Понятно в таком случае кончено "идеального" решения не существует.
1. Добейтесь, чтобы internal acces заработал при включенной на сервере Claims-based аутентификации (проверьте, что сертификат установлен на CRM сервере, что разрешение к данному сертификату имеет учетная запись из под которой запущен iis app pool, ну то есть все в соответствии с ms). Статей много, но при настройке лично я использовал
http://www.interactivewebs.com/blog/...-hosted-setup/ и вот это видео
http://www.youtube.com/watch?v=ZD5qaa-G99E
2. После того, как заработает внутренний доступ, запустите IFD на CRM ну и настройте уже external access
Нюансов может быть много, но вот этими двумя шагами вы сможете отсечь проблемы связанные с внешними dns, правилами на ADFS и т.п. от просто внутренних (сертификат, работа ADFS с DC и т.п.)