Настройка IFD в CRM 2011/2013 - Dynamics CRM: Администрирование

**Артем Enot Грунин** · 10.06.2014, 18:48

Доброго времени суток, коллеги. Возникла потребность разобраться в настройке внешнего доступа к CRM. Интересует сценарий внешнего развертывания для доступа через Интернет: IFD. Официальный мануал говорит, что для настройки внешнего доступа необходимо сперва настроить внутренний:

Complete the steps in the previous section, Implementing Claims-based Authentication - Internal Access.
Configure the Microsoft Dynamics CRM Server server for IFD.
Configure the AD FS for IFD.
Test external claims-based authentication.

Настройка осуществляется с использованием 2 отдельных серверов CRM 2011 (Та же проблема и с 2013) и ADFS 2.1.

Проблема: при настройке сервера на этапе 2, перестает корректно работать CBA для внутреннего доступа настроенная на этапе 1. Подробнее:

1. Выполняется необходимая настройка сервера: настраивается внутреннее имя internalcrm.contoso.com:443 (используется порт по умолчанию, так как он ничем более не занят).

2. Включается CBA, адрес https://internalcrm.contoso.com/Fede...onMetadata.xml возвращает корректный XML где в качестве конечной точки указан https://internalcrm.contoso.com

3. Производится настройка ADFS в соответствии с инструкцией. Без проблем происходит NTLM авторизация в браузере (без формы) я могу заходить на адрес сервера https://internalcrm.contoso.com и адрес организации https://internalcrm.contoso.com/org

4. Производится включение и настройка IFD и вот тут все портится. Оба адреса и внутренний https://internalcrm.contoso.com/Fede...onMetadata.xml и внешний https://auth.contoso.com/FederationM...onMetadata.xml возвращают один и тот же XML где в качестве конечных точек указаны внешние адреса:
https://auth.contoso.com
https://org.contoso.com
https://dev.contoso.com

Теперь я могу зайти по внешнему адресу https://org.contoso.com и смогу авторизоваться через веб форму. Но внутренний адрес https://internalcrm.contoso.com теперь тоже ведет на форму авторизации (что логично, учитывая тот же конфиг) но, в итоге, выдает ошибку "директория не найдена", что тоже логично, так как нет организации с названием "internalcrm", или подходящей точки доступа.

В консоли ADFS тоже возникают какие-то ошибки по поводу несоответствия настроенного Relying Party его изначальному определению.

Вопрос: у кого работает, кто победил?

p.s. Каждая из задач конфигурации выполняется без каких-либо ошибок. Нет проблем с DNS, сертификатами, файрволами и пр. Несмотря на то, что в посте приводятся имена из MSDN, в нашей среде настроены правильные имена. Внешний и внутренний адреса находятся в одном домене - так и задумано, такой же сценарий, насколько я понимаю, дается в MSDN. Возможно, важный момент: у нас нет домена (внутреннего имени?) contoso.local. Исторически так сложилось, что домен изначально назван "contoso.com". Судя по настройкам DNS, которые делаются в статье MSDN это не должно быть причиной ошибки - все адреса, в итоге, заканчиваются на contoso.com. Но... не работает

MikeR · 11.06.2014, 16:24

Это видео не поможет ?

**Артем Enot Грунин** · 11.06.2014, 18:22

Цитата:

Сообщение от MikeR

Это видео не поможет ?

К сожалению, его (в том числе) использовали при настройке. Почему-то во всех блогах и видео мануалах которые мне удалось найти, никто не проверяет как работает внутренний доступ после настройки внешнего. А он, к сожалению, в моем случае и ломается.

Коллеги! Неужели ни у кого не настроен IFD? Посмотрите, пожалуйста, оба ли варианта работают у вас и какие XML отдают внутренняя и внешняя ссылки?

**a33ik** · 11.06.2014, 22:24

Старина, можешь мне объяснить зачем тебе оба работающих домена? Мне просто для себя интересно.

**Артем Enot Грунин** · 13.06.2014, 23:19

Цитата:

Сообщение от a33ik

Старина, можешь мне объяснить зачем тебе оба работающих домена? Мне просто для себя интересно.

Для того, чтобы внутри не нужно было вводить логин пароль через форму. Форма уместна только снаружи, внтури хотелось бы авторизовываться сразу через NTLM

**Артем Enot Грунин** · 19.06.2014, 16:01

Решение найдено с помощью MS Support и лично Alen George. Проблема была в том, что внутренние адреса системы в настройках деплоймента были указаны с портом по умолчанию:

X++:

internalcrm.contoso.com:443

Несмотря на то, что это поведение системы по-умолчанию, выяснилось, что ADFS подобное не любит. Если удалить порт (:443) и обновить метаданные в консоли ADFS, оба способа авторизации будут работать корректно.

**a33ik** · 20.06.2014, 04:37

Старина, может выложишь себе в блог коротенький пост с картинками для тупых (для меня т.е.).

**Артем Enot Грунин** · 20.06.2014, 13:56

Цитата:

Сообщение от a33ik

Старина, может выложишь себе в блог коротенький пост с картинками для тупых (для меня т.е.).

Написал: http://www.axforum.info/forums/blog.php?b=8139

Похожие темы
Тема	Автор	Раздел	Ответов	Посл. сообщение
crminthefield: Podcast and Overview: Microsoft Dynamics CRM 2011 Update Rollup 15	Blog bot	Dynamics CRM: Blogs	1	10.02.2016 10:26
crminthefield: Podcast and Overview: Microsoft Dynamics CRM 2011 Update Rollup 17	Blog bot	Dynamics CRM: Blogs	0	10.05.2014 06:30
crminthefield: Podcast and Overview: Microsoft Dynamics CRM 2013 Update Rollup 2	Blog bot	Dynamics CRM: Blogs	0	15.04.2014 01:15
crminthefield: Podcast and Overview: Microsoft Dynamics CRM 2011 Update Rollup 16	Blog bot	Dynamics CRM: Blogs	0	23.01.2014 03:15
crminthefield: Podcast and Overview: Microsoft Dynamics CRM 2011 Update Rollup 14	Blog bot	Dynamics CRM: Blogs	0	12.07.2013 07:13