Новый пользователь из другого домена

[if_maks]

Вопрос про CRM 4.0

Привет!

Мне необходимо создать нового пользователя который находится в другом домене, с которым установлены доверительные отношения. При указании имени пользователя в формате "domain name\user name" система определяет его, т.е. подтягивает имя, почту, должность и т.д.

Но вот при попытке сохранить вываливает сообщение об ошибке:


а ну забыл задать собственно вопрос - что можно предпринять?
спасибо!

[Сабитов Андрей]

Включите трассировку и посмотрите, что будет в логах
Поробуйте, через групповое добавление пользователей

[IgorF]

а я видел Вашу ошибку в описании KB вот тут http://support.microsoft.com/kb/952925/EN-US/
А вообще говоря уже вышел Rollup 1 для CRM 4.0 и там ето хотфикс включен.
Так что ставьте роллап и забывайте о детских болезнях CRM 4.0

[if_maks]

спасибо!!, накатим Rollup 1

[if_maks]

Поставили Rollup 1 эффекта никакого.
Что еще можно посмотреть? Может есть какие то формализованные требования к настройкам доверительности между доменами?

Спасибо!

[IgorF]

ну тогда включите трассировку как говорил Андрей.

[if_maks]

И какую информацию отсюда можно почерпнуть?
Я понял только одно: "Сервер не склонен обработать запрос"))))

Трассировка ошибки создания пользователя из дочернего домена:


[2008-12-04 10:55:51.4] Process: w3wp |Organization:29b60653-d7c7-4441-a5ee-e7c9428576d5 |Thread: 8 |Category: Platform |User: b326876d-8ee8-460d-beb8-5250c58014b6 |Level: Error | MessageProcessor.Execute

>MessageProcessor fail to process message 'Create' for 'systemuser'.

[2008-12-04 10:55:51.4] Process: w3wp |Organization:29b60653-d7c7-4441-a5ee-e7c9428576d5 |Thread: 8 |Category: Exception |User: b326876d-8ee8-460d-beb8-5250c58014b6 |Level: Error | CrmException..ctor

at CrmException..ctor(String message, Exception innerException, Int32 errorCode)

at SoapExtensionExceptionHandlerBase.GetCrmException(Exception exception)

at InProcessCrmService.Execute(Object request)

at PlatformCommand.ExecuteInternal()

at CreateCommand.Execute()

at SystemUser.Create(Boolean performDuplicateCheck)

at AppForm.SaveEntity(EntityProxy entity, FormEventId eventType, String redirectPath, Boolean performDuplicateCheck)

at AppForm.RaiseDataEvent(FormEventId eventId)

at EndUserForm.Initialize(Entity entity)

at CustomizableForm.Execute(Entity entity, String formType)

at SystemUserDetailPage.ConfigureForm()

at AppUIPage.OnPreRender(EventArgs e)

at Control.PreRenderRecursiveInternal()

at Page.ProcessRequestMain(Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint)

at Page.ProcessRequest(Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint)

at Page.ProcessRequest()

at Page.ProcessRequest(HttpContext context)

at vkpm_biz_users_edit_aspx.ProcessRequest(HttpContext context)

at CallHandlerExecutionStep.System.Web.HttpApplication.IExecutionStep.Execute()

at HttpApplication.ExecuteStep(IExecutionStep step, Boolean& completedSynchronously)

at ApplicationStepManager.ResumeSteps(Exception error)

at HttpApplication.System.Web.IHttpAsyncHandler.BeginProcessRequest(HttpContext context, AsyncCallback cb, Object extraData)

at HttpRuntime.ProcessRequestInternal(HttpWorkerRequest wr)

at HttpRuntime.ProcessRequestNoDemand(HttpWorkerRequest wr)

at ISAPIRuntime.ProcessRequest(IntPtr ecb, Int32 iWRType)

>Crm Exception: Message: , ErrorCode: -2147016651, InnerException: System.DirectoryServices.DirectoryServicesCOMException (0x80072035): Сервер не склонен обработать запрос. (Exception from HRESULT: 0x80072035)

[2008-12-04 10:55:51.4] Process: w3wp |Organization:29b60653-d7c7-4441-a5ee-e7c9428576d5 |Thread: 8 |Category: Application |User: 00000000-0000-0000-0000-000000000000 |Level: Error | ErrorInformation.LogError

>MSCRM Error Report:

--------------------------------------------------------------------------------------------------------

Error: Exception has been thrown by the target of an invocation.



Error Message: Exception has been thrown by the target of an invocation.



Source File: Not available



Line Number: Not available



Request URL: http://ferum:5555/vkpm/biz/users/edit.aspx?_CreateFromType=10&_CreateFromId={25250659-CB96-DD11-AAED-001F29ECB0A0}



Stack Trace Info: [DirectoryServicesCOMException: Сервер не склонен обработать запрос. (Exception from HRESULT: 0x80072035)]





[TargetInvocationException: Exception has been thrown by the target of an invocation.]

at System.DirectoryServices.DirectoryEntry.Invoke(String methodName, Object[] args)

at Microsoft.Crm.BusinessEntities.SecurityUtils.AddPrincipalToGroup(Guid principalId, Guid groupId)

at Microsoft.Crm.BusinessEntities.SecurityLibrary.AddPrincipalToGroup(Guid principalId, Guid groupId)

at Microsoft.Crm.ObjectModel.SystemUserServiceInternal`1.ManageGroupsHelper(Guid activeDirectoryGuid, Boolean remove, ExecutionContext context)

at Microsoft.Crm.ObjectModel.SystemUserServiceInternal`1.AddPrincipalToGroups(Guid activeDirectoryGuid, ExecutionContext context)

at Microsoft.Crm.ObjectModel.SystemUserServiceInternal`1.CreateInternal(Guid organizationId, IBusinessEntity systemuser, ExecutionContext context)

at Microsoft.Crm.ObjectModel.SystemUserServiceInternal`1.Create(IBusinessEntity systemuser, ExecutionContext context)



[TargetInvocationException: Exception has been thrown by the target of an invocation.]

at System.RuntimeMethodHandle._InvokeMethodFast(Object target, Object[] arguments, SignatureStruct& sig, MethodAttributes methodAttributes, RuntimeTypeHandle typeOwner)

at System.Reflection.RuntimeMethodInfo.Invoke(Object obj, BindingFlags invokeAttr, Binder binder, Object[] parameters, CultureInfo culture, Boolean skipVisibilityChecks)

at System.Reflection.RuntimeMethodInfo.Invoke(Object obj, BindingFlags invokeAttr, Binder binder, Object[] parameters, CultureInfo culture)

at System.Web.Services.Protocols.LogicalMethodInfo.Invoke(Object target, Object[] values)

at Microsoft.Crm.Extensibility.InternalOperationPlugin.Execute(IPluginExecutionContext context)

at Microsoft.Crm.Extensibility.PluginStep.Execute(PipelineExecutionContext context)

at Microsoft.Crm.Extensibility.Pipeline.Execute(PipelineExecutionContext context)

at Microsoft.Crm.Extensibility.MessageProcessor.Execute(PipelineExecutionContext context)

at Microsoft.Crm.Extensibility.InternalMessageDispatcher.Execute(PipelineExecutionContext context)

at Microsoft.Crm.Extensibility.ExternalMessageDispatcher.Execute(String messageName, Int32 primaryObjectTypeCode, Int32 secondaryObjectTypeCode, PropertyBag fields, CorrelationToken correlationToken, CallerOriginToken originToken, UserAuth userAuth, Guid callerId)

at Microsoft.Crm.Sdk.RequestBase.Process(Int32 primaryObjectTypeCode, Int32 secondaryObjectTypeCode, CorrelationToken correlationToken, CallerOriginToken originToken, UserAuth userAuth, Guid callerId)

at Microsoft.Crm.Sdk.RequestBase.Process(CorrelationToken correlationToken, CallerOriginToken originToken, UserAuth userAuth, Guid callerId)

at Microsoft.Crm.Sdk.CrmServiceInternal.Execute(RequestBase request, CorrelationToken correlationToken, CallerOriginToken originToken, UserAuth userAuth, Guid callerId)

at Microsoft.Crm.Sdk.InProcessCrmService.Execute(Object request)

at Microsoft.Crm.Application.Platform.ServiceCommands.PlatformCommand.ExecuteInternal()

at Microsoft.Crm.Application.Platform.ServiceCommands.CreateCommand.Execute()

at Microsoft.Crm.Application.Platform.SystemUser.Create(Boolean performDuplicateCheck)

at Microsoft.Crm.Application.Forms.AppForm.SaveEntity(EntityProxy entity, FormEventId eventType, String redirectPath, Boolean performDuplicateCheck)

[Сабитов Андрей]

Какой режим работы Вашего Domain Controller ?
Потму как в Implementation Guide есть такая фраза

Цитата:

Important
When you install Microsoft Dynamics CRM in a Windows 2000 Mixed-mode domain, you cannot add users to Microsoft Dynamics CRM that are located in a different domain.

[if_maks]

как сказали админы у нас как раз "Mixed-mode domain" правда в 2003-м, короче есть куда капать спасибо за направление

[Сабитов Андрей]

Что значит смешанный в 2003 ???? Домен под управлением Windows Server 2003 может работать в смешанном режиме Windows 2000 и в основном режиме Windows 2003
или у Вас Win Server 2008 ?

[if_maks]

нет у нас 2003-й сервер, у него свойство current domain functional level = Windows 2000 native

к нему подключен "друг", у которого current domain functional level = Windows 2000 mixed

или я что то не то смотрю?? У меня просто относительно этой области есть пробел в компетенции, поэтому ищу через острастку AD, которую нелегально установил себе на комп, в режиме Read Only, а именно смотрю в Active Directory Domains and Trusts ответы на свои вопросы практически на ощупь

а админы у нас слишком заняты что бы помогать мне в решении жизненно важных для компании вопросов - это видимо уже правило, чем исключение

[Артем Enot Грунин]

Почитал про эту ошибку и пришла в голову интересная мысль. Суть добавления пользователя в систему - его внесение в группы безопасности CRM в AD, чтобы гарантировать ему доступ к серверам. Попробуйте добавить этого пользователя в них в ручную. Если не выйдет - проблема не в CRM а в текущих настройках AD.

[Roman08]

Цитата:

Сообщение от Артем Enot Грунин

Суть добавления пользователя в систему - его внесение в группы безопасности CRM в AD, чтобы гарантировать ему доступ к серверам. Попробуйте добавить этого пользователя в них в ручную. Если не выйдет - проблема не в CRM а в текущих настройках AD.

Как раз на этом мы застопорились еще раньше. Суть такова - в списках членов группы необходимый экаунт есть (добавлен ручками), а если стать на карточку этого клиента, то группы , в которую его только что добавили - в списке нет! Т.е. Артем прав - проблема где-то в АД, но вот когда сисадмины ее решат....

[Коротич Владимир]

Между доменами установлены доверительные отношения?
Сталкивался с такой проблемой (похожей по описанию) - решение в установлении двусторонних доверительных отношений, что в том случае было невозможно...

[Артем Enot Грунин]

В IG где-то были описаны поддерживаемые режимы AD и, кажется, где-то я даже видел процедуры настройки. Честно говоря, я такие вещи просматриваю по диагонали - в консультанты я пришел из программистов, а не администраторов, так что не во всех тонкостях AD еще разбираюсь.

[Сабитов Андрей]

Колллеги я же вчера привел цитату из Implementation Guide. Я тоже сталкивался с такой проблемой, и могу с уверенность сказать, что прооблемма заключается именно в настройках режима работы Domain Controller.
Информация о Active Directory Modes есть в Implementation Guide, который лежит в свободно досупе на сайте Microsoft. а если более точно, то документ назыается Microsoft_Dynamics_CRM_IG_Planning.doc стр 3-23!!!

[Roman08]

Цитата:

Сообщение от Сабитов Андрей

могу с уверенность сказать, что прооблемма заключается именно в настройках режима работы Domain Controller.
Информация о Active Directory Modes есть в Implementation Guide,

Повторюсь, но, к сожалению, добавить юзеров с другого домена - не получилось. На сегодня имеем:
1. 1-й роллап установлен;
2. между доменами - two-way trusted relations;
3. Тип групп СRM (UserGroup{...} & ReportingGroup{...}) - Universal;
4. Domain functional level (насколько я понимаю, это аналог Active Directory Modes) - Win Server 2003, повышать уже некуда

5. При использовании визарда для добавления юзеров - trusted domain так и не виден (список-пуст):

6. Групп визард не видит (совсем ) - только контейнеры АД, т.е. - я добавил юзера с другого домена в группу СRM, но выбрать его через визард - не могу, т.к. визард видит отдельно только те екаунты, которые записаны в корне контейнера. А записать юзера с другого домена в корень - невозможно,т.к. туда записываются только вновь созданные в текущем домене.
Буду очень благодарен, прочитав ваши соображения по этому поводу.

[slivka_83]

>Roman08

Был у меня такой косячок т.е. не савсем такой, но суть в том что из-за настроек безопасностив AD я не видел структуру даже того домена в котором был установлен CRM. А мне нужно было добавить большую кучу юзверов... а ручками влом
Что я сделал:
1. Выбрал массовое добавление
2. В окне выбора домена или группы установил пунктик "Выбрать всех пользователей из всех дверенных доменов и групп"
3. Идем в следющее окно и жмем кнопку открытия диалога поиска
4. И тут мы как бы должны нажать на "лупу" и нам должны показаться все юзверы домена... но как я уже сказал из-за настроек безопасности нифига не получилось. Что я сделал - с строке поиска ввел "имя_домена\" и нажал на "лупу" и мну отобразились необходимые юзверы
Вобсчем попробуйте таким же образом добавить своего пользователя, причем попробуйте ввести и имя домена в котором установлен crm и имя "дружественного" домена и еще попробуйте ввести в строке поиска полное доменное имя пользователя

[if_maks]

Цитата:

Сообщение от slivka_83

>Roman08

Был у меня такой косячок т.е. не савсем такой, но суть в том что из-за настроек безопасностив AD я не видел структуру даже того домена в котором был установлен CRM. А мне нужно было добавить большую кучу юзверов... а ручками влом
Что я сделал:
1. Выбрал массовое добавление
2. В окне выбора домена или группы установил пунктик "Выбрать всех пользователей из всех дверенных доменов и групп"
3. Идем в следющее окно и жмем кнопку открытия диалога поиска
4. И тут мы как бы должны нажать на "лупу" и нам должны показаться все юзверы домена... но как я уже сказал из-за настроек безопасности нифига не получилось. Что я сделал - с строке поиска ввел "имя_домена\" и нажал на "лупу" и мну отобразились необходимые юзверы
Вобсчем попробуйте таким же образом добавить своего пользователя, причем попробуйте ввести и имя домена в котором установлен crm и имя "дружественного" домена и еще попробуйте ввести в строке поиска полное доменное имя пользователя

Реально работает! Спасибо!!!

Хотя отношения доменов как были так и есть "Windows 2000 mixed"

[if_maks]

Кстати вот еще что не забудте на серваке где стоит CRM прежде чем добавлять новых пользоваелей изменить ключик:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM\AutoGroupManagementOff to value 1