Microsoft Dynamics CRM 2011 面向Internet部署 (IFD) ADFS虛擬機環境搭建的步驟(CRM與ADFS裝在同一台服務器上)

1: 安裝windows server 2008 R2 中文版 (過程略)

  安裝完成后設置機器名和IP地址, 本過程機器名 crm5dev,192.168.0.110 dns： 192.168.0.110（本機）

 

  Administrator/neu@crm123

 

2: 通過服務器管理器添加域服務,配置域服務器域名為crm5.lab.

 

 

 

 

 

 

 

 

 

 注意：使用高級模式安裝。

 

 

 

 

 

 

說明：服務器是windows server 2003 那么就選windows server 2003

服務器是windows server 2008 r2 最好選windows server 2008 r2

另外這里選windows server 2003也沒錯，到時安裝好可以升級到windows server 2008，也可以不升級。

 

 

選擇dns服務器

 

 

選擇是

 

 

 

 

 

密碼 neu@crm123

 

3：通過服務器管理器添加 證書服務/IIS服務。

 

 

 

選擇證書頒發機構

 

 

 

 

 

 

輸入CA的公用名稱：

 

 

 

 

 

4：添加 證書服務角色 的角色服務：

（需要先安裝證書服務角色，才能安裝其他證書服務角色的角色服務）

 

 

 

 

 

 

 

安裝完成后，在瀏覽器地址輸入：http://crm5dev/certsrv/,輸入用戶名和密碼后，可以看到證書注冊的界面了：

 

 

5： 為adfs申請通配符證書：

 

1) 在iis服務器管理器，選中 服務器 ，在右側功能區 選則  服務器證書：

 

 選擇 “打開功能”：

 

 

 選擇創建證書申請：

 

 

 這里，名稱輸入 *.crm5.lab，表示通配符證書，crm5.lab是使用證書的服務器的域名。

 

 

 

為證書申請保存一個文件（這個文件內容后面會用到）

 

 

 

 

回到IE瀏覽器，輸入http://crm5dev/certsrv/

 

 

 選擇 申請證書：

 

 

選擇高級證書申請：

 

 選擇：

使用 base64 編碼的 CMC 或 PKCS #10 文件提交 一個證書申請，或使用 base64 編碼的 PKCS #7 文件續訂證書申請。

 

 

 

將前面保存的文件（crm5cert.txt,可用記事本打開）中的文本內容復制到 “保存的申請”的 多行文本中：

證書模板 選擇 web服務器：

 

然后提交

 

 

 

點擊下載證書：

 

 

保存證書到本地 。

 

回到 iis 管理器，在服務器證書 操作 選擇 “完成證書申請”：

 

 

 

 選擇 剛才下載的證書，並取個名字(general.crm5.lab，帶域名)：

 

 

然后將 default web  site 的 https 綁定 證書 改為 剛才完成的證書：

 

選擇 default web site ,右鍵 編輯綁定，選擇 https ， 點擊編輯，選擇 ssl 證書：（ 這個證書在安裝adfs時使用該證書）

  

 

說明配置證書服務其實沒什么很大的作用，如果本身有證書的話，可以直接通過IIS導入證書，那么不要步驟3,4,5，但是證書綁定網站還是需要。

6：下載並安裝adfs：

（應該是可以通過 服務器管理器 添加 聯合驗證服務 ，但是通過添加角色沒找到 adfs管理器）

 下載地址：http://www.microsoft.com/zh-cn/download/details.aspx?id=10909

安裝：

 

 

選擇“聯合服務器”，

安裝完成后重啟，

 

配置 ADFS 服務器：（通過 管理工具 adfs 2.0 管理）

 

 

 配置向導：

 

 

 創建新的聯合驗證服務：

 

 選擇 獨立聯合服務器：

 

 

 

輸入 聯合驗證服務名稱 sts1.crm5.lab，機器名sts1不能與crm服務的機器名相同。 

完成安裝。

在dns 添加 計算器 sts1：管理工具-> dns->crm5.lab->新建主機：

 

 

 

在瀏覽器地址欄輸入：

https://sts1.crm5.lab/federationmetadata/2007-06/federationmetadata.xml(這里如果上不去的話可以用機器名+域名)

看到下面的結果：

 

 

7：安裝sqlserver、mscrm2011中文版

 

1）  安裝sqlserver2008

 

 

 

 

 

 JD8Y6-HQG69-P9H84-XDTPG-34MBB

驗證過程提示防火牆，通過控制面板 windows防火牆，把防火牆都關了。

選擇組件時全選：

 

 

 

 

 

 使用相同賬戶（域管理員）密碼：neu@crm123

 

說明補充:

Sql server Reporting services :最好選NET SERVICES

其他的可以選crm5\administrator.

或者都選NET SERVICES。

 

 混合模式，添加當前用戶

 

 添加當前用戶

 

選擇 安裝但不配置報表服務器

      安裝補丁后，配置報表服務器，如果此時選擇安裝本本機模式默認配置，在crm2011安裝驗證會提示reportserver不能通過，估計是sqlserver版本問題。在此處安裝報表服務器，報表服務器數據庫應該存儲了報表服務器的版本，這個版本比打補丁后的版本低。

2）  安裝sqlserver2008補丁（SQL Server 2008 Service Pack 1） 下載：http://www.microsoft.com/zh-cn/download/details.aspx?id=20302

3）  配置報表服務器數據庫；

Report services 配置管理器

 

 

 

 

 

 

 

 

測試報表服務器：

 

 注意：windows sql server 2008 r2 那么可以不需要另外再配置報表服務器。安裝的時候選擇默認的就OK了。

 

8：安裝crm2011中文版

1）  安裝前的准備：

安裝 dotnetfx40_full_x86_x64　http://www.microsoft.com/zh-cn/download/details.aspx?id=17718

安裝：reportviewer　　　　　　　http://www.microsoft.com/zh-cn/download/details.aspx?id=6576

安裝：windowsazureappfabricsdk（這個版本可能有點問題，安裝crm2011時還是檢查未安裝，需要聯網下載更新）

http://www.microsoft.com/en-us/download/details.aspx?id=27421

 

2：安裝crm2011

安裝時要保證虛擬機能直接訪問外網，以便檢查並下載更新

MQM2H-JYYRB-RRD6J-8WBBC-CVBD3

36D7J-FR6QG-JXPF6-H449P-2P6RR

 

 

 

 

 

 

 

 

 

 

 

 

 

安裝完成

 

安裝reporting extensions

 

 

 

 

 

 

 安裝完成

9：配置內部Claims-based Authentication模式

1：配置CRM Server

1）設置綁定 https

 通過crm 部署管理器：

 

 

選擇站點“miscrosoft dynamics crm，右鍵 “屬性”，選擇 web地址：

 

選擇綁定類型為https，

在各服務欄輸入：internal.crm5.lab:8081（注意：最好用帶域名的方式），端口號不要用默認的https端口 。

 

另外，通過 iis管理器為 crm 站點添加 https 綁定：

 

 

證書選擇 前面申請的通配符證書 generalca.crm5.lab

 

注意需要在dns 添加計算機 internal：

 

 

2）配置基於聲明的身份驗證

在crm部署管理器，操作菜單欄選擇：配置基於聲明的身份驗證：

 

 

 

在聯合元數據欄輸入：

https://sts1.crm5.lab/federationmetadata/2007-06/federationmetadata.xml（注意https://sts1.crm5.lab/ 為 adfs服務器名）

 

 

選擇證書：

 

選擇 generalca.crm5.lab （與 adfs https 證書相同的證書）

 

 

3）

 

 完成。

 

2：配置adfs

1）配置adfs的信賴方

通過 adfs2.0 管理

 

 選擇信賴方信任，右鍵 添加信賴方信任：

 

 

 

 https://internal.crm5.lab:8081

 

 

 

 

 

 

添加轉換規則：

1）

 

 

2)

 

 

3)

 

 

三個規則完成后；

 

 

2）配置聲明提供方信任：

 

 

 選擇 active directory ，右鍵編輯 申明規則：

 

點擊 添加規則：

 

 

 輸入名稱，選擇特性存儲 以及 特性到傳出聲明類型的映射：

 

 

3) 注冊adfs為spn

you may need register the AD FS 2.0 server as a ServicePrincipalName (SPN):

setspn -a http/sts1.crm5.lab  crm5\crm5dev （這一步不能少）

其中 sts1.crm5.lab為adfs服務名，crm5為域名，crm5dev為crm服務器名

 

iisreset

3：驗證

 

 

輸入地址 https://internal.crm5.lab:8081/

彈出用戶密碼對話框：（這個地方不清楚為什么還是這種對話框方式）

 

輸入管理員用戶密碼，出現crm界面

 

 測試基於聲明的認證方式的內網訪問

 

10：配置外部Claims-based Authentication模式

 

配置好內部基於聲明的授權模式之后，才可以配置外部的基於聲明的授權模式

 

1：配置crm server

在crm部署管理器，操作菜單欄選擇：配置面向internet的部署

 

 

 

 

crm5.lab:8081

crm5.lab:8081

dev.crm5.lab:8081

其中 crm5.lab為域名，8081為https綁定端口

 

輸入：neu.crm5.lab:8081，其中 neu為crm安裝配置時的組織名，也就是內部訪問時的子路徑：

 

 

在dns添加主機：dev、neu；

 

2：配置adfs信賴方

 

這個過程與配置內部的基於聲明的授權模式基本一致，就是信賴方元數據應對應外部訪問的url

1）配置adfs的信賴方

通過 adfs2.0 管理

 

 

 

選擇信賴方信任，右鍵 添加信賴方信任：

 

 

 

https://neu.crm5.lab:8081

 

 

 

 

 

 

 

 

添加轉換規則：

 

 

1）

 

 

 

2)

 

 

3)

 

 

三個規則完成后；

 

3：驗證

 

在瀏覽器地址欄輸入：https://neu.crm5.lab:8081后出現如下登錄界面：

 

 

 

輸入域管理員用戶名密碼后，進入crm界面；

 

Ok，宣告成功。

說明：虛擬機上搭建環境或多或少可能會出現很多問題，直接在服務器上安裝問題要少些，還有配置IFD 環境必須先配置Claims-based Authentication模式。

配置IFD的關鍵就是安裝ADFS 2.0軟件。

？拓展：這里CRM與ADFS裝在同一台服務器上，大家可以考慮CRM與ADFS不裝在同一台服務器上，安裝在多台服務器上，比如CRM安裝在一個服務器上，ADFS安裝在一台服務器上，分散處理，可以減輕服務器的壓力（負載）。