Проблема с идентификацией офлайнового клиента на сервере. Что делать?

[Sinya]

Есть crm3 вместе с SQL сервером на машине, не являющейся домен-контроллером и мелкософтовским почтовиком, но в составе домена (криво, но в силу ряда исторических причин так нужно). Почтовик на домен-контроллере отдельно. Все это работает нормально через WEB страницу. Только регистрироваться надо с указанием домена перед именем пользователя видом домен\пользователь .

Проблема вылазит при попытке ставить где-то по сети офлайновый клинент. Собственно установка его сама по себе при некоторых стандартных танцах с бубном вокруг не представляет сложности. Проблема начинается при запуске оутглюка. Собственно оутлук подключен через микрософтовско-ехченжевский протокол до этого и проблемы тоже нет с работоспособностью почты. А вот клиент CRMа начинает ругаться, что подключение на возможно. Синхронизации CRMовских данных с сервером в локальный SQL тоже нет. Причем ругань начинается еще на этапе установки клиента - пишет, что не может найти такой домен, но в виде предупреждения, а не фатальной ошибки установки.
Самое интересное, что иногда на некоторых машинах путем немыслимых танцев с бубном удается нормализовать ситуацию до рабочей, когда клиент начинает работать как положено, причем навсегда, если не трогать его. Но вот понять эту последовательность танцев я так и не смог, чтобы повторить ее сначала! Я даже понимаю, что у этого кривоватого клиента где-то хранится строка имени пользователя, которую он высасывает из настроек оутлука, где вначале не хватает записи вида домен/ перед именем или что-то подобное. Но микрософт не додумался сделать в настройках такую простую вещь, как окно со строкой имени пользователя с доменом и пароля к ней, а заодно с IP сервера с CRM в своем клиенте. Так вот, мне требуется знать, где это править в реестре или каком-то файле клиента. Ну или как еще локально это отрихтовать.

[Артем Enot Грунин]

Давно у нас такие реальные пацыки со своими бубнами не появлялись! Не ссы корешь, сейчас все вместе разрулим фишак! Я те как местный авторитет так отвечу: нигде в файле и реестре логин перца не хранится! Эта фитча NTLM аутентификацией называется, типа, и нечо на отуглюк пинять, если у вас AD всякие терпилы набок поставили.

p.s. Вы на форуме недавно и наверно не заметили, что здесь не принят сленг и просторечные выражения. Пожалуйста, изясняйтесь по сути и вам нормально ответят.

[Сабитов Андрей]

Артем, хорошо ответил, потому как мало что понятно из вашего поста!

Хотелось бы подробнее узнать про архитектуру сети. Как я понял Есть домен котролер, на нем же Exchange (Server 1), так же есть Server 2 (SQL+CRM)! Server 2 - член домена. В чем кривизна ?

Пользовательские компы являются членом домена ?

[Sinya]

Контролер домена и есть сам домен, да второй сервер в домене, но без AD с тем самым. А все прочие машины - все рабочая группа одноименная с доменом. Вариант вставить второй сервер в домен с копией AD меня что-то не радует, не охота падения чего-либо по пути. Притом долгое пинание рабочих машин иногда дает результат иногда долгую устойчивую работу, но не понятно, где пинать прицельно.
Но ведь берет же CRM где-то имя и пароль изначальные для создания хеша или еще чего для NTLM, чтобы серверу отправить, да и информацию о принадлежности к домену он тоже где-то держать должен (мне кажется, что именно имя домена и не передается, так как без него в WEB не зайти даже), в котором проверка произойдет, как я понимаю?

[Сабитов Андрей]

Опять не ченго не понятно

Цитата:

Сообщение от Sinya

Контролер домена и есть сам домен, да второй сервер в домене, но без AD с тем самым.

как это ? у вас поднят домен контроллер, на нем AD + DNS и т.д. Второй сервак, является членом домена.
Рабочие станции находятся в рабочей группе так ?

Цитата:

Сообщение от Sinya

Вариант вставить второй сервер в домен с копией AD меня что-то не радует, не охота падения чего-либо по пути.

А зачем ???????

Цитата:

Сообщение от Sinya

Притом долгое пинание рабочих машин иногда дает результат иногда долгую устойчивую работу, но не понятно, где пинать прицельно.

Скорее всего полчается работать, когда подключаетесь через IE и вводите полное имя пользователя и пароль.

[Артем Enot Грунин]

Коллеги, проведем разбор лексических конструкций!

Цитата:

Сообщение от Sinya

Контролер домена и есть сам домен, да второй сервер в домене, но без AD с тем самым

Не знаю насчет того, самого, а домен - это некая абстрактная сущность - как например сервер: бывает программой, а бывает железом. Так вот контроллер не надо ставить на каждую машину в домене! Он должен быть один + пара партнеров по репликации, для надежности. А вот если подключить к контроллеру еще и рабочие станции, то все вместе они образуют монолитную защищенную политиками централизованного входа структуру - Домен!

Цитата:

Сообщение от Sinya

А все прочие машины - все рабочая группа одноименная с доменом. Вариант вставить второй сервер в домен с копией AD меня что-то не радует, не охота падения чего-либо по пути.

Истинно так! Что-то обязательно отвалится! Если хотите, чтобы все работало надежно, забудьте про Workgroup и включите рабочие станции в домен. Это делается в свойствах компьютера на вкладке с его сетевым именем.

Цитата:

Сообщение от Sinya

Притом долгое пинание рабочих машин иногда дает результат иногда долгую устойчивую работу, но не понятно, где пинать прицельно.

Коллега, наш метод - бубен! То что делали вы не позволяло себе даже гестапо!

Цитата:

Сообщение от Sinya

Но ведь берет же CRM где-то имя и пароль изначальные для создания хеша или еще чего для NTLM, чтобы серверу отправить

Скорее всего сам придумывает под вашими пытками.

[Sinya]

Цитата:

Сообщение от Сабитов Андрей

Опять не ченго не понятно


как это ? у вас поднят домен контроллер, на нем AD + DNS и т.д. Второй сервак, является членом домена.
Рабочие станции находятся в рабочей группе так ?


А зачем ???????

Да, так. AD+DNS+WINS+DHCP+Exchange+прочее на одной машине и на другой членство в домене первой машины(не секонд контроллер)+ SQL+IIS+CRM 3 сервер.
Рабочие станции в рабочей группе такой же как домен и видны с DC в браузере сети вместе.


Скорее всего полчается работать, когда подключаетесь через IE и вводите полное имя пользователя и пароль.

Ну, да, я же про это с первой строчки пишу, что браузерный доступ в норме. (Кстати, установка галочки запомнить пароль в окне браузера - почему-то не срабатывает вообще в следующий раз!) Но надо-то добиться работоспособности некой фичи в CRM клиенте, набивающей копию основной базы в местный урезанный SQL. А это уже работает очень редко и избирательно после неимоверных усилий!

[Сабитов Андрей]

Цитата:

Сообщение от Sinya

А это уже работает очень редко и избирательно после неимоверных усилий!

а работает это скорее всего, после того как вы, зайдет браузером, а только после этого запустите аутлук так !

[Sinya]

Цитата:

Сообщение от Артем Enot Грунин

Коллеги, проведем разбор лексических конструкций!
Не знаю насчет того, самого, а домен - это некая абстрактная сущность - как например сервер: бывает программой, а бывает железом. Так вот контроллер не надо ставить на каждую машину в домене! Он должен быть один + пара партнеров по репликации, для надежности. А вот если подключить к контроллеру еще и рабочие станции, то все вместе они образуют монолитную защищенную политиками централизованного входа структуру - Домен!

Ну, так проще представлять. Да и коль есть один контроллер домена, то и домен лезет из всех щелей - то есть факт его существования уже есть. Предположим, что рабочие станции выключились, так как все работники лавки ушли в запой или декрет, но домен-то остался.

Цитата:

Сообщение от Артем Enot Грунин

Истинно так! Что-то обязательно отвалится! Если хотите, чтобы все работало надежно, забудьте про Workgroup и включите рабочие станции в домен. Это делается в свойствах компьютера на вкладке с его сетевым именем.
Коллега, наш метод - бубен! То что делали вы не позволяло себе даже гестапо!

Ой ли! Домен больше глюков в сети дает, где юзерам сообща нужна только почта и сетевой принтер сообща, изредка что-то другое. Тут он только от того, что микрософтовский почтовик, навязанный нам сверху неумными людьми от руководства не работает без домена в отличии от более надежного и удобного МDaemon, да и CRM тоже. Да и рабочие станции-ноутбуки часто выдергивают или портят попутно, так хоть в домене не остается засечки от невыведенной из него корректно станцией, безвременно винчестеры откинуть соизволившей.

Цитата:

Сообщение от Артем Enot Грунин

Скорее всего сам придумывает под вашими пытками.

Какие пытки! Я сначала по-хорошему пытался. Так не хочет на пустом месте! Ну и что предложите после этого?

[Sinya]

Цитата:

Сообщение от Сабитов Андрей

а работает это скорее всего, после того как вы, зайдет браузером, а только после этого запустите аутлук так !

По всякому пытался. Так тоже. И даже одновременно. Кстати в расшифровке предупреждения про домен при установке сказано так и делать. Я могу себе представить, что эту пару = домен\имя+пароль из запомненных настроек браузера клиент и будет использовать для подсоединения к серверу CRM. Но заметил также, что IE всегда игнорирует галочку "сохранить пароль" в окне идентификации CRM сайта, которое сам, к слову, предлагает, а с фаерфоксом или оперой более надежными - уже не хочет работать. Такое впечатление - что в странице сайта сидит какая-то гадость, это запоминание блокируящая, так как имя и домен все же помнит, а пароль - нет!

[Артем Enot Грунин]

Сохранить пароль сайт не разрешает. Не хранит куки вероятно.

[Sinya]

Ну, вот в том-то и замкнутый круг! Микрософт пишет в комментах - сделать так. А "так" закрыто, как вы сказали. А CRM клиенту нечего взять, коль ничего не запомнено! А все из-за того, что микрософту было в лом сделать явное окно регистрациооных настроек в свойствах клиента! Тогда мне нужна настройка, где-то в недрах IIS, отвечающая за сохранение этого cookies! Тогда бы хоть через WEB клиент стало удобней работать, не вбивая киломеровый пароль из знаков препинания каждый раз!

[Сабитов Андрей]

все ваши проблеммы решаются ОЧЕНЬ просто !!! вводите рабочие станции в домен и вуоля !

[Sinya]

Не пригодно. Так как озвереют открывать компьютеры длинными почтовыми паролями. Да и много с чем шастают туда-сюда, домой или еще куда. К тому же много очень неумных юзеров, которым бесполезно разъяснять разницу домена и рабочей группы и почему это надо было делать. Да и кучу бесплатной коммунистической работы на свою квадратную можно сыскать. К тому же не уверен, что точно сработает. А эта CRM тут далеко не главное бедствие, чтобы из-за нее устраивать революцию.

Я думаю, тут и машину с CRM достаточно будет в домен вторым AD втянуть, чтобы от приставки с доменом при входе в WEB избавиться и клиент исправить, но мне и это сильно влом делать! Ибо не хочу шишек и бесплатной работы из-за глюков на свою квадратную поиметь.

Лучше подскажите, как ее пароли в IE заставить сохранять! Я все вывернул на изнанку на рабочей станции - все кукие мыслимые разрешил, со всеми всплывающими окнами, не браузер сделал, а решето - реакция - ноль!

[Сабитов Андрей]

Что значит юзеры открывают компьютеры длинными почтовыми паролями ? Да и много с чем шастают туда-сюда, домой или еще куда это ваши слова. А до этого вы говорите что "юзерам сообща нужна только почта и сетевой принтер сообща, изредка что-то другое"...
а в домене проще управлять как политиками безопасности, централизованными обнавлениями и многое многое другое !
Раз CRM у вас не единственное "бедствие", разбиреться для начала с другими...
НЕ НУЖНО БОЯТЬСЯ ДОМЕННЫХ СЕТЕЙ!!!!!
Сколько раз сталкивался с тем, что против доменной архитектуры, те - кто ее совсем не знает и учиться не желает! Насчет exchange я с вами тоже не соглашусь!!! Возможно вам проще с администрированием МDaemon, но это не ознчает чт он лучше !
И вообще для корректной работы MS Dynamics CRM необходимо наличие контроллера домена, а также рабочий станции должны быть введены в домен!
P.S. Я реализовывал такую "штуковину" как у вас, прроблеммы ОСОБЫХ не было! ввел пароль и нормально !

[a33ik]

Цитата:

Сообщение от Сабитов Андрей

Что значит юзеры открывают компьютеры длинными почтовыми паролями ? Да и много с чем шастают туда-сюда, домой или еще куда это ваши слова. А до этого вы говорите что "юзерам сообща нужна только почта и сетевой принтер сообща, изредка что-то другое"...
а в домене проще управлять как политиками безопасности, централизованными обнавлениями и многое многое другое !
Раз CRM у вас не единственное "бедствие", разбиреться для начала с другими...
НЕ НУЖНО БОЯТЬСЯ ДОМЕННЫХ СЕТЕЙ!!!!!
Сколько раз сталкивался с тем, что против доменной архитектуры, те - кто ее совсем не знает и учиться не желает! Насчет exchange я с вами тоже не соглашусь!!! Возможно вам проще с администрированием МDaemon, но это не ознчает чт он лучше !
И вообще для корректной работы MS Dynamics CRM необходимо наличие контроллера домена, а также рабочий станции должны быть введены в домен!
P.S. Я реализовывал такую "штуковину" как у вас, прроблеммы ОСОБЫХ не было! ввел пароль и нормально !

Не распыляйтесь. Человек не хочет приобретать новые "проблемы" для решения старых. Учиться ведь - труд непростой.

[Sinya]

Цитата:

Сообщение от Сабитов Андрей

Что значит юзеры открывают компьютеры длинными почтовыми паролями ? Да и много с чем шастают туда-сюда, домой или еще куда это ваши слова. А до этого вы говорите что "юзерам сообща нужна только почта и сетевой принтер сообща, изредка что-то другое"...
а в домене проще управлять как политиками безопасности, централизованными обнавлениями и многое многое другое !
Раз CRM у вас не единственное "бедствие", разбиреться для начала с другими...
НЕ НУЖНО БОЯТЬСЯ ДОМЕННЫХ СЕТЕЙ!!!!!
Сколько раз сталкивался с тем, что против доменной архитектуры, те - кто ее совсем не знает и учиться не желает! Насчет exchange я с вами тоже не соглашусь!!! Возможно вам проще с администрированием МDaemon, но это не ознчает чт он лучше !
И вообще для корректной работы MS Dynamics CRM необходимо наличие контроллера домена, а также рабочий станции должны быть введены в домен!
P.S. Я реализовывал такую "штуковину" как у вас, прроблеммы ОСОБЫХ не было! ввел пароль и нормально !

Юзеры как раз не открывают компьютеры длинными паролями.
Длинные пароли в домене - посему как почту из вне ломали перебором. Так как кое-кто желает видеть кривой web сервис ексченжа в интеренете, чтобы заходить с телефона с web браузером с случайным IP, а в этом сервисе нельзя включить только одного-двух-трех пользователей, а остальным напрочь к нему доступ запретить по любому паролю, как в MD. Имена ящиков спамерам известны прекрасно, утилит для взлома почтовых сервисов перебором - полный интернет.
На своих машинах же пользователям проще входить с прописанным только на ней коротким паролем. Почтовый пароль вбит один раз в почтовый клиент. Больше, собственно, и не требуется.

Про почту - столько глюков, столько спама и такого быстрого падения почтового сервера, если его прицепить к интернету не через отдельную машину-шлюз в роли аппаратного фильтра с не микрософтовским фильтром на MD не наблюдал ни на одной версии. Перенос на другую машину с захромавшей - вообще нереальная вещь, тогда как в MD это механический перенос его папок и никакого реестра! Плюс суточный бэкап всех настроек в крохотных файлах меньше дискеты друг за другом! Система безопасности при работе с web оболочкой также на порядок выше - любой пользователь может быть отключен от доступа к web отдельно и многое другое. Ну и чего там лучшего?! Но это отклонение от темы.

Домен хорош в хорошем для него месте. Там где стоят стационарные машины. И на каждой сидит по несколько пользователей, приходящих в свое время и работающих и чище и организованнее поэтому. В такой структуре и порядка больше. Сам по проектному бюро знаю. Там домен нужен. Это да. Но тут он абсолютно никчему в полном виде с рабочими станциями! Только для каких-то микрософтовских сервисов, явно без него не живущих, если только.

Мне не нужно перелопачивать старую сеть, имеющую свои заморочки и со стороны навязанные прихоти. Требуется только понять, где в клиенте CRM офлайновом на стороне рабочей станции сидит та неопределенность, которая то позволяет ему установиться в рабочее состояние, то не позволяет на разных рабочих станциях. И как с ней бороться. Больше ничего не требуется и не нужно во благо паранойи власти.

[Sinya]

Неужели подобный с идентификацией глюк ни у кого нигде не вылезал? Что-то не верится!

А как заставить CRM нормально слать cookies, чтобы локальный IE мог запоминать пароль для нее?

[Артем Enot Грунин]

Сказал бы я, кто здесь глюк! Вам уже сотню раз сказали, что система ведет себя совершенно адекватно! Вы уже не первый герой, которой ставит ее не внедряя AD и гребет потом глюки. Это НЕ ПОДДЕРЖИВАЕМАЯ реализация. Не поддерживаемая обозначает, что она не тестировалась и вы гарантированно будете огребать огромные томные глюки и НИКТО, включая службу поддержки MS, не станет с вами связываться, чтобы помочь.

[Aleck]

Цитата:

Сообщение от Sinya

На своих машинах же пользователям проще входить с прописанным только на ней коротким паролем. Почтовый пароль вбит один раз в почтовый клиент. Больше, собственно, и не требуется.

Мало ли что им проще, чтобы решить проблему с CRM рабочие станции должны быть в домене и точка =)
Хочется сильно упросить пользователям жизнь - есть технологии аутентификации без ввода пароля - USB ключи, сканеры отпечатков, распознавание по картинке с веб-камеры и пр.

Или выносите тех самых трех пользователей которым нужна почта извне на отдельный сервер...