Dépannage des problèmes liés aux autorisations et à la sécurité de Team Foundation Server
Mise à jour : novembre 2007
Les tâches de sécurité de Team Foundation Server incluent les suivantes :
Assignation des autorisations appropriées aux utilisateurs, groupes et services Web de Team Foundation Server
Intégration avec les fonctions d'authentification de Windows
Aide à la sécurisation des ports réseau et du trafic entre chaque client de Team Foundation et serveur de Team Foundation
Quelques-uns des problèmes de sécurité les plus courants et leurs solutions sont répertoriés dans cette rubrique.
Si vous ne parvenez pas à résoudre un problème après avoir passé en revue ces conseils, consultez les forums techniques de Microsoft relatifs à Visual Studio Team System sur le site Web Microsoft (page pouvant être en anglais). Ces forums fournissent des threads de recherche sur diverses rubriques de résolution des problèmes, et sont contrôlés de manière à ce que vous puissiez obtenir une réponse rapide à votre question.
Les utilisateurs ne peuvent pas accéder au portail du projet d'équipe
Les utilisateurs ne peuvent pas accéder aux rapports
Impossible d'ajouter un utilisateur ou un groupe
L'utilisateur ou le groupe ajouté n'apparaît pas dans Team Foundation Server
L'utilisateur ou le groupe ajouté ne peut pas accéder à Team Foundation Server
Les autorisations modifiées pour un utilisateur ou un groupe ne semblent pas fonctionner dans Team Foundation Server
La modification de l'appartenance d'un groupe Team Foundation Server ne prend pas effet immédiatement
Les serveurs de couche Application et de couche Données de Team Foundation ne peuvent pas communiquer
Les clients Team Foundation ne peuvent pas se connecter à Team Foundation Server
Les clients Team Foundation Server Proxy ne sont pas synchronisés avec Team Foundation Server
Les groupes Team Foundation Server personnalisés ne fonctionnent pas comme prévu
Les autorisations modifiées pour un utilisateur ou un groupe ne semblent pas fonctionner dans Team Foundation Server
Le compte de service de Team Foundation Server n'est pas autorisé à lire les fichiers de contrôle de code source
Les utilisateurs ne peuvent pas accéder au portail du projet d'équipe
Symptôme : un message d'erreur s'affiche lorsque vous essayez d'accéder au portail du projet d'équipe.
Causes possibles :
Vous avez dû faire une erreur en tapant manuellement l'URL du portail du projet. Dans Team Explorer, cliquez avec le bouton droit sur le projet, puis cliquez sur Afficher le portail du projet.
Il est possible que les services Internet (IIS) soient arrêtés sur le serveur de couche Application de Team Foundation. Pour vérifier que les services Internet (IIS) fonctionnent, sur le serveur de couche Application de Team Foundation, cliquez sur Démarrer, Outils d'administration, Services Internet (IIS), puis vérifiez si le serveur est arrêté. Pour plus d'informations, consultez « Internet Information Services Technology Center » sur le site Web Microsoft.
Il est possible que le pool d'applications de Windows SharePoint Services soit arrêté dans les services Internet (IIS). Dans Services Internet (IIS), vérifiez que le pool d'applications fonctionne.
Il est possible que vous ne disposiez pas des autorisations appropriées dans Windows SharePoint Services. Lorsque vous ajoutez des utilisateurs ou des groupes à Team Foundation Server, vous devez également les ajouter dans Windows SharePoint Services et SQL Server Reporting Services. Pour plus d'informations, consultez Gestion des autorisations.
La version de Team Explorer que vous utilisez est celle fournie avec Microsoft Visual Studio 2005 Team Foundation Server. Il s'agit d'un problème connu rencontré avec la version originale de Team Explorer et Team System 2008 Team Foundation Server lorsque Team Foundation Server est configuré pour l'utilisation de Windows SharePoint Services 3.0. Vous pouvez obtenir un correctif logiciel auprès des services de support technique Microsoft ou mettre à niveau Team Explorer vers Team System 2008 Team Foundation Server. Pour plus d'informations, consultez Compatibilité des versions de Team Explorer and Compatibilité des versions de Team Foundation Server.
Les utilisateurs ne peuvent pas accéder aux rapports
Symptôme : un message d'erreur s'affiche lorsque vous essayez d'ouvrir ou d'accéder aux rapports dans Team Explorer.
Causes possibles :
Il est possible que vous ne disposiez pas des autorisations appropriées dans SQL Reporting Services. Lorsque vous ajoutez des utilisateurs ou des groupes à Team Foundation Server, vous devez également les ajouter dans Windows SharePoint Services et SQL Reporting Services. Pour plus d'informations, consultez Gestion des autorisations et Dépannage des rapports de Team Foundation.
Il est possible que les services Internet (IIS) soient arrêtés sur le serveur de couche Application de Team Foundation. Pour vérifier que les services Internet (IIS) fonctionnent, sur le serveur de couche Application de Team Foundation, cliquez sur Démarrer, Outils d'administration, Services Internet (IIS), puis vérifiez si le serveur est arrêté. Pour plus d'informations, consultez « Internet Information Services Technology Center » sur le site Web Microsoft.
Il est possible que le pool d'applications de Reporting Services soit arrêté dans les services Internet (IIS). Dans Services Internet (IIS), vérifiez que le pool d'applications de Reporting Services fonctionne.
Remarque : Vous gérez ReportServer et le site Web du Gestionnaire de rapports dans IIS (Internet Information Services) pour SQL Server 2005 mais pas pour SQL Server 2008.
Impossible d'ajouter un utilisateur ou un groupe à Team Foundation Server
Symptôme : un utilisateur ou un groupe de domaine n'apparaît pas dans la boîte de dialogue Util. ou groupe Windows.
Causes possibles :
- L'utilisateur ou le groupe appartient à un groupe de travail ou un domaine qui n'est pas approuvé par le domaine où vous avez déployé Team Foundation Server. Vous pouvez configurer une approbation entre les deux domaines, ou utiliser l'outil en ligne de commande TFSSecurity pour ajouter des utilisateurs ou des groupes appartenant à des domaines non approuvés. Pour plus d'informations, consultez Considérations sur les approbations et les forêts pour Team Foundation Server et Commandes de l'utilitaire en ligne de commande TFSSecurity.
L'utilisateur ou le groupe ajouté n'apparaît pas dans Team Foundation Server
Symptôme : un utilisateur ou un groupe récemment ajouté n'apparaît pas sur le serveur ou le projet dans lequel vous venez de l'ajouter.
Causes possibles :
- Vous devez définir au moins une autorisation pour Autoriser ou Refuser afin d'ajouter avec succès un utilisateur ou un groupe à Team Foundation Server. Si vous ajoutez un utilisateur ou un groupe sans définir au moins une autorisation pour Autoriser ou Refuser (autrement dit, si vous ne définissez aucune autorisation), cet utilisateur ou ce groupe n'est pas ajouté à Team Foundation Server et aucun message d'erreur ni avertissement ne s'affiche. Pour plus d'informations, consultez Gestion des utilisateurs et groupes et Autorisations de Team Foundation Server.
L'utilisateur ou le groupe ajouté ne peut pas accéder à Team Foundation Server
Symptôme : un utilisateur ou un groupe récemment ajouté ne peut pas accéder aux éléments de travail, au code source, aux portails de projet ou aux rapports Team Foundation Server.
Remarque : |
---|
Ajoutez des utilisateurs et des groupes aux groupes de Team Foundation Server au lieu de les ajouter au projet ou au serveur. Pour plus d'informations, consultez Gestion des utilisateurs et groupes. |
Causes possibles :
Dans les environnements comportant plusieurs serveurs Team Foundation Server, l'utilisateur peut tenter d'accéder à un serveur de Team Foundation Server alors qu'il ne dispose d'autorisations sur aucun projet. Assurez-vous que l'utilisateur accède au serveur de Team Foundation Server approprié pour le projet.
L'utilisateur ou le groupe peut appartenir à un autre domaine ou groupe de travail qui ne dispose pas de la relation d'approbation nécessaire pour accéder à Team Foundation Server. Pour plus d'informations, consultez Gestion de Team Foundation Server dans un domaine Active Directory et Gestion de Team Foundation Server dans un groupe de travail.
Vous avez ajouté un utilisateur ou un groupe qui dispose uniquement de l'autorisation Administrer les modifications réservées avec la valeur Autoriser ou Refuser. Il s'agit d'un problème connu rencontré avec cette autorisation : si vous ajoutez un utilisateur ou un groupe qui dispose uniquement de cette autorisation avec la valeur Autoriser, l'utilisateur ou le groupe n'est pas ajouté correctement au groupe Team Foundation Valid Users et ne peut donc pas accéder à Team Foundation Server. Vérifiez si l'utilisateur ou le groupe apparaît dans la liste Team Foundation Valid Users et, lorsque vous ajoutez un utilisateur ou un groupe, vérifiez que vous avez défini d'autres autorisations sur Autoriser ou Refuser pour cet utilisateur ou ce groupe, en plus de l'autorisation Administrer les modifications réservées. Pour plus d'informations, consultez Gestion des utilisateurs et groupes, Comment : afficher les utilisateurs existants et Autorisations de Team Foundation Server.
Il est possible que l'utilisateur ou le groupe n'ait pas les autorisations appropriées dans produits et technologies SharePoint et Reporting Services. Lorsque vous ajoutez un utilisateur ou un groupe dans Team Foundation Server, vous devez également l'ajouter dans produits et technologies SharePoint et Reporting Services. Pour plus d'informations, consultez Gestion des autorisations.
Les autorisations modifiées pour un utilisateur ou un groupe ne fonctionnent pas dans Team Foundation Server
Symptôme : un utilisateur ou un groupe existant doit modifier ses autorisations. Immédiatement après avoir modifié les autorisations pour cet utilisateur ou ce groupe, celui-ci ne constate pas de modification dans les fonctionnalités.
Causes possibles :
- La synchronisation sur Team Foundation Server des modifications apportées aux autorisations peut prendre une minute ou deux, en particulier si la latence du réseau est importante entre le serveur de couche Données de Team Foundation et le serveur de couche Application de Team Foundation. Demandez à l'utilisateur ou au groupe de patienter plusieurs minutes avant de recommencer l'opération. Pour plus d'informations, consultez Autorisations de Team Foundation Server and Architecture de sécurité de Team Foundation Server.
La modification de l'appartenance d'un groupe Team Foundation Server ne prend pas effet immédiatement
Symptôme : un administrateur ajoute ou supprime un utilisateur d'un groupe de Team Foundation Server, mais immédiatement après, l'état d'appartenance de l'utilisateur apparaît inchangé.
Causes possibles :
La synchronisation sur Team Foundation Server des modifications apportées à l'appartenance d'un groupe peuvent peut prendre une minute ou deux, en particulier si la latence du réseau est importante entre le serveur de couche Données de Team Foundation et le serveur de couche Application de Team Foundation ou entre Team Foundation Server et les contrôleurs de domaine où réside le groupe de sécurité lorsque les groupes de sécurité Active Directory sont en cours d'utilisation.
Patientez plusieurs minutes et recommencez l'opération.
Dans les déploiements Active Directory, vous pouvez utiliser l'outil en ligne de commande /force de gpupdate pour forcer les mises à jour des groupes de sécurité Active Directory.
Si vous utilisez des groupes de sécurité Active Directory et que vous modifiez régulièrement l'appartenance de ces groupes, vous pouvez configurer Team Foundation Server pour qu'il se synchronise plus souvent avec Active Directory. Par défaut, Active Directory effectue une synchronisation toutes les heures. Vous pouvez augmenter cette fréquence en modifiant le fichier web.config et en ajoutant une clé appSettings dans la section IdenityUpdatePeriod. Affectez la fréquence de votre choix à la valeur de la clé appSettings. La valeur par défaut est 1 heure, 1:0:0.
Pour plus d'informations, consultez « gpupdate » sur le site Web Microsoft, Comment : modifier les paramètres de configuration des composants Team Foundation Server, Autorisations de Team Foundation Server et Architecture de sécurité de Team Foundation Server.
Les serveurs de couche Application et de couche Données de Team Foundation ne peuvent pas communiquer
Symptôme : lors de l'exécution de Team Foundation Server dans un déploiement sur deux serveurs, vous ne pouvez pas créer un projet ou exécuter une tâche. Des messages d'erreur s'affichent lorsque vous essayez la plupart des opérations de serveur.
Causes possibles :
Un pare-feu ou un routeur réseau entre la couche Données de Team Foundation et la couche Application de Team Foundation bloque le trafic réseau entre les deux serveurs. Vérifiez que tous les ports nécessaires sont configurés pour activer le trafic réseau. Pour plus d'informations, consultez Architecture de sécurité de Team Foundation Server.
La connexion réseau entre les serveurs de couche Application de Team Foundation et de couche Données de Team Foundation est trop lente. Il est possible que le trafic réseau soit trop important pour que vos routeurs puissent le gérer efficacement, ou qu'une ou plusieurs cartes réseau sur vos serveurs de Team Foundation ne soient pas configurées correctement. La configuration des commutateurs de réseau et des cartes réseau de vos ordinateurs peut affecter la vitesse du réseau. Confirmez que ces paramètres sont corrects. Pour plus d'informations sur l'utilisation d'un paramètre de détection automatique des cartes réseau, consultez le site Web Microsoft. Pour plus d'informations sur les paramètres de carte réseau, consultez la documentation du fabricant.
Les serveurs de couche Données de Team Foundation et de couche Application de Team Foundation sont dans des domaines ou des forêts Active Directory différents, mais ne disposent pas d'approbations suffisantes. Vous devez configurer des approbations appropriées pour votre déploiement de Team Foundation Server. Pour plus d'informations, consultez Considérations sur les approbations et les forêts pour Team Foundation Server.
Le serveur de couche Application de Team Foundation, le serveur de couche Données de Team Foundation ou les deux serveurs se trouvent dans un groupe de travail au lieu d'un domaine. Ces configurations ne sont pas prises en charge. Seuls les déploiements sur un serveur unique sont pris en charge dans un environnement de groupe de travail.
Les clients Team Foundation ne peuvent pas se connecter à Team Foundation Server
Symptôme : les utilisateurs qui ont des clients de Team Foundation comme Team Explorer ne peuvent pas se connecter à Team Foundation Server.
Causes possibles :
Un ou plusieurs services de Team Foundation Server ont été arrêtés, ou le serveur où Team Foundation Server est installé est hors connexion. Vérifiez que le serveur est connecté au réseau et que tous les services de Team Foundation Server nécessaires fonctionnent. Pour plus d'informations, consultez Concepts sur la sécurité de Team Foundation Server et Architecture de sécurité de Team Foundation Server.
Un pare-feu ou un routeur de réseau entre le client de Team Foundation et Team Foundation Server bloque le trafic réseau entre Team Foundation Server et le client. Vérifiez que tous les ports nécessaires sont configurés pour activer le trafic réseau. Pour plus d'informations, consultez Architecture de sécurité de Team Foundation Server.
Team Foundation Server est dans un domaine ou une forêt Active Directory qui n'approuve pas le domaine du client de Team Foundation. Vous devez configurer des approbations appropriées pour votre déploiement de Team Foundation Server. Pour plus d'informations, consultez Considérations sur les approbations et les forêts pour Team Foundation Server et Configurations de domaine non prises en charge.
Le client Team Foundation est dans un groupe de travail au lieu d'un domaine, mais Team Foundation Server est déployé dans un domaine. Les comptes d'utilisateurs locaux doivent être créés sur les ordinateurs clients de Team Foundation. Si vous ne souhaitez pas demander aux utilisateurs d'entrer un nom d'utilisateur et un mot de passe chaque fois qu'un client de Team Foundation doit se connecter à Team Foundation Server, assurez-vous que les comptes d'utilisateurs locaux utilisent le même nom d'utilisateur et le même mot de passe que les noms d'utilisateurs de domaine. Pour plus d'informations, consultez Gestion de Team Foundation Server dans un groupe de travail.
Le client de Team Foundation Server est déployé dans un groupe de travail, mais le client de Team Foundation est dans un domaine. Les comptes d'utilisateurs locaux doivent être créés sur le serveur de Team Foundation pour tous les utilisateurs qui ont besoin d'accéder au serveur. Pour plus d'informations, consultez Gestion de Team Foundation Server dans un groupe de travail.
Les comptes d'utilisateurs locaux n'ont pas été créés pour tous les ordinateurs dans un déploiement de Team Foundation Serverde groupe de travail uniquement. Les comptes d'utilisateurs locaux doivent être créés sur le serveur de Team Foundation pour tous les utilisateurs qui ont besoin d'accéder au serveur. Les comptes d'utilisateurs locaux doivent être ajoutés aux groupes de niveau serveur et de niveau projet de Team Foundation Server afin que les utilisateurs soient autorisés sur le serveur de Team Foundation. Pour plus d'informations, consultez Gestion de Team Foundation Server dans un groupe de travail.
La version de Team Explorer sur un ou plusieurs ordinateurs clients ne correspond pas à la version de Team Foundation Server. Assurez-vous que tous vos clients de Team Foundation utilisent la même version que votre déploiement de Team Foundation Server.
La version de Team Explorer que vous utilisez est celle fournie avec Microsoft Visual Studio 2005 Team Foundation Server. Il s'agit d'un problème connu rencontré avec la version originale de Team Explorer et Team System 2008 Team Foundation Server lorsque Team Foundation Server est configuré pour l'utilisation de Windows SharePoint Services 3.0. Vous pouvez obtenir un correctif logiciel auprès des services de support technique Microsoft ou mettre à niveau Team Explorer vers Team System 2008 Team Foundation Server. Pour plus d'informations, consultez Compatibilité des versions de Team Explorer and Compatibilité des versions de Team Foundation Server.
Les clients Team Foundation Server Proxy ne sont pas synchronisés avec Team Foundation Server
Team Foundation Server Proxy a son propre guide de dépannage. Pour plus d'informations, consultez Dépannage du proxy Team Foundation Server.
Remarque : |
---|
Si vous avez apporté des modifications à votre Team Foundation Server proxy ou au compte de service du proxy pour Team Foundation Server, vous devez configurer le proxy et le serveur en conséquence. Pour plus d'informations, consultez Comment : configurer la sécurité du cache pour Team Foundation Server Proxy et Architecture de sécurité de Team Foundation Server. |
Les groupes Team Foundation Server personnalisés ne fonctionnent pas comme prévu
Symptôme : un administrateur de Team Foundation ou un administrateur de projet a créé des groupes personnalisés pour un projet de Team Foundation Server spécifique, mais les membres de ces groupes ne peuvent pas effectuer les tâches prévues.
Causes possibles :
La synchronisation sur Team Foundation Server des modifications apportées à l'appartenance d'un groupe peuvent peut prendre une minute ou deux, en particulier si la latence du réseau est importante entre le serveur de couche Données de Team Foundation et le serveur de couche Application de Team Foundation ou entre Team Foundation Server et les contrôleurs de domaine où réside le groupe de sécurité lorsque les groupes de sécurité Active Directory sont en cours d'utilisation.
Les groupes personnalisés ne disposent pas de toutes les autorisations requises pour les tâches que les utilisateurs doivent effectuer. La création de groupes personnalisés et l'assignation d'autorisations appropriées constituent une tâche complexe. Pour plus d'informations sur les autorisations appropriées pour chaque rôle, consultez Groupes, autorisations et rôles par défaut de Team Foundation Server. Pour plus d'informations sur les définitions d'autorisations de Team Foundation Server, consultez Autorisations de Team Foundation Server.
Les autorisations modifiées pour un utilisateur ou un groupe ne fonctionnent pas dans Team Foundation Server
Symptôme : un utilisateur ou un groupe existant doit modifier ses autorisations. Immédiatement après avoir modifié les autorisations pour cet utilisateur ou ce groupe, celui-ci ne peut pas effectuer l'opération requérant les nouvelles autorisations.
Causes possibles :
- La synchronisation sur Team Foundation Server des modifications apportées aux autorisations peut prendre une minute ou deux, en particulier si la latence du réseau est importante entre le serveur de couche Données de Team Foundation et le serveur de couche Application de Team Foundation. Demandez à l'utilisateur ou au groupe de patienter plusieurs minutes avant de recommencer l'opération. Pour plus d'informations, consultez Autorisations de Team Foundation Server and Architecture de sécurité de Team Foundation Server.
Le compte de service de Team Foundation Server n'est pas autorisé à lire les fichiers de contrôle de code source
Symptôme : un message apparaît dans le journal des événements sur le serveur de couche Application semblable au suivant : « TF53010 : une condition inattendue s'est produite dans un composant de Team Foundation. Les informations contenues ici doivent être mises à disposition de votre personnel administratif ». Le message détaillé ressemble à : « Microsoft.TeamFoundation.VersionControl.Adapter : impossible de lire l'ensemble de modifications. Le compte de service ne dispose pas des autorisations pour récupérer cet ensemble de modifications ».
Causes possibles :
Si vous supprimez l'autorisation Lire pour le groupe de sécurité Service Accounts sur un fichier ou un dossier sous contrôle de code source, il est possible que VersionControl.Adapter ne puisse pas lire le fichier ou le dossier. Si l'adaptateur ne peut pas lire les informations de contrôle de code source contenues dans l'entrepôt de données, il écrit un message d'erreur dans le journal des événements et ne met pas à jour les informations contenues dans l'entrepôt de données. Sans les informations de contrôle de code source du fichier ou du dossier, les rapports de contrôle de code source suivants risquent de ne pas être exacts. Pour plus d'informations, consultez Configuration des paramètres du contrôle de version.
Si vous définissez explicitement des autorisations pour un projet d'équipe ou supprimez des autorisations pour un groupe de sécurité par défaut, vous pouvez affecter les possibilités d'accès aux ressources du projet d'équipe pour un utilisateur ou un groupe. Par exemple, la définition ou la modification des autorisations de sécurité pour Compte de service peut substituer les paramètres par défaut nécessaires pour que le compte puisse accéder aux fichiers du projet d'équipe ou aux services de Team Foundation. Pour plus d'informations sur les paramètres d'autorisation et l'héritage, consultez Autorisations de Team Foundation Server et Groupes, autorisations et rôles par défaut de Team Foundation Server.
Voir aussi
Concepts
Gestion de Team Foundation Server dans un groupe de travail
Autres ressources
Gestion des utilisateurs et groupes
Gestion des services et comptes de service Team Foundation Server
Gestion de Team Foundation Server dans un domaine Active Directory