Тема: Настройка IFD в CRM 2011/2013
Показать сообщение отдельно
Старый 10.06.2014, 18:48   #1  
Артем Enot Грунин is offline
Артем Enot Грунин
Moderator
Аватар для Артем Enot Грунин
MCBMSS
Злыдни
Most Valuable Professional
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
3,912 / 623 (28) +++++++
Регистрация: 16.08.2007
Адрес: Пермь!
Записей в блоге: 151
 ? Настройка IFD в CRM 2011/2013
Доброго времени суток, коллеги. Возникла потребность разобраться в настройке внешнего доступа к CRM. Интересует сценарий внешнего развертывания для доступа через Интернет: IFD. Официальный мануал говорит, что для настройки внешнего доступа необходимо сперва настроить внутренний:
  1. Complete the steps in the previous section, Implementing Claims-based Authentication - Internal Access.
  2. Configure the Microsoft Dynamics CRM Server server for IFD.
  3. Configure the AD FS for IFD.
  4. Test external claims-based authentication.
Настройка осуществляется с использованием 2 отдельных серверов CRM 2011 (Та же проблема и с 2013) и ADFS 2.1.

Проблема: при настройке сервера на этапе 2, перестает корректно работать CBA для внутреннего доступа настроенная на этапе 1. Подробнее:

1. Выполняется необходимая настройка сервера: настраивается внутреннее имя internalcrm.contoso.com:443 (используется порт по умолчанию, так как он ничем более не занят).

2. Включается CBA, адрес https://internalcrm.contoso.com/Fede...onMetadata.xml возвращает корректный XML где в качестве конечной точки указан https://internalcrm.contoso.com

3. Производится настройка ADFS в соответствии с инструкцией. Без проблем происходит NTLM авторизация в браузере (без формы) я могу заходить на адрес сервера https://internalcrm.contoso.com и адрес организации https://internalcrm.contoso.com/org

4. Производится включение и настройка IFD и вот тут все портится. Оба адреса и внутренний https://internalcrm.contoso.com/Fede...onMetadata.xml и внешний https://auth.contoso.com/FederationM...onMetadata.xml возвращают один и тот же XML где в качестве конечных точек указаны внешние адреса:
https://auth.contoso.com
https://org.contoso.com
https://dev.contoso.com

Теперь я могу зайти по внешнему адресу https://org.contoso.com и смогу авторизоваться через веб форму. Но внутренний адрес https://internalcrm.contoso.com теперь тоже ведет на форму авторизации (что логично, учитывая тот же конфиг) но, в итоге, выдает ошибку "директория не найдена", что тоже логично, так как нет организации с названием "internalcrm", или подходящей точки доступа.

В консоли ADFS тоже возникают какие-то ошибки по поводу несоответствия настроенного Relying Party его изначальному определению.

Вопрос: у кого работает, кто победил?

p.s. Каждая из задач конфигурации выполняется без каких-либо ошибок. Нет проблем с DNS, сертификатами, файрволами и пр. Несмотря на то, что в посте приводятся имена из MSDN, в нашей среде настроены правильные имена. Внешний и внутренний адреса находятся в одном домене - так и задумано, такой же сценарий, насколько я понимаю, дается в MSDN. Возможно, важный момент: у нас нет домена (внутреннего имени?) contoso.local. Исторически так сложилось, что домен изначально назван "contoso.com". Судя по настройкам DNS, которые делаются в статье MSDN это не должно быть причиной ошибки - все адреса, в итоге, заканчиваются на contoso.com. Но... не работает
__________________
http://fixrm.wordpress.com, снятие/наведение порчи. Быстро, дорого, гарантия.

MS Certified Dirty Magic Professional
Последний раз редактировалось Артем Enot Грунин; 10.06.2014 в 18:50.