AXForum  
Вернуться   AXForum > Microsoft Dynamics CRM > Dynamics CRM: Администрирование
All
Забыли пароль?
Зарегистрироваться Правила Справка Пользователи Сообщения за день Поиск

 
 
Опции темы Поиск в этой теме Опции просмотра
Старый 22.11.2010, 17:28   #1  
alesander is offline
alesander
Участник
 
34 / 10 (1) +
Регистрация: 30.05.2010
Login failed for user 'NT AUTHORITY\ANONYMOUS LOGON'
MS CRM развернут в следующей конфигурации:
На одном Windows Server 2003 Standard x64 sp2 установлен CRM 4.0, а на другом (таком же) сервере установлен MS SQL 2005 SP 3 и SSRS data connector. На сервер CRM и на дата коннектор установлен 12 rollup.

Проблема следующая:
Для CRM дописано приложение которое работает если его запускать с сервера CRM, но почему-то не работает ни на каких других машинах в локальной сети.

Страница приложения подключается ajax-ом к веб сервисам, которые в свою очередь напрямую использут SQL сервер.

Видимо проблема в аутентификации, так как на сервере SQL регистрируется ошибка "Login failed for user 'NT AUTHORITY\ANONYMOUS LOGON'. [CLIENT: сервер CRM]". Источник ошибки - sqlserver. Ошибка возникает каждый раз как пытаешься запустить приложение.

В тоже время, если CRM и SQL Server расположены на одной машине - проблем нет.

Подскажите пожалуйста, в чем может быть дело, что можно поковырять?
Старый 22.11.2010, 18:06   #2  
Bondonello is offline
Bondonello
Kostya Afendikov
Аватар для Bondonello
MCBMSS
Лучший по профессии 2009
 
510 / 106 (5) +++++
Регистрация: 06.06.2008
Адрес: Украина
Цитата:
Сообщение от alesander Посмотреть сообщение
MS CRM развернут в следующей конфигурации:
На одном Windows Server 2003 Standard x64 sp2 установлен CRM 4.0, а на другом (таком же) сервере установлен MS SQL 2005 SP 3 и SSRS data connector. На сервер CRM и на дата коннектор установлен 12 rollup.

Проблема следующая:
Для CRM дописано приложение которое работает если его запускать с сервера CRM, но почему-то не работает ни на каких других машинах в локальной сети.

Страница приложения подключается ajax-ом к веб сервисам, которые в свою очередь напрямую использут SQL сервер.

Видимо проблема в аутентификации, так как на сервере SQL регистрируется ошибка "Login failed for user 'NT AUTHORITY\ANONYMOUS LOGON'. [CLIENT: сервер CRM]". Источник ошибки - sqlserver. Ошибка возникает каждый раз как пытаешься запустить приложение.

В тоже время, если CRM и SQL Server расположены на одной машине - проблем нет.

Подскажите пожалуйста, в чем может быть дело, что можно поковырять?
Как ваше приложение авторизируется в CRM? возможно вы используете локальный путь, что-то вроде http://localhost/название_организации поэтому на сервере все работает, а на других - нет
Старый 22.11.2010, 18:43   #3  
alesander is offline
alesander
Участник
 
34 / 10 (1) +
Регистрация: 30.05.2010
Локальный путь не используется. Указывается имя сервера, порт на котором работает приложение и путь до страницы приложения.
Старый 22.11.2010, 20:16   #4  
Bondonello is offline
Bondonello
Kostya Afendikov
Аватар для Bondonello
MCBMSS
Лучший по профессии 2009
 
510 / 106 (5) +++++
Регистрация: 06.06.2008
Адрес: Украина
Цитата:
Сообщение от alesander Посмотреть сообщение
Локальный путь не используется. Указывается имя сервера, порт на котором работает приложение и путь до страницы приложения.
Лучше покажите этот кусок кода
Старый 23.11.2010, 11:05   #5  
alesander is offline
alesander
Участник
 
34 / 10 (1) +
Регистрация: 30.05.2010
Проблему пока не решил, но нашел решения похожих проблем.

Например здесь: http://social.microsoft.com/Forums/e...7-05f53fd3bcd9 приводится ссылка на тех. поддержку Microsoft http://support.microsoft.com/kb/810572 Там говориться о том как настроить IIS, что прописать в web.config'е приложения и что надо настроить AD для делегации.

IIS и web.config настроены, а делегация нет. Мог бы кто-нибудь подробнее рассказать про делегацию? Для каких компьютеров в AD надо ее включить? Только для сервера на котором работает IIS или для всех компьютеров с которых будет запускаться приложение?
Старый 23.11.2010, 12:46   #6  
Артем Enot Грунин is offline
Артем Enot Грунин
Moderator
Аватар для Артем Enot Грунин
MCBMSS
Злыдни
Most Valuable Professional
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
3,912 / 623 (28) +++++++
Регистрация: 16.08.2007
Адрес: Пермь!
Записей в блоге: 151
Механизм делегирования используется в среде без согласования керберос, чтобы серверы могли передавать между собой кредентелы авторизованного пользователя. Подробно можно почитать на примере настройки службы отчетов и CRM вот тут: http://www.microsoft.com/downloads/e...8-b38eefda7b99
__________________
http://fixrm.wordpress.com, снятие/наведение порчи. Быстро, дорого, гарантия.

MS Certified Dirty Magic Professional
Старый 24.11.2010, 15:08   #7  
alesander is offline
alesander
Участник
 
34 / 10 (1) +
Регистрация: 30.05.2010
Прошу прощения за небольшой оффтопик.
Приложение для CRM о котором идет речь внедряется в организацию со сложной доменной структурой. В организации настроены доверительные отношения между несколькими доменами дружественных предприятий. Админы организации не хотят ставить галку "trust computer to delegate" в AD в свойствах сервера CRM, т.к. боятся, что таким образом они "опубликуют сервер crm" и его ресурсы станут доступны в доменах с доверительными отношениями.
Так вот. Есть ли у них реальный повод бояться? На что может повлиять настройка делегирования для компьтера?

Заранее спасибо!
Старый 24.11.2010, 16:02   #8  
Артем Enot Грунин is offline
Артем Enot Грунин
Moderator
Аватар для Артем Enot Грунин
MCBMSS
Злыдни
Most Valuable Professional
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
3,912 / 623 (28) +++++++
Регистрация: 16.08.2007
Адрес: Пермь!
Записей в блоге: 151
Это приводит к тому, что сервер которому разрешена эта делегация может обращаться к другим компьютерам от имени пользователя прошедшего на нем авторизацию. Классический пример из мира CRM 3.0: Система развернута на двух компьютерах 1 - CRM, 2- SQL + Reporting Services. Пользователь заходит на сайт CRM и система с радостью его авторизует. Данные из базы SQL вычитываются под служебной учетной записью, так что проблем на этом участке не возникает. Теперь пользователь решает выполнить отчет. Здесь часть логики реализует CRM сервер - параметры предварительной фильтрации и другие интерфейсные вещи, а часть сайт Reporting Services. Вот в этот момент возникает вторая авторизация: клиент не обращается к Reporting Services напрмую через браузер. За него это делает CRM система, но есть одно важное НО: в данном случае она не может работать под выделенной учетной записью которой можно все: данные в отчете должны быть персонифицированы. Иными словами, запрос к приложению Reporting Services должен быть выполнен от имени пользователя, а не CRM системы. Это и есть право на делигирование: это разрешение доверять промежуточному серверу имперсонировать пользователя: говорить "Я = Вася" не предоставляя его пароль.
Доверительные отношения между доменами при это затронуты быть не должны. Какие "ресурсы" бояться опубликовать ваши админы я вообще не понимаю!
__________________
http://fixrm.wordpress.com, снятие/наведение порчи. Быстро, дорого, гарантия.

MS Certified Dirty Magic Professional
За это сообщение автора поблагодарили: alesander (1), fakir89 (1).
Старый 24.11.2010, 18:37   #9  
alesander is offline
alesander
Участник
 
34 / 10 (1) +
Регистрация: 30.05.2010
В общем настройка делегирования решает проблему. Воспроизвел все в тестовой среде - с галкой "trust computer to delegate" все работает, а без нее - нет.
Осталось доказать клиентским админам, что галка не страшная.

Спасибо Артему Грунину
Старый 25.11.2010, 09:41   #10  
Артем Enot Грунин is offline
Артем Enot Грунин
Moderator
Аватар для Артем Enot Грунин
MCBMSS
Злыдни
Most Valuable Professional
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
3,912 / 623 (28) +++++++
Регистрация: 16.08.2007
Адрес: Пермь!
Записей в блоге: 151
Пожалуйста. Админоборчество - это то с чем сталкивается каждый интегратор. Варианта два - подружиться (предпочтительно) и "сам дурак". В этом случае нужно вести админов на ковер и публично доказывать их проф. непригодность. Отличным подспорьем может оказаться история вашей почтовой переписки, где администратор демонстрирует отсутствие должных знаний, недружелюбие и саботирование процесса внедрения. Обычно после этого они начинают хотеть дружить. Как вариант вам с обидой вручат пароль доменного админа со словами "снимаю с себя всяческую ответственность за действия этого шарлатана!".
__________________
http://fixrm.wordpress.com, снятие/наведение порчи. Быстро, дорого, гарантия.

MS Certified Dirty Magic Professional
 

Похожие темы
Тема Автор Раздел Ответов Посл. сообщение
mscrmblog: Setup failed to determine whether a supported version of Microsoft Outlook is installed - Outlook 2010 Blog bot Dynamics CRM: Blogs 0 14.07.2010 07:07
Ronald Lemmen: Exception while trying to execute AsyncOperationId: The request failed with HTTP status 401: Unauthorized. Blog bot Dynamics CRM: Blogs 0 10.11.2009 21:05
mscrm4ever: CRM 4.0 Logging user login information Blog bot Dynamics CRM: Blogs 0 14.07.2009 08:05
The request failed with HTTP status 400: Bad Request ZooY Dynamics CRM: Разработка 3 11.08.2008 08:09
Failed to access the default store for the user. Ilya Milshtein Dynamics CRM: Администрирование 3 20.11.2006 10:56

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход

Рейтинг@Mail.ru
Часовой пояс GMT +3, время: 18:41.