Risoluzione dei problemi relativi alle autorizzazioni e alla sicurezza di Team Foundation Server
Aggiornamento: novembre 2007
Le attività di sicurezza di Team Foundation Server includono le seguenti:
Assegnazione di autorizzazioni appropriate a utenti, gruppi e servizi Web di Team Foundation Server
Integrazione con le funzionalità di autenticazione di Windows
Impostazione della sicurezza per il traffico e le porte di rete per ogni client e server Team Foundation
In questo argomento sono descritti alcuni dei problemi di sicurezza più comuni con le relative soluzioni.
Se non è possibile risolvere un problema dopo aver esaminato questi suggerimenti, visitare i forum tecnici Microsoft relativi a Visual Studio Team System nel sito Web Microsoft (informazioni in lingua inglese). Questi forum contengono thread in cui è possibile eseguire ricerche su un'ampia gamma di argomenti relativi alla risoluzione dei problemi e sono monitorati per fornire risposte rapide alle domande degli utenti.
Gli utenti non possono accedere al portale del progetto Team
Gli utenti non possono accedere ai report
Impossibile aggiungere un utente o gruppo
Un utente o un gruppo aggiunto non viene visualizzato in Team Foundation Server
L'utente o il gruppo aggiunto non può accedere a Team Foundation Server
Le autorizzazioni modificate per un utente o un gruppo non funzionano in Team Foundation Server
La modifica dell'appartenenza a un gruppo di Team Foundation Server non ha effetto immediatamente
Il server di livello applicazione Team Foundation e il server di livello dati Team Foundation non riescono a comunicare
I client Team Foundation non possono connettersi a Team Foundation Server
I client Team Foundation Server Proxy non sono sincronizzati con Team Foundation Server
I gruppi personalizzati di Team Foundation Server non funzionano come previsto
Le autorizzazioni modificate per un utente o un gruppo non funzionano in Team Foundation Server
L'account del servizio di Team Foundation Server non dispone delle autorizzazioni per la lettura dei file del controllo del codice sorgente
Gli utenti non possono accedere al portale del progetto Team
Sintomo: Viene visualizzato un errore quando si tenta di accedere al portale del progetto Team.
Possibili cause:
L'URL del portale del progetto potrebbe essere stato digitato manualmente commettendo un errore. In Team Explorer fare clic con il pulsante destro del mouse sul progetto, quindi scegliere Mostra portale progetto.
Internet Information Services potrebbe venire arrestato sul server di livello applicazione Team Foundation. Per verificare che Internet Information Services sia in esecuzione, sul server di livello applicazione Team Foundation scegliere Strumenti di amministrazione dal menu Start, quindi Internet Information Services e verificare se il server è arrestato. Per ulteriori informazioni, vedere "Internet Information Services Technology Center" nel sito Web Microsoft (informazioni in lingua inglese).
Il pool di applicazioni per Windows SharePoint Services potrebbe essere arrestato in Internet Information Services. In Internet Information Services verificare che il pool di applicazioni sia in esecuzione.
Si potrebbe non disporre delle autorizzazioni appropriate in Windows SharePoint Services. Quando si aggiungono utenti o gruppi a Team Foundation Server, è necessario aggiungere utenti e gruppi anche a Windows SharePoint Services e a SQL Server Reporting Services. Per ulteriori informazioni, vedere la classe Gestione delle autorizzazioni.
La versione di Team Explorer in uso corrisponde a quella inclusa in Microsoft Visual Studio 2005 Team Foundation Server. Nella versione originale di Team Explorer e Team System 2008 Team Foundation Server si verifica un problema noto quando Team Foundation Server è configurato per l'utilizzo di Windows SharePoint Services 3.0. È possibile ottenere un hotfix dal servizio supporto tecnico Microsoft o aggiornare Team Explorer a Team System 2008 Team Foundation Server. Per ulteriori informazioni, vedere°Compatibilità delle versioni per Team Explorer e Compatibilità di versione per Team Foundation Server.
Gli utenti non possono accedere ai report
Sintomo: Viene visualizzato un errore quando si tenta di aprire un report o di accedervi in Team Explorer.
Possibili cause:
Si potrebbe non disporre delle autorizzazioni appropriate in SQL Reporting Services. Quando si aggiungono utenti o gruppi a Team Foundation Server, è necessario aggiungere anche utenti e gruppi a Windows SharePoint Services e SQL Reporting Services. Per ulteriori informazioni, vedere Gestione delle autorizzazioni e Risoluzione dei problemi relativi alla generazione di report di Team Foundation.
Internet Information Services potrebbe venire arrestato sul server di livello applicazione Team Foundation. Per verificare che Internet Information Services sia in esecuzione, sul server di livello applicazione Team Foundation scegliere Strumenti di amministrazione dal menu Start, quindi Internet Information Services e verificare se il server è arrestato. Per ulteriori informazioni, vedere "Internet Information Services Technology Center" nel sito Web Microsoft (informazioni in lingua inglese).
Il pool di applicazioni per Reporting Services potrebbe essere arrestato in Internet Information Services. In Internet Information Services verificare che il pool di applicazioni di Reporting Services sia in esecuzione.
.gif "Nota")
Nota:ReportServer e il sito Web di Gestione report vengono gestiti in Internet Information Services (IIS) per SQL Server 2005 ma non per SQL Server 2008.
Non è possibile aggiungere un utente o un gruppo a Team Foundation Server
Sintomo: Un gruppo o un utente di dominio non è visualizzato nella finestra di dialogo Utente o gruppo Windows.
Possibili cause:
- L'utente o il gruppo appartiene a un gruppo di lavoro o a un dominio non considerato attendibile dal dominio in cui è stato distribuito Team Foundation Server. È possibile configurare l'attendibilità tra i due domini oppure utilizzare lo strumento da riga di comando TFSSecurity per aggiungere utenti o gruppi dai domini non attendibili. Per ulteriori informazioni, vedere Considerazioni su trust e insiemi di strutture per Team Foundation Server e Comandi dell'utilità della riga di comando TFSSecurity.
Un utente o un gruppo aggiunto non viene visualizzato in Team Foundation Server
Sintomo: Un utente o un gruppo aggiunto di recente non viene visualizzato nel server o nel progetto in cui è appena stato aggiunto.
Possibili cause:
- È necessario impostare almeno un'autorizzazione su Consenti o Nega per aggiungere correttamente un utente o un gruppo a Team Foundation Server. Se si aggiunge un utente o un gruppo ma non si imposta almeno un'autorizzazione su Consenti o Nega, ovvero si lasciano tutte le autorizzazioni non impostate, tale utente o gruppo non viene aggiunto a Team Foundation Server e non viene visualizzato alcun messaggio di errore o avviso. Per ulteriori informazioni, vedere Gestione di utenti e gruppi e Autorizzazioni per Team Foundation Server.
L'utente o il gruppo aggiunto non può accedere a Team Foundation Server
Sintomo: Un utente o un gruppo aggiunto di recente non può accedere a elementi di lavoro, codice sorgente, portali del progetto o report di Team Foundation Server.
| Nota: |
|---|
Aggiungere utenti e gruppi ai gruppi di Team Foundation Server anziché al progetto o al server. Per ulteriori informazioni, vedere Gestione di utenti e gruppi. |
Possibili cause:
In ambienti in cui è presente più di un server Team Foundation Server, l'utente potrebbe tentare di accedere a un server Team Foundation Server in cui non dispone di autorizzazioni su qualsiasi progetto. Assicurarsi che l'utente acceda al server Team Foundation Server corretto per il progetto.
L'utente o il gruppo potrebbe appartenere a un dominio o a un gruppo di lavoro diverso che non dispone della relazione di trust necessaria per l'accesso a Team Foundation Server. Per ulteriori informazioni, vedere Gestione di Team Foundation Server in un dominio Active Directory e Gestione di Team Foundation Server in un gruppo di lavoro.
È stato aggiunto un utente o un gruppo che dispone solo dell'autorizzazione Amministra aree di sospensione impostata su Consenti o su Nega. Esiste un problema noto con questa autorizzazione in base al quale se si aggiunge un utente o un gruppo che dispone solo di questa autorizzazione impostata su Consenti, l'utente o il gruppo non viene aggiunto correttamente al gruppo Valid Users di Team Foundation e pertanto non può accedere a Team Foundation Server. Controllare se l'utente o il gruppo è presente nell'elenco Valid Users di Team Foundation e quando si aggiunge un utente o un gruppo assicurarsi di impostare altre autorizzazioni su Consenti o Nega per tale utente o gruppo, oltre all'autorizzazione Amministra aree di sospensione. Per ulteriori informazioni, vedere Gestione di utenti e gruppi, Procedura: visualizzare gli utenti esistenti e Autorizzazioni per Team Foundation Server.
L'utente o il gruppo potrebbe non disporre delle autorizzazioni appropriate in Prodotti e tecnologie SharePoint e in Reporting Services. Quando si aggiunge un utente o un gruppo a Team Foundation Server è necessario aggiungere tale utente o gruppo anche a Prodotti e tecnologie SharePoint e a Reporting Services. Per ulteriori informazioni, vedere la classe Gestione delle autorizzazioni.
Le autorizzazioni modificate per un utente o un gruppo non funzionano in Team Foundation Server
Sintomo: È necessario modificare le autorizzazioni per un utente o un gruppo esistente. Subito dopo avere modificato le autorizzazioni per tale utente o gruppo, l'utente o il gruppo non nota alcuna modifica funzionale.
Possibili cause:
- Per la sincronizzazione delle modifiche alle autorizzazioni in Team Foundation Server può essere necessario uno o due minuti, in particolare se vi è una latenza di rete significativa tra i server di livello dati e di livello applicazione di Team Foundation. Chiedere all'utente o al gruppo di attendere alcuni minuti, quindi di riprovare a effettuare l'operazione. Per ulteriori informazioni, vedere°Autorizzazioni per Team Foundation Server e Architettura di sicurezza di Team Foundation Server.
La modifica dell'appartenenza a un gruppo di Team Foundation Server non ha effetto immediatamente
Sintomo: Un amministratore aggiunge o rimuove un utente a o da un gruppo di Team Foundation Server, ma subito dopo lo stato di appartenenza dell'utente appare immutato.
Possibili cause:
Per la sincronizzazione delle modifiche dell'appartenenza a un gruppo in Team Foundation Server può essere necessario uno o due minuti, in particolare se vi è una latenza di rete significativa tra i server di livello dati e di livello applicazione di Team Foundation oppure, se si utilizzano i gruppi di sicurezza di Active Directory, tra Team Foundation Server e i controller di dominio in cui risiede il gruppo di sicurezza.
Attendere alcuni minuti, quindi riprovare a effettuare l'operazione.
Nelle distribuzioni di Active Directory è possibile utilizzare lo strumento da riga di comando gpupdate/force per forzare gli aggiornamenti ai gruppi di sicurezza di Active Directory.
Se si utilizzano i gruppi di sicurezza di Active Directory e si apportano regolarmente modifiche dell'appartenenza per questi gruppi, è possibile configurare Team Foundation Server affinché si sincronizzi più frequentemente con Active Directory. Per impostazione predefinita, la sincronizzazione con Active Directory viene effettuata ogni ora. È possibile aumentare questa frequenza modificando il file web.config e aggiungendo una chiave appSettings nella sezione IdenityUpdatePeriod. Impostare il valore di appSettings sulla frequenza desiderata. Il valore predefinito è un'ora, 1:0:0.
Per ulteriori informazioni, vedere "gpupdate" nel sito Web Microsoft (informazioni in lingua inglese), Procedura: modificare le impostazioni di configurazione per i componenti di Team Foundation Server, Autorizzazioni per Team Foundation Server e Architettura di sicurezza di Team Foundation Server.
Il server di livello applicazione Team Foundation e il server di livello dati Team Foundation non riescono a comunicare
Sintomo: Quando si esegue Team Foundation Server in una distribuzione a server doppio, non è possibile creare un progetto o eseguire un lavoro. Quando si prova a eseguire la maggior parte delle operazioni server, vengono visualizzati messaggi di errore.
Possibili cause:
Il traffico di rete tra i due server è bloccato da un firewall o un router di rete tra il livello dati e il livello applicazione di Team Foundation. Assicurarsi che tutte le porte necessarie siano configurate per abilitare il traffico di rete. Per ulteriori informazioni, vedere Architettura di sicurezza di Team Foundation Server.
La connessione di rete tra il server di livello applicazione e il server di livello dati di Team Foundation è troppo lenta. Il traffico di rete potrebbe essere eccessivo e pertanto non venire gestito in modo efficace dai router oppure una o più schede di rete nei server Team Foundation potrebbero non essere configurate correttamente. La configurazione degli switch di rete e della scheda di rete dei computer può influire sulla velocità di rete. Verificare che queste impostazioni siano corrette. Per ulteriori informazioni sull'utilizzo di un'impostazione di rilevamento automatico per le schede di rete, vedere il sito Web Microsoft. Per ulteriori informazioni sulle impostazioni delle schede di rete, vedere la documentazione del produttore.
Il server di livello dati e il server di livello applicazione di Team Foundation si trovano in insiemi di strutture o domini Active Directory diversi senza un livello di attendibilità sufficiente. È necessario configurare i livelli di attendibilità appropriati per la distribuzione di Team Foundation Server. Per ulteriori informazioni, vedere Considerazioni su trust e insiemi di strutture per Team Foundation Server.
Il server di livello applicazione Team Foundation, il server di livello dati Team Foundation o entrambi i server si trovano in un gruppo di lavoro anziché in un dominio. Queste configurazioni non sono supportate. Solo le distribuzioni a server singolo sono supportate in un ambiente di gruppi di lavoro.
I client Team Foundation non possono connettersi a Team Foundation Server
Sintomo: Gli utenti con client Team Foundation quali Team Explorer non possono connettersi a Team Foundation Server.
Possibili cause:
Uno o più servizi di Team Foundation Server sono stati arrestati o il server in cui è installato Team Foundation Server non è in linea. Verificare che il server sia connesso alla rete e che tutti i servizi di Team Foundation Server necessari siano in esecuzione. Per ulteriori informazioni, vedere Concetti relativi alla sicurezza in Team Foundation Server e Architettura di sicurezza di Team Foundation Server.
Un firewall o un router di rete tra il client Team Foundation e Team Foundation Server sta bloccando il traffico di rete tra Team Foundation Server e il client. Assicurarsi che tutte le porte necessarie siano configurate per abilitare il traffico di rete. Per ulteriori informazioni, vedere Architettura di sicurezza di Team Foundation Server.
Team Foundation Server si trova in un insieme di strutture o in un dominio Active Directory che non considera attendibile il dominio del client Team Foundation. È necessario configurare i livelli di attendibilità appropriati per la distribuzione di Team Foundation Server. Per ulteriori informazioni, vedere Considerazioni su trust e insiemi di strutture per Team Foundation Server e Configurazioni di dominio non supportate.
Il client Team Foundation si trova in un gruppo di lavoro anziché in un dominio, ma Team Foundation Server è distribuito in un dominio. È necessario creare account utente locali nei computer client Team Foundation. Per evitare che gli utenti debbano digitare un nome utente e una password ogni volta che un client Team Foundation deve connettersi a Team Foundation Server, assicurarsi che tali account utente locali utilizzino gli stessi nome utente e password dei nomi utente del dominio. Per ulteriori informazioni, vedere Gestione di Team Foundation Server in un gruppo di lavoro.
Il client Team Foundation Server viene distribuito in un gruppo di lavoro, ma il client Team Foundation si trova in un dominio. È necessario creare account utente locali sul server Team Foundation per tutti gli utenti che necessitano di accedere al server. Per ulteriori informazioni, vedere Gestione di Team Foundation Server in un gruppo di lavoro.
Non sono stati creati account utente locali per tutti i computer in una distribuzione di Team Foundation Server di soli gruppi di lavoro. È necessario creare account utente locali sul server Team Foundation per tutti gli utenti che necessitano di accedere al server. Gli account utente locali devono essere aggiunti a gruppi a livello di server e a livello di progetto di Team Foundation Server affinché gli utenti siano autorizzati nel server Team Foundation. Per ulteriori informazioni, vedere Gestione di Team Foundation Server in un gruppo di lavoro.
La versione di Team Explorer in uno o più computer client non corrisponde alla versione di Team Foundation Server. Verificare che in tutti i client Team Foundation venga utilizzata la stessa versione della distribuzione di Team Foundation Server.
La versione di Team Explorer in uso corrisponde a quella inclusa in Microsoft Visual Studio 2005 Team Foundation Server. Nella versione originale di Team Explorer e Team System 2008 Team Foundation Server si verifica un problema noto quando Team Foundation Server è configurato per l'utilizzo di Windows SharePoint Services 3.0. È possibile ottenere un hotfix dal servizio supporto tecnico Microsoft o aggiornare Team Explorer a Team System 2008 Team Foundation Server. Per ulteriori informazioni, vedere°Compatibilità delle versioni per Team Explorer e Compatibilità di versione per Team Foundation Server.
I client Team Foundation Server Proxy non sono sincronizzati con Team Foundation Server
È disponibile una guida per la risoluzione dei problemi di Team Foundation Server Proxy. Per ulteriori informazioni, vedere Risoluzione dei problemi relativi a Team Foundation Server Proxy.
| Nota: |
|---|
Se sono state apportate modifiche al proxy di Team Foundation Server o all'account del servizio del proxy per Team Foundation Server, è necessario configurare il proxy e il server per riflettere queste modifiche. Per ulteriori informazioni, vedere Procedura: configurare la sicurezza della cache per il proxy di Team Foundation Server e Architettura di sicurezza di Team Foundation Server. |
I gruppi personalizzati di Team Foundation Server non funzionano come previsto
Sintomo: Un amministratore di Team Foundation o l'amministratore del progetto ha creato gruppi personalizzati per un particolare progetto Team Foundation Server, ma i membri di questi gruppi non possono eseguire le attività previste.
Possibili cause:
Per la sincronizzazione delle modifiche dell'appartenenza a un gruppo in Team Foundation Server può essere necessario uno o due minuti, in particolare se vi è una latenza di rete significativa tra i server di livello dati e di livello applicazione di Team Foundation oppure, se si utilizzano i gruppi di sicurezza di Active Directory, tra Team Foundation Server e i controller di dominio in cui risiede il gruppo di sicurezza.
I gruppi personalizzati non dispongono di tutte le autorizzazioni necessarie per le attività che gli utenti devono eseguire. La creazione di gruppi personalizzati e la corretta assegnazione delle autorizzazioni sono attività complesse. Per informazioni sulle autorizzazioni appropriate per ogni ruolo, vedere Gruppi predefiniti, autorizzazioni e ruoli di Team Foundation Server. Per ulteriori informazioni sulle autorizzazioni di Team Foundation Server, vedere Autorizzazioni per Team Foundation Server.
Le autorizzazioni modificate per un utente o un gruppo non funzionano in Team Foundation Server
Sintomo: È necessario modificare le autorizzazioni per un utente o un gruppo esistente. Subito dopo avere modificato le autorizzazioni per tale utente o gruppo, l'utente o il gruppo non può ancora eseguire l'azione che ha richiesto le nuove autorizzazioni.
Possibili cause:
- Per la sincronizzazione delle modifiche alle autorizzazioni in Team Foundation Server può essere necessario uno o due minuti, in particolare se vi è una latenza di rete significativa tra i server di livello dati e di livello applicazione di Team Foundation. Chiedere all'utente o al gruppo di attendere alcuni minuti, quindi di riprovare a effettuare l'operazione. Per ulteriori informazioni, vedere°Autorizzazioni per Team Foundation Server e Architettura di sicurezza di Team Foundation Server.
L'account del servizio di Team Foundation Server non dispone delle autorizzazioni per la lettura dei file del controllo del codice sorgente
Sintomo: Nel log eventi nel server di livello applicazione viene visualizzato un messaggio simile a "TF53010: si è verificata una condizione imprevista in un componente di Team Foundation. Fornire le informazioni contenute in questo messaggio al personale amministrativo del sito". Il messaggio dettagliato è simile a "Microsoft.TeamFoundation.VersionControl.Adapter: Impossibile leggere l'insieme di modifiche. L'account del servizio potrebbe non disporre delle autorizzazioni per recuperare tale insieme".
Possibili cause:
Se si rimuove l'autorizzazione di lettura per il gruppo di sicurezza Service Accounts in un file o una cartella incluso nel controllo del codice sorgente, tramite VersionControl.Adapter potrebbe non essere possibile leggere il file o la cartella. Se tramite l'adattatore non è possibile leggere le informazioni sul controllo del codice sorgente nel data warehouse, viene scritto un messaggio di errore nel log eventi e le informazioni nel data warehouse non vengono aggiornate. Se non vengono ottenute le informazioni sul controllo del codice sorgente dal file o dalla cartella, i report del controllo del codice sorgente successivi potrebbero non essere accurati. Per ulteriori informazioni, vedere la classe Configurazione delle impostazioni per il controllo delle versioni.
L'impostazione esplicita delle autorizzazioni per un progetto Team o la rimozione delle autorizzazioni per un gruppo di sicurezza predefinito può avere effetto sulla possibilità di un singolo utente o gruppo di ottenere l'accesso alle risorse del progetto Team. L'impostazione o la modifica delle autorizzazioni di sicurezza per l'Account del servizio può ad esempio comportare l'override delle impostazioni predefinite necessarie per l'accesso da parte dell'account ai file del progetto Team o ai servizi di Team Foundation. Per ulteriori informazioni sulle impostazioni delle autorizzazioni e sull'ereditarietà, vedere Autorizzazioni per Team Foundation Server e Gruppi predefiniti, autorizzazioni e ruoli di Team Foundation Server.
Vedere anche
Concetti
Gestione di Team Foundation Server in un gruppo di lavoro
Altre risorse
Gestione dei servizi e degli account di servizio di Team Foundation Server
Gestione di Team Foundation Server in un dominio Active Directory