Microsoft Dynamics 365 服务器 IFD 疑难解答

发布日期： 2017年1月

适用于： Dynamics 365 (on-premises),Dynamics CRM 2016

快速检查表

您是否已…	参考
配置 DNS 记录？	请参阅可下载文档中的“DNS 配置”
在 Microsoft Dynamics 365 网站上安装并绑定您的证书？	请参阅可下载文档中的“证书选择与要求”
将 AD FS 签名证书作为可信证书添加到 CRMAppPool 帐户配置文件下？	请参阅可下载文档中的“启用 AD FS 令牌签名”
将 Microsoft Dynamics 365 网站的绑定类型更改为 HTTPS 并在部署管理器中使用正确的 Web 地址？	配置用于 IFD 的 Microsoft Dynamics 365 服务器
为 CRMAppPool 帐户赋予使用被 Microsoft Dynamics 365 用作签名证书的现有证书的权限？它可以是 Microsoft Dynamics 365 服务器上安装的通配符证书。	配置 Microsoft Dynamics 365 服务器以进行基于声明的身份验证
从 Microsoft Dynamics 365 部署管理器运行配置基于声明的身份验证向导？是否在此向导中指定了正确的 URL？是否已选择合适的加密证书？	配置 Microsoft Dynamics 365 服务器以进行基于声明的身份验证
在 AD FS 中为 Microsoft Dynamics 365 内部声明端点配置信赖方信任？是否已为 Microsoft Dynamics 365 IFD 声明端点提供正确的 URL？是否已为信赖方信任设置正确的规则？	配置 AD FS 服务器以进行基于声明的身份验证为 IFD 配置 AD FS 服务器

使用下列操作验证 AD FS 设置。

事件（例如描述未知信赖方信任的事件 ID 184）可以指示 DNS 中缺少的主机记录或信赖方联合元数据 URL 的错误路径配置。

打开 AD FS 管理控制台。
在“信任关系”下，单击“信赖方信任”。确认信赖方信任已启用且没有显示警报。
右键单击信赖方信任，然后单击“属性”。单击“标识符”选项卡。您应当看到类似如下的标识符：

声明的信赖方信任：internalcrm.contoso.com

IFD 的信赖方信任：auth.contoso.com

如果标识符与上例中不类似，请在“监视”选项卡上检查为信赖方联合元数据 URL 输入的路径，并检查 DNS 记录。

当尝试基于内部声明的身份验证连接时，您可能收到关于输入凭据的提示。尝试下列步骤。

将 AD FS 服务器的网址（例如 https://sts1.contoso.com）添加到 Internet Explorer 中的“可信 Intranet 区域”。
关闭扩展保护。在运行 Microsoft Dynamics 365 网址的 IIS 的服务器上：

关闭 Microsoft Dynamics 365 网址上的扩展保护。
1. 打开 IIS。
2. 选择 Microsoft Dynamics 365 网站。
3. 在 IIS 下，双击“身份验证”。
4. 右键单击“Windows 身份验证”，然后单击“高级设置”。
5. 将“扩展保护”设置为“关闭”。

如果 Microsoft Dynamics 365 网站无法显示或生成错误“HTTP 错误 401.1 - 未授权: 访问被拒绝”，则可以尝试两个步骤来解决该问题：

如果 AD FS 和 Microsoft Dynamics 365 服务器之间的时间差别大于 5 分钟，则会发生身份验证错误。有关如何在服务器上配置时间同步的信息，请参阅 Windows 时间服务技术参考。