Fehler bei Claimbased Authentication

Hallo Zusammen

Wir haben bei uns gerade versucht die Claimbased authentication zu aktivieren, jedoch funktioniert das nicht. Ich folge dieser Anleitung: http://blogs.msdn.com/b/niran_belliappa ... t-ifd.aspx

Wir haben Einen Windows Server 2008 R2 wo das CRM drauf installiert ist, sowie der IIS 7.5 und AD FS 2.0. Dann haben wir auf einem zweiten Server (ebenfalls Windows 2008 R2) das AD installiert. Die Domäne crm.unternehmung.ch zeigt auf den ersten (CRM) Server.

In der Anleitung habe ich Schritt 1, 2 und 3 bereits erledigt. Hier noch zu erwähnen ist, dass wir nur eine Domäne verwenden, da alles auf dem gleichen Server ist und ein Wildcard-Zertifikat verwendet haben. Der Fehler geschieht nun im Schritt 4. Ich erstelle die Claimregeln und stelle den CRM Link um. Alles funktioniert nocht. Sobald ich aber im CRm Deployment manager die Claimbased Authentication aktiviere, kann man nicht mehr aufs CRM zugreifen. Beim Client erscheint eine Fehlermeldung "500 -Internal server error, there is a problem with the resource you are looking for, and it cannot be displayed". Auf dem Server habe ich das ganze etwas detailierter, das Bild befindet sich im Anhang.

Weiss jemand woran das liegt?

Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.

Ich habe nun im IIS Manager den ADFSAppPool mal auf Net Framework 4.0 gestellt. Nun erscheint folgende Fehlermeldung

Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.

Hallo,

auf welchem Port läuft denn der ADFS?

Wenn ich die Fehlermeldung richtig deute habt ihr den ADFS und das CRM beide auf den Port 443 gemappt, das kann nicht funktionieren.

OK ich habe nun den Port von ADFS auf 443 und der des CRM's auf 444. Wenn ich den link crm.unternehmung.ch in den browser eingebe, erhalte ich ein access denied. Erst wenn ich hinten noch den port 444 an den Link anfüge, klappts. Gleichzeitig erscheint ein Fehler im Claim Based Authentication Wizard dass The federation metadata URL is not availible. Ich habe das ganze auch schon mit und ohne Prt versucht... vergebens.

Ich habe jetzt AD FS auf einen anderen Server (auth.domain.ch) verlegt und das Port-Problem hat sich gelöst. Nachdem ich alles konfiguriert habe und aufs CRM zugreiffen möchte, erscheint jetzt jedoch eine andere Fehlermeldung, welche ziemlich nichts aussagt fürm mich.

Ausserdem habe ich ein Zertifikatsfehler. Der Aufruf von crm.domain.ch wird ja an auth.domain.ch weitergeleitet. Dort erscheint jedoch nicht auth.domain.ch/adfs/ls sondern der interne Servername, deshlab auch der Zertifikatsfehler. Vielleicht hängt das mit dem Fehler auf dem Bild zusammen?

Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.

Habe jetzt noch den Event Viewer ausgelesen, folgende Fehler erscheinen dort unter dem ADFS:

ID 364=========================================

.

Encountered error during federation passive request.

Additional Data

Exception details:

Microsoft.IdentityServer.Web.InvalidScopeException: MSIS7007: The requested relying party trust 'https://crm.caux.ch/' is unspecified or unsupported. If a relying party trust was specified, it is possible that you do not have permission to access the trust relying party. Contact your administrator for details.

at Microsoft.IdentityServer.Web.FederationPassiveAuthentication.SubmitRequest(MSISRequestSecurityToken request)

at Microsoft.IdentityServer.Web.FederationPassiveAuthentication.RequestBearerToken(MSISSignInRequestMessage signInRequest, SecurityTokenElement onBehalfOf, SecurityToken primaryAuthToken, String desiredTokenType, UInt32 lifetime, Uri& replyTo)

at Microsoft.IdentityServer.Web.FederationPassiveAuthentication.RequestBearerToken(MSISSignInRequestMessage signInRequest, SecurityTokenElement onBehalfOf, SecurityToken primaryAuthToken, String desiredTokenType, MSISSession& session)

at Microsoft.IdentityServer.Web.FederationPassiveAuthentication.BuildSignInResponseCoreWithSerializedToken(String signOnToken, WSFederationMessage incomingMessage)

at Microsoft.IdentityServer.Web.FederationPassiveAuthentication.SignIn(SecurityToken securityToken)

.

.

ID 184============================================

.

A token request was received for a relying party identified by the key 'https://crm.caux.ch/', but the request could not be fulfilled because the key does not identify any known relying party trust.

Key: https://crm.caux.ch/

This request failed.

User Action

If this key represents a URI for which a token should be issued, verify that its prefix matches the relying party trust that is configured in the AD FS configuration database.

Hallo,

'https://crm.caux.ch/' is unspecified or unsupported. If a relying party trust was specified, it is possible that you do not have permission to access the trust relying Party.

Die Meldung ist ja eindeutig, und die Fehlerbeschreibung eigentlich auch.
Was mir noch auffällt sind die Sonderzeichen hinter dem Backslash. Hast du einmal überprüft, ob dort eventuell durch Copy und Paste ein falsches Zeichen mitgekommen ist?