Answered by:
Multiple Logins Prompts-Claim Based Authentication- CRM 2011

Question
-
Hello
I have set the CRM to work with Claim Based Authentication.
The CRM works OK in the Server,
But when I test it on other computers, multiple Login Windows Appears, and finally: 401 "Not Authorized" Error is shown.
Please your help.
Thanks in advanced.
Roxana Cevallos Q. -PARTNER-
Tuesday, December 3, 2013 8:12 PM
Answers
-
Hello People
Although it is in spanish, I hope its helpful for you:
Cabe resaltar que, el escenario era el siguiente: Se tiene el Servidor de CRM, de Base de Datos, Active Directory, Exchange en el dominio s.com, sin embargo, como se tenía que publicar el CRM en el dominio s.net, entonces se configuraron las entradas DNS de la siguiente manera:
1-DNS ips Internas: S.com
DNS
IPS
USO
sts.s.com
172.16.1.XXX
Para el CLAIM-Based Authentication. ADFS Server.
auth.s.com
172.16.1.XXX
IFD Federation EndPoint. Para el Web Application Server Role. A especificar en el Configuration Wizard.
dev. s.com
172.16.1.XXX
Para el Discovery Web Service Role. A especificar en el Configuration Wizard.
scrm.s.com
172.16.1.XXX
El registro para cada Microsoft Dynamics CRM Organization, para navegar en cada organización, a nivel EXTERNO.
Internalcrmpub.s.com
172.16.1.XXX
El registro para cada Microsoft Dynamics CRM Organization, para navegar en cada organización, INTERNO.
Configuración de las DNS para la Publicación en el DNS del Dominio Externo:
DNS
Alias
USO
auth
172.16.1.XXX
dev
172.16.1.XXX
Scrm
172.16.1.XXX
Sgsrv09
172.16.1.XXX
sts
172.16.1.XXX
Este error fue resuelto de la siguiente manera:
2-Se generó el certificado para dominio: *.S.NET, porque es el que se va a exponer en el internet.
3-Se instala el CRM, ADFS todo con dominio: "s.net"
4-Se configuró el CRM en Claim Based Authentication de la siguiente manera:
En el MS Dynamics Deployment Manager poner el Claim-Based Authentication.
DNS
IPS
USO
Internalcrmpub.s.net
172.16.1.xxx
El registro para cada Microsoft Dynamics CRM Organization, para navegar en cada organización, INTERNO.
5-Después de terminar la configuración, comprobar los xml de sts y del auth.
https://sts.s.net/federationmetadata/2007-06/federationmetadata.xml
https://auth.s.net/federationmetadata/2007-06/federationmetadata.xml
6-Probar el CRM dentro y fuera del Servidor de CRM. Si fuera del Servidor de RM pide múltiples logins entonces realizar
6-1-Visualizar los SPN en la Cuenta del Servidor (Que es el mismo Servidor):
Para ver los spn registrados: Setspn -l s\sgsrv09
6-2-Crear los SPN en la Cuenta del Servidor (Que es el mismo Servidor), EN EL Servidor de CRM: sgsrv09. Borrar todos los existan y crear los nuevos: Setspn –s http/sgsrv09.s.com s\sgsrv09
ü Setspn –s http/sgsrv09 s\sgsrv09
ü Setspn –s host/sts.s.net s\sgsrv09
ü Setspn –s http/sts.s.net s\sgsrv09
ü Setspn –s host/sgsrv09 s\sgsrv09
ü Setspn –s host/sgsrv09.s.com s\sgsrv09
6-3-Crear los SPN en la Cuenta del CRMAppPool en el Servidor de CRM:
Para ver los spn registrados: Setspn -l s\appservicecrm. Borrar todos los existan y crear los nuevos:
Nota: Esto hay que hacerlo por todas las organizaciones: TKIPO,S,DESARROLLO
ü Setspn –s http/tkipo.s.net s\ appservicecrm
ü Setspn –s http/s.s.net s\ appservicecrm
ü Setspn –s http/desarrollo.s.net s\ appservicecrm
ü Setspn –s http/dev.s.net s\ appservicecrm
ü Setspn –s http/internalcrmpub.s.net s\ appservicecrm
ü Setspn –s http/auth.s.net s\ appservicecrm
En conclusión, después de la Creación de SPN fue la solución al problema de los múltiples Logins, en una máquina diferente al servidor de CRM.
Roxana Cevallos Q. -PARTNER-
- Marked as answer by Roxana Cevallos Wednesday, January 8, 2014 4:05 PM
Wednesday, January 8, 2014 4:05 PM
All replies
-
Please verify your credentials. !!!
If this post answers your question, please click "Mark As Answer" on the post and "Mark as Helpful"
- Proposed as answer by DynamicsCRM31 Thursday, January 2, 2014 10:49 AM
Thursday, January 2, 2014 10:49 AM -
Hello People
Although it is in spanish, I hope its helpful for you:
Cabe resaltar que, el escenario era el siguiente: Se tiene el Servidor de CRM, de Base de Datos, Active Directory, Exchange en el dominio s.com, sin embargo, como se tenía que publicar el CRM en el dominio s.net, entonces se configuraron las entradas DNS de la siguiente manera:
1-DNS ips Internas: S.com
DNS
IPS
USO
sts.s.com
172.16.1.XXX
Para el CLAIM-Based Authentication. ADFS Server.
auth.s.com
172.16.1.XXX
IFD Federation EndPoint. Para el Web Application Server Role. A especificar en el Configuration Wizard.
dev. s.com
172.16.1.XXX
Para el Discovery Web Service Role. A especificar en el Configuration Wizard.
scrm.s.com
172.16.1.XXX
El registro para cada Microsoft Dynamics CRM Organization, para navegar en cada organización, a nivel EXTERNO.
Internalcrmpub.s.com
172.16.1.XXX
El registro para cada Microsoft Dynamics CRM Organization, para navegar en cada organización, INTERNO.
Configuración de las DNS para la Publicación en el DNS del Dominio Externo:
DNS
Alias
USO
auth
172.16.1.XXX
dev
172.16.1.XXX
Scrm
172.16.1.XXX
Sgsrv09
172.16.1.XXX
sts
172.16.1.XXX
Este error fue resuelto de la siguiente manera:
2-Se generó el certificado para dominio: *.S.NET, porque es el que se va a exponer en el internet.
3-Se instala el CRM, ADFS todo con dominio: "s.net"
4-Se configuró el CRM en Claim Based Authentication de la siguiente manera:
En el MS Dynamics Deployment Manager poner el Claim-Based Authentication.
DNS
IPS
USO
Internalcrmpub.s.net
172.16.1.xxx
El registro para cada Microsoft Dynamics CRM Organization, para navegar en cada organización, INTERNO.
5-Después de terminar la configuración, comprobar los xml de sts y del auth.
https://sts.s.net/federationmetadata/2007-06/federationmetadata.xml
https://auth.s.net/federationmetadata/2007-06/federationmetadata.xml
6-Probar el CRM dentro y fuera del Servidor de CRM. Si fuera del Servidor de RM pide múltiples logins entonces realizar
6-1-Visualizar los SPN en la Cuenta del Servidor (Que es el mismo Servidor):
Para ver los spn registrados: Setspn -l s\sgsrv09
6-2-Crear los SPN en la Cuenta del Servidor (Que es el mismo Servidor), EN EL Servidor de CRM: sgsrv09. Borrar todos los existan y crear los nuevos: Setspn –s http/sgsrv09.s.com s\sgsrv09
ü Setspn –s http/sgsrv09 s\sgsrv09
ü Setspn –s host/sts.s.net s\sgsrv09
ü Setspn –s http/sts.s.net s\sgsrv09
ü Setspn –s host/sgsrv09 s\sgsrv09
ü Setspn –s host/sgsrv09.s.com s\sgsrv09
6-3-Crear los SPN en la Cuenta del CRMAppPool en el Servidor de CRM:
Para ver los spn registrados: Setspn -l s\appservicecrm. Borrar todos los existan y crear los nuevos:
Nota: Esto hay que hacerlo por todas las organizaciones: TKIPO,S,DESARROLLO
ü Setspn –s http/tkipo.s.net s\ appservicecrm
ü Setspn –s http/s.s.net s\ appservicecrm
ü Setspn –s http/desarrollo.s.net s\ appservicecrm
ü Setspn –s http/dev.s.net s\ appservicecrm
ü Setspn –s http/internalcrmpub.s.net s\ appservicecrm
ü Setspn –s http/auth.s.net s\ appservicecrm
En conclusión, después de la Creación de SPN fue la solución al problema de los múltiples Logins, en una máquina diferente al servidor de CRM.
Roxana Cevallos Q. -PARTNER-
- Marked as answer by Roxana Cevallos Wednesday, January 8, 2014 4:05 PM
Wednesday, January 8, 2014 4:05 PM