CRMAppPool 配置为在 Microsoft Dynamics CRM 的域帐户用户之后,应用程序日志中记录的"启动服务 CRMAppPool 的应用程序池的过程时遇到错误"消息

适用于: Dynamics CRM 4.0

症状


配置后,您的域帐户用户应用程序池在 Microsoft Dynamics CRM,CRMAppPool 应用程序池运行时,应用程序日志中记录以下消息︰
注意:此错误消息中,日期时间表示的实际日期和实际的时间。例如,这些值可以是"2007年-12-12"和"17:53:26.138"。

发生此问题时,不能启动 CRMAppPool 应用程序池。此外,您收到以下错误消息:
服务不可用。
即使域帐户用户是本地管理员组的成员,会出现此问题。

原因


因为没有足够的权限或用户权限的域帐户用户出现问题。

解决方案


若要解决此问题,请执行以下步骤:
  1. 在 Active Directory 中的以下组中包括的域帐户的用户︰
    • 活动目录的域用户组
    • PrivUserGroup
    • SQLAccessGroup
    若要执行此操作,请执行以下步骤:
    1. 以具有域管理员权限或更新这些组的权限的用户身份登录到服务器。
    2. 用鼠标右键单击在 Active Directory域用户组,然后单击属性
    3. 组名称框中,键入运行 CRM 应用程序池的用户的名称,然后单击确定两次。
    4. 重复步骤 b 和 c PrivUserGroup 组和 SQLAccessGroup 组。
    如果您有多个安装的 Microsoft Dynamics CRM 部署,在 Active Directory 中存在多个组。 若要确定要更新的组,请执行以下步骤。

    对于 Microsoft Dynamics CRM 3.0
    1. 对 MSCRM 数据库运行以下 SQL 语句︰
      select organizationid from organizationbase
    2. 请注意该 GUID。例如的 GUID 可能是 C8AB1D52-9383-4164-B571-4C80D46674E3。
    3. 在 Active Directory 中发现 PrivUserGroup 组和 SQLAccessGroup 组。组名称中包含您在步骤 b 中记下的 GUID。
    对于 Microsoft Dynamics CRM 4.0
    1. 对 MSCRM_config 数据库运行以下 SQL 语句︰
      select id, friendlyname from organization
    2. 请注意该 GUID。例如的 GUID 可能是 C8AB1D52-9383-4164-B571-4C80D46674E3 组织名称。
    3. 在 Active Directory 中发现 PrivUserGroup 组和 SQLAccessGroup 组。组名称中包含您在步骤 b 中记下的 GUID。
  2. 包括域帐户用户在 Microsoft Dynamics CRM 服务器中的以下组中︰
    • 本地的 IIS_WPG 组
    • 本地的 CRM_WPG 组
    注意:域帐户用户必须具有下列的本地用户权限︰
    • 模拟客户端身份验证后
    • 作为服务登录权限
    若要执行此操作,请执行以下步骤:
    1. 在 Microsoft Dynamics CRM 服务器中,单击开始,指向管理工具,然后单击本地安全策略
    2. 展开本地策略,然后单击用户权利指派
    3. 模拟客户端身份验证后,用鼠标右键单击,然后单击属性
    4. 单击添加用户或组


      注意:您可能需要单击要选择的域而不是本地计算机的位置
    5. 组名称框中,键入运行 CRM 应用程序池的用户的名称,然后单击确定两次。
    6. 重复步骤 2c 到 2e作为服务登录权限。
  3. 配置要使用服务主体名称 (SPN) 的 CRMAppPool 应用程序池安全帐户。有关如何配置 Spn,请在资源中心中看到下面的配置服务主体名称 (SPN) 文档的详细信息︰注意:对于 Microsoft Dynamics CRM 4.0,您不必创建域帐户的 SPN。
  4. 设置 Microsoft Dynamics CRM 服务器是受信任的委派 1 上的用户帐户。若要执行此操作,请执行以下步骤:
    1. 在域控制器上,打开Active Directory 用户和计算机

      注意:如果受限制的委派,则使用运行 Windows Server 2003 打开 Active Directory 用户和计算机的服务器。否则,将无法看到的选项来设置受限制的委派。
    2. 展开域,然后展开用户
    3. 用鼠标右键单击用户名,然后单击属性
    4. 按照正在使用的适当方法的步骤。

      完整的委派
      1. 单击帐户选项卡。
      2. 帐户选项部分中,向下滚动,然后选择帐户被信任以便用于委任

        注意:如果尚未定义 SPN,则不显示该选项。
      IIS 6.0 和受约束的委派
      1. 单击委派选项卡。
      2. 单击信任此来委派指定的服务帐户
      3. 单击仅使用 Kerberos
      4. 单击添加
      5. 单击用户或计算机,单击高级,单击立即查找、 选择报表服务服务器,,然后单击确定两次。
      6. 选择 HTTP 服务,然后单击确定
  5. 重新启动服务器。

详细信息


有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

909588如何配置 Microsoft CRM 3.0 和 Microsoft SQL Server Reporting Services 的 Kerberos 身份验证