CRM 2011 Webseite HTTP Error 401
-
venerdì 23 marzo 2012 08:26
Hallo zusammen,
Gestern haben wir CRM 2011 auf einem W2K8R2 installiert. Der Webaufruf hat problemlos funktioniert.
Heute will ich die Webseite wieder aufrufen um User anzulegen. Jedoch möchte der IE eine Authentifizierung. Jegliche Anmeldeinformatioen für bereits eingerichtete Admins werden verweigert - HTTP Error 401.
Auch der Connect mit dem Outlookclient schlägt fehl.Der Aufruf der Webseite direkt auf dem Server funktioniert jedoch.
Kennt jemand das Phänomen?
Tutte le risposte
-
venerdì 23 marzo 2012 08:43
Hallo Phantomias,
wenn es direkt auf dem Server funktioniert kann es nicht so schlimm sein.
Verstehe ich es richtig, das es gestern von der heute betroffenen Maschine noch funktioniert hat?Man kann mit Fiddler http://www.fiddler2.com sehr schön sehen was bei der Authetifizierung passiert.
Das weitere Troubleshooting hängt davon ab, welche Authentifizierung verwendet wird (Basic, NTLM, Kerberos).
Ich gehe mal davon aus, das Du kein ADFS / IFD konfiguriert hast.
Bist Du sicher, das die 401 überhaupt vom CRM Server kommt? Thema Proxy Server, DNS, Binding im IIS.
Falls ein Proxy dazwischen ist un der ganz doll sicher ist :-) dann reicht er eventuell bestrimmte Teile des Request nicht weiter.
Falls Du meinst da ist kein Proxy, kann es immer noch sein, das ein Proxy per autodiscover gefunden wurde. Also bitte 2 x prüfen.
Wenn sicher bist, das der Request unverändert am CRM Web ankommt, dann kannst Du dort die gesamte IIS 7 Tracing Pallette verwenden.
Außerdem kannst Du dann das CRM Tracing aktivieren und sehen, ob Dein Request bei der CRM Anwendung ankommt oder schon vorher irgendwo im IIS abgewiesen wird. Und falls der Requar im CRM ankommt, dann kannst Du im Trace sehen was da schief läuft.
Grüße
Thomas
-
venerdì 23 marzo 2012 10:15
Danke für die Information.
Den Proxy habe ich deaktiviert - ohne Erfolg. Fiddler2 habe ich angeschmissen.
Das Ergebnis ist folgendes:
Result: 401
Host: <FQDN CRM Server>
URL: /
Body: 60
caching: private
Content: text/plainSo wie es scheint, kommt die Meldung vom CRM Server.
Was mich halt wundert, gestern hat alles noch problemlos funktioniert. Auch mit Proxy.
-
venerdì 23 marzo 2012 10:53
Hallo Phantomias,
Sieh Dir im Fiddler auf dem Inspector Tab das Subtab "Auth" an und zwar im Request und im Response.
was lässt Dich annehmen, das die Antwort vom CRM Server stammt?
wenn es gestern noch funktioniert hat, dann hat jemand dran rumgefummelt ;-) entweder in der Übertragungsstrecke, per GPO oder auf dem Server. ;-)
Grüße
Thomas
-
venerdì 23 marzo 2012 11:02Im Subtab "Auth" steht folgendes:
No Proxy-Authorization Header is present.
No Authorization Header is present.
In dem darunter leigenden "Auth" Tab steht folgendes:
No Proxy-Authenticate Header is present.
WWW-Authenticate Header is present: Negotiate
WWW-Authenticate Header is present: NTLM
Das da jemand dran rumgespielt hat, ist fast auszuschließen. Aber ebend nur fast.
-
venerdì 23 marzo 2012 12:43
Hallo Phantomias!
Wurde der CRM-Server nachts nach Updates neu gestartet?
Deaktiviere die Firewall. Funktioniert dann der Client?
Ich hoffe das bringt weiter. Andreas(a)Donaubauer.com www.crmfaq.de
- Modificato Andreas DonaubauerMicrosoft Community Contributor venerdì 23 marzo 2012 12:43
-
venerdì 23 marzo 2012 13:11
Der Server wurde gestern vor der Installation noch einmal mit den aktuellen Update versehen und entsprechen gebootet.
Firewall ist bereits deaktiviert.
Melde ich mich mit meinem Account auf dem Server an, geht auch der Login für CRM. Nur eben nicht von ausserhalb des Servers.
- Modificato Phantomias venerdì 23 marzo 2012 13:15
-
venerdì 23 marzo 2012 13:48
Hallo Phantomias,
Ok also der Server sagt, Du kannst Negotiate oder NTLM machen. was steht im nächsten Rrequest? da sollte dann stehen welches Verfahren gewählt wurde. was passiert danach?
Bist Du vertraut mit dem Ablauf einer Windows Anmeldung auf Netzwerk Ebene?
Wird denn irgend einer der folgenden Request mit 200 OK beantwortet?
Du sagtest auf dem Server direkt funktioniert alles einwandfrei. Es kann also nur etwas am client seinoder auf der Leitung oder Du "sprichst" nicht mit dem CRM Server.
Grüße
Thomas
-
sabato 24 marzo 2012 08:24
Hallo Phantomias,
nur um es mal gesagt zu haben eine Windows Firewall sendet kein HTTP 401. die 401 ist eine HTTP Antwort so etwas erzeugt nur ein Webserver, ein Proxy Server oder ein Sicherheitsgateway im Application Layer. die firewall kommt nur in Frage wenn überhaupt keine Antwort kommt.
Grüße
Thomas
-
lunedì 26 marzo 2012 07:30
Guten Morgen,
was genau bei der Windows Anmeldung im Netz im Detail passiert, weis ich jetzt nicht aus dem Stehgreif.
Das eine Firewall keinen 401 zurückliefert, ist mir bekannt. Daher war ja meine Vermutung, das das Problem am Webserver liegt.
Ich werde da im Laufe des Tages weiter nach der Ursache suchen.
Mal alle GPOs abschlten etc. -
lunedì 26 marzo 2012 12:43 Das Problem scheint gefunden.
Ich hatte zwar SPN's für den Account erstellt, diese waren aber am nächsten Tag nicht mehr da.
Warum auch immer.
Haben jetzt noch die Reihenfolge der Authentifizierung im IIS angepasst und jetzt gehts.
Die SPN's werden aber noch immer nicht mit setspn -l <Servername> angezeigt.- Contrassegnato come risposta Phantomias lunedì 26 marzo 2012 12:43
-
lunedì 26 marzo 2012 12:49
Hallo Phantomias,
wenn Du einen Service Account verwendest muss es setspn -L serviceaccountname heissen.
Grüße
Thomas
-
lunedì 16 aprile 2012 08:08
Ich muss mich hier leider noch einmal einklinken.
In der Hoffnung, mein Problem gelöst zu haben, bin ich eines besseren belehrt worden.
Die CRM Applikaiton funktioniert zwar im großen und Ganzen. Jedoch bekomme ich in diversen Untermenüs immer noch den HTTP 401 zurück.Warum auch immer.
Ich habe die Dienste, mit denen CRM läuft jetzt schon von den Service Accounts befreit und lasse diese jetzt als Netzwerkdiesnt laufen.
Damit kann ich die Webapplikation jetzt jedenfalls aufrufen.Jemand noch eine andere Idee?
