locked
Multiple Logins Prompts-Claim Based Authentication- CRM 2011 RRS feed

  • Question

  • Hello

    I have set the CRM to work with Claim Based Authentication.

    The CRM works OK in the Server,

    But when I test it on other computers, multiple Login Windows Appears, and finally: 401 "Not Authorized" Error is shown.

    Please your help.

    Thanks in advanced.


    Roxana Cevallos Q. -PARTNER-

    Tuesday, December 3, 2013 8:12 PM

Answers

  • Hello People

    Although it is in spanish, I hope its helpful for you:

    Cabe resaltar que, el escenario era el siguiente: Se tiene el Servidor de CRM, de Base de Datos, Active Directory, Exchange en el dominio s.com, sin embargo, como se tenía que publicar el CRM en el dominio s.net, entonces se configuraron las entradas DNS de la siguiente manera:

    1-DNS ips Internas: S.com

    DNS

    IPS

    USO

    sts.s.com

    172.16.1.XXX

    Para el CLAIM-Based Authentication. ADFS Server.

    auth.s.com

    172.16.1.XXX

    IFD Federation EndPoint. Para el Web Application Server Role. A especificar en el Configuration Wizard.

    dev. s.com

    172.16.1.XXX

    Para el Discovery Web Service Role. A especificar en el Configuration Wizard.

    scrm.s.com

    172.16.1.XXX

    El registro para cada Microsoft Dynamics CRM Organization, para navegar en cada organización, a nivel EXTERNO.

    Internalcrmpub.s.com

    172.16.1.XXX

    El registro para cada Microsoft Dynamics CRM Organization, para navegar en cada organización, INTERNO.

    Configuración de las DNS para la Publicación en el DNS del Dominio Externo:

    DNS

    Alias

    USO

    auth

    172.16.1.XXX

    dev

    172.16.1.XXX

    Scrm

    172.16.1.XXX

    Sgsrv09

    172.16.1.XXX

    sts

    172.16.1.XXX

    Este error fue resuelto de la siguiente manera:

    2-Se generó el certificado para dominio: *.S.NET, porque es el que se va a exponer en el internet.

    3-Se instala el CRM, ADFS todo con dominio: "s.net"

    4-Se configuró el CRM en Claim Based Authentication de la siguiente manera:

    En el MS Dynamics Deployment Manager poner el Claim-Based Authentication.

    DNS

    IPS

    USO

    Internalcrmpub.s.net

    172.16.1.xxx

    El registro para cada Microsoft Dynamics CRM Organization, para navegar en cada organización, INTERNO.

    5-Después de terminar la configuración, comprobar los xml de sts y del auth.

    https://sts.s.net/federationmetadata/2007-06/federationmetadata.xml

    https://auth.s.net/federationmetadata/2007-06/federationmetadata.xml

    6-Probar el CRM dentro y fuera del Servidor de CRM. Si fuera del Servidor de RM pide múltiples logins entonces realizar

    6-1-Visualizar los SPN en la Cuenta del Servidor (Que es el mismo Servidor):

    Para ver los spn registrados: Setspn -l s\sgsrv09

    6-2-Crear los SPN en la Cuenta del Servidor (Que es el mismo Servidor), EN EL Servidor de CRM: sgsrv09. Borrar todos los existan y crear los nuevos: Setspn –s http/sgsrv09.s.com s\sgsrv09

    ü Setspn –s http/sgsrv09 s\sgsrv09

    ü Setspn –s host/sts.s.net s\sgsrv09

    ü Setspn –s http/sts.s.net s\sgsrv09

    ü Setspn –s host/sgsrv09 s\sgsrv09

    ü Setspn –s host/sgsrv09.s.com s\sgsrv09

    6-3-Crear los SPN en la Cuenta del CRMAppPool en el Servidor de CRM:

    Para ver los spn registrados: Setspn -l s\appservicecrm. Borrar todos los existan y crear los nuevos:

    Nota: Esto hay que hacerlo por todas las organizaciones: TKIPO,S,DESARROLLO

    ü Setspn –s http/tkipo.s.net s\ appservicecrm

    ü Setspn –s http/s.s.net s\ appservicecrm

    ü Setspn –s http/desarrollo.s.net s\ appservicecrm

    ü Setspn –s http/dev.s.net s\ appservicecrm

    ü Setspn –s http/internalcrmpub.s.net s\ appservicecrm

    ü Setspn –s http/auth.s.net s\ appservicecrm

    En conclusión, después de la Creación de SPN fue la solución al problema de los múltiples Logins, en una máquina diferente al servidor de CRM.


    Roxana Cevallos Q. -PARTNER-

    Wednesday, January 8, 2014 4:05 PM

All replies

  • Please verify your credentials. !!!

    If this post answers your question, please click "Mark As Answer" on the post and "Mark as Helpful"

    • Proposed as answer by DynamicsCRM31 Thursday, January 2, 2014 10:49 AM
    Thursday, January 2, 2014 10:49 AM
  • Hello People

    Although it is in spanish, I hope its helpful for you:

    Cabe resaltar que, el escenario era el siguiente: Se tiene el Servidor de CRM, de Base de Datos, Active Directory, Exchange en el dominio s.com, sin embargo, como se tenía que publicar el CRM en el dominio s.net, entonces se configuraron las entradas DNS de la siguiente manera:

    1-DNS ips Internas: S.com

    DNS

    IPS

    USO

    sts.s.com

    172.16.1.XXX

    Para el CLAIM-Based Authentication. ADFS Server.

    auth.s.com

    172.16.1.XXX

    IFD Federation EndPoint. Para el Web Application Server Role. A especificar en el Configuration Wizard.

    dev. s.com

    172.16.1.XXX

    Para el Discovery Web Service Role. A especificar en el Configuration Wizard.

    scrm.s.com

    172.16.1.XXX

    El registro para cada Microsoft Dynamics CRM Organization, para navegar en cada organización, a nivel EXTERNO.

    Internalcrmpub.s.com

    172.16.1.XXX

    El registro para cada Microsoft Dynamics CRM Organization, para navegar en cada organización, INTERNO.

    Configuración de las DNS para la Publicación en el DNS del Dominio Externo:

    DNS

    Alias

    USO

    auth

    172.16.1.XXX

    dev

    172.16.1.XXX

    Scrm

    172.16.1.XXX

    Sgsrv09

    172.16.1.XXX

    sts

    172.16.1.XXX

    Este error fue resuelto de la siguiente manera:

    2-Se generó el certificado para dominio: *.S.NET, porque es el que se va a exponer en el internet.

    3-Se instala el CRM, ADFS todo con dominio: "s.net"

    4-Se configuró el CRM en Claim Based Authentication de la siguiente manera:

    En el MS Dynamics Deployment Manager poner el Claim-Based Authentication.

    DNS

    IPS

    USO

    Internalcrmpub.s.net

    172.16.1.xxx

    El registro para cada Microsoft Dynamics CRM Organization, para navegar en cada organización, INTERNO.

    5-Después de terminar la configuración, comprobar los xml de sts y del auth.

    https://sts.s.net/federationmetadata/2007-06/federationmetadata.xml

    https://auth.s.net/federationmetadata/2007-06/federationmetadata.xml

    6-Probar el CRM dentro y fuera del Servidor de CRM. Si fuera del Servidor de RM pide múltiples logins entonces realizar

    6-1-Visualizar los SPN en la Cuenta del Servidor (Que es el mismo Servidor):

    Para ver los spn registrados: Setspn -l s\sgsrv09

    6-2-Crear los SPN en la Cuenta del Servidor (Que es el mismo Servidor), EN EL Servidor de CRM: sgsrv09. Borrar todos los existan y crear los nuevos: Setspn –s http/sgsrv09.s.com s\sgsrv09

    ü Setspn –s http/sgsrv09 s\sgsrv09

    ü Setspn –s host/sts.s.net s\sgsrv09

    ü Setspn –s http/sts.s.net s\sgsrv09

    ü Setspn –s host/sgsrv09 s\sgsrv09

    ü Setspn –s host/sgsrv09.s.com s\sgsrv09

    6-3-Crear los SPN en la Cuenta del CRMAppPool en el Servidor de CRM:

    Para ver los spn registrados: Setspn -l s\appservicecrm. Borrar todos los existan y crear los nuevos:

    Nota: Esto hay que hacerlo por todas las organizaciones: TKIPO,S,DESARROLLO

    ü Setspn –s http/tkipo.s.net s\ appservicecrm

    ü Setspn –s http/s.s.net s\ appservicecrm

    ü Setspn –s http/desarrollo.s.net s\ appservicecrm

    ü Setspn –s http/dev.s.net s\ appservicecrm

    ü Setspn –s http/internalcrmpub.s.net s\ appservicecrm

    ü Setspn –s http/auth.s.net s\ appservicecrm

    En conclusión, después de la Creación de SPN fue la solución al problema de los múltiples Logins, en una máquina diferente al servidor de CRM.


    Roxana Cevallos Q. -PARTNER-

    Wednesday, January 8, 2014 4:05 PM