serverurl можно не задавать, лично я использую в таких случаях относительный адрес "/mscrmservices/2006/CrmService.asmx"
Ошибка очень похожа на межсайтовое взаимодействие. На своём сервере я так и не смог воспроизвести ошибку.
GenerateAuthenticationHeader - убери.
Как насчет установленных плагинов? Может это их сообщение
Или уровни безопасности как-то более сильно настроены.