IFD + сертификаты в CRM 2011

[a33ik]

[QUOTE=scint;291946основные проблемы при подключении с помощью Outlook клиента связаны были с настройкой ADFS.[/QUOTE]

Для одного клиента всё взлетело, для другого - через веб работает, через Outlook нет. Можете, пожалуйста, поподробнее рассказать в чём заключалась проблема?

[scint]

Если один из вне полностью доступ имеет, а у другого Outlook клиент не подключается, то
серверная часть как Вы понимаете не при чем.
Сертификаты на обоих компах установлены и в Root и в Personal (доверенные корневые центры/ личные)?
При доступе по web на обоих компах наблюдаете claims-based аутентификацию (формочка такая серая)?
И еще, компы в домене или нет? Возможно, что комп не может получить тикет для доступа в домен.

У меня была проблема, что компы не могли получить нормально тикет. Внешне это выражалось так. Пытаюсь завести новую организацию при конфигурировании Outlook клиента, он запрашивает у меня имя и пароль, а дальше получаю ошибку, что доступ запрещен. Оказалось, что проблемы была с неверной настройкой фаервола и часть траффика зарезалась.

Но в вашем случае как минимум одна машинка работает, а значит все в инфраструктуре хорошо(

Ищите разницу между клиентскими компами. Ну и посмотрите еще раз логи Outlook клиента

[a33ik]

Вероятно не совсем корректно выразился. У одного клиента (1-й IFD) всё заработало. У второго (другой клиент, другой сервер, другой IFD) не заработало. Разворачивал всё аналогично.

[-O_o-]

У меня были похожие проблемы.
Вот что писал админ:
1. [критично]убедиться что с машины на которой выполняется вход резолвятся имена зоны corp.ХХХ.ua, если машина в локальной сети то поставить днс сервером 192.168.ХХ.Х - на этом хосте находится зона. Для доступа извне
2. [необходимо]добавить в исключения браузера: https://*.corp.ХХХ.ua
3. [желательно для браузера и критично для аутглюка] сделать импорт сертификата corp-SERVAD-CA, обязательно положить в хранилище "Доверенные корневые центры сертификации".

Но у нас были проблемы с AD и DNS. Серваки и машины были в разных AD, с DNS тоже какие-то были проблемы.
Может поможет

[scint]

Понятно в таком случае кончено "идеального" решения не существует.
1. Добейтесь, чтобы internal acces заработал при включенной на сервере Claims-based аутентификации (проверьте, что сертификат установлен на CRM сервере, что разрешение к данному сертификату имеет учетная запись из под которой запущен iis app pool, ну то есть все в соответствии с ms). Статей много, но при настройке лично я использовал http://www.interactivewebs.com/blog/...-hosted-setup/ и вот это видео http://www.youtube.com/watch?v=ZD5qaa-G99E
2. После того, как заработает внутренний доступ, запустите IFD на CRM ну и настройте уже external access

Нюансов может быть много, но вот этими двумя шагами вы сможете отсечь проблемы связанные с внешними dns, правилами на ADFS и т.п. от просто внутренних (сертификат, работа ADFS с DC и т.п.)

[a33ik]

Я ж пишу. Доступ через браузер к IFD деплойменту есть. Т.е. проблемы с DNS, сертификатами и прочее не должны быть причиной неработоспособности.

При попытке подключить Outlook к CRM получаю следующую ошибку:

Код:

08:25:16|Verbose| Method entry: Microsoft.Crm.Application.Outlook.Config.ServerForm._testConnectionButton_Click
08:25:16|Verbose| Method entry: Microsoft.Crm.Application.Outlook.Config.ServerForm.TestConnection
08:25:16|Verbose| Method exit: Microsoft.Crm.Application.Outlook.Config.ServerForm.TestConnection
08:25:16|Verbose| Method exit: Microsoft.Crm.Application.Outlook.Config.ServerForm._testConnectionButton_Click
08:25:18|  Error| Error connecting to URL: https://something.com:444/XRMServices/2011/Discovery.svc Exception: System.InvalidOperationException: Metadata contains a reference that cannot be resolved: 'https://something.com:444/XRMServices/2011/Discovery.svc?wsdl'. ---> System.Net.WebException: The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel. ---> System.Security.Authentication.AuthenticationException: The remote certificate is invalid according to the validation procedure.
   at System.Net.Security.SslState.StartSendAuthResetSignal(ProtocolToken message, AsyncProtocolRequest asyncRequest, Exception exception)
   at System.Net.Security.SslState.CheckCompletionBeforeNextReceive(ProtocolToken message, AsyncProtocolRequest asyncRequest)
   at System.Net.Security.SslState.StartSendBlob(Byte[] incoming, Int32 count, AsyncProtocolRequest asyncRequest)
   at System.Net.Security.SslState.ProcessReceivedBlob(Byte[] buffer, Int32 count, AsyncProtocolRequest asyncRequest)
   at System.Net.Security.SslState.StartReadFrame(Byte[] buffer, Int32 readBytes, AsyncProtocolRequest asyncRequest)
   at System.Net.Security.SslState.StartReceiveBlob(Byte[] buffer, AsyncProtocolRequest asyncRequest)
   at System.Net.Security.SslState.CheckCompletionBeforeNextReceive(ProtocolToken message, AsyncProtocolRequest asyncRequest)
   at System.Net.Security.SslState.StartSendBlob(Byte[] incoming, Int32 count, AsyncProtocolRequest asyncRequest)
   at System.Net.Security.SslState.ProcessReceivedBlob(Byte[] buffer, Int32 count, AsyncProtocolRequest asyncRequest)
   at System.Net.Security.SslState.StartReadFrame(Byte[] buffer, Int32 readBytes, AsyncProtocolRequest asyncRequest)
   at System.Net.Security.SslState.StartReceiveBlob(Byte[] buffer, AsyncProtocolRequest asyncRequest)
   at System.Net.Security.SslState.CheckCompletionBeforeNextReceive(ProtocolToken message, AsyncProtocolRequest asyncRequest)
   at System.Net.Security.SslState.StartSendBlob(Byte[] incoming, Int32 count, AsyncProtocolRequest asyncRequest)
   at System.Net.Security.SslState.ProcessReceivedBlob(Byte[] buffer, Int32 count, AsyncProtocolRequest asyncRequest)
   at System.Net.Security.SslState.StartReadFrame(Byte[] buffer, Int32 readBytes, AsyncProtocolRequest asyncRequest)
   at System.Net.Security.SslState.StartReceiveBlob(Byte[] buffer, AsyncProtocolRequest asyncRequest)
   at System.Net.Security.SslState.CheckCompletionBeforeNextReceive(ProtocolToken message, AsyncProtocolRequest asyncRequest)
   at System.Net.Security.SslState.StartSendBlob(Byte[] incoming, Int32 count, AsyncProtocolRequest asyncRequest)
   at System.Net.Security.SslState.ForceAuthentication(Boolean receiveFirst, Byte[] buffer, AsyncProtocolRequest asyncRequest)
   at System.Net.Security.SslState.ProcessAuthentication(LazyAsyncResult lazyResult)
   at System.Net.TlsStream.CallProcessAuthentication(Object state)
   at System.Threading.ExecutionContext.Run(ExecutionContext executionContext, ContextCallback callback, Object state, Boolean ignoreSyncCtx)
   at System.Threading.ExecutionContext.Run(ExecutionContext executionContext, ContextCallback callback, Object state)
   at System.Net.TlsStream.ProcessAuthentication(LazyAsyncResult result)
   at System.Net.TlsStream.Write(Byte[] buffer, Int32 offset, Int32 size)
   at System.Net.PooledStream.Write(Byte[] buffer, Int32 offset, Int32 size)
   at System.Net.ConnectStream.WriteHeaders(Boolean async)
   --- End of inner exception stack trace ---
   at System.Net.HttpWebRequest.GetResponse()
   at System.ServiceModel.Description.MetadataExchangeClient.MetadataLocationRetriever.DownloadMetadata(TimeoutHelper timeoutHelper)
   at System.ServiceModel.Description.MetadataExchangeClient.MetadataRetriever.Retrieve(TimeoutHelper timeoutHelper)
   --- End of inner exception stack trace ---
   at System.ServiceModel.Description.MetadataExchangeClient.MetadataRetriever.Retrieve(TimeoutHelper timeoutHelper)
   at System.ServiceModel.Description.MetadataExchangeClient.ResolveNext(ResolveCallState resolveCallState)
   at System.ServiceModel.Description.MetadataExchangeClient.GetMetadata(MetadataRetriever retriever)
   at System.ServiceModel.Description.MetadataExchangeClient.GetMetadata(Uri address, MetadataExchangeClientMode mode)
   at Microsoft.Xrm.Sdk.Client.ServiceMetadataUtility.RetrieveServiceEndpointMetadata(Type contractType, Uri serviceUri, Boolean checkForSecondary)
   at Microsoft.Xrm.Sdk.Client.ServiceConfiguration`1..ctor(Uri serviceUri, Boolean checkForSecondary)
   at Microsoft.Xrm.Sdk.Client.ServiceConfigurationFactory.CreateConfiguration[TService](Uri serviceUri)
   at Microsoft.Crm.Outlook.ClientAuth.ClientAuthProvidersFactory`1.GetAuthProviderForDeployment(Uri endPoint, Credential credentials, Uri webEndPoint)
   at Microsoft.Crm.Application.Outlook.Config.DeploymentsInfo.DeploymentInfo.ValidateAuthProvider()
   at Microsoft.Crm.Application.Outlook.Config.DeploymentsInfo.SortAndValidateDeployments()
08:25:18|  Error| Exception : Metadata contains a reference that cannot be resolved: 'https://something.com:444/XRMServices/2011/Discovery.svc?wsdl'.    at Microsoft.Crm.Application.Outlook.Config.DeploymentsInfo.LoadOrganizations(AuthUIMode uiMode, Form parentWindow)
   at Microsoft.Crm.Application.Outlook.Config.ServerForm.LoadOrganizations(Boolean forceUI)
   at Microsoft.Crm.Application.Outlook.Config.ServerForm.<InitializeBackgroundWorkers>b__0(Object sender, DoWorkEventArgs e)
   at System.ComponentModel.BackgroundWorker.OnDoWork(DoWorkEventArgs e)
   at System.ComponentModel.BackgroundWorker.WorkerThreadStart(Object argument)
08:25:18|  Error| Exception : The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.    at System.Net.HttpWebRequest.GetResponse()
   at System.ServiceModel.Description.MetadataExchangeClient.MetadataLocationRetriever.DownloadMetadata(TimeoutHelper timeoutHelper)
   at System.ServiceModel.Description.MetadataExchangeClient.MetadataRetriever.Retrieve(TimeoutHelper timeoutHelper)

Я так понимаю, что причина ошибки следующая - The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.

Это может означать, что есть проблемы с сертификатом, но сертификат помещён в указанные хранилища компьютера, с которого запускаю Outlook (Личные и Доверенные центры сертификации). Возможно я упускаю что-либо?

[scint]

https://something.com:444/XRMService...overy.svc?wsdl

а эта ссылка из вне открывается вообще через браузер? и ошибок нет в IE?

Нужно добиться, чтобы с клиентской машины через IE был нормальный доступ, то есть без запроса типа "Ошибка в сертификате...." "Продолжить"

http://clip2net.com/s/5dLWXZ
http://clip2net.com/s/5dLYeV

Вопрос в том, что в IE вы можете нажать "Продолжить" и спокойно дальше проаутентифицироваться. При подключении по Outlook клиенту, это не прокатит. Не произойдет нормальной аутентификации при доступе к службе Discovery.svc.

Пока только такие мысли (

[Артем Enot Грунин]

Цитата:

Сообщение от a33ik

The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.

Обычно это возникает, по тем причинам, которые озвучили коллеги. Кривой сертификат, издатель которого не добавлен в доверенные, или имя узла не соответствует имени на которое выписан сертификат. Например, указано имя машины или IP, а сертификат выписан на полное доменное имя.

Так же, не забывай что Outlook ищет Discovery сервис. Убедись что он доступен по адресу. Возможно что-то криво настроено и IIS адресует страницу куда-то не туда.