Del via

Bedste praksis for Microsoft Dynamics 365-sikkerhed

  • Artikel

 

Udgivet: januar 2017

Gælder for: Dynamics 365 (on-premises), Dynamics CRM 2016

IIS (Internet Information Services) er en fuldt udviklet webtjeneste, der er inkluderet i Windows Server.Microsoft Dynamics 365 er afhængig af en effektiv og sikker IIS-webtjeneste. Overvej følgende:

  • I konfigurationsfilerne machine.config og web.config kan du se, om fejlfinding er aktiveret, og om der sendes detaljerede fejlmeddelelser til klienten. Du skal sikre, at fejlfinding er deaktiveret på alle produktionsservere, og at der sendes en generisk fejlmeddelelse til klienten, hvis der opstår problemer. Derved undgår du, at der sendes unødvendige oplysninger om konfigurationen af webserveren til klienten.

  • Kontrollér, at det nyeste operativsystem og de nyeste IIS-servicepakker og -opdateringer anvendes. Du kan finde opdaterede oplysninger på webstedet for Microsoft-sikkerhed.

  • I Microsoft Dynamics CRM Server Installation oprettes der programgrupper, der kaldes CRMAppPool og CRMDeploymentServiceAppPool, der fungerer i overensstemmelse med brugerlegitimationsoplysninger, du angiver under installationen. Det anbefales, at du angiver separate domænebrugerkonti for disse programgrupper i stedet for at bruge kontoen Netværkstjeneste, for at bruge en model med færre rettigheder. Derudover anbefales det, at der ikke installeres et andet program, der har forbindelse til ASP.NET, under disse programgrupper. Du kan finde oplysninger om, hvilke minimumtilladelser der kræves for disse komponenter, i Minimumtilladelser, der kræves for installation af samt tjenester til Microsoft Dynamics CRM.

Vigtigt

  • Sørg for, at alle websteder, der kører på samme computer som Microsoft Dynamics 365-webstedet, også kan have adgang til Dynamics 365-databasen.

  • Hvis du bruger en domænebrugerkonto, før du kører Microsoft Dynamics CRM Server Installation, kan det være nødvendigt at kontrollere, at tjenestens hovednavn er angivet korrekt for den pågældende konto, og evt. angive det korrekte hovednavn for tjenesten. Du kan finde flere oplysninger om tjenesters hovednavn, og hvordan du angiver dem, under Sådan bruges tjenesters hovednavn, når du konfigurerer webprogrammet, der hostes af IIS.

Administration af tjenestens hovednavn i Microsoft Dynamics 365

Attributten for tjenestens hovednavn er en attribut med flere værdier og uden sammenkædning, som oprettes ud fra DNS-værtsnavnet. SPN bruges under gensidig godkendelse mellem klienten og den server, der er vært for en bestemt tjeneste. På klienten findes en computerkonto baseret på SPN for den tjeneste, som den forsøger at oprette forbindelse til.

Installationsprogrammet til Microsoft Dynamics 365 Server udruller rollespecifikke tjenester og webprogramgrupper, som kører under de brugerlegitimationsoplysninger, der blev angivet under Installation. Du kan gennemse hele listen over disse roller og deres tilladelseskrav i Minimumtilladelser, der kræves for installation af samt tjenester til Microsoft Dynamics CRM.

Når du udruller en værtsbaseret Microsoft Dynamics 365-infrastruktur, kan to af disse roller kræve nogle flere overvejelser:

  • Installationswebtjeneste

  • Programtjeneste

I scenarier med webfarme, som det er tilfældet med et værtssystem, anbefales det, at godkendelse i kernetilstand er aktiveret. Du bør desuden nøje overveje at bruge separate domænebrugerkonti til at køre disse tjenester af følgende årsager:

  • Når du har separate tjenestekonti for disse serverroller, kan du implementere justering af belastning for hardware.

  • Installationswebtjeneste-serverrollen kræver udvidede tilladelser for at klargøre organisationer i Dynamics 365-databasen. Hvis du vil have en model med mindst mulige rettigheder, er det mest sikkert, at Installationswebtjeneste kører under en anden domænebrugerkonto end programtjenesten, når du vil implementere tjenestens hovednavn i en værtsbaseret Microsoft Dynamics 365-infrastruktur.

Hvis du følger denne anbefaling om at bruge forskellige domænekonti til serverrollerne, skal du kontrollere, at SPN er korrekt for hver konto, før du starter Microsoft Dynamics CRM Server Installation. Det vil gøre det nemmere for dig at angive det korrekte SPN, når det er nødvendigt.

Hvis godkendelse i kernetilstand er aktiveret, angives tjenesters hovednavne for computerkontoen, uanset den angivne tjenestekonto. Når du implementerer en webfarm, skal du aktivere godkendelse i kernetilstand og ændre den lokale ApplicationHost.config-fil.

Hvis program- og installationswebtjenesterne kører på det samme system, og godkendelse i kernetilstand er deaktiveret, kan du konfigurere begge tjenester til at køre under den samme domænebrugerkonto for at forhindre problemer med duplikeret SPN. Hvis du ikke kan aktivere godkendelse i kernetilstand, skal du installere program- og udrulningswebtjenesterne på forskellige systemer. Det er muligt, at du stadig skal oprette tjenesters hovednavne manuelt, fordi godkendelse i kernetilstand er deaktiveret.

Du kan finde flere oplysninger om SPN, og hvordan du angiver dem, i SPN-tjekliste (Service Principal Name) til Kerberos-godkendelse med IIS 7.0/7.5. Siden er evt. på engelsk.

Se også

Overvejelser om sikkerhed i Microsoft Dynamics 365
Administration af bedste praksis for lokale installationer af Microsoft Dynamics 365

© 2017 Microsoft. Alle rettigheder forbeholdes. Ophavsret