Welcher Active Directory Mode für AD FS 2.0 / IFD für CRM 2011

Question

Hi,

Für CRM 2011 und IFD braucht es AD FS. Diesen installieren wir auf einem 2008R2 Server. Kein Problem.

Die Frage: in welchen directory mode muss das Active directory laufen? Darf der auch zB. 2003 Interim sein?

Ich habe gefunden, das alle domain controller mindestens 2003 SP1 haben müssen. Das sagt aber nichts über den AD Mode aus. Muss der AD Modus 2008 sein? Könnte ich mir ehrlich gesagt nicht vorstellen. Bräuchte asap eine belastbare Aussage darüber.

DANKE!

 

Answer 1

Hallo,

Lt. Microsoft Dokument (MS CRM 2011 Planungshandbuch) sind folgende AD-Modi supported:

• Windows 2000 gemischt
• Windows 2000 einheitlich
• Windows Server 2003-interim
• Windows Server 2003 einheitlich
• Windows Server 2008-interim
• Windows Server 2008 einheitlich

Das Dokument findest du hier: http://www.nexustek.com/media/MicrosoftDynamicsCRM2011-ImplementationGuide-Planning.pdf

Liebe Grüße,

Andreas

---

Andreas Buchinger
Microsoft Dynamics Certified Technology Specialist
MCPD: SharePoint Developer 2010

Answer 2

Hallo Tugay CRM!

Sie dir mal diesen Link an.

http://technet.microsoft.com/en-us/library/ff678034(WS.10).aspx

Functional-level requirements

Most AD FS 2.0 features do not require AD DS functional-level modifications to operate successfully. However, Windows Server 2008 domain functional level or higher is required for client certificate authentication to operate successfully if the certificate is explicitly mapped to a user's account in AD DS.

---

Ich hoffe das bringt weiter. Andreas(a)Donaubauer.com www.crmfaq.de

Answer 3

Hallo Andreas,

Vielen Dank für die schnell Antwort.

Den link hatte ich auch schon gefunden und das ist sicherlich richtig für die on-premise installation.

Ich bin aber nicht sicher, ob das ausreicht, wenn man das CRM über IFD realisieren will: Was mich hier irretiert (siehe unten unter Functional-level requirements). Dabei sollte das nicht auf das CRM Zutreffen aber wie gesagt, ich bin etwas irretiert).

 

From Microsoft TechNet:

Appendix A: Reviewing AD FS 2.0 Requirements

 

AD DS

---

For AD FS 2.0 to operate successfully, domain controllers in either the account partner organization or the resource partner organization must be running Windows Server 2003 SP1, Windows Server 2003 R2, or Windows Server 2008.

When AD FS 2.0 is installed and configured on a domain-joined computer, the Active Directory user account store for that domain is made available as a selectable attribute store.

Schema requirements

---

AD FS 2.0 does not require schema changes or functional-level modifications to AD DS.

Functional-level requirements

---

Most AD FS 2.0 features do not require AD DS functional-level modifications to operate successfully. However, Windows Server 2008 domain functional level or higher is required for client certificate authentication to operate successfully if the certificate is explicitly mapped to a user's account in AD DS.

 

 

 

Answer 4

Hi Andreas,

ganau das mene ich. Aber ich glaube nicht, das dieser level nötig ist um das CRM 2011 über IFD/AD FS zu accessen. Die auth findet ja zwischen dem ADFS und dem AD in der domäne statt, der client bekommt ja danach nur ein access token...

VG, Tugay

Answer 5

Hallo Tugay,

Also ich würde davon ausgehen, dass der Planning Guide für jede Konfiguration von CRM gilt - diesen Guide gibt es nur für CRM allgemein und nicht speziell für OnPremise oder IFD. Die Anmeldung gegenüber dem AD wird ja nur per ADFS abegwickelt - der CRM-Server und der Client bekommen dann nur noch den AuthenticationToken zur Verfügung gestellt.

Ich habe inzwischen viele IFD-Installationen durchgeführt und hatte noch nie Probleme mit dem AD-Mode - wenn CRM im OnPremise Mode funktioniert kannst du davon ausgehen, das die IFD-Konfiguration auch korrekt arbeitet.

Liebe Grüße,

Andreas

---

Andreas Buchinger
Microsoft Dynamics Certified Technology Specialist
MCPD: SharePoint Developer 2010

Answer 6

Hi Andreas,

das ist ja eine brilliant Aussage und ich kann diesem auch zustimmen und das würde sich auch mit meinen Erfahrungen decken.

Weil davon eine Kundeninstallation abhängt: Kannst du definitiv bestätigen, dass du eine CRM 2011 IFD installation durchgeführt hast, wo der domain modus ein anderer war als 2008(R2)?

Danke noch einmal,

Tugay

Answer 7

Hi Tugay,

Definitiv kann ich es nicht bestätigen, da ich mich um den AD-Mode noch nie gekümmert habe da ich hier noch nie auf Probleme gestoßen bin. Ich kann nur definitiv sagen, dass ich mit bestehenden (älteren) AD's noch nie Probleme hatte.

Tut mir leid, dass ich hierzu keine definitive Aussage machen kann...

Liebe Grüße,

Andreas

---

Andreas Buchinger
Microsoft Dynamics Certified Technology Specialist
MCPD: SharePoint Developer 2010

Answer 8

Vielen Dank trotzdem für die Antwort!

Answer 9

Hallo Tugay,

also um es ganz genau zu sagen es kommt auf die Art der Authenfizierung an. Du schreibst IFD ok das benötigt ADFS.

ADFS darf man sich grob als Authentifzierungsmapper vorstellen neben Kerberos, gibt es Benutzername/Passwort Zertifikatsbasierte Anmeldung usw. Wenn wir mal davon ausgehen, das Du nur Benutzer im Internet bedienen willst, dann genügt im Allgemeinen Benutzername Passwort, wenn Du außerdem automatisches Logon im LAN willst brauchst Du noch Kerberos. Beides hat nichts mit CRM zu tun, sondern mit ADFS da wäre Deine Frage also besser aufgehoben. Die ADFS Doku sagt ausdrücklich. "Most AD FS 2.0 features do not require AD DS functional-level modifications to operate successfully"

Eine Authentifzierung mit KJerberos und Benutzername Passwort gehört zu den "Basics" und dürfte mit an Sicherheit grenzender Wahrscheinlichkeit folglich zu den "Most AD FS 2.0 features" gehören.

Wenn es aber so wichtig ist eine definitive Antwort zu bekommen, solltes Du das mall schnell durchtesten. Habt Ihr keine Testumgebung? Du kannst auch ein stundenbasiertes Ticket beim MS Support öffnen und Dein Szenario dort genau nachbauen lassen.

Grüße Thomas