locked
CRM 2011 IFD (INTERNET FACING DEPLOYMENT) FAILS. BUT CLAIM BASED AUTHENTICATION WORKS OK. RRS feed

  • Question

  • Hello people.

    The CRM is set up to use HTTPS  (Claim Based Authentication)  and works OK, but the IFD not. The CRM Server is on Server which its domain is CLIENTE.COM, but the External Domain is .CLIENTE.NET.

    Here the configuration and steps done:

    Please your help

    I have the following infrastructure:

    1-Infrastructure:  CRM is installed on 1 Server. Data Base on another.

    2-CRM was succesfully set up with CLAIM BASED AUTHENTICATION with the domain: *.CLIENT.COM

    And the certificate: *.CLIENTE.COM

    The https://internalcrmpub.CLIENTE.com:444/CLIENTE/main.aspxse shows succesfully when it is accessed by the users.

    3-For Internet Faced Deployment (IFD). THe following DNS were created, in  ANOTHER domain: CLIENTE.NET

    We also set up the ISA SERVER 2006 with the “Web Listener” and the “Rules”

    HOST   NAME-DNS

    IP   PUBLICA

    sts.CLIENTE.net

    190.154.22.1

    auth.CLIENTE.net

    190.154.22.1

    dev.CLIENTE.net

    190.154.22.1

    CLIENTEcrm.CLIENTE.net

    190.154.22.1

    DNS

    IPS   INTERNA

    sts.CLIENTE.com

    172.16.1.6

    auth.CLIENTE.com

    172.16.1.6

    dev. CLIENTE.com

    172.16.1.6

    CLIENTEcrm.CLIENTE.com

    172.16.1.6

    Internalcrmpub.CLIENTE.com

    172.16.1.6

    ü

     The CRM IFD, was set up in the Deployment Manager. Where:

    §  Web Application Server: CLIENTE.COM:444

    § Organization Web Service: CLIENTE.COM:444

    § Discovery Web Service: DEV.CLIENTE.COM:444

    § External Domain of the Server AUTH.CLIENTE.COM:444

    § The set up was OK

    ü We also configured the ADFS with the “Relying Third Party” and its “Rules”. The set up was OK. We did it with the https://auth.cliente.com:444/FederationMetadata/2007-06/FederationMetadata.xml

    ü When we test, with the both domain for the EXTERNAL ACCESS, it shows the screen where you enter the DOMAIN\USER and password, and click on Enter Button.

           Then it shows:  THIS PAGE CANT BE DISPLAYED:

    With the domain CLIENTE.COM: https://CLIENTEcrm.CLIENTE.com:444/CLIENTE/main.aspx.

    Withe the domain CLIENTE.NET: https://CLIENTEcrm.CLIENTE.net:444/CLIENTE/main.aspx.

    Please your kind help.


    Roxana Cevallos Q. -PARTNER-


    • Edited by Roxana Cevallos Wednesday, November 20, 2013 11:48 PM more words
    Wednesday, November 20, 2013 11:38 PM

Answers

  • HELLO PEOPLE.

    ALTHOUGH ITS IN SPANISH, I HOPE IT WILL BE HELPFULL FOR YOU:

    Cabe resaltar que, el escenario era el siguiente: Se tiene el Servidor de CRM, de Base de Datos, Active Directory, Exchange en el dominio CLIENTE.com, sin embargo, como se tenía que publicar en INTERNET el CRM en el dominio CLIENTE.net, entonces se configuraron las entradas DNS de la siguiente manera:

    1-DNS ips Internas: CLIENTE.com . Para el DOMINIO CLIENTE.COM

    DNS

    IPS

    USO

    sts.CLIENTE.com

    172.16.1.XXX

    Para el CLAIM-Based Authentication. ADFS Server.

    auth.CLIENTE.com

    172.16.1.XXX

    IFD Federation EndPoint.Para el Web Application Server Role. A especificar en el Configuration Wizard.

    dev. CLIENTE.com

    172.16.1.XXX

    Para el Discovery Web Service Role. Aespecificar en el Configuration Wizard.

    scrm.CLIENTE.com

    172.16.1.XXX

    El registro para cada Microsoft Dynamics CRM Organization, para navegar en cada organización, a nivel EXTERNO.

    Internalcrmpub.CLIENTE.com

    172.16.1.XXX

    El registro para cada Microsoft Dynamics CRM Organization, para navegar en cada organización, INTERNO.

    Configuración de las DNS para la Publicación en el DNS del Dominio Externo: CLIENTE.NET. Solo crear ALIAS:

    DNS

    Alias

    USO

    auth

    172.16.1.XXX

    dev

    172.16.1.XXX

    Scrm

    172.16.1.XXX

    Sgsrv09

    172.16.1.XXX

    sts

    172.16.1.XXX

    Este error fue resuelto de la siguiente manera:

    2-Se generó el certificado para dominio: *.CLIENTE.NET, porque es el que se va a exponer en el internet.

    3-Se instala el CRM, ADFS todo con dominio: "CLIENTE.net"

    4-Se configuró el CRM en Claim Based Authentication de la siguiente manera:

    En el MS Dynamics Deployment Manager poner el Claim-Based Authentication.

    DNS

    IPS

    USO

    Internalcrmpub.CLIENTE.net

    172.16.1.xxx

    El registro para cada Microsoft Dynamics CRM Organization, para navegar en cada organización, INTERNO.

    5-Después de terminar la configuración, comprobar los xml de sts y del auth.

    https://sts.CLIENTE.net/federationmetadata/2007-06/federationmetadata.xml

    https://auth.CLIENTEnet/federationmetadata/2007-06/federationmetadata.xml

    6-Probar el CRM dentro y fuera del Servidor de CRM. Si fuera del Servidor de RM pide múltiples logins entonces realizar

    6-1-Visualizar los SPN en la Cuenta del Servidor (Que es el mismo Servidor):

    Para ver los spn registrados: Setspn -l s\sgsrv09

    6-2-Crear los SPN en la Cuenta del Servidor (Que es el mismo Servidor), EN EL Servidor de CRM: sgsrv09.Borrar todos los existan y crear los nuevos:Setspn –s http/sgsrv09.CLIENTE.com s\sgsrv09
    • Setspn –s http/sgsrv09 CLIENTE\sgsrv09
    • Setspn –shost/sts.s.net CLIENTE\sgsrv09
    • Setspn –s http/sts.s.netCLIENTE\sgsrv09
    • Setspn –s host/sgsrv09CLIENTE\sgsrv09
    • Setspn –s host/sgsrv09.CLIENTE.comCLIENTE\sgsrv09
    6-3-Crear los SPN en la Cuenta del CRMAppPool en el Servidor de CRM, llamada para mi caso: appservicecrm:

    Para ver los spn registrados: Setspn -l s\appservicecrm. Borrar todos los existan y crear los nuevos:

    Nota: Esto hay que hacerlo por todas las organizaciones: TKIPO,S,DESARROLLO

    • Setspn –s http/tkipo.CLIENTE.netCLIENTE\ appservicecrm
    • Setspn –s http/s.CLIENTE.netCLIENTE\ appservicecrm
    • Setspn –s http/desarrollo.CLIENTE.netCLIENTE\ appservicecrm
    • Setspn –s http/dev.CLIENTE.netCLIENTE\ appservicecrm
    • Setspn –s http/internalcrmpub.CLIENTE.netCLIENTE\ appservicecrm
    • Setspn –s http/auth.CLIENTE.netCLIENTE\ appservicecrm

    En conclusión,

    La solución fue :

    1-crear un Certificado *.CLIENTE.NET.

    2-Crear los respectivos DNS Hosts en el dominio CLIENTE .COM

    3-Crear los respectivos DNS ALIAS en el domiinio CLIENTE.NET

    4-Configurar el ADFS y el CRM todo con dominio CLIENTE.NET

    5-Finalmente poner los respectivos SPNS, el cualfue la solución al problema de los múltiples Logins, en una máquina diferente al servidor de CRM.


    Roxana Cevallos Q. -PARTNER-

    Wednesday, January 8, 2014 4:09 PM