Настройка IFD в CRM 2011/2013

[Артем Enot Грунин]

Доброго времени суток, коллеги. Возникла потребность разобраться в настройке внешнего доступа к CRM. Интересует сценарий внешнего развертывания для доступа через Интернет: IFD. Официальный мануал говорит, что для настройки внешнего доступа необходимо сперва настроить внутренний:

1. Complete the steps in the previous section, Implementing Claims-based Authentication - Internal Access.
2. Configure the Microsoft Dynamics CRM Server server for IFD.
3. Configure the AD FS for IFD.
4. Test external claims-based authentication.

Настройка осуществляется с использованием 2 отдельных серверов CRM 2011 (Та же проблема и с 2013) и ADFS 2.1.

Проблема: при настройке сервера на этапе 2, перестает корректно работать CBA для внутреннего доступа настроенная на этапе 1. Подробнее:

1. Выполняется необходимая настройка сервера: настраивается внутреннее имя internalcrm.contoso.com:443 (используется порт по умолчанию, так как он ничем более не занят).

2. Включается CBA, адрес https://internalcrm.contoso.com/Fede...onMetadata.xml возвращает корректный XML где в качестве конечной точки указан https://internalcrm.contoso.com

3. Производится настройка ADFS в соответствии с инструкцией. Без проблем происходит NTLM авторизация в браузере (без формы) я могу заходить на адрес сервера https://internalcrm.contoso.com и адрес организации https://internalcrm.contoso.com/org

4. Производится включение и настройка IFD и вот тут все портится. Оба адреса и внутренний https://internalcrm.contoso.com/Fede...onMetadata.xml и внешний https://auth.contoso.com/FederationM...onMetadata.xml возвращают один и тот же XML где в качестве конечных точек указаны внешние адреса:
https://auth.contoso.com
https://org.contoso.com
https://dev.contoso.com

Теперь я могу зайти по внешнему адресу https://org.contoso.com и смогу авторизоваться через веб форму. Но внутренний адрес https://internalcrm.contoso.com теперь тоже ведет на форму авторизации (что логично, учитывая тот же конфиг) но, в итоге, выдает ошибку "директория не найдена", что тоже логично, так как нет организации с названием "internalcrm", или подходящей точки доступа.

В консоли ADFS тоже возникают какие-то ошибки по поводу несоответствия настроенного Relying Party его изначальному определению.

Вопрос: у кого работает, кто победил?

p.s. Каждая из задач конфигурации выполняется без каких-либо ошибок. Нет проблем с DNS, сертификатами, файрволами и пр. Несмотря на то, что в посте приводятся имена из MSDN, в нашей среде настроены правильные имена. Внешний и внутренний адреса находятся в одном домене - так и задумано, такой же сценарий, насколько я понимаю, дается в MSDN. Возможно, важный момент: у нас нет домена (внутреннего имени?) contoso.local. Исторически так сложилось, что домен изначально назван "contoso.com". Судя по настройкам DNS, которые делаются в статье MSDN это не должно быть причиной ошибки - все адреса, в итоге, заканчиваются на contoso.com. Но... не работает