Consideraciones de bosque y confianza para Team Foundation Server
Actualización: noviembre 2007
Team Foundation Server proporciona una base para la colaboración entre grupos en diferentes dominios o incluso en diferentes bosques. Puede garantizar la seguridad y estabilidad del servidor y de su dominio siguiendo algunas instrucciones importantes. En la situación óptima, el nivel de aplicación y los niveles de datos de Team Foundation se encuentran en el mismo dominio, pero los clientes que se conectan pueden estar en varias ubicaciones del dominio.
Team Foundation Server se admite en los siguientes modos y niveles funcionales de Active Directory:
Windows 2000 Active Directory en modo nativo.
Windows Server 2003 Active Directory en modo nativo de Windows 2000.
Windows Server 2003 Active Directory en el nivel funcional de Windows Server 2003.
.gif "Nota") Nota: |
|---|
Team Foundation Server no admite ningún modo de autenticación de dominios ni niveles funcionales compatibles con Windows NT Server 4.0. |
Opciones de confianza del dominio
Team Foundation Server no tiene ningún requisito concreto por lo que se refiere a las opciones de confianza del dominio admitidas. Los tipos de confianza que se pueden emplear dependen de los tipos de bosques y dominios que se implementen en la red de la compañía. Team Foundation Server puede requerir determinadas relaciones de confianza, según cómo se implementen los componentes de Team Foundation en la red empresarial.
Generalmente, se deben autenticar los usuarios y los servicios de Team Foundation Server para que puedan tener acceso a los componentes de servidor. Desde el punto de vista de la relación de confianza, Team Foundation Server debe confiar en el dominio donde se ha definido el usuario o la cuenta de servicio.
Requisitos de la relación de confianza entre los componentes de Team Foundation Server
En esta sección se describen las relaciones de confianza mínimas requeridas entre los distintos componentes de Team Foundation Server. En esta sección también se describen las implicaciones especiales que la relación de confianza podría tener para cada configuración de implementación. Al determinar si una relación de confianza es suficiente entre los componentes de Team Foundation (por ejemplo, si desea comprobar una relación de confianza entre un equipo cliente potencial de Team Foundation y Team Foundation Server), puede utilizar un explorador web para comprobar si ese cliente tiene acceso a una carpeta o recurso compartido en el servidor que hospeda los componentes de nivel lógico de aplicación de Team Foundation. Si el cliente no puede tener acceso al recurso compartido, la configuración no será válida para Team Foundation Server.
En Team Foundation Server, la administración de pertenencia a grupos y permisos de acceso (autorización) al servidor y sus recursos se puede configurar bien en Team Explorer, o bien mediante las utilidades de la línea de comandos TFSSecurity y TF. En el servidor de nivel de aplicación se comprueba si este usuario especificado es un miembro de un dominio de confianza.
Opciones de confianza entre los clientes y el servidor de nivel de aplicación de Team Foundation
Cuando las aplicaciones cliente, como Team Explorer, se conectan al servidor de nivel de aplicación de Team Foundation, el servidor intenta autenticar la identidad del usuario que ejecuta la aplicación cliente. Si el dominio del servidor de nivel de aplicación de Team Foundation confía en el dominio al que pertenece el usuario, el usuario se autentica automáticamente como parte de la autenticación de Windows integrada. Si esa confianza no existe, la aplicación cliente muestra un cuadro de diálogo de nombre de usuario y la contraseña donde el usuario deberá proporcionar unas credenciales alternativas a fin de conectarse al servidor. Después de la autenticación, Team Foundation Server comprueba si el usuario autenticado está autorizado a tener acceso al servidor. Para ello, el usuario debe ser un miembro del grupo de Usuarios válidos de Team Foundation. Un usuario se agrega automáticamente a ese grupo cuando esa identidad de usuario se agrega a un grupo de Team Foundation Server existente o se agrega a un servidor o proyecto. Para obtener más información, vea Administrar usuarios y grupos.
Los servicios del servidor de nivel de aplicación de Team Foundation se ejecutan con la cuenta de TFSService. Por consiguiente, el dominio del servidor de nivel de aplicación de Team Foundation debe confiar en el dominio al que pertenece la cuenta de TFSService. Casi siempre, el servidor de nivel de aplicación de Team Foundation y la cuenta de TFSService pertenecen al mismo dominio.
Dominio del componente |
Confiar |
Dominio del componente |
|---|---|---|
Dominio del servidor de nivel de aplicación de Team Foundation |
Confianza unidireccional en |
Dominio del usuario de Team Foundation |
Dominio del servidor de nivel de aplicación de Team Foundation |
Confianza unidireccional en |
Dominio de la cuenta de TFSService |
Para evitar tener que escribir el nombre de usuario y la contraseña cada vez que una aplicación cliente de Team Foundation se conecta a Team Foundation Server, el dominio del cliente de Team Foundation debe confiar en el dominio del servidor de nivel de aplicación de Team Foundation.
Opciones de confianza entre los clientes y el proxy de Team Foundation Server
El dominio del equipo proxy de Team Foundation Server debe confiar en el dominio de un usuario para que el servidor proxy funcione.
Dominio del componente |
Confiar |
Dominio del componente |
|---|---|---|
Dominio del equipo proxy de Team Foundation Server |
Confianza unidireccional en |
Dominio del usuario de Team Foundation |
Opciones de confianza entre el proxy de Team Foundation Server y el servidor de nivel de aplicación de Team Foundation
En el contexto de Active Directory, el servidor proxy de Team Foundation Server es un cliente más de Team Foundation Server.
Dominio del componente |
Confiar |
Dominio del componente |
|---|---|---|
Dominio del servidor de nivel de aplicación de Team Foundation |
Confianza unidireccional en |
Dominio de la cuenta de servicio del proxy de Team Foundation Server |
Dominio del equipo proxy de Team Foundation Server |
Confianza unidireccional en |
Dominio de la cuenta de usuario del servidor proxy de Team Foundation Server |
Para evitar tener que escribir el nombre de usuario y la contraseña cada vez que una aplicación cliente de Team Foundation se conecta a Team Foundation Server, el dominio del cliente de Team Foundation debe confiar en el dominio del servidor de nivel de aplicación de Team Foundation.
Opciones de confianza entre el servidor de nivel de aplicación de Team Foundation y el servidor de nivel de datos de Team Foundation
El servidor de nivel de aplicación de Team Foundation se conecta al servidor de nivel de datos de Team Foundation mediante una cuenta de servicio, que recibe normalmente el nombre de cuenta de TFSService. Los servicios web de Team Foundation Server también se ejecutan con esta cuenta. Por consiguiente, el dominio del servidor de nivel de datos de Team Foundation debe confiar en el dominio de la cuenta de TFSService. Además, cada dominio de su implementación de Team Foundation Server debe confiar en la propia cuenta de TFSService, ya sea a través de una relación de confianza de dominios o mediante la concesión explícita de permisos. El dominio del servidor de nivel de datos de Team Foundation también debe confiar en el dominio de la cuenta de TFSReports. La cuenta de TFSReport es la cuenta utilizada para tener acceso a los orígenes de datos de informes de Team Foundation Server.
Asimismo, Reporting Services se ejecuta en el servidor de nivel de aplicación de Team Foundation con la cuenta de servicio de red. Por consiguiente, el dominio del servidor de nivel de datos de Team Foundation confiará en el dominio del servidor de nivel de aplicación de Team Foundation. Si la organización no desea que exista una relación de confianza entre los niveles de Team Foundation, puede reconfigurar el sistema de modo que Reporting Services se ejecute con una cuenta de servicio con nombre perteneciente a otro dominio que el servidor de nivel de aplicación de Team Foundation. Sin embargo, ésta es una configuración bastante compleja que exige realizar la migración desde la implementación en un servidor a la implementación en dos servidores, y configurar manualmente el Servidor de informes para que se ejecute mediante una cuenta de servicio con nombre.
Dominio del componente |
Confiar |
Dominio del componente |
|---|---|---|
Dominio del servidor de nivel de datos de Team Foundation |
Confianza unidireccional en |
Dominio de la cuenta de TFSService |
Dominio del servidor de nivel de datos de Team Foundation |
Confianza unidireccional en |
Dominio de la cuenta de TFSReport |
Dominio del servidor de nivel de datos de Team Foundation |
Confianza unidireccional en |
Dominio del servidor de nivel de aplicación de Team Foundation |
Opciones de confianza entre Team Foundation Build y el servidor de nivel de aplicación de Team Foundation
Team Foundation Build se ejecuta con una cuenta de servicio de Windows. Por tanto, el dominio del equipo de Team Foundation Build debe confiar en el dominio de esta cuenta de servicio. Normalmente, esta cuenta de servicio es la cuenta de TFSService, pero se puede configurar manualmente para ejecutarse con otra cuenta. Si Team Foundation Build no se ejecuta con la cuenta de TFSService, el nombre del servicio se debe agregar al grupo de aplicaciones [Proyecto]\Build Services.
| Nota: |
|---|
Cuando se crea una generación, la nueva generación se coloca en la carpeta compartida Build Drop. Es importante asegurarse de que esta carpeta sea compartida para todos los usuarios, y de que la cuenta de TFSService disponga de control total sobre ella. El puerto "Compartir impresoras y archivos" debe estar abierto en Windows Firewall en el equipo de Team Foundation Build para permitir el uso compartido de archivos. |
Dominio del componente |
Confiar |
Dominio del componente |
|---|---|---|
Dominio del equipo de Team Foundation Build |
Confianza unidireccional en |
Dominio de la cuenta de servicio (normalmente TFSService) |
Dominio del servidor de nivel de aplicación de Team Foundation |
Confianza unidireccional en |
Dominio de la cuenta de servicio (normalmente TFSService) |
Otras configuraciones de dominios y consideraciones
Todas las demás configuraciones de dominio de Active Directory no están admitidas y no se deben utilizar. Debe asegurarse de que el dominio en el que ha instalado Team Foundation Server admite Team Foundation Server y que los equipos individuales en los que está instalado Team Foundation Server se encuentran en los entornos de dominio adecuados. Si Team Foundation Server admite trabajar en varios bosques, debe estar disponible la confianza adecuada entre bosques.
Por motivos de seguridad, instale Team Foundation Server en un entorno de dominio de Windows Server 2003. Para evitar ataques de suplantación, debe prohibir los nombres duplicados y proteger los nombres de equipos por creador. Para obtener más información, vea Windows Server 2003 Active Directory en https://go.microsoft.com/fwlink/?linkid=47541.
Vea también
Conceptos
Configuraciones de dominio no admitidas
Administrar Team Foundation Server en un grupo de trabajo
Otros recursos
Administrar Team Foundation Server en un dominio de Active Directory