dirty Magic Professional

Последний раз редактировалось Артем Enot Грунин; 20.06.2014 в 10:32.
Старый 20.06.2014, 04:37   #7  
a33ik is offline
a33ik
Чайный пьяница
Аватар для a33ik
MCP
MCBMSS
Злыдни
Соотечественники
Most Valuable Professional
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
3,243 / 896 (36) +++++++
Регистрация: 02.07.2008
Адрес: Greenville, SC
Старина, может выложишь себе в блог коротенький пост с картинками для тупых (для меня т.е.).
__________________
Эмо разработчик, сначала пишу код, потом плачу над его несовершенством.

Подписывайтесь на мой блог, twitter и YouTube канал.
Пользуйтесь моим Ultimate Workflow Toolkit
Старый 20.06.2014, 13:56   #8  
Артем Enot Грунин is offline
Артем Enot Грунин
Moderator
Аватар для Артем Enot Грунин
MCBMSS
Злыдни
Most Valuable Professional
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
3,912 / 623 (28) +++++++
Регистрация: 16.08.2007
Адрес: Пермь!
Записей в блоге: 151
Цитата:
Сообщение от a33ik Посмотреть сообщение
Старина, может выложишь себе в блог коротенький пост с картинками для тупых (для меня т.е.).
Написал: http://www.axforum.info/forums/blog.php?b=8139
__________________
http://fixrm.wordpress.com, снятие/наведение порчи. Быстро, дорого, гарантия.

MS Certified Dirty Magic Professional
За это сообщение автора поблагодарили: a33ik (5).
Теги
adfs, claims, crm, ifd

 

Похожие темы
Тема Автор Раздел Ответов Посл. сообщение
crminthefield: Podcast and Overview: Microsoft Dynamics CRM 2011 Update Rollup 15 Blog bot Dynamics CRM: Blogs 1 10.02.2016 10:26
crminthefield: Podcast and Overview: Microsoft Dynamics CRM 2011 Update Rollup 17 Blog bot Dynamics CRM: Blogs 0 10.05.2014 06:30
crminthefield: Podcast and Overview: Microsoft Dynamics CRM 2013 Update Rollup 2 Blog bot Dynamics CRM: Blogs 0 15.04.2014 01:15
crminthefield: Podcast and Overview: Microsoft Dynamics CRM 2011 Update Rollup 16 Blog bot Dynamics CRM: Blogs 0 23.01.2014 03:15
crminthefield: Podcast and Overview: Microsoft Dynamics CRM 2011 Update Rollup 14 Blog bot Dynamics CRM: Blogs 0 12.07.2013 07:13
Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход

Рейтинг@Mail.ru
Часовой пояс GMT +3, время: 10:29.