Solucionar problemas sobre permisos y seguridad de Team Foundation Server
Actualización: noviembre 2007
Las actividades de seguridad de Team Foundation Server incluyen:
Asignación de los permisos adecuados a los usuarios, grupos y servicios web de Team Foundation Server.
Integración con las características de autenticación de Windows.
Protección de los puertos y del tráfico de red entre clientes y servidores de Team Foundation.
En este tema se citan algunos de los problemas de seguridad más comunes y sus soluciones.
Si no puede resolver un problema después de revisar estas sugerencias, visite los foros técnicos de Microsoft para Visual Studio Team System en el sitio web de Microsoft. Estos foros proporcionan hilos de discusión acerca de una gran variedad de temas para solucionar problemas donde se pueden realizar búsquedas, y están supervisados. Por tanto, puede recibir una respuesta rápida a su pregunta.
Los usuarios no pueden tener acceso al portal del proyecto de equipo
Los usuarios no pueden tener acceso a los informes
No se puede agregar un usuario o grupo
Los usuarios o grupos agregados no aparecen en Team Foundation Server
El usuario o grupo agregado no puede tener acceso a Team Foundation Server
Los permisos cambiados para un usuario o grupo parece que no funcionan en Team Foundation Server
El cambio de pertenencia de un grupo de Team Foundation Server no tiene un efecto inmediato
El servidor de nivel de aplicación de Team Foundation y el servidor de nivel de datos de Team Foundation no se pueden comunicar
Los clientes de Team Foundation no se pueden conectar a Team Foundation Server
Los clientes del Proxy de Team Foundation Server no están sincronizados con Team Foundation Server
Los grupos personalizados de Team Foundation Server no funcionan de la manera prevista
Los permisos cambiados para un usuario o grupo parece que no funcionan en Team Foundation Server
La cuenta de servicio de Team Foundation Server no tiene permiso para leer archivos de control de código fuente
Los usuarios no pueden tener acceso al portal del proyecto de equipo
Síntoma: se produce un error al intentar tener acceso al portal del proyecto de equipo.
Causas posibles:
Quizás haya escrito incorrectamente la dirección URL del portal del proyecto. En Team Explorer, haga clic con el botón secundario del mouse en el proyecto y, a continuación, haga clic en Mostrar portal del proyecto.
Es posible que Internet Information Services se haya detenido en el servidor de nivel de aplicación de Team Foundation. Para comprobar que Internet Information Services se está ejecutando, en el servidor de nivel de aplicación de Team Foundation, haga clic en Inicio, en Herramientas administrativas, en Internet Information Services y, a continuación, compruebe si el servidor se ha detenido. Para obtener más información, vea "Internet Information Services Technology Center" en el sitio web de Microsoft.
Es posible que el grupo de aplicaciones para Windows SharePoint Services se haya detenido en Internet Information Services. En Internet Information Services, compruebe que el grupo de aplicaciones se está ejecutando.
Quizás no tenga los permisos adecuados en Windows SharePoint Services. Al agregar usuarios o grupos a Team Foundation Server, también debe agregar usuarios y grupos a Windows SharePoint Services y SQL Server Reporting Services. Para obtener más información, vea Administrar permisos.
La versión de Team Explorer que está utilizando es la única que se incluye con Microsoft Visual Studio 2005 Team Foundation Server. Hay un problema conocido con la versión original de Team Explorer y Team System 2008 Team Foundation Server cuando Team Foundation Server está configurado para usar Windows SharePoint Services 3.0. Puede solicitar una revisión al Servicio de soporte técnico de Microsoft o actualizar Team Explorer a Team System 2008 Team Foundation Server. Para obtener más información, vea Compatibilidad de versiones para Team Explorer y Compatibilidad de versiones para Team Foundation Server.
Los usuarios no pueden tener acceso a los informes
Síntoma: recibe un error al intentar abrir u obtener acceso a informes en Team Explorer.
Causas posibles:
Quizás no tenga los permisos adecuados en SQL Server Reporting Services. Al agregar usuarios o grupos a Team Foundation Server, también debe agregar usuarios y grupos a Windows SharePoint Services y SQL Server Reporting Services. Para obtener más información, vea Administrar permisos y Solución de problemas de Team Foundation Reporting.
Es posible que Internet Information Services se haya detenido en el servidor de nivel de aplicación de Team Foundation. Para comprobar que Internet Information Services se está ejecutando, en el servidor de nivel de aplicación de Team Foundation, haga clic en Inicio, en Herramientas administrativas, en Internet Information Services y, a continuación, compruebe si el servidor se ha detenido. Para obtener más información, vea "Internet Information Services Technology Center" en el sitio web de Microsoft.
Es posible que el grupo de aplicaciones de Reporting Services se haya detenido en Internet Information Services. En Internet Information Services, compruebe que el grupo de aplicaciones de Reporting Services se está ejecutando.
.gif "Nota")
Nota:ReportServer y el sitio web del Administrador de informes se administran en Internet Information Services (IIS) para SQL Server 2005 pero no para SQL Server 2008.
No se pueden agregar usuarios o grupos a Team Foundation Server
Síntoma: un usuario o grupo del dominio no aparece en el cuadro de diálogo Grupo o usuario de Windows.
Causas posibles:
- El usuario o el grupo pertenece a un grupo de trabajo o dominio que no es de confianza para el dominio donde se ha implementado Team Foundation Server. Puede configurar una confianza entre los dos dominios o puede utilizar la herramienta de línea de comandos TFSSecurity para agregar usuarios o grupos de dominios que no son de confianza. Para obtener más información, vea Consideraciones de bosque y confianza para Team Foundation Server y Comandos de la utilidad TFSSecurity de la línea de comandos.
Los usuarios o grupos agregados no aparecen en Team Foundation Server
Síntoma: un usuario o un grupo agregado recientemente no aparece en el servidor o en el proyecto al que se ha agregado.
Causas posibles:
- Debe establecer al menos un permiso en Permitir o Denegar para agregar correctamente un usuario o grupo a Team Foundation Server. Si agrega un usuario o grupo pero no establece al menos un permiso en Permitir o Denegar (es decir, deja sin establecer todos los permisos), ese usuario o grupo no se agrega a Team Foundation Server y no aparece ninguna advertencia o mensaje de error. Para obtener más información, vea Administrar usuarios y grupos y Permisos de Team Foundation Server.
El usuario o grupo agregado no puede tener acceso a Team Foundation Server
Síntoma: un usuario o grupo recientemente agregado no puede tener acceso a los elementos de trabajo, código fuente, portales del proyecto o informes de Team Foundation Server.
| Nota: |
|---|
Considere la posibilidad de agregar los usuarios y grupos a los grupos de Team Foundation Server en lugar de al proyecto o al servidor. Para obtener más información, vea Administrar usuarios y grupos. |
Causas posibles:
En entornos donde hay más de un servidor de Team Foundation Server, el usuario puede intentar tener acceso a un servidor de Team Foundation Server donde no tiene permisos para ningún proyecto. Asegúrese de que el usuario tiene acceso al servidor de Team Foundation Server correcto para el proyecto.
El usuario o el grupo podría pertenecer a un dominio o grupo de trabajo diferente que no tiene la relación de confianza necesaria para tener acceso a Team Foundation Server. Para obtener más información, vea Administrar Team Foundation Server en un dominio de Active Directory y Administrar Team Foundation Server en un grupo de trabajo.
Ha agregado un usuario o grupo que solamente tiene el permiso Administrar cambios aplazados establecido en Permitir o Denegar. Hay un problema conocido con este permiso, que consiste en que, si se agrega un usuario o grupo que tiene sólo este permiso establecido en Permitir, el usuario o el grupo no se agrega correctamente al grupo Usuarios válidos de Team Foundation y, por consiguiente, no puede tener acceso a Team Foundation Server. Compruebe si el usuario o el grupo aparece en la lista Usuarios válidos de Team Foundation y, al agregarlo, asegúrese de que establece otros permisos en Permitir o Denegar además del permiso Administrar cambios aplazados. Para obtener más información, vea Administrar usuarios y grupos, Cómo: Ver usuarios existentes y Permisos de Team Foundation Server.
Es posible que el usuario o grupo no tenga los permisos adecuados en Productos y tecnologías de SharePoint y Reporting Services. Al agregar un usuario o grupo a Team Foundation Server, también debe agregarlo a Productos y tecnologías de SharePoint y Reporting Services. Para obtener más información, vea Administrar permisos.
Los permisos cambiados para un usuario o grupo no funcionan en Team Foundation Server
Síntoma: es necesario cambiar los permisos de un usuario o grupo existente. Inmediatamente después de cambiar los permisos para ese usuario o grupo, no se observa ningún cambio de funcionalidad.
Causas posibles:
- Los cambios en los permisos pueden tardar unos minutos en sincronizarse en Team Foundation Server, sobre todo si la latencia de red es significativa entre el servidor de nivel de datos de Team Foundation y el servidor de nivel de aplicación de Team Foundation. Pida al usuario o grupo que espere unos minutos y, a continuación, vuelva a intentar la operación. Para obtener más información, vea Permisos de Team Foundation Server y Arquitectura de seguridad de Team Foundation Server.
El cambio de pertenencia de un grupo de Team Foundation Server no tiene un efecto inmediato
Síntoma: un administrador agrega o quita un usuario o grupo de un grupo de Team Foundation Server, pero justo después el estado de pertenencia del usuario aparece sin modificar.
Causas posibles:
Los cambios en la pertenencia a grupo pueden tardar unos minutos en sincronizarse en Team Foundation Server, sobre todo si la latencia de red es significativa entre el servidor de nivel de datos de Team Foundation y el servidor de nivel de aplicación de Team Foundation, o entre Team Foundation Server y los controladores de dominio donde reside el grupo de seguridad, cuando se utilizan los grupos de seguridad de Active Directory.
Espere unos minutos y vuelva a intentar la operación.
En implementaciones de Active Directory, puede utilizar la herramienta de línea de comandos gpupdate/force para forzar las actualizaciones de los grupos de seguridad de Active Directory.
Si utiliza grupos de seguridad de Active Directory y suele realizar cambios de pertenencia en estos grupos, puede configurar Team Foundation Server para que se sincronice más frecuentemente con Active Directory. De forma predeterminada, la sincronización con Active Directory se produce cada hora. Puede aumentar esta frecuencia cambiando el archivo web.config y agregando una clave appSettings en la sección IdenityUpdatePeriod. Establezca el valor de appSettings en la frecuencia que desee. El valor predeterminado es una hora (1:0:0).
Para obtener más información, vea "gpupdate" en el sitio web de Microsoft, Cómo: Cambiar los valores de configuración para los componentes de Team Foundation Server, Permisos de Team Foundation Server y Arquitectura de seguridad de Team Foundation Server.
El servidor de nivel de aplicación de Team Foundation y el servidor de nivel de datos de Team Foundation no se pueden comunicar
Síntoma: al ejecutar Team Foundation Server en una implementación en dos servidores, no se puede crear un proyecto ni realizar ningún trabajo. Aparecen mensajes de error al intentar realizar la mayoría de las operaciones de servidor.
Causas posibles:
Un firewall o enrutador de red entre el nivel de datos de Team Foundation y el nivel de aplicación de Team Foundation está bloqueando el tráfico de red entre los dos servidores. Asegúrese de que todos los puertos necesarios están configurados para habilitar el tráfico de red. Para obtener más información, vea Arquitectura de seguridad de Team Foundation Server.
La conexión de red entre el servidor de nivel de aplicación de Team Foundation y el servidor de nivel de datos de Team Foundation es demasiado lenta. Si hay demasiado tráfico de red, es posible que los enrutadores no puedan controlarlo eficazmente, o quizás una o más tarjetas de red de los servidores de Team Foundation no estén configuradas correctamente. La configuración de los conmutadores de red y las tarjetas de red de los equipos puede afectar a la velocidad de la red. Confirme que esta configuración es la adecuada. Para obtener más información sobre cómo utilizar una configuración de detección automática para las tarjetas de red, vea el sitio web de Microsoft. Para obtener más información acerca de la configuración de las tarjetas de red, vea la documentación del fabricante.
El servidor de nivel de datos de Team Foundation y el servidor de nivel de aplicación de Team Foundation están en dominios o bosques de Active Directory diferentes sin confianzas suficientes. Debe configurar las confianzas de acuerdo con su implementación de Team Foundation Server. Para obtener más información, vea Consideraciones de bosque y confianza para Team Foundation Server.
El servidor de nivel de aplicación de Team Foundation, el servidor de nivel de datos de Team Foundation o ambos están en un grupo de trabajo en lugar de en un dominio. No se admiten estas configuraciones. Sólo se admiten implementaciones de un servidor en un entorno de grupo de trabajo.
Los clientes de Team Foundation no se pueden conectar a Team Foundation Server
Síntoma: los usuarios que tienen clientes de Team Foundation como Team Explorer no se pueden conectar a Team Foundation Server.
Causas posibles:
Se han detenido uno o más servicios de Team Foundation Server o el servidor donde se encuentra instalado Team Foundation Server está desconectado. Compruebe que el servidor esté conectado a la red y que todos los servicios de Team Foundation Server necesarios se estén ejecutando. Para obtener más información, vea Conceptos de seguridad de Team Foundation Server y Arquitectura de seguridad de Team Foundation Server.
Un firewall o enrutador de la red entre el cliente de Team Foundation y Team Foundation Server está bloqueando el tráfico de red entre Team Foundation Server y el cliente. Asegúrese de que todos los puertos necesarios están configurados para habilitar el tráfico de red. Para obtener más información, vea Arquitectura de seguridad de Team Foundation Server.
Team Foundation Server está en un dominio o bosque de Active Directory que no confía en el dominio del cliente de Team Foundation. Debe configurar las confianzas de acuerdo con su implementación de Team Foundation Server. Para obtener más información, vea Consideraciones de bosque y confianza para Team Foundation Server y Configuraciones de dominio no admitidas.
El cliente de Team Foundation está en un grupo de trabajo en lugar de en un dominio, pero Team Foundation Server está implementado en un dominio. Las cuentas de usuario locales se deben crear en los equipos cliente de Team Foundation. Si no desea que los usuarios tengan que escribir un nombre de usuario y una contraseña cada vez que un cliente de Team Foundation deba conectarse a Team Foundation Server, asegúrese de que las cuentas de usuarios locales utilizan el mismo nombre de usuario y contraseña que los nombres de usuario del dominio. Para obtener más información, vea Administrar Team Foundation Server en un grupo de trabajo.
El cliente de Team Foundation Server está implementado en un grupo de trabajo, pero Team Foundation está en un dominio. Las cuentas de usuario locales se deben crear en el servidor de Team Foundation para todos los usuarios que requieren acceso al servidor. Para obtener más información, vea Administrar Team Foundation Server en un grupo de trabajo.
No se han creado cuentas de usuarios locales para todos los equipos en una implementación de Team Foundation Server sólo de grupos de trabajo. Las cuentas de usuario locales se deben crear en el servidor de Team Foundation para todos los usuarios que requieren acceso al servidor. Las cuentas de usuario locales se deben agregar a los grupos de nivel de servidor y de nivel de proyecto de Team Foundation Server para que se autorice a los usuarios en el servidor de Team Foundation. Para obtener más información, vea Administrar Team Foundation Server en un grupo de trabajo.
La versión de Team Explorer de uno o más equipos cliente no coincide con la versión de Team Foundation Server. Asegúrese de que todos los clientes de Team Foundation utilizan la misma versión de lanzamiento que su implementación de Team Foundation Server.
La versión de Team Explorer que está utilizando es la única que se incluye con Microsoft Visual Studio 2005 Team Foundation Server. Hay un problema conocido con la versión original de Team Explorer y Team System 2008 Team Foundation Server cuando Team Foundation Server está configurado para usar Windows SharePoint Services 3.0. Puede solicitar una revisión al Servicio de soporte técnico de Microsoft o actualizar Team Explorer a Team System 2008 Team Foundation Server. Para obtener más información, vea Compatibilidad de versiones para Team Explorer y Compatibilidad de versiones para Team Foundation Server.
Los clientes del Proxy de Team Foundation Server no están sincronizados con Team Foundation Server
El servidor proxy de Team Foundation Server tiene su propia guía de solución de problemas. Para obtener más información, vea Solución de problemas del servidor proxy de Team Foundation Server.
| Nota: |
|---|
Si ha realizado algún cambio en el servidor proxy de Team Foundation Server o en la cuenta de servicio del proxy de Team Foundation Server, debe configurar el proxy y el servidor de forma que incluyan estos cambios. Para obtener más información, vea Cómo: Configurar la seguridad de la memoria caché para un proxy de Team Foundation Server y Arquitectura de seguridad de Team Foundation Server. |
Los grupos personalizados de Team Foundation Server no funcionan de la manera prevista
Síntoma: un administrador de Team Foundation o el administrador del proyecto ha creado grupos personalizados para un proyecto específico de Team Foundation Server, pero los miembros de estos grupos no pueden realizar las tareas previstas.
Causas posibles:
Los cambios en la pertenencia a grupo pueden tardar unos minutos en sincronizarse en Team Foundation Server, sobre todo si la latencia de red es significativa entre el servidor de nivel de datos de Team Foundation y el servidor de nivel de aplicación de Team Foundation o, cuando se utilizan grupos de seguridad de Active Directory, entre Team Foundation Server y los controladores de dominio donde reside el grupo de seguridad.
Los grupos personalizados no tienen todos los permisos necesarios para las tareas que los usuarios deben realizar. La creación de grupos personalizados y la asignación correcta de permisos son tareas complejas. Para obtener información acerca de los permisos adecuados para cada función, vea Grupos predeterminados, permisos y funciones de Team Foundation Server. Para obtener más información acerca de las definiciones de permisos de Team Foundation Server, vea Permisos de Team Foundation Server.
Los permisos cambiados para un usuario o grupo no funcionan en Team Foundation Server
Síntoma: es necesario cambiar los permisos de un usuario o grupo existente. Inmediatamente después de cambiar los permisos para ese usuario o grupo, el usuario o grupo todavía no puede realizar la acción que requería los nuevos permisos.
Causas posibles:
- Los cambios en los permisos pueden tardar unos minutos en sincronizarse en Team Foundation Server, sobre todo si la latencia de red es significativa entre el servidor de nivel de datos de Team Foundation y el servidor de nivel de aplicación de Team Foundation. Pida al usuario o grupo que espere unos minutos y, a continuación, vuelva a intentar la operación. Para obtener más información, vea Permisos de Team Foundation Server y Arquitectura de seguridad de Team Foundation Server.
La cuenta de servicio de Team Foundation Server no tiene permiso para leer archivos de control de código fuente
Síntoma: aparece un mensaje en el registro de eventos del servidor de nivel de aplicación similar a "TF53010 Condición inesperada en un componente de Team Foundation. La información aquí contenida debería estar disponible para el personal administrativo del sitio". El mensaje detallado se asemeja a "Microsoft.TeamFoundation.VersionControl.Adapter: No se puede leer el changeset. Puede que la cuenta de servicio no tenga permisos para recuperar este changeset".
Causas posibles:
Si se quita el permiso Leer para el grupo de seguridad Cuentas de servicio en un archivo o carpeta que está bajo control de código fuente, es posible que VersionControl.Adapter no pueda leer el archivo o la carpeta. Si el adaptador no puede leer la información de control de código fuente en el almacén de datos, el adaptador escribirá un mensaje de error en el registro de eventos y no actualizará la información en el almacén de datos. Sin la información de control de código fuente del archivo o la carpeta, es posible que los informes de control de código fuente subsiguientes no sean precisos. Para obtener más información, vea Configurar opciones del control de versiones.
Si establece permisos explícitos para un proyecto de equipo o quita permisos para un grupo de seguridad predeterminado, es posible que un usuario o grupo no tenga acceso a los recursos del proyecto de equipo. Por ejemplo, si establece o cambia los permisos de seguridad para Cuenta de servicio, puede invalidar la configuración predeterminada necesaria para que la cuenta tenga acceso a archivos de proyecto de equipo o a servicios de Team Foundation. Para obtener más información acerca de la configuración y la herencia de permisos, vea Permisos de Team Foundation Server y Grupos predeterminados, permisos y funciones de Team Foundation Server.
Vea también
Conceptos
Administrar Team Foundation Server en un grupo de trabajo
Otros recursos
Administrar servicios de Team Foundation y cuentas de servicio
Administrar Team Foundation Server en un dominio de Active Directory