Настройка IFD CRM на Microsoft Forefront TMG 2010 Избранное

ТЕХНИЧЕСКИЕ РУКОВОДСТВА • (How to) • Настройка IFD CRM решения посредством Microsoft Forefront TMG 2010

Где используется:

Настройка публикации Microsoft CRM 2013

Назначение:

Публикация решения IFD CRM посредством Microsoft Forefront TMG 2010
Рис.1 (Сетевая топология CRM IFD и TMG)
Рис.1 (Сетевая топология CRM IFD и TMG)
  • Настройки окружения

    Данная статья охватывает вопросы конфигурирования Forefront Threat Management Gateway (TMG) 2010 как веб-шлюза для Microsoft Dynamics CRM Server 2013. Следующая сетевая топология (Рис.1) и пример IP адресов (Таблица 1) являются тестовыми лабораторными настройками, которые используются ниже. DNS записи не меняются на протяжении всего документа.

    Таблица 1
    Сетевой узел IP адрес Описание
    CRM Server 192.168.0.3 IP адрес сервера Microsoft Dynamics CRM.
    ADFS Server 192.168.0.2 IP адрес сервера AD FS.
    TMG Server
    Имеет три сетевые интерфейса
    • 192.168.0.1
    • 10.10.0.2
    • 10.10.0.3
    • IP адрес внутреннего сетевого узла.
    • Публичный IP адрес, используемый веб-приемником Forefront TMG для пересылки запросов службам федерации (ADFS).
    • Публичный IP адрес, используемый веб-приемником Forefront TMG для пересылки запросов серверу Microsoft Dynamics CRM.
    Внешний клиент 10.10.0.100 IP адрес внешнего клиентского компьютера, получающего доступ к данным Microsoft Dynamics CRM через Интернет. В промышленном окружении, этот IP адрес был бы получен от провайдера Интернет.
    Внутренний клиент 192.168.0.100 IP адрес внутреннего клиентского компьютера (далее не используется).
  • Создание Веб-приемников (Web-listeners)

    Веб-приемники слушают веб-запросы на определенной сети. Вы должны создать веб-приемники на двух публичных сетевых интерфейсах.

    Создайте веб-приемник для Microsoft Dynamics CRM server

    • Откройте консоль управления Forefront TMG. Нажмите Start, далее All Programs, далее Microsoft Forefront TMG, и затем Forefront TMG Management.
    • В дереве консоли Forefront TMG, разверните Forefront TMG (<Имя сервера>), и затем Firewall Policy.
    • Нажмите вкладку Toolbox, нажмите New, и потом Web Listener.
    • На странице Welcome to the New Web Listener Wizard, в поле Web listener name, печатайте CRMIFDWebListener (или что-то вам понятное), далее Next.
    • На странице Client Connection Security, проверьте что выбрано Require SSL secured connections with clients, и далее Next.
    • На страницеWeb Listener IP Addresses, под пунктом Listen for incoming Web request on these networks, нажмите External, и далее Select IP Addresses.
    • На странице External Network Listener IP Selection, нажмите Specified IP addresses on the Forefront TMG computer in the selected network, под пунктом Available IP Addresses, нажмите публичный адрес сервера Microsoft Dynamics CRM, нажмите Add, и затем OK. Для примера, 10.10.0.3.
    • На странице Web Listener IP Addresses, нажмите Next.
    • На странице Listener SSL Certificates, нажмите Select Certificate.
    • В окне Select Certificate, нажмите Select.
    ВНИМАНИЕ
    Вы должны иметь сертификат, установленный на сервере Forefront TMG (в разделе локального компьютера, персональное хранилище). Например, групповой сертификат *.contoso.com. Если вы работаете с Forefront TMG, в конфигурации массива с множеством узлов, тогда сертификат должен быть установлен на всех серверах массива Forefront TMG; или вы должны выбрать Assign a certificate for each IP address на странице Listener SSL Certificates.
    • На странице the Listener SSL Certificates, нажмите Next.
    • На странице Authentication Settings, в выпадающем списке Select how clients will provide credentials to Forefront TMG, нажмите No Authentication, и далее Next.
    • На странице Single Sign On Settings, нажмите Next.
    • На странице Completing the New Web Listener Wizard, подтвердите настройки, и затем Finish.
    • В консоли Forefront TMG, нажмите Apply для сохранения настроек и применения обновлений.
    • В окне Configuration Change Description, для Change description, печатайте Create Web Listener for CRM server, и далее Apply.
    • В окне Save Configuration Changes, проверьте, что обновления конфигурации были сохранены, и далее OK.

    Создайте веб-приемник для AD FS server

    • Откройте консоль управления Forefront TMG. Нажмите Start, далее All Programs, далее Microsoft Forefront TMG, и затем Forefront TMG Management.
    • В дереве консоли Forefront TMG, разверните Forefront TMG (<Имя сервера>), и затем Firewall Policy.
    • Нажмите вкладку Toolbox, нажмите New, и потом Web Listener.
    • На странице Welcome to the New Web Listener Wizard, в поле Web listener name, печатайте ADFSWebListener (или что-то вам понятное), далее Next.
    • На странице Client Connection Security, проверьте что выбрано Require SSL secured connections with clients, и далее Next.
    • На страницеWeb Listener IP Addresses, под пунктом Listen for incoming Web request on these networks, нажмите External, и далее Select IP Addresses.
    • На странице External Network Listener IP Selection, нажмите Specified IP addresses on the Forefront TMG computer in the selected network, под пунктом Available IP Addresses, нажмите публичный адрес сервера Microsoft Dynamics CRM, нажмите Add, и затем OK. Для примера, 10.10.0.2.
    • На странице Web Listener IP Addresses, нажмите Next.
    • На странице Listener SSL Certificates, нажмите Select Certificate.
    • В окне Select Certificate, нажмите Select.
    ВНИМАНИЕ
    Вы должны иметь сертификат, установленный на сервере Forefront TMG (в разделе локального компьютера, персональное хранилище). Например, групповой сертификат *.contoso.com. Если вы работаете с Forefront TMG, в конфигурации массива с множеством узлов, тогда сертификат должен быть установлен на всех серверах массива Forefront TMG; или вы должны выбрать Assign a certificate for each IP address на странице Listener SSL Certificates.
    • На странице the Listener SSL Certificates, нажмите Next.
    • На странице Authentication Settings, в выпадающем списке Select how clients will provide credentials to Forefront TMG, нажмите No Authentication, и далее Next.
    • На странице Single Sign On Settings, нажмите Next.
    • На странице Completing the New Web Listener Wizard, подтвердите настройки, и затем Finish.
    • В консоли Forefront TMG, нажмите Apply для сохранения настроек и применения обновлений.
    • В окне Configuration Change Description, для Change description, печатайте Create Web Listener for ADFS server, и далее Apply.
    • В окне Save Configuration Changes, проверьте, что обновления конфигурации были сохранены, и далее OK.
  • Создайте правила веб-публикации

    Далее необходимо создать правила веб-публикации чтобы разрешить внешний доступ к серверам Microsoft Dynamics CRM и AD FS.

    Создайте правило веб-публикации для Microsoft Dynamics CRM

    • 1. В дереве консоли Forefront TMG раскройте Forefront TMG (<Имя сервера>), и затем нажмите Firewall Policy.
    • 2. Нажмите вкладку Tasks, и далее ниже Firewall Policy Tasks, нажмите Publish Web Sites.
    • 3. На страницеWelcome to the New Web Publishing Rule Wizard, в поле Web publishing rule name, печатайте CRMIFDOrgPubRule, далее Next.
    • 4. На странице Select Rule Action, нажмите Allow, и затем Next.
    • 5. На странице Publishing Type, нажмите Publish a single Web site or load balancer, и затем Next.
    • 6. На странице Server Connection Security, нажмите Use SSL to connect to the published Web server or server farm, и далее нажмите Next.
    • 7. На странице Internal Publishing Details, для Internal site name, напечатайте название организации (как она называется в Microsoft CRM), и далее Next. например: orgname.contoso.com
    • 8. Оставьте Path (optional) пустым, и далее Next.
    • 9. На странице Public Name Details, для Public name, введите название вашей организации Microsoft Dynamics CRM, и затем нажмите Next. Например: orgname.contoso.com
    • 10. На странице Select Web Listener, в выпадающем списке Web listener, нажмите Microsoft Dynamics CRM Web listener, и далее Next. Например, CRMIFDWebListener
    • 11. На странице Authentication Delegation, в списке Select the method used by ForeFront TMG to authenticated to the published Web server, выберите No delegation, but client may authenticate directly, и затем нажмите Next.
    • 12. На странице User Sets, проверьте что установлено All Users, и далее Next.
    • 13. На странице Completing the New Web Publishing Rule Wizard, проверьте конфигурацию, и нажмите Finish.
    • 14. В окне Configuration Change Description, для Change description, напечатайте Create web publishing rule for CRM organization, и нажмите Apply.
    • 15. В окне Save Configuration Changes, проверьте что изменения конфигурации были сохранены, и далее OK.

    Создайте правило веб-публикации для точки соединения федерации Microsoft Dynamics CRM

    Чтобы создать правило веб-публикации для точки соединения федерации, повторите шаги выше с изменениями ниже.

    Таблица 2
    Шаг Изменение
    3. Название правила публикации: AuthPubRule (или что-то осмысленное)
    7. Внутреннее имя сайта: <ваша точка федерации> (например: auth.contoso.com)
    9. Публичное имя: <ваша точка федерации> (например, auth.contoso.com)

    Создайте правило веб-публикации для домена службы раскрытия Microsoft Dynamics CRM

    Чтобы создать правило веб-публикации для службы Discovery, повторите шаги выше с изменениями ниже.

    Таблица 3
    Шаг Изменение
    3. Название правила публикации: DevPubRule (или что-то осмысленное)
    7. Внутреннее имя сайта: <домен службы раскрытия(discovery)> (Например: dev.contoso.com)
    9. Публичное имя: <ваш домен службы раскрытия(discovery)> (Например, dev.contoso.com)

    Создайте правило веб-публикации для AD FS

    Чтобы создать правило веб-публикации для AD FS, повторите шаги выше с изменениями ниже.

    Таблица 4
    Шаг Изменение
    3. Название правила публикации: ADFSPubRule (или что-то осмысленное)
    7. Внутреннее имя сайта: <ваш AD FS сервер > (Например: sts1.contoso.com)
    9. Публичное имя: <ваш AD FS сервер> (Например, sts1.contoso.com)
    10. Веб-приемник: <ваш AD FS веб-приемник> (Например, ADFSWebListener)
  • Дополнительная конфигурация

    Выполните следующие настройки Forefront TMG. Для каждого из 4-х правил веб-публикации, которые вы сделали ранее:

    • Правый щелчок на правиле, и далее нажмите Configure HTTP.
    • Под разделом URL Protection, снимите галочки Verify normalization и Block high bit characters, и далее OK.

    Настройте компрессию HTTP для сервера Microsoft Dynamics CRM.

    • В дереве консоли Forefront TMG, раскройте Forefront TMG (<имя сервера>), и затем нажмите Web Access Policy.
    • Нажмите вкладку Tasks, нажмите Configure HTTP Compression, и затем вкладку Request Compressed Data.

    Добавьте ваш сервер Microsoft Dynamics CRM к первому списку, и далее OK.

  • АЛЬТЕРНАТИВЫ и ВОЗМОЖНОСТИ

    • Несмотря на то, что в данном примере рассматривалось применение 2-х веб-приемников (для служб федерации AD FS и служб Microsoft CRM), на практике можно создать один веб-приемник, который будет принимать весь трафик для решения CRM, направленного в Интернет. Этот вариант будет полезен в случае если ваша компания имеет только один публичный IP адрес Интернет и нет никакой возможности использования второго адреса. Единственное отличие в настройке будет - указать в правиле публикации сервиса AD FS другой веб-приемник.
    • Для усиления безопасности рекомендуется не публиковать AD FS сервер, а установить AD FS прокси в сети периметра, настроить TMG пропускать трафик от прокси к AD FS серверу и опубликовать в Интернет уже AD FS прокси. В данном случае настройки правил будут аналогичными, однако для реализации потребуется платформа Windows Server 2012.
Последнее изменение Вторник, 10 октября 2017 21:51
Оцените материал
(3 голосов)
Чеботарёв Александр

Основатель компании, ранее работал консультантом на Accenture plc., сертифицирован как Microsoft Certified System Engineer, Microsoft Certified Business Management Solutions Specialist по решениям Microsoft Dynamics CRM.

Оставить комментарий

Убедитесь, что вы вводите (*) необходимую информацию, где нужно
HTML-коды запрещены

Наверх

Укажите данные для подписки на новости

Наше мировоззрение

visionСнижение затрат и эффективное управление издержками
Многие компании тратят огромные средства на неключевые активности, тем не менее качество работ можно повысить при одновременном снижении затрат на персонал. К примеру в поддержке ИТ-инфраструктуры отдельно взятая компания не может задействовать персонал на 100%, поскольку:

  • Малый бизнес не имеет достаточного объема работы для выделения отдельного сотрудника
  • Средний и крупный бизнес имеет достаточный объем работы только если работает эффективная система планирования, а часто последней нет, поэтому нельзя сказать что все работают эффективно
  • Низкая мотивация сотрудника т.к. он в любом случае работает за оклад и некуда стремиться и развиваться

Мы предлагаем использовать мировую практику для сокращения расходов, вынося неключевые активности бизнеса за пределы компании. Наша компания решит эти задачи быстрее и качественнее, плюс вы платите только за заказанные сервисы. Результат - вы экономите своё время и снижаете затраты на обслуживание.


visionЗанимайтесь любимым делом
Делайте только то, что умеете лучше всех, остальное отдайте лучшим!

География обслуживания

world-map

Мы находимся в Иркутске, и соответственно основную часть работ связанных с обслуживанием техники готовы выполнять на территории города, возможны выезды в соседние близлежащие города, обращайтесь и обсудим.

Консалтинг и прочие услуги возможно оказать дистанционно, а это экономия времени и затрат, поэтому возможна работа с другими экономическими регионами по России.

Связаться с нами

 +7 (914) 012-15-39

 info@bfbcare.com

BfBCare ©

Забота о вашем бизнесе - наша главная задача.