MS dynamics CRM 2011安装部署和使用之七：网站证书DNS防火墙设置

Microsoft Dynamics CRM 4.0操作和维护指南中文 4.0.0 修订版本文档中的信息（包括引用的 URL 和其他 Internet ）如有更改，恕不另行通知。

除非另行说明，否则本文示例中描述的公司、组织、产品、域名、电子地址、徽标、人物、地点和事件纯属虚构。

无意与任何真实的公司、组织、产品、域名、电子地址、徽标、人物、地点或事件发生任何关联，也不应有此方面的推断。

用户有责任遵守一切适用的法。

未经 Microsoft Corporation 书面明确许可，不得出于任何目的、以任何形式或通过任何手段（电子、机械、影印、录制或其他手段）复制本文档的任何容、将其存入或引入检索系统或者进行传播；但此规定并不限制所赋予的各项权利。

Microsoft 可能拥有涉及本文档主题的专利、专利申请、商标、或其他知识产权。

除非Microsoft 提供的书面许可协议中有明文规定，否则提供本文档并不表示赋予您使用这些专利、商标、或其他知识产权的许可。

© 2007 Microsoft Corporation。

保留所有权利。

您复制本文档的权利受法/著作权法和软件许可协议条款的限制。

对于软件许可证，您可以制作合理数量的副本或打印版本供自己使用。

未经授权擅自制作副本、改编、汇编或进行衍生性工作用于商业发行都是法律禁止的行为，违者将受到惩罚。

Microsoft、MS-DOS、Windows、Windows Server、Windows Vista、Microsoft Dynamics、Active Directory、BizTalk 和 Outlook 是 Microsoft 旗下各公司的商标。

所有其他商标均归其各自所有者所有。

目录1概述欢迎使用《Microsoft Dynamics CRM 4.0 操作和维护指南》，本指南是《Microsoft Dynamics CRM 4.0 实施指南》综合文档集的一部分。

Connectivity and Firewall Port Requirements for Microsoft Dynamics CRM 2011White PaperPublished : October 2012 Updated : September 2013FeedbackTo send comments or suggestions about this document, please click the following link and type your feedback in the message body:/fwlink/?LinkID=267480Important: The subject-line information is used to route your feedback. If you remove or modify the subject line, we may be unable to process your feedback.2Table of ContentsOverview (4)On Premise with Integrated Windows Authentication (4)On Premise with Claims-Based Authentication (5)Default CRM Connectivity Requirements (6)Port Recommendations (8)Network ports for the Microsoft Dynamics CRM Web application (8)Network ports for the Asynchronous Service, Web Application Server, and Sandbox Processing Service server roles (9)Network ports that are used by the SQL Server that runs the Microsoft Dynamics CRM Reporting Extensions server roles (9)Connectivity Requirements for Windows Services (9)Connectivity Requirements for Integrated Windows Authentication (10)Mail Server Connectivity Requirements (11)Appendix A: Resources (12)3OverviewMany data centers include firewalls between the end users and the servers and other integrated systems that support an implementation of Microsoft Dynamics CRM 2011. This document is designed to provide guidance on the connectivity requirements between Microsoft Dynamics CRM 2011 and other systems to assist readers with proper firewall configuration in customer environments.On-Premises with Integrated Windows AuthenticationAn overview of an on-premises implementation that uses Integrated Windows Authentication (IWA) is shown in the following diagram.In this scenario the user must have a certain level of connectivity to the CRM Server(s), the Active Directory Server(s) and the SQL Server for SQL Filtered View access (if Export to Excel functionality is required). The remainder of this document focuses primarily on this scenario and details the required level of connectivity between these various components as well as further options for integration, Citrix implication, and so on.4On-Premises with Claims-Based AuthenticationAn overview of an on-premises implementation that uses claims-based authentication is shown in the following diagram using Active Directory Federation Service (ADFS) as the Security Token Service (STS).With claims-based authentication, the Microsoft Dynamics CRM site is accessed anonymously and is then redirected to ADFS. Users enter their credentials, which are validated by ADFS by contacting Active Directory Directory Services (AD-DS). Finally, AFDS issues a SAML token containing the necessary claims for accessing Microsoft Dynamics CRM.5Default CRM Connectivity RequirementsAn overview of the default connectivity requirements for an on-premises deployment ofIn addition all Servers require the following:∙ DNS name resolution on UDP/TCP: 53∙ NetBIOS name resolution on TCP: 139, UDP: 137/138∙ NTP time synchronisation: 123 –this is a requirement for Kerberos Authentication∙ DCOM and RPC: TCP 135, UDP 1025Note. Arrow direction depicts source and target of initiating request rather than direction of data flowImportant: Because this diagram is focused on Microsoft Dynamics CRM connectivity requirements, full details about the specific port requirements for Microsoft Exchange Server and the Microsoft Windows Active Directory service are not shown. Additional information and links to related articles about these technologies and their specific requirements are provided in the following sections of this document.6The default connectivity requirements for components of an on-premises deployment of Microsoft Dynamics CRM 2011 are shown in the following table.Important: In each case, the port numbers can be configured to run under alternative (non-default) values, so environments will vary.7Port RecommendationsNetwork ports for the Microsoft Dynamics CRM web application The following table lists the ports used for a server that is running a Full Server installation of Microsoft Dynamics CRM. Moreover, except for the Microsoft SQL Server role, and the Microsoft Dynamics CRM Connector for SQL Server Reporting Services server role, all server roles are installed on the same computer.Important: Depending on the domain trust configuration, additional network ports may be required for Microsoft Dynamics CRM to work correctly. For more detail, see Knowledge Base article ID 179442, How to configure a firewall for domains and trusts.8Network ports for the Asynchronous Service, Web Application Server, and Sandbox Processing Service server rolesThe following table lists the additional ports that are used for a deployment where the Sandbox Processing Service is running on a separate computer.Network ports that are used by the SQL Server that runs the Microsoft Dynamics CRM Reporting Extensions server rolesThe following table lists the ports that are used for a computer that is running SQL Server with only SQL Server and the Microsoft Dynamics CRM Reporting Extensions server roles installed.Note: The NETBIOS ports (TCP 139, UDP 137 and 138) are an alternative to port 445 which is used by SQL named pipes. These ports are required only during setup to determine the SQL port for named instances of SQL; the NETBIOS ports are not required during normal operation. Connectivity Requirements for Windows ServicesMicrosoft client, server, and server-based programs use a variety of network ports and protocols to communicate with client systems and with other server systems over the network. While beyond the scope of this article, details of the essential network ports, protocols and services that are used by Microsoft client and server operating systems, server-based programs, and their subcomponents in the Microsoft Windows server system are available on the Microsoft Support site in Article ID 832017, Service overview and network port requirements for Windows.9Connectivity Requirements for Integrated Windows AuthenticationThe key service and port requirements for Integrated Windows Authentication (IWA) are shown in the following table:However, in larger deployments, firewalls can present two challenges when deploying a distributed Active Directory (AD) directory service architecture:▪Initially promoting a server to a domain controller▪Replicating traffic between domain controllersActive Directory relies on remote procedure call (RPC) for replication between domain controllers. Note that while Simple Mail Transfer Protocol [SMTP] can be used in certain situations—schema, configuration, and global catalog replication—but not domain naming context, which limits its usefulness.Configuring replication in environments in which a directory forest is distributed among internal, perimeter networks and external (that is, Internet-facing) networks can be challenging. In these scenarios, there are three possible approaches:▪Open the firewall wide to permit the native dynamic behaviour of RPC▪Limit the use of TCP ports by RPC and open the firewall just a little bitNote: For additional detail about this option, see the following resources:∙Article ID 929851 - The default dynamic port range for TCP/IP has changed in Windows Vista and in Windows Server 2008∙Article ID 154596 - How to configure RPC dynamic port allocation to work with firewalls∙How to limit dynamic RPC ports used by DPM and protected servers▪Encapsulate domain controller (DC-to-DC) traffic inside IP Security Protocol (IPSec) and open the firewall for thatEach of these approaches has its pros and cons; in general, there are more cons than pros associated with the first option listed above and more pros than cons associated with the third option listed above.Note: For more information about each option, including details of the configuration and port requirements for each, see the TechNet article Active Directory Replication Over Firewalls.10Mail Server Connectivity RequirementsMicrosoft Dynamics CRM 2011 provides for integration with Exchange and other SMTP/POP3 servers. Mail system integration is typically achieved either through client-side integration via Outlook or server-side integration via Exchange or a third-party POP3/SMTP server.Note: This document focuses on server-side integration via Exchange, but the same principles would apply to server-side integration via other POP3/SMTP servers.Administrators can specify to use either client-side or server-side integration, which can be configured at a user level within the User properties in Microsoft Dynamics CRM. After the administrator specifies the level at which integration will occur, users on the client computers must agree to have email sent on their behalf by Microsoft Dynamics CRM by using their own user options configuration.While client-side integration does not require any additional server components, it works only with Microsoft Dynamics CRM for Outlook. The Microsoft Dynamics CRM for Outlook plug-in is then used to send email via Outlook and the users’ preconfigured mail Server as well as to route inbound emails back into Microsoft Dynamics CRM. This integration happens on a regular polling basis (but is not immediate). Additional Microsoft Dynamics CRM-specific ports are not required for this integration; standard Exchange connectivity is used. Emails are routed into Microsoft Dynamics CRM via the CRM Web Services; hence access to Port 80 (443 for SSL) from Microsoft Dynamics CRM for Outlook is the only requirement.The CRM Exchange Router can be installed on an Exchange Server or on a dedicated CRM Exchange Router server. Using the CRM Exchange Router provides inbound and outbound email connectivity for both the Microsoft Dynamics CRM web client and Microsoft Dynamics CRM for Outlook. This CRM Exchange Router integrates with external mail systems via:▪POP3 (TCP:110) and SMTP (TCP:25)▪HTTP-DAV (TCP:80) for the CRM Sink account or direct to users mail account▪Exchange Web Service (EWS) (TCP:80)11Appendix A: ResourcesFor additional information related to connectivity and firewall port requirements in Microsoft Dynamics CRM 2011, see the following additional resources:▪Microsoft Dynamics CRM 2011 Implementation Guideo Downloado View Online▪Service overview and network port requirements for Windows▪Article ID 929851 - The default dynamic port range for TCP/IP has changed in Windows Vista and in Windows Server 2008▪Article ID 154596 - How to configure RPC dynamic port allocation to work with firewalls ▪How to limit dynamic RPC ports used by DPM and protected servers▪Active Directory Replication Over Firewalls▪Securing Your Application Server12。

MicrosoftDynamicsCRM操作与维护指导书Microsoft Dynamics CRM 4.0操作与保护指南中文 4.0.0 修订版本文档中的信息（包含引用的 URL 与其他 Internet 网站）如有更换，恕不另行通知。

除非另行说明，否则本文示例中描述的公司、组织、产品、域名、电子邮件地址、徽标、人物、地点与事件纯属虚构。

无意与任何真实的公司、组织、产品、域名、电子邮件地址、徽标、人物、地点或者事件发生任何关联，也不应有此方面的推断。

用户有责任遵守一切适用的版权法。

未经Microsoft Corporation 书面明确许可，不得出于任何目的、以任何形式或者通过任何手段（电子、机械、影印、录制或者其他手段）复制本文档的任何内容、将其存入或者引入检索系统或者者进行传播；但此规定并不限制版权所给予的各项权利。

Microsoft 可能拥有涉及本文档主题的专利、专利申请、商标、版权或者其他知识产权。

除非Microsoft 提供的书面许可协议中有明文规定，否则提供本文档并不表示给予您使用这些专利、商标、版权或者其他知识产权的许可。

© 2007 Microsoft Corporation。

保留所有权利。

您复制本文档的权利受版权法/著作权法与软件许可协议条款的限制。

关于软件许可证，您能够制作合理数量的副本或者打印版本供自己使用。

未经授权擅自制作副本、改编、汇编或者进行衍生性工作用于商业发行都是法律禁止的行为，违者将受到惩处。

Microsoft、MS-DOS、Windows、Windows Server、Windows Vista、Microsoft Dynamics、Active Directory、BizTalk 与 Outlook 是 Microsoft 旗下各公司的商标。

所有其他商标均归其各自所有者所有。

目录1概述欢迎使用《Microsoft Dynamics CRM 4.0 操作与保护指南》，本指南是《Microsoft Dynamics CRM 4.0 实施指南》综合文档集的一部分。

MS dynamics CRM 2011安装部署和使用之八：声明认证的内部访问(2012-04-17 00:18:22)转载▼分类：DynamicsCRM标签：crmdynamicscrm2011客户关系管理感知网it配置基于声明的认证--内部访问这里需要如下4个步骤：1）安装和配置AD FS 2.02）在CRM 2011上设定基于声明的认证3）在AD FS 2.0上设定基于声明的认证4）测试基于声明的认证方式本文参考了：/blog/index.php/server-tips/microsoft-crm-2011-how-to-configure -ifd-hosted-setup/安装和配置AD FS 2.0在内网的访问的流程如下，参见之前的介绍在这里AD FS 2.0负责向客户端发送token。

需要注意的是，AD FS 2.0默认必须安装到Default Web Site，CRM 2011安装在另外的站点，如下图。

如果不是这样，那你就要重新安装CRM 2011了。

下载AD FS 2.0 RTW/downloads/zh-cn/details.aspx?familyid=118c3588-9070-426a-b655-6c ec0a92c10b安装 AD FS 2.0在安装向导，选择“联合服务器”，确认安装完成。

完成时，勾选“启动AD FS 2.0管理单元”配置 AD FS 2.0AD FS 2.0管理界面，选择配置向导，选择“创建新的联合身份验证服务”，下一步选择”独立联合服务器“联合身份验证服务名称，输入。

说明：对于多个服务器的，可以设定为”"选择下一步直至完成安装验证AD FS 2.0工作打开IE, 输入联合元数据的URL地址https:///federationmetadata/2007-06/federationmetadata.xml说明：1）之外，其它URL部分是固定的2）对多个服务器的情况，这里的地址是对于弹出的警告，确认继续，此时IE会打开XML文件，表示AD FS 2.0工作正常在CRM 2011上配置基于声明的认证打开CRM部署管理器（开始--部署管理器）选择Dynamics CRM,右键，选择“属性”选择WEB地址，绑定类型，选择HTTPS，现在设置的地址是给内网访问的，我们设定一个域名“"，端口是刚才设定CRM的SSL端口，446.确认。

为Microsoft Dynamics CRM 2011配置Claims-Based认证Microsoft Dynamics CRM 4.0 使用Windows集成认证（Integrated Windows authentication）来对内部用户进行认证，使用窗体身份认证（Forms authentication）来对不使用VPN的外部用户提供internet访问。

Microsoft Dynamics CRM 2011 将窗体身份认证替换为了基于声明的认证（Claim-based authentication），它能够提供简化的的用户访问和单点登录（single sign-on）来访问Microsoft Dynamics CRM的数据。

本文将介绍如何为CRM 2011配置Claim-based认证以及IFD。

关于ADFS和Claim，可参考下述资料：A Guide to Claims–based Identity and Access Control(/fwlink/?LinkID=188049)Using Active Directory Federation Services 2.0 in Identity Solutions (/fwlink/?LinkID=209776)Windows Server 2008 R2 Active Directory Federation Services 2.0 (/fwlink/?LinkId=200771)AD FS 2.0 Step-by-Step and How To Guides(/fwlink/?LinkId=180357)Claims-Based Identity for Windows.pdf(/fwlink/?LinkID=209773)本文的内容将包括以下三部分：1. Claim-based认证的准备工作2. 配置Claim-based认证-内部访问3. 配置Claim-based认证-外部访问（IFD）1. Claim-based认证的准备工作在配置配置Claim-based认证之前，需要考虑以下问题：（1）CRM Server 2011和AD FS 2.0的条件如果你打算将组建装在同一个服务器上，那么你需要注意AD FS 2.0会安装在默认站点上。

DNS安全防护解决方案标题：DNS安全防护解决方案引言概述：DNS（Domain Name System）是互联网中最重要的基础设施之一，负责将域名转换为IP地址，是互联网通信的基础。

然而，DNS也存在安全风险，如DNS缓存投毒、DNS劫持等，给网络安全带来威胁。

为了保障DNS的安全，需要采取相应的防护措施。

一、加强DNS服务器安全性1.1 更新DNS服务器软件：定期更新DNS服务器软件，及时修补漏洞，提高系统的安全性。

1.2 配置防火墙：在DNS服务器上配置防火墙，限制对DNS服务的访问，防止未经授权的访问。

1.3 启用DNSSEC：启用DNSSEC（DNS Security Extensions），对DNS数据进行签名验证，确保数据的完整性和真实性。

二、加强网络设备安全性2.1 更新网络设备固件：定期更新网络设备的固件，修复安全漏洞，提高设备的安全性。

2.2 配置ACL（Access Control List）：在网络设备上配置ACL，限制对DNS 流量的访问，防止恶意攻击。

2.3 使用双因素认证：对网络设备进行双因素认证，提高设备的安全性，防止未经授权的访问。

三、监控DNS流量3.1 实时监控DNS流量：通过安全监控工具实时监控DNS流量，及时发现异常情况。

3.2 分析DNS查询日志：定期分析DNS查询日志，查找异常查询，及时处理安全事件。

3.3 部署DNS流量分析器：部署DNS流量分析器，对DNS流量进行深度分析，识别潜在的安全威胁。

四、加强域名注册商安全性4.1 选择可信赖的域名注册商：选择知名的域名注册商，避免因注册商安全漏洞导致域名被劫持。

4.2 启用域名锁定功能：启用域名注册商提供的域名锁定功能，防止域名被非法转移。

4.3 定期更改注册商密码：定期更改域名注册商的密码，确保账户的安全。

五、域名安全服务5.1 使用DDoS防护服务：部署DDoS防护服务，保护DNS服务器免受分布式拒绝服务攻击。

汉得信息技术有限公司工具安装及插件探查器调试作者: HAND 创建日期: 2012-12-22 最后更新: 2012-12-22 控制码: 版本: 1.0审批签字:客户项目负责人Copy Number _____文档控制修改记录日期作者版本修改参考2012-12-22 刘崇斌 1.0审阅姓名职位分发拷贝. 姓名地点1111目录必备条件 (4)Microsoft Visual Studio 2010 Service Pack 1 正式版官方下载地址 (4)安装开发人员工具包 (5)创建新的开发人员工具包项目 (8)使用开发人员工具包部署解决方案 (10)使用代码生成工具 (CrmSvcUtil.exe) 创建早期绑定实体类 (11)分析插件性能 (15)使用插件探查器调试插件 (15)为事件注册插件 (21)测试插件 (22)调试插件 (24)重播插件执行情况 (31)未解决的问题 (34)必备条件安装开发人员工具包之前，必须在开发计算机上安装以下应用程序：∙Microsoft Visual Studio 2010 Professional 或更高版本∙Microsoft Silverlight 4∙Microsoft Visual Studio 2010 Service Pack 1 包含 Silverlight 4 Tools for Microsoft Visual Studio 2010 以及其他 Visual Studio 更新。

∙如果您已经安装 Microsoft Visual Studio 2010，则可以安装 Microsoft Visual Studio 2010 Service Pack 1。

∙如果由于某种原因无法安装 Microsoft Visual Studio 2010 Service Pack 1，则可以单独安装Silverlight 4 Tools for Visual Studio 2010。

Microsoft Dynamics CRM 2011 规划指南5.0.0版权本文档按“原样”提供。

本文档中的信息和观点（包括URL 和其他Internet 网站引用）如有更改，恕不另行通知。

使用本文档时的风险自负。

引用的示例都是虚构的，仅用于提供解释说明。

不可理解为与任何现实情况的关联。

本文档不向您提供对任何Microsoft 产品中的任何知识产权的任何法律权利。

您只能出于内部参考目的复制和使用本文档。

© 2011 Microsoft Corporation。

保留所有权利。

Microsoft、Active Directory、Excel、Hyper-V、Internet Explorer、Microsoft Dynamics、Microsoft Dynamics 徽标、MSDN、Outlook、记事本、SharePoint、Silverlight、Visual C++、Windows、Windows Azure、Windows Live、Windows PowerShell、Windows Server 和Windows Vista 是Microsoft 旗下各公司的商标。

所有其他商标均归其各自所有者所有。

目录版权 (2)概述 (5)规划Microsoft Dynamics CRM (5)Microsoft Dynamics CRM 版本和许可 (6)Microsoft Dynamics CRM 2011 中的新增功能 (6)新应用程序功能 (6)基于声明的身份验证支持 (8)Add or remove a server role (8)沙盒处理服务 (8)Microsoft Dynamics CRM 2011 电子邮件路由器中的新增功能 (8)Microsoft Dynamics CRM for Outlook 中的新增功能 (8)业务经理在Microsoft Dynamics CRM 实施中所发挥的作用 (11)帮助您规划的工具、培训和文档 (11)业务管理工具 (12)Microsoft Dynamics Sure Step 方法 (12)业务管理培训 (12)帮助 (12)规划Microsoft Dynamics CRM 实施 (13)业务经理的规划任务 (13)业务经理的开发任务 (14)业务经理的部署任务 (14)业务经理的部署后任务 (14)管理Microsoft Dynamics CRM 实施项目 (14)实施概述 (16)规划 (16)开发 (17)部署 (17)部署后：操作和维护 (17)规划任务 (17)部署任务 (24)部署后任务 (24)系统要求和必备组件 (27)Microsoft Dynamics CRM 服务器2011 硬件要求 (28)Microsoft Dynamics CRM 2011 规划指南iMicrosoft SQL Server 硬件要求 (28)Microsoft Dynamics CRM 服务器2011软件要求 (28)Windows Server 操作系统 (29)支持的Windows Server 2008 版本 (29)服务器虚拟化 (29)Active Directory 模式 (29)Internet Information Services (IIS) (30)SQL Server 版本 (30)基于声明的身份验证和IFD 要求 (31)SQL Server Reporting Services (32)必备软件组件 (32)验证必备组件 (33)Microsoft Dynamics CRM 报表扩展 (34)Microsoft Dynamics CRM 报表扩展常规要求 (34)SharePoint 文档管理软件要求 (34)Office Communications Server 集成 (35)Microsoft Dynamics CRM 电子邮件路由器硬件要求 (35)Microsoft Dynamics CRM 电子邮件路由器软件要求 (35)Exchange Server (36)消息处理和传输协议 (37)Exchange Online (37)Microsoft Dynamics CRM for Outlook 硬件要求 (37)Microsoft Dynamics CRM for Outlook 软件要求 (38)Microsoft Dynamics CRM for Outlook 必备软件组件 (38)Microsoft Dynamics CRM Web 客户端软件要求 (39)支持的64 位配置 (40)语言支持 (40)要求 (40)示例 (41)货币支持 (42)规划部署 (49)规划部署的先决条件和注意事项 (49)硬件要求 (50)软件要求 (50)Active Directory 注意事项 (50)SQL Server 安装和配置 (52)Microsoft SQL Server Reporting Services 的规划要求 (58)规划电子邮件集成 (59)有关操作系统和软件组件安全的注意事项 (59)ii Microsoft Dynamics CRM 2011 规划指南保护Windows Server (59)保护SQL Server (60)保护Exchange Server 和Outlook (61)Microsoft Dynamics CRM 的安全注意事项 (62)Microsoft Dynamics CRM 安装程序、服务和组件所需的最低权限 (62)Microsoft Dynamics CRM 安装文件 (64)最佳Microsoft Dynamics CRM 安全做法 (65)Microsoft Dynamics CRM 管理最佳方案 (65)Microsoft Dynamics CRM 安全模型 (66)Microsoft Dynamics CRM 的网络端口 (67)已知风险和漏洞 (69)Supported configurations (70)Active Directory 要求 (70)单服务器部署 (71)多服务器部署 (71)支持多服务器拓扑 (75)从Microsoft Dynamics CRM 4.0 升级 (78)不支持就地升级的Microsoft Dynamics CRM 软件和组件 (79)升级产品密钥 (80)用户权限 (80)同一域中的多个Microsoft Dynamics CRM 服务器2011 版本 (80)共享SQL Server (80)成功升级提示 (81)升级Microsoft Dynamics CRM for Outlook (81)升级问题和注意事项 (83)规划部署高级主题 (85)Advanced deployment options for Microsoft Dynamics CRM 服务器2011 (85)使用本地程序包更新安装程序文件 (85)添加或删除服务器角色 (85)将Microsoft Dynamics CRM 配置为面向Internet 的部署 (86)Microsoft Dynamics CRM 中的密钥管理 (88)多组织部署 (89)Microsoft Dynamics CRM for Outlook 的高级部署选项 (89)Microsoft Dynamics CRM 2011 规划指南iiiChapter 1概述本指南是《Microsoft Dynamics CRM 实施指南》的一部分，它包括以下三个文档：∙规划指南：使用本指南可以确定必须为Microsoft Dynamics CRM 规划哪些内容。

DNS安全防护解决方案引言概述：DNS（Domain Name System）是互联网中用于将域名转换为IP地址的系统。

然而，由于其开放性和分布式特性，DNS也面临着各种安全威胁。

为了保护DNS 的安全性，各种安全防护解决方案被提出并广泛应用。

本文将介绍五种常见的DNS安全防护解决方案。

一、DNSSEC（Domain Name System Security Extensions）1.1 数据完整性保护：DNSSEC使用数字签名技术，对DNS查询和响应进行签名，确保数据在传输过程中没有被篡改。

1.2 身份验证：DNSSEC使用公钥加密技术，对域名的签名进行验证，确保接收到的DNS响应来自合法的域名服务器。

1.3 抵御DNS劫持：DNSSEC通过验证签名，防止攻击者将用户重定向到恶意的虚假网站。

二、DNS防火墙2.1 过滤恶意流量：DNS防火墙可以检测和过滤恶意的DNS查询和响应，防止恶意软件通过DNS进行传播。

2.2 防止DDoS攻击：DNS防火墙可以检测和阻挠大规模的DDoS攻击，确保DNS服务器的可用性。

2.3 实时监控和日志记录：DNS防火墙可以实时监控DNS流量，并记录相关日志，以便进行安全审计和事件响应。

三、DNS缓存污染防护3.1 DNS缓存的有效期控制：DNS缓存污染是指攻击者通过发送恶意的DNS 响应来污染DNS缓存，导致用户被重定向到恶意网站。

DNS缓存污染防护方案通过控制DNS缓存的有效期，减少被攻击的风险。

3.2 DNS响应验证：DNS缓存污染防护方案可以对DNS响应进行验证，确保接收到的响应来自可信的域名服务器。

3.3 DNSSEC与DNS缓存污染防护的结合：结合DNSSEC和DNS缓存污染防护方案可以提高DNS安全性，同时防护数据完整性和缓存污染。

四、DNS流量监测与分析4.1 实时监测DNS流量：DNS流量监测与分析方案可以实时监测DNS流量，并对异常流量进行检测和分析。

Microsoft Dynamics CRM 关于IFD模式配置对于你好面向 Internet 的部署 (IFD)需要使用基于声明的身份验证，基于声明的身份验证-内部和外部访问，在安装了 Microsoft Dynamics CRM Server 2011的计算机必须有权访问安全令牌服务 (STS) 服务，如 Active Directory 联合身份验证服务 2.0 联合服务器。

基于声明的身份验证工作原理将对用户进行身份验证的请求从 Microsoft Dynamics CRM 2011或者自定义应用程序发送到 STS 服务器。

STS 服务器会确定是否应该对用户进行身份验证，如果需要，则会颁发一个包含用户身份验证信息的已签名并加密的 SAML 令牌。

令牌的生命周期有限，根据应用程序使用令牌的时间长度，可能需要定期刷新令牌。

Active Directory 身份验证工作原理将对用户进行身份验证的请求从 Microsoft Dynamics CRM 2011 或自定义应用程序发送到 Active Directory。

WCF 堆栈会为来自应用程序的 Microsoft Dynamics CRM SDK API 调用管理身份验证过程，而 Internet Information Services (IIS) 会为 Web 应用程序管理身份验证。

重要提示：●在Microsoft Dynamics CRM服务器上配置Active Directory 联合身份验证服务 2.0 ，需要安装在“默认网站”上。

因此，您必须为 MicrosoftDynamics CRM 创建新网站且不能使用80端口。

●在运行面向 Internet 的部署配置向导时，Microsoft Dynamics CRM 2011必须运行在配置为使用安全套接字层 (SSL) 的网站上。

MicrosoftDynamics CRM 服务器安装程序不会配置网站的 SSL。

MS dynamics CRM 2011安装部署和使用之六：基于声明的验证的知识(2012-04-11 22:43:03转载▼标签：分类：DynamicsCRMcrmdynamicscrm2011客户关系管理感知网it这个部分的内容，可以跳过。

但如果你想对CRM 2011的认证机制和下面的部署，希望有些基本的认识，请阅读此章节。

本章节内容来源：CRM 中文技术支持部博客/b/crmchina/archive/2011/04/22/3423583.aspx 概念概念定义Active Directory Federation Services (AD FS活动目录联合认证服务作为Windows Server 2003 R2 和windows server 2008的一个组件，它支持身份验证联合，web的基于网络浏览的应用程序的单点登录Claim 声明一种区别一个主体和其他主体的陈述信息。

比如这种陈述信息可以是用户名，用户身份，键，组，权限或者能力。

每个声明都是由提供者去颁布的，而这些声明通常都包含一个或者多个值。

Claim rule 声明规则声明规则是使用ADFS2.0里的声明语言编写的。

这些声明语言是用户生成，转换，传递或者过滤声明。

Claims-aware application支持声明的应用程序是可以利用声明去管理用户的身份验证和访问的应用程序。

在这篇文档中，CRM就是支持声明的应用程序。

支持声明的应用程序Claims provider 声明提供者联合服务是为一个特定的事务颁发声明的，在CRM 2011基于声明的认证方式中，ADFS 2.0为它的用户颁发声明。

Federation server 联合认证服务器是已经安装并配置了ADFS 2.0 的Windows 2008 或R2的机器，作为联合认证服务器，它颁布并认证token。

Federation Service联合认证服务一个安全token服务比如ADFS2.0的逻辑实例.Identity provider 身份验证提供者身份验证提供者是用于管理被信任的声明和SAML token。

标签：分类： DynamicsCRM sql2008dynamicscrm2011感知网客户关系管理说明：选择光盘中的setup.exe，安装过程中，如果提示错误：并非所有被引用的特权或组都分配给呼叫方。

无论重试或取消都无法退岀请选择,setup.exe,右键--以管理员身份运行1 ）运行安装程序，选择安装”- >'全新SQL Server 独立安装或向现有安装添加功能”如下图所示。

WC]tf2）安装程序向导经过系统检测” 产品密钥”、许可条款”三个页面，进入安装程序支持文件”页面，点击安装”进行支持文件的安装过程。

序列号：请向微软购买。

IS^SQt- Se ™rZftOfl E2 SSSS安装程序支持文件单击“妄装”以安装宣装理陣吏持文件。

若要宣装或壷新SQL騒艸并2008 R2,这些交件昱必霁的*衣品密翩许可条隸妄裝稈序支倉文件1功能名称状态妄裝程摩壹持文件SQL灵皿安装程帛霧要下列组件（门.^SqL 畀”“ 2 DOB3 ）支持文件安装完后， 进入 规则检查”页面，安装程序会给出几个警告，包括计算机域控制器”防火墙”。

安裝觀序支持规則曳厦观障雯押顾冋誓皋羟莫SfSL Servr 竟荚理隼隶舟文俘时司託烁生的同盘"也质更正皈稱刻A 去報里匡惟曲存里鶴邑 砂能送择魔妥空Itt-wrr 擋渓报吿 K 圭丙;贯镂71|赛義避贋 冗居B ）Windows 防火墙只是提示打开防火墙端口。

后面处理点击下一步”，选择“ SQL Server 功能安装甘曲对SUL S?r^r ；主卅襄【飴勺一抉性短匹＜计）t 机博时JS ______________曲Hlcrirsirft .HET 盅用1?斥芟全性..Yinl!山M E 蘭火J 間Ld 。

9叨门乩口仞竹+^ri/Li/1勺处归53 c.A ）计算机域控制器建议不要将 SQL Server 2008安装在域控制器上。

我们安装1台服务器上，忽略4）在功能选择”页面，勾选 数据库引擎服务”、全文检索”、“ Reporting Service 、”“ Busi ness In tellige nee Developme nt Studio 、管理工具一基本”、管理工具一完整”这几个功能。

如何配置高防DNS服务方法教程网站经常遭受到DNS劫持，导致网站访问速度很慢，其实这种情况可能会受到安全威胁，需要加强我们的dns安全。

面对这样的问题该如何解决呢?这里小编建议大家使用高防DNS服务，这样可以有效预防攻击，从而解决您的问题。

如何配置高防DNS服务?一、注册账号先申请一个账号，后续配置需要用到(线上自助服务都需要关联账号)。

二、添加域名输入域名：输入解析域名，如图如何配置高防DNS服务?高防IP的配置方法介绍三、添加解析记录1、主机记录一般为www，如果只是需要www的解析域名，则主机记录填写www 即可。

如果需要其他的解析，则如下原则：www：解析后的域名为www+主域名@：直接解析主域名*：泛解析，匹配其他所有域名如果需要配置PTR记录，则主机记录需配置IP.in-addr.arpa.。

例如ip为1.2.3.4，则主机记录需配置为4.3.2.1.in-addr.arpa.2、记录类型，如果未加速的话，选择A记录，记录值则为您的服务器IP地址。

如果有cdn加速的话，选择CNAME，记录值则为您的cname地址。

3、TTL：如果对域名缓存时间没有特殊需求的话，请使用我们的默认值。

备注：配置设置完毕，主机记录如下四、修改NS记录1、您已经完成在clouddns上面的配置，接下来您需要去您的域名注册商修改NS值，即可生效。

比如您在万网上注册的域名，那么您可以登录到万网的网站，点击您的域名，进入“我的域名”，选择“基本管理”，选择修改DNS，将DNS修改成cloudDNS上的记录。

2、修改完成后，等待解析生效成功。

NS记录修改后，你的域名状态由“未接管”变成“接管”。

3、查看解析效果：用dig命令查看，或者借助其他DNS解析工具批量查看结果。

补充：常见网络故障解决方法ip地址冲突：ip地址冲突是局域网中经常出现的问题，有的用户可能重做系统或其他原因丢失自己的IP地址，在重新写IP的时候和其他人的IP地址一样导致ip地址出错，此时电脑右下角就会有个提示框提示你IP地址已经有人用。

win服务器SG11加密插件安装教程
SG插件是现在微擎和微赞使用都比较多的一种加密方式，而且现在解密的成本比较高，所以对独立服务器来说，安装SG界面插件并不是很复杂，具体的流程如下：
1、在弹出界面中，点击下载解密文件。

根据自己数据库的版本选择，大部分用的都是VC9或者VC11。

点击CLICK HERE，下载文件.
2、把下载文件复制到PHP文件夹ext文件夹内。

3、打开php.ini文件，复制红框部分，然后重启服务器。

另一种方式则是根据自己存放扩展ixed的实际路径修改：extension=文件存放实际路径ixed.5.6.lin或win服务器的ixed.5.6.win这种表示！
举例：
extension=/www/wdlinux/apache_php-5.6.29/include/php/ext/ixed.5.6.win。