Change a Microsoft Dynamics CRM service account or AppPool identity

Dynamics CRM 2013
 

S’applique à : Dynamics CRM 2013

Dans certains cas, il est possible que vous deviez modifier le compte utilisé pour exécuter un service Microsoft Dynamics CRM ou l’identité du pool d’applications IIS.

La méthode la plus simple pour modifier un compte de service consiste à effectuer une opération de réparation puis à spécifier le nouveau compte de service au cours de celle-ci. Cette opération peut entraîner un temps mort dans la mesure où les services sont arrêtés et les fichiers sont vérifiés et mis à jour. Pour plus d'informations :Désinstallation, modification ou réparation de Microsoft Dynamics CRM Server 2013

Pour modifier le compte de service CRMAppPool, les autorisations appropriées doivent être accordées au compte d'utilisateur de domaine qui sera utilisé comme identité CRMAppPool, sinon le pool d'applications ne démarrera pas. De plus, si vous utilisez l’authentification basée sur les revendications, le compte de service CRMAppPool doit être autorisé à accéder au certificat de signature de jetons de l’authentification basée sur les revendications.

En outre, vous devez inclure les modifications de configuration nécessaires dans IIS.

Vous devez ajouter le compte d'utilisateur de domaine à ces groupes Active Directory :

  • Utilisateurs du domaine

  • PrivUserGroup

  • SQLAccessGroup

System_CAPS_importantImportant

Nous vous recommandons vivement d'utiliser un compte d'utilisateur de domaine dédié non utilisé comme identité pour un autre service ou pool d'applications.

System_CAPS_importantImportant

Si vous avez plusieurs déploiements Microsoft Dynamics CRM, plusieurs groupes utilisés par Microsoft Dynamics CRM existent dans Active Directory. Voir Déterminer les groupes à mettre à jour pour plusieurs déploiements pour déterminer les groupes à mettre à jour.

En outre, l'appartenance au groupe local suivante est requise :

  • Groupe IIS_WPG

  • Groupe CRM_WPG

  • Utilisateurs du journal de performances

Utilisez Utilisateurs et ordinateurs Active Directory pour ajouter Active Directory et les appartenances de groupe local.

L'utilisateur du compte de domaine doit aussi disposer des droits de stratégie locaux suivants :

  • Emprunter l’identité d’un client après l’authentification

  • Ouvrir une session en tant que service

Pour ajouter ces droits de stratégie locaux, procédez comme suit :

  1. Sur le serveur Microsoft Dynamics CRM, démarrez le composant logiciel enfichable MMC Stratégie de sécurité locale.

  2. Développez Paramètres de sécurité, puis Stratégies locales et cliquez sur Attribution des droits utilisateur.

  3. Cliquez avec le bouton droit sur Emprunter l'identité d'un client après l'authentification, puis cliquez sur Propriétés.

  4. Cliquez sur Ajouter un utilisateur ou un groupe.

    System_CAPS_noteRemarque

    Il est possible que vous deviez cliquer sur Emplacement pour sélectionner le domaine au lieu de l'ordinateur local.

  5. Dans la zone Nom du groupe, tapez le nom de l'utilisateur exécutant le pool d'applications Microsoft Dynamics CRM, puis cliquez à deux reprises sur OK.

  6. Répétez les étapes 3 à 5 pour le droit Ouvrir une session en tant que service.

System_CAPS_importantImportant

Par défaut, l'authentification du mode noyau Internet information Services (IIS) est activée pour les applications Web et vous ne devez pas supprimer ou définir les noms principaux de services (SPN) comme décrit dans cette section. Toutefois, si l'authentification du mode noyau IIS est désactivée par la définition de Activer l'authentification du mode noyau sur false, vous devez configurer des noms principaux de service pour le nouveau compte de service.

Identifier et configurer des noms principaux de services

Recherchez tous les noms principaux de services existants et configurez le compte d'utilisateur de domaine qui sera utilisé comme identité CRMAppPool pour utiliser les noms principaux de services.

  1. Identifiez les SPN enregistrés sous l'identité CRMAppPool active. Par exemple, l'identité active est Service réseau qui correspond au compte système de l'ordinateur local pour le serveur CRMAppServer.contoso.com. En outre, l'en-tête d'hôte CRM est implémenté sur le site Web.

    Vous pouvez obtenir des noms principaux de services en utilisant Setspn ou ADSI Edit. Dans cet exemple, les SPN attendus associés à IIS sont répertoriés ici. D’autres SPN peuvent être ajoutés au compte d'identité selon les services installés.

    • HOST/CRMAppServer

    • HOST/CRMAppServer.contoso.com

    • HTTP/CRM

    • HTTP/CRM.contoso.com

  2. Dans cet exemple, des SPN sont enregistrés avec deux classes de services, les SPN Host par défaut et les SPN HTTP pour l’en-tête d’hôte. Les SPN HTTP actuels devront être supprimés pour pouvoir être ajoutés sous le nouveau compte d'utilisateur de domaine qui sera utilisé comme identité CRMAppPool. Les SPN HOST ne sont pas supprimés, car ils ne génèreront pas de doublons en raison de la classe de service unique. Par conséquent, dans cet exemple, les SPN d'en-tête d'hôte pour HTTP/CRM et HTTP/CRM.contoso.com peuvent être supprimés à l'aide de l'outil setspn dans la fenêtre d'invite de commandes :

    setspn -d HTTP/crm CRMAppServer 
    
    setspn -d HTTP/crm.contoso.com CRMAppServer
    
  3. Vous devez ajouter les SPN suivants au compte de domaine d'utilisateur à utiliser comme identité CRMAppPool. Dans cet exemple, le nom du compte d'utilisateur de domaine est CRMService et le domaine est Contoso. Il s’agit des SPN du nom du serveur et de l’en-tête d’hôte. Vous devrez créer des SPN supplémentaires si d’autres en-têtes d’hôtes sont utilisés.

    • HTTP/CRMAppServer

    • HTTP/CRMAppServer.contoso.com

    • HTTP/CRM

    • HTTP/CRM.contoso.com

      1. Inscrire les SPN :

        1. Pour inscrire les SPN sur crmappserver dans le domaine contoso, tapez ce qui suit dans la fenêtre d'invite de commandes et appuyez sur ENTRÉE :

          setspn -s HTTP/CRMAppServer contoso\crmservice
          

          Notez que le paramètre –s vérifie en premier si le SPN est déjà inscrit. Si le SPN existe déjà, vous n'aurez pas à en créer un.

        2. Répétez la première étape pour tous les autres SPN.

Approbation pour la délégation

Si vous disposez de plusieurs serveurs Microsoft Dynamics CRM et si l'authentification du mode noyau d'IIS est désactivée, vous devez configurer le compte de sécurité du pool d'applications CRMAppPool de sorte qu'il soit approuvé pour la délégation. Pour ce faire, procédez comme suit :

  1. Connectez-vous au contrôleur de domaine à l'aide d'un compte d'utilisateur disposant des autorisations d'administrateur de domaine.

  2. Démarrez Utilisateurs et ordinateurs Active Directory.

  3. Développez le domaine, cliquez avec le bouton droit sur le compte d'utilisateur de domaine à utiliser pour l'identité CRMAppPool, puis cliquez sur Propriétés.

  4. Sous l'onglet Délégation, sélectionnez l'option Approuver cet utilisateur pour la délégation à tous les services (Kerberos uniquement).

  5. Cliquez sur OK.

Définissez le compte d'utilisateur de domaine comme identité CRMAppPool dans IIS.

Pour modifier l'identité CRMAppPool dans IIS, procédez comme suit :

  1. Démarrez Gestionnaire des services IIS.

  2. Cliquez sur les pools d'application, cliquez avec le bouton droit sur CRMAppPool, puis cliquez sur Paramètres avancés.

  3. Cliquez sur le compte d'identité près de Identité puis sur les points de suspension ().

  4. Cliquez sur Définir, tapez la nouvelle identité, par exemple contoso\crmservice, entrez et confirmez le mot de passe, puis cliquez sur OK trois fois pour fermer toutes les boîtes de dialogue.

  5. Fermez Gestionnaire des services IIS.

Redémarrer IIS

Redémarrez Internet Information Services (IIS). Pour ce faire, cliquez sur Démarrer, sur Exécuter, tapez IISRESET, puis cliquez sur OK.

Si vous avez plusieurs déploiements Microsoft Dynamics CRM, plusieurs groupes utilisés par Microsoft Dynamics CRM existent dans Active Directory. Procédez comme suit pour déterminer le GUID objet que vous pouvez utiliser pour rechercher des groupes appropriés que le déploiement utilise.

Exécutez la requête SQL suivante sur la base de données MSCRM_CONFIG :

SELECT [PrivilegeReportGroupId]
      ,[PrivilegeUserGroupId]
      ,[ReportingGroupId]
      ,[SqlAccessGroupId]
 FROM [mscrm_config].[dbo].[ConfigSettings]

Notez l'ID des groupes PrivUserGroup et SQLAccessGroup. Par exemple, PrivUserGroupId peut ressembler à C8AB1D52-9383-4164-B571-4C80D46674E3. PrivUserGroupId et SQLAccessGroupId sont les GUID objet que vous pouvez utiliser pour rechercher le groupe dans Active Directory. Pour plus d'informations sur la recherche d'objets dans Active Directory, voir Référence technique sur les recherches Active Directory.

© 2016 Microsoft Corporation. All rights reserved. Copyright

Ajouts de la communauté

AJOUTER
Afficher: