Internet-Facing Deployment für CRM2013
11. Januar 2015 17:27
Hallo Zusammen,
Ich habe ein etwas kniffeliges Problem. Ich habe CRM2013 in Verbindung mit ADFS und WAP installiert, um CRM über eine öffentliche IP im WAN zur Verfügung zu stellen.
Nur leider habe ich nicht daran gedacht, die internen Verweise während der Installation auf die öffentlich Domain einzurichten. Es läuft zwar, auch das ADFS und Internet-Facing Deployment, nur leider alles mit der internen Domain. Ziel war es, eine CRM-Installation bereit zu stellen, bei der drei Server (SQL, CRM und ADFS/DC) in einer separaten Domain, dem Backend, stehen und der ADFS-Proxy (WAP) in der DMZ.
Nun hatte ich gedacht, es würde ausreichen, die öffentliche IP mit der öffentlichen Domain zu verknüpfen und diese öffentlich IP auf die interne IP des CRM-Servers zu naten. Allerdings besteht dann das Problem der anderen drei Adressen, die nicht aufgelöst werden können, also dev, auth und adfs..
Nun habe ich mir überlegt, einen Apache Webserver auf dem Proxy zu installieren und auf diesem auch noch einen BIND-Server. Die öffentliche Domain wird wie geplant mit der öffentlichen IP verknüpft, und diese IP wird auf die interne IP des ADFS-Proxys genatet. Der Apache leitet die Anfrage dann auf die interne Domain der CRM-Installation um. Die restlichen Namenseinträge holt er sich von dem auf dem gleichen Server installierten Nameserver (BIND). Würde das funktionieren?
Was gäbe es sonst noch für Möglichkeiten? Evtl. sämtliche Verweise auf die neue Domain umstellen? Ist das nachträglich überhaupt so einfach möglich oder kann ich mir die Installation damit komplett zerschießen? Ist auch eine zweite öffentliche IP notwendig, die auf den ADFS-Server zeigt oder reicht eine öffentliche IP aus?
Bin für jede Hilfe/Anregung äußerst dankbar.
Viele Grüße
danielpi
Ich habe ein etwas kniffeliges Problem. Ich habe CRM2013 in Verbindung mit ADFS und WAP installiert, um CRM über eine öffentliche IP im WAN zur Verfügung zu stellen.
Nur leider habe ich nicht daran gedacht, die internen Verweise während der Installation auf die öffentlich Domain einzurichten. Es läuft zwar, auch das ADFS und Internet-Facing Deployment, nur leider alles mit der internen Domain. Ziel war es, eine CRM-Installation bereit zu stellen, bei der drei Server (SQL, CRM und ADFS/DC) in einer separaten Domain, dem Backend, stehen und der ADFS-Proxy (WAP) in der DMZ.
Nun hatte ich gedacht, es würde ausreichen, die öffentliche IP mit der öffentlichen Domain zu verknüpfen und diese öffentlich IP auf die interne IP des CRM-Servers zu naten. Allerdings besteht dann das Problem der anderen drei Adressen, die nicht aufgelöst werden können, also dev, auth und adfs..
Nun habe ich mir überlegt, einen Apache Webserver auf dem Proxy zu installieren und auf diesem auch noch einen BIND-Server. Die öffentliche Domain wird wie geplant mit der öffentlichen IP verknüpft, und diese IP wird auf die interne IP des ADFS-Proxys genatet. Der Apache leitet die Anfrage dann auf die interne Domain der CRM-Installation um. Die restlichen Namenseinträge holt er sich von dem auf dem gleichen Server installierten Nameserver (BIND). Würde das funktionieren?
Was gäbe es sonst noch für Möglichkeiten? Evtl. sämtliche Verweise auf die neue Domain umstellen? Ist das nachträglich überhaupt so einfach möglich oder kann ich mir die Installation damit komplett zerschießen? Ist auch eine zweite öffentliche IP notwendig, die auf den ADFS-Server zeigt oder reicht eine öffentliche IP aus?
Bin für jede Hilfe/Anregung äußerst dankbar.
Viele Grüße
danielpi
Re: Internet-Facing Deployment für CRM2013
12. Januar 2015 17:05
Hallo Zusammen,
In meiner letzten Überlegung hatte ich einen Denkfehler.
Ich hatte übersehen, dass man im ADFS-Proxy auch eine andere externe URL eintragen kann und diese auf die interne URL weiterleitet.
Dies habe ich nun gemacht. Doch noch nun habe ich das Problem, dass der Client die interne URL nicht aufrufen kann, weil unbekannt, was soweit ja auch logisch ist, da kein Record vorhanden.
Wenn ich die URL-Übersetzung auf dem Proxy deaktiviere, sehe ich in der Adresszeile die extern erreichbare URL. Diese bringt aber auch ein 404-Error.
Dabei dachte ich, dass sämtliche Anfragen über den Proxy und wieder zurück geleitet werden.
Dann sollte es doch ausreichen nur die externen URLs erreichbar zu machen.
Wozu dann noch die internen URLs?
Ich vermute, ich muss noch irgendwo eine Konfiguration setzen. Nur wo?
Hat hier jemand schon etwas erfolgreich umgesetzt?
Besten Dank für eure Hilfe
Grüße danielpi
In meiner letzten Überlegung hatte ich einen Denkfehler.
Ich hatte übersehen, dass man im ADFS-Proxy auch eine andere externe URL eintragen kann und diese auf die interne URL weiterleitet.
Dies habe ich nun gemacht. Doch noch nun habe ich das Problem, dass der Client die interne URL nicht aufrufen kann, weil unbekannt, was soweit ja auch logisch ist, da kein Record vorhanden.
Wenn ich die URL-Übersetzung auf dem Proxy deaktiviere, sehe ich in der Adresszeile die extern erreichbare URL. Diese bringt aber auch ein 404-Error.
Dabei dachte ich, dass sämtliche Anfragen über den Proxy und wieder zurück geleitet werden.
Dann sollte es doch ausreichen nur die externen URLs erreichbar zu machen.
Wozu dann noch die internen URLs?
Ich vermute, ich muss noch irgendwo eine Konfiguration setzen. Nur wo?
Hat hier jemand schon etwas erfolgreich umgesetzt?
Besten Dank für eure Hilfe
Grüße danielpi
Re: Internet-Facing Deployment für CRM2013
13. Januar 2015 10:53
Hi,
habt ihr vllt noch in der HostFile etwas eingetragen, dass die falsche addresse aufgerufen wird?
Grüße
gE3z
habt ihr vllt noch in der HostFile etwas eingetragen, dass die falsche addresse aufgerufen wird?
Grüße
gE3z
Re: Internet-Facing Deployment für CRM2013
18. Januar 2015 12:54
Hi gE3z,
Ich habe das Problem gelöst wie folgt:
Die Umgebung auf die neue Domäne konfiguriert. Dazu muss die ADFS-Rolle nur deinstalliert und wieder installiert werden. Dann kann man den Konfigurationsassistent neu starten und das ADFS auf eine neue Domäne konfigurieren. Voraussetzung hierbei ist ein WildCard-Zertifikat, das auf die neue Domäne ausgestellt ist. Ansonsten kann man die identischen Schritte in der offiziellen Doku von MS zur CRM-Konfiguration für Internet-Facing Deployment durchführen.
Um die Umgebung von außen erreichbar zu machen, habe ich im öffentlichen DNS folgende Einträge:
- HOST-Record auf die IP des ADFS-Proxy
- CNAME-Records auf (auth, dev, adfs, CRM-Organisation) auf den zuvor konfigurierten HOST-Record
Des Weiteren muss die HOSTS-Datei des ADFS-Proxy angepasst werden. Denn dieser muss die bereits im öffentlichen DNS eingetragenen Namen auf die internen IP-Adressen auflösen können. Diese müssen wie folgt aussehen:
- auth, dev und CRM-Organisation --> CRM-Server
- adfs --> ADFS-Server
Und das war es auch schon.. Somit ist die CRM-Umgebung nun von außen erreichbar und läuft zudem unter einer gänzlich anderen Domäne, als die eigentliche AD-Domäne. CRM und das komplette AD kann so bestehen bleiben und muss nicht neu installiert werden. Lediglich die ADFS-Rolle und die Anspruchsbasierte Authentifizierung.
Grüße danielpi
Ich habe das Problem gelöst wie folgt:
Die Umgebung auf die neue Domäne konfiguriert. Dazu muss die ADFS-Rolle nur deinstalliert und wieder installiert werden. Dann kann man den Konfigurationsassistent neu starten und das ADFS auf eine neue Domäne konfigurieren. Voraussetzung hierbei ist ein WildCard-Zertifikat, das auf die neue Domäne ausgestellt ist. Ansonsten kann man die identischen Schritte in der offiziellen Doku von MS zur CRM-Konfiguration für Internet-Facing Deployment durchführen.
Um die Umgebung von außen erreichbar zu machen, habe ich im öffentlichen DNS folgende Einträge:
- HOST-Record auf die IP des ADFS-Proxy
- CNAME-Records auf (auth, dev, adfs, CRM-Organisation) auf den zuvor konfigurierten HOST-Record
Des Weiteren muss die HOSTS-Datei des ADFS-Proxy angepasst werden. Denn dieser muss die bereits im öffentlichen DNS eingetragenen Namen auf die internen IP-Adressen auflösen können. Diese müssen wie folgt aussehen:
- auth, dev und CRM-Organisation --> CRM-Server
- adfs --> ADFS-Server
Und das war es auch schon.. Somit ist die CRM-Umgebung nun von außen erreichbar und läuft zudem unter einer gänzlich anderen Domäne, als die eigentliche AD-Domäne. CRM und das komplette AD kann so bestehen bleiben und muss nicht neu installiert werden. Lediglich die ADFS-Rolle und die Anspruchsbasierte Authentifizierung.
Grüße danielpi