CRM 4.0 authentifizierung
31. Januar 2012 12:11
Hi Ihr CRM Masters,
Im Projekt was ich z.Z. begleite haben die da so nen MS CRM Server bei dem sich der Client user über outlook und oder internet explorer draufschalten will und dann kommt immer so ne abfrage zur authentifizierung.
Wobei das Ziel ist, dass er ohne diese Abfrage direkt auf den crm arbeitsbereich weitergeleitet wird.
... hab schon einige Beiträge zur "authentifizierung" durchforst aber nichts passendes efunden aber evtl. ist die lösung doch hier schonmal vermekt worden.
Vorweg sei gesagt, dass eine Lösung hierzu schon vorhanden ist aber leider laut sicherheitsbestimmungen nicht ralisierbar o_O!
hier in der Mail mehr infos (personennamen hab ich rausgenommen)
XXXXXXXXX ist der Servername
Hier der Mailverkehr:
_______________________________________________________________________________________________________________
MAIL 1: - Mit dier Lösung hatt funktioniert es (ohne Probleme):
Das hier ist die Lösung ...diese kann aber nicht genommen werden da es die Sicherheitsbestimmungen nicht zulassen!
____________________________________________________________________________________________________
für den Betrieb des CRM 4.0 Clients für Outlook sind Anpassungen an der momentan implementierten IE GPO notwendig; Ohne diese Anpassungen wäre das Arbeiten mit dem Client nicht möglich.
Folgende Modifikationen haben wir für die Tests vorgenommen, der Client lief danach einwandfrei:
Aufnehmen des Servers XXXXXXXXX in die Trusted Sites des IE:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\XXXXXXXXX ]
"http"=dword:00000002
Setzen des Wertes “Automatically logon with current username and password”
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
"1A00"=dword:00000000
_______________________________________________________________________________________________________________
MAIL 2: - Antwort hierzu:
_______________________________________________________________________________________________________________
die Trusted Site Zone ist nicht für die Aufnahme interner URLs oder Servernamen gedacht und geeignet. Das erschließt sich schon daraus, dass eben automatic logon dort nicht zugelassen ist, da es für den Zugriff auf externe Seiten (welche in dieser Zone gepflegt sind) ein erhebliches Sicherheitsrisiko wäre. Insofern bitte ich Sie den Client unter Benutzung der lokalen Intranetzone zu testen. Hierfür müssen Sie lediglich den Wert auf „1“ ändern.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\XXXXXXXXX ]
"http"=dword:00000001
______________________________________________________________________________________________________________
Daraufhin haben wir mal testweise folgendes angepasst:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\XXXXXXXXX ]
"http"=dword:00000001
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
"1A00"=dword:00000000
______________________________________________________________________________________________________________
^^ Aber es kommt daraufhin immernoch die Authentifizierung nur wenn die "2" bei den "Zones" eingetragen ist gehts wie gesagt einwandfrei!
Ne Idee ob man das irgendwie alternativ oder doch über einen Registry Eintrag handhaben kann?
Besten Dank im vorraus für eure Antworten.
steh grad in der Sache aufm Schlach! 
Falls Ihr noch background infos braucht lasst es mich wissen.
Im Projekt was ich z.Z. begleite haben die da so nen MS CRM Server bei dem sich der Client user über outlook und oder internet explorer draufschalten will und dann kommt immer so ne abfrage zur authentifizierung.
Wobei das Ziel ist, dass er ohne diese Abfrage direkt auf den crm arbeitsbereich weitergeleitet wird.
... hab schon einige Beiträge zur "authentifizierung" durchforst aber nichts passendes efunden aber evtl. ist die lösung doch hier schonmal vermekt worden.
Vorweg sei gesagt, dass eine Lösung hierzu schon vorhanden ist aber leider laut sicherheitsbestimmungen nicht ralisierbar o_O!
hier in der Mail mehr infos (personennamen hab ich rausgenommen)
XXXXXXXXX ist der Servername
Hier der Mailverkehr:
_______________________________________________________________________________________________________________
MAIL 1: - Mit dier Lösung hatt funktioniert es (ohne Probleme):
Das hier ist die Lösung ...diese kann aber nicht genommen werden da es die Sicherheitsbestimmungen nicht zulassen!
____________________________________________________________________________________________________
für den Betrieb des CRM 4.0 Clients für Outlook sind Anpassungen an der momentan implementierten IE GPO notwendig; Ohne diese Anpassungen wäre das Arbeiten mit dem Client nicht möglich.
Folgende Modifikationen haben wir für die Tests vorgenommen, der Client lief danach einwandfrei:
Aufnehmen des Servers XXXXXXXXX in die Trusted Sites des IE:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\XXXXXXXXX ]
"http"=dword:00000002
Setzen des Wertes “Automatically logon with current username and password”
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
"1A00"=dword:00000000
_______________________________________________________________________________________________________________
MAIL 2: - Antwort hierzu:
_______________________________________________________________________________________________________________
die Trusted Site Zone ist nicht für die Aufnahme interner URLs oder Servernamen gedacht und geeignet. Das erschließt sich schon daraus, dass eben automatic logon dort nicht zugelassen ist, da es für den Zugriff auf externe Seiten (welche in dieser Zone gepflegt sind) ein erhebliches Sicherheitsrisiko wäre. Insofern bitte ich Sie den Client unter Benutzung der lokalen Intranetzone zu testen. Hierfür müssen Sie lediglich den Wert auf „1“ ändern.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\XXXXXXXXX ]
"http"=dword:00000001
______________________________________________________________________________________________________________
Daraufhin haben wir mal testweise folgendes angepasst:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\XXXXXXXXX ]
"http"=dword:00000001
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
"1A00"=dword:00000000
______________________________________________________________________________________________________________
^^ Aber es kommt daraufhin immernoch die Authentifizierung nur wenn die "2" bei den "Zones" eingetragen ist gehts wie gesagt einwandfrei!
Ne Idee ob man das irgendwie alternativ oder doch über einen Registry Eintrag handhaben kann?
Besten Dank im vorraus für eure Antworten.
steh grad in der Sache aufm Schlach! Falls Ihr noch background infos braucht lasst es mich wissen.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: CRM 4.0 authentifizierung
31. Januar 2012 18:21
Moin,
bei den Standardeinstellungen vom Internet Explorer wird sich nur in der Intranet-Zone automatisch eingeloggt.
Unter Internetoptionen --> Sicherheit --> die jeweilige Zone und Stufe anpassen kann man auch einstellen, dass sich immer automatisch eingeloggt wird.
bei den Standardeinstellungen vom Internet Explorer wird sich nur in der Intranet-Zone automatisch eingeloggt.
Unter Internetoptionen --> Sicherheit --> die jeweilige Zone und Stufe anpassen kann man auch einstellen, dass sich immer automatisch eingeloggt wird.
Re: CRM 4.0 authentifizierung
31. Januar 2012 18:37
@Dirk
thX für antwort!
also Registry gibts keine chance?
du meinst doch das hier siehe Anhang?
Das Problem ist das hier im unternehmen dieser Reiter also "SICHERHEIT" weggeblendet ist.
Bin gerade dabei einen Rechner ohne IE Gpos aufzutreiben um dies mal zu testen.
Hat einer das schonmal gemacht?
Anonsten würde ich sagen, das dieses Tema hier erledigt ist.
außer jemand hat noch eine Lösung hierzu!
thX für antwort!
also Registry gibts keine chance?
du meinst doch das hier siehe Anhang?
Das Problem ist das hier im unternehmen dieser Reiter also "SICHERHEIT" weggeblendet ist.
Bin gerade dabei einen Rechner ohne IE Gpos aufzutreiben um dies mal zu testen.
Hat einer das schonmal gemacht?
Anonsten würde ich sagen, das dieses Tema hier erledigt ist.
außer jemand hat noch eine Lösung hierzu!
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: CRM 4.0 authentifizierung
1. Februar 2012 09:35
das ist der einzigste supportee Weg. Das Unternehmen kann diese Regel aber für die Benutzer, die CRM einsetzen sollen, in die GPO aufnehmen, dann müssen die Benutzer das nicht manuell einsellen.
Re: CRM 4.0 authentifizierung
1. Februar 2012 11:46
Hallo Michael,
thx, weiß du den genauen GPO restrict?
gabs hierzu schon einen Eintrag im Form , hab mal durchgesucht aber über die Schlagwörter ,IE ; GPO, authentifizierung, nix gefunden.
Gruß Mirko
thx, weiß du den genauen GPO restrict?
gabs hierzu schon einen Eintrag im Form , hab mal durchgesucht aber über die Schlagwörter ,IE ; GPO, authentifizierung, nix gefunden.
Gruß Mirko
Re: CRM 4.0 authentifizierung
21. März 2012 10:53
Problem kann als Gelößt deklariert werden !!!
Lösung:
CRM Server Eintrag in form von http://CRMSERVERNAME wurde in die "Lokale Sicherheitsrichtlinie" des Internet Explorers (also nicht die registry variante) eingestellt wurd.
Wichtig ist halt hierbei das dies Dauerhaft über GPO restrikt (andrer Baustelle) angepasst wird nicht das quasi beim näcshten Nesutart der Eintrag nicht mehr vorhanden ist.
Falls dies nicht möglich sein sollte muss das CRM Outlook plugin re installiert werden sobald vorher der eintrag getätig wurde aber diese Variante ist nicht im sinne des Erfinders.
Hier nochmal zusammengefasst:
1. Die URL muss als NETBIOS und sollte zusätzlich auch als FQDN in den Intranet Sites aufgeführt sein. (mit http:// davor)
2. Die Einstellung muss zwingend vor der Installation des CfOs erfolgt sein. Wird dies nicht berücksichtigt, so muss der gesamte Client deinstalliert und erneut installiert werden.
Hier nochmal auf Englsich (Detalierter auf den Internet Explorer getrimmt ):
Authentication issues with the Microsoft CRM Outlook Plugin
The outlook plugin is a nice feature of Microsoft Dynamics CRM that enables users to view CRM information from within outlook. I have been a longtime user of the plugin but came across a significant problem with authentication once CRM Online became popular. The problem was that when running in IE everything seemed to work fine for the users but once they switched to the outlook plugin they will constantly get asked for a username and password. The root cause of this is because in some Rollup Microsoft decided that the plugin would add the URL it uses to access CRM to the trusted sites list upon startup and this is the root of the problem.
Adding the URL automatically to the trusted sites list is great for users of CRM Online or other third party hosted CRM. Back in the early days of CRM Online one of the most asked questions was why is CRM not loading properly in my environment and the most common answer was that CRM was not in the trusted sites list of IE. Unfortunately for those of us who use the on-premise version having CRM in the trusted sites list is a little less than convenient. One downside of having the site in the trusted sites list is that integrated authentication does not happen in the trusted sites zone, I don't condone enabling integrated authentication in the trusted sites zone just to get this working there is a better solution below. As you may know integrated authentication only happens in the Intranet zone with the IE default settings. So in order to get the plugin to stop asking for a username and password you will need to add the site to the Local Intranet Sites list.
Internet Options -> Security -> Local Intranet -> Sites -> Advanced
Be aware when adding your site to this list that adding a wildcard will not work in this case it needs to be the exact URL that you use to access CRM. So if I work at foo.com having *.foo.com in the local intranet list will not work, if this is done the plugin will still add the specific site to the trusted hosts and authentication will still be broken. You need to add the exact CRM host ex. https://crm.foo.com/ when the outlook plugin sees this in the local intranet list it will skip the step of adding the URL to the trusted sites list and authentication will work successfully. As an easy solution I suggest just pushing this change out to all hosts via group policy, if you do not use group policy then you will need to manually go and add this URL to the local intranet sites.
If you have yet to install the outlook plugin then you should be good and everything should work fine. However if the outlook plugin is installed on the machine you need to uninstall (and double check to make sure the site is still in the local intranet zone) and then re-install the plugin.
I wish there was a better solution to not have the plugin add its URL to the trusted sites list but unfortunately this is the only solution I have been able to find that works.
mfg CRMNoob und Besten Dank für alle Beteiligten eure Unterstützung
Lösung:
CRM Server Eintrag in form von http://CRMSERVERNAME wurde in die "Lokale Sicherheitsrichtlinie" des Internet Explorers (also nicht die registry variante) eingestellt wurd.
Wichtig ist halt hierbei das dies Dauerhaft über GPO restrikt (andrer Baustelle) angepasst wird nicht das quasi beim näcshten Nesutart der Eintrag nicht mehr vorhanden ist.
Falls dies nicht möglich sein sollte muss das CRM Outlook plugin re installiert werden sobald vorher der eintrag getätig wurde aber diese Variante ist nicht im sinne des Erfinders.
Hier nochmal zusammengefasst:
1. Die URL muss als NETBIOS und sollte zusätzlich auch als FQDN in den Intranet Sites aufgeführt sein. (mit http:// davor)
2. Die Einstellung muss zwingend vor der Installation des CfOs erfolgt sein. Wird dies nicht berücksichtigt, so muss der gesamte Client deinstalliert und erneut installiert werden.
Hier nochmal auf Englsich (Detalierter auf den Internet Explorer getrimmt ):
Authentication issues with the Microsoft CRM Outlook Plugin
The outlook plugin is a nice feature of Microsoft Dynamics CRM that enables users to view CRM information from within outlook. I have been a longtime user of the plugin but came across a significant problem with authentication once CRM Online became popular. The problem was that when running in IE everything seemed to work fine for the users but once they switched to the outlook plugin they will constantly get asked for a username and password. The root cause of this is because in some Rollup Microsoft decided that the plugin would add the URL it uses to access CRM to the trusted sites list upon startup and this is the root of the problem.
Adding the URL automatically to the trusted sites list is great for users of CRM Online or other third party hosted CRM. Back in the early days of CRM Online one of the most asked questions was why is CRM not loading properly in my environment and the most common answer was that CRM was not in the trusted sites list of IE. Unfortunately for those of us who use the on-premise version having CRM in the trusted sites list is a little less than convenient. One downside of having the site in the trusted sites list is that integrated authentication does not happen in the trusted sites zone, I don't condone enabling integrated authentication in the trusted sites zone just to get this working there is a better solution below. As you may know integrated authentication only happens in the Intranet zone with the IE default settings. So in order to get the plugin to stop asking for a username and password you will need to add the site to the Local Intranet Sites list.
Internet Options -> Security -> Local Intranet -> Sites -> Advanced
Be aware when adding your site to this list that adding a wildcard will not work in this case it needs to be the exact URL that you use to access CRM. So if I work at foo.com having *.foo.com in the local intranet list will not work, if this is done the plugin will still add the specific site to the trusted hosts and authentication will still be broken. You need to add the exact CRM host ex. https://crm.foo.com/ when the outlook plugin sees this in the local intranet list it will skip the step of adding the URL to the trusted sites list and authentication will work successfully. As an easy solution I suggest just pushing this change out to all hosts via group policy, if you do not use group policy then you will need to manually go and add this URL to the local intranet sites.
If you have yet to install the outlook plugin then you should be good and everything should work fine. However if the outlook plugin is installed on the machine you need to uninstall (and double check to make sure the site is still in the local intranet zone) and then re-install the plugin.
I wish there was a better solution to not have the plugin add its URL to the trusted sites list but unfortunately this is the only solution I have been able to find that works.
mfg CRMNoob und Besten Dank für alle Beteiligten eure Unterstützung