Доброго времени суток, коллеги. Возникла потребность разобраться в настройке внешнего доступа к CRM. Интересует сценарий внешнего развертывания для доступа через Интернет: IFD.
Официальный мануал говорит, что для настройки
внешнего доступа необходимо сперва настроить внутренний:
- Complete the steps in the previous section, Implementing Claims-based Authentication - Internal Access.
- Configure the Microsoft Dynamics CRM Server server for IFD.
- Configure the AD FS for IFD.
- Test external claims-based authentication.
Настройка осуществляется с использованием 2 отдельных серверов CRM 2011 (Та же проблема и с 2013) и ADFS 2.1.
Проблема: при настройке сервера на этапе 2, перестает корректно работать CBA для внутреннего доступа настроенная на этапе 1. Подробнее:
1. Выполняется необходимая настройка сервера: настраивается внутреннее имя internalcrm.contoso.com:443 (используется порт по умолчанию, так как он ничем более не занят).
2. Включается CBA, адрес
https://internalcrm.contoso.com/Fede...onMetadata.xml возвращает корректный XML где в качестве конечной точки указан
https://internalcrm.contoso.com
3. Производится настройка ADFS в соответствии с инструкцией. Без проблем происходит NTLM авторизация в браузере (без формы) я могу заходить на адрес сервера
https://internalcrm.contoso.com и адрес организации
https://internalcrm.contoso.com/org
4. Производится включение и настройка IFD и вот тут все портится. Оба адреса и внутренний
https://internalcrm.contoso.com/Fede...onMetadata.xml и внешний
https://auth.contoso.com/FederationM...onMetadata.xml возвращают один и тот же XML где в качестве конечных точек указаны внешние адреса:
https://auth.contoso.com
https://org.contoso.com
https://dev.contoso.com
Теперь я могу зайти по внешнему адресу
https://org.contoso.com и смогу авторизоваться через веб форму. Но внутренний адрес
https://internalcrm.contoso.com теперь тоже ведет на форму авторизации (что логично, учитывая тот же конфиг) но, в итоге, выдает ошибку "директория не найдена", что тоже логично, так как нет организации с названием "internalcrm", или подходящей точки доступа.
В консоли ADFS тоже возникают какие-то ошибки по поводу несоответствия настроенного Relying Party его изначальному определению.
Вопрос: у кого работает, кто победил?
p.s. Каждая из задач конфигурации выполняется без каких-либо ошибок. Нет проблем с DNS, сертификатами, файрволами и пр. Несмотря на то, что в посте приводятся имена из MSDN, в нашей среде настроены правильные имена. Внешний и внутренний адреса находятся
в одном домене - так и задумано, такой же сценарий, насколько я понимаю, дается в MSDN.
Возможно, важный момент: у нас нет домена (внутреннего имени?) contoso.local. Исторически так сложилось, что домен изначально назван "contoso.com". Судя по настройкам DNS, которые делаются в статье MSDN это не должно быть причиной ошибки - все адреса, в итоге, заканчиваются на contoso.com. Но... не работает