Microsoft Dynamics CRM 2011 面向Internet部署 (IFD) ADFS虚拟机环境搭建的步骤(CRM与ADFS装在同一台服务器上) 摘自网络

1: 安装windows server 2008 R2 中文版 (过程略)

安装完成后设置机器名和IP地址, 本过程机器名 crm5dev,192.168.0.110 dns： 192.168.0.110（本机）

Administrator/neu@crm123

2: 通过服务器管理器添加域服务,配置域服务器域名为crm5.lab.

注意：使用高级模式安装。

说明：服务器是windows server 2003 那么就选windows server 2003

服务器是windows server 2008 r2 最好选windows server 2008 r2

另外这里选windows server 2003也没错，到时安装好可以升级到windows server 2008，也可以不升级。

选择dns服务器

选择是

密码 neu@crm123

3：通过服务器管理器添加 证书服务/IIS服务。

选择证书颁发机构

输入CA的公用名称：

4：添加 证书服务角色 的角色服务：

（需要先安装证书服务角色，才能安装其他证书服务角色的角色服务）

安装完成后，在浏览器地址输入：http://crm5dev/certsrv/,输入用户名和密码后，可以看到证书注册的界面了：

5： 为adfs申请通配符证书：

1) 在iis服务器管理器，选中 服务器 ，在右侧功能区 选则  服务器证书：

选择 “打开功能”：

选择创建证书申请：

这里，名称输入 *.crm5.lab，表示通配符证书，crm5.lab是使用证书的服务器的域名。

为证书申请保存一个文件（这个文件内容后面会用到）

回到IE浏览器，输入http://crm5dev/certsrv/

选择 申请证书：

选择高级证书申请：

选择：

使用 base64 编码的 CMC 或 PKCS #10 文件提交 一个证书申请，或使用 base64 编码的 PKCS #7 文件续订证书申请。

将前面保存的文件（crm5cert.txt,可用记事本打开）中的文本内容复制到 “保存的申请”的 多行文本中：

证书模板 选择 web服务器：

然后提交

点击下载证书：

保存证书到本地 。

回到 iis 管理器，在服务器证书 操作 选择 “完成证书申请”：

选择 刚才下载的证书，并取个名字(general.crm5.lab，带域名)：

然后将 default web  site 的 https 绑定 证书 改为 刚才完成的证书：

选择 default web site ,右键 编辑绑定，选择 https ， 点击编辑，选择 ssl 证书：（ 这个证书在安装adfs时使用该证书）

说明配置证书服务其实没什么很大的作用，如果本身有证书的话，可以直接通过IIS导入证书，那么不要步骤3,4,5，但是证书绑定网站还是需要。

6：下载并安装adfs：

（应该是可以通过 服务器管理器 添加 联合验证服务 ，但是通过添加角色没找到 adfs管理器）

下载地址：http://www.microsoft.com/zh-cn/download/details.aspx?id=10909

安装：

选择“联合服务器”，

安装完成后重启，

配置 ADFS 服务器：（通过 管理工具 adfs 2.0 管理）

配置向导：

创建新的联合验证服务：

选择 独立联合服务器：

输入 联合验证服务名称 sts1.crm5.lab，机器名sts1不能与crm服务的机器名相同。

完成安装。

在dns 添加 计算器 sts1：管理工具-> dns->crm5.lab->新建主机：

在浏览器地址栏输入：

https://sts1.crm5.lab/federationmetadata/2007-06/federationmetadata.xml(这里如果上不去的话可以用机器名+域名)

看到下面的结果：

7：安装sqlserver、mscrm2011中文版

1）  安装sqlserver2008

JD8Y6-HQG69-P9H84-XDTPG-34MBB

验证过程提示防火墙，通过控制面板 windows防火墙，把防火墙都关了。

选择组件时全选：

使用相同账户（域管理员）密码：neu@crm123

说明补充:

Sql server Reporting services :最好选NET SERVICES

其他的可以选crm5\administrator.

或者都选NET SERVICES。

混合模式，添加当前用户

添加当前用户

选择 安装但不配置报表服务器

安装补丁后，配置报表服务器，如果此时选择安装本本机模式默认配置，在crm2011安装验证会提示reportserver不能通过，估计是sqlserver版本问题。在此处安装报表服务器，报表服务器数据库应该存储了报表服务器的版本，这个版本比打补丁后的版本低。

2）  安装sqlserver2008补丁（SQL Server 2008 Service Pack 1） 下载：http://www.microsoft.com/zh-cn/download/details.aspx?id=20302

3）  配置报表服务器数据库；

Report services 配置管理器

测试报表服务器：

注意：windows sql server 2008 r2 那么可以不需要另外再配置报表服务器。安装的时候选择默认的就OK了。

8：安装crm2011中文版

1）  安装前的准备：

安装 dotnetfx40_full_x86_x64　http://www.microsoft.com/zh-cn/download/details.aspx?id=17718

安装：reportviewer　　　　　　　http://www.microsoft.com/zh-cn/download/details.aspx?id=6576

安装：windowsazureappfabricsdk（这个版本可能有点问题，安装crm2011时还是检查未安装，需要联网下载更新）

http://www.microsoft.com/en-us/download/details.aspx?id=27421

2：安装crm2011

安装时要保证虚拟机能直接访问外网，以便检查并下载更新

MQM2H-JYYRB-RRD6J-8WBBC-CVBD3

36D7J-FR6QG-JXPF6-H449P-2P6RR

安装完成

安装reporting extensions

安装完成

9：配置内部Claims-based Authentication模式

1：配置CRM Server

1）设置绑定 https

通过crm 部署管理器：

选择站点“miscrosoft dynamics crm，右键 “属性”，选择 web地址：

选择绑定类型为https，

在各服务栏输入：internal.crm5.lab:8081（注意：最好用带域名的方式），端口号不要用默认的https端口 。

另外，通过 iis管理器为 crm 站点添加 https 绑定：

证书选择 前面申请的通配符证书 generalca.crm5.lab

注意需要在dns 添加计算机 internal：

2）配置基于声明的身份验证

在crm部署管理器，操作菜单栏选择：配置基于声明的身份验证：

在联合元数据栏输入：

https://sts1.crm5.lab/federationmetadata/2007-06/federationmetadata.xml（注意https://sts1.crm5.lab/ 为 adfs服务器名）

选择证书：

选择 generalca.crm5.lab （与 adfs https 证书相同的证书）

3）

完成。

2：配置adfs

1）配置adfs的信赖方

通过 adfs2.0 管理

选择信赖方信任，右键 添加信赖方信任：

https://internal.crm5.lab:8081

添加转换规则：

1）

2)

3)

三个规则完成后；

2）配置声明提供方信任：

选择 active directory ，右键编辑 申明规则：

点击 添加规则：

输入名称，选择特性存储 以及 特性到传出声明类型的映射：

3) 注册adfs为spn

you may need register the AD FS 2.0 server as a ServicePrincipalName (SPN):

setspn -a http/sts1.crm5.lab  crm5\crm5dev （这一步不能少）

其中 sts1.crm5.lab为adfs服务名，crm5为域名，crm5dev为crm服务器名

iisreset

3：验证

输入地址 https://internal.crm5.lab:8081/

弹出用户密码对话框：（这个地方不清楚为什么还是这种对话框方式）

输入管理员用户密码，出现crm界面

测试基于声明的认证方式的内网访问

10：配置外部Claims-based Authentication模式

配置好内部基于声明的授权模式之后，才可以配置外部的基于声明的授权模式

1：配置crm server

在crm部署管理器，操作菜单栏选择：配置面向internet的部署

crm5.lab:8081

crm5.lab:8081

dev.crm5.lab:8081

其中 crm5.lab为域名，8081为https绑定端口

输入：neu.crm5.lab:8081，其中 neu为crm安装配置时的组织名，也就是内部访问时的子路径：

在dns添加主机：dev、neu；

2：配置adfs信赖方

这个过程与配置内部的基于声明的授权模式基本一致，就是信赖方元数据应对应外部访问的url

1）配置adfs的信赖方

通过 adfs2.0 管理

选择信赖方信任，右键 添加信赖方信任：

https://neu.crm5.lab:8081

添加转换规则：

1）

2)

3)

三个规则完成后；

3：验证

在浏览器地址栏输入：https://neu.crm5.lab:8081后出现如下登录界面：

输入域管理员用户名密码后，进入crm界面；

Ok，宣告成功。

说明：虚拟机上搭建环境或多或少可能会出现很多问题，直接在服务器上安装问题要少些，还有配置IFD 环境必须先配置Claims-based Authentication模式。

配置IFD的关键就是安装ADFS 2.0软件。

？拓展：这里CRM与ADFS装在同一台服务器上，大家可以考虑CRM与ADFS不装在同一台服务器上，安装在多台服务器上，比如CRM安装在一个服务器上，ADFS安装在一台服务器上，分散处理，可以减轻服务器的压力（负载）。