Dynamics365CustomerEngagement安装FAQ

微软动态CRM专家罗勇 ，回复310或者20190308可方便获取本文，同时可以在第一间得到我发布的最新博文信息，follow me！我的网站是 www.luoyong.me 。

本文参考了包括但不限于如下的文章(为了保持准确，有些文字截图来自原文)，向作者表示深深感谢！

一些问题加入了我的理解与实践，若在项目中按照本文实施，风险自担，本人不承担任何责任和连带责任。

• Kerberos in Load Balanced Environments


• CRM 2011 Server Setup Commonly Asked Questions


• How to: Configure a Report Server on a Network Load Balancing Cluster

问题1：Dynamics 365 Customer Engagement安装到多台服务器(不含数据库，报表服务，域控，AD FS)，推荐怎么做？

• 前端服务器和部署服务器安装到单独的服务器


• 异步服务安装到单独的服务器 (如果异步服务所在服务器一直很忙会导致某些异步服务执行异常，所以条件允许的话建议单独安装到某台服务器上)


• 沙盒服务安装到单独的服务器

问题2：后端服务器需要安装IIS吗？

• 不需要。当然这是部署服务没有安装在后端服务器(沙盒/异步服务)上的前提下，少安装一个服务器角色就少一些被攻击的危险。

问题3：如果我每个服务都用不同的账号来运行的话，需要哪些账号，这些账号有什么注意事项？

有如下注意事项：

* Perf Log Users 这个组(Performance Log Users)是服务器上的一个本组组，不是域组(domain group)
** Email router will run as local system,当然，后续的Dynamics CRM版本已经建议不再使用邮件路由器，而是使用服务器端同步来处理邮件
*** The Installing user安装CRM的账号应该是个独立的服务账号，不应用用它来运行任何服务.
非常重要: 所有运行服务的账号都不应该在CRM中创建对应的用户，否则会引发多种问题，一些问题是潜在的安全问题。我本人听说过因为将一些服务账号在CRM中创建了账号导致了奇怪的问题。

在项目中有些做法是CRM相关的服务用一个服务账号，SQL Server服务用一个服务账号，SQL Server Reporting Service用一个服务账号。

问题4：沙盒服务器如果和AD FS服务器是同一台服务器，有什么操作需要做？

因为沙盒服务器要使用 TCP 808端口，而AD FS也要使用这个端口就会导致问题，应该更改AD FS使用的TCP端口为其他端口，如执行 Set-ADFSProperties –nettcpport 809 然后重启AD FS服务。当然强烈建议不要安装在一台服务器上。

问题5：要设置哪些SPN？

对于沙盒服务设置如下的SPN，账号为运行沙盒服务的账号，服务器名称为运行沙盒服务的名称：

SETSPN -S MSCRMSandboxService/TempVM luoyong\crmsvc
SETSPN -S MSCRMSandboxService/TempVM.luoyong.me luoyong\crmsvc

对于异步服务设置如下的SPN，账号为运行异步服务的账号，服务器名称为运行异步服务的名称：

 SETSPN -S MSCRMAsyncService/TempVM luoyong\crmsvc

SETSPN -S MSCRMAsyncService/TempVM.luoyong.me luoyong\crmsvc

对于前端服务设置的SPN，账号为运行前端服务的账号，服务器名称为运行前端服务的名称：

SETSPN -S HTTP/TempVM luoyong\crmsvc
SETSPN -S HTTP/TempVM.luoyong.me luoyong\crmsvc

如何检查账号设置了哪些SPN呢，如下：

SETSPN -L luoyong\crmsvc

问题6：前端服务器安装完毕后需要启用Kernel Mode Authentication？

建议启用，启用方法：登录前端服务器，以管理员身份打开cmd，先运行如下命令查看

%systemroot%\System32\inetsrv\appcmd.exe list config -section:system.webServer/security/authentication/windowsAuthentication

如果没有，则需要执行如下命令修改，再重启下IIS。

 %systemroot%\system32\inetsrv\appcmd.exe set config -section:system.webServer/security/authentication/windowsAuthentication -useAppPoolCredentials:true /commit:apphost

还有就是应用程序池 CRMAppPool 的账号需要启用如下选项：

问题7：如果报表服务安装在多台上，有需要注意的吗？

有，如果不设置，会发现报表有时候能打开，有时候不能打开。至少要设置报表服务所在的所有服务器的mchinekey相同。

打开  \Program Files\Microsoft SQL Server\MSRS10_50.MSSQLSERVER\Reporting Services\ReportManager\Web.config 文件指定machineKey。