Рассмотрение доверий и лесов для Team Foundation Server
Обновлен: Ноябрь 2007
Team Foundation Server обеспечивает основу для совместной работы групп из разных доменов или лесов. Для того, чтобы удостовериться в безопасности и стабильности сервера и домена, нужно выполнить некоторое важные инструкции. Оптимально, уровень приложения Team Foundation и уровни данных будут находиться в одном домене, при этом клиентские компьютеры, производящие подключение, могут располагаться в различных доменах.
Team Foundation Server поддерживается в следующих режимах Active Directory и функциональных уровнях:
Windows 2000 Active Directory в родном режиме.
Windows Server 2003 Active Directory в родном режиме Windows 2000.
Active Directory Windows Server 2003 в функциональном уровне Windows Server 2003.
.gif "Примечание") Примечание. |
|---|
Team Foundation Server не поддерживает доменные режимы проверки подлинности, а также режимы проверки подлинности функциональных уровней, которые поддерживают Windows NT Server 4.0. |
Доверия доменов
Team Foundation Server не содержит специальных требований в отношении поддерживаемых доверий доменов. Типы доверий, которые могут быть использованы, зависят от типов лесов и доменов, которые применяются в сети компании. Определенные доверительные отношения могут быть затребованы Team Foundation Server в зависимости от того, как развертываются компоненты Team Foundation в сети компании.
Как правило, пользователи Team Foundation Server и службы должны пройти проверку подлинности для доступа к компонентам сервера. С точки зрения доверительных отношений, Team Foundation Server требует доверия к домену, в котором определена учетная запись пользователя или службы.
Требования к отношениям доверия между компонентами Team Foundation Server
В этой секции определены минимальные требования к отношениям доверия между разными компонентами Team Foundation Server. В этом разделе также описаны особые последствия для конфигурации развертывания, обусловленные отношениями доверия. При определении, являются ли отношения доверия между компонентами Team Foundation достаточными, например, для проверки отношений доверия между потенциальным клиентским компьютером Team Foundation и Team Foundation Server, возможно использование веб-обозревателя для проверки клиентского права доступа к папке или общему ресурсу на сервере, содержащем компоненты логического уровня приложений Team Foundation. Если клиентский компьютер не может получит доступ к общему ресурсу, конфигурация для Team Foundation Server будет недействительна.
В Team Foundation Server, управление участием в группах и разрешениями для доступа (проверки подлинности) к серверу и его ресурсам могут быть настроены в Сред. Командный обозреватель или через программы командной строки TFSSecurity или TF. Определенный пользователь проходит проверку на сервере уровня приложений для проверки принадлежности пользователя к участникам домена, с которым установлены доверительные отношения.
Доверия между клиентскими компьютерами и уровнем приложений Team Foundation Server
Когда клиентские приложения, например Сред. Командный обозреватель, подключаются к серверу уровня приложений Team Foundation, сервер пытается проверить удостоверения пользователя, для которого выполняется клиентское приложение. Если между доменом, к которому принадлежит пользователь, и сервером уровня приложений Team Foundation установлены доверительные отношения, встроенная проверка подлинности Windows производит проверку подлинности пользователя автоматически. Если отношения доверия не установлены, клиентское приложение отображает диалоговое окно со строками имени пользователя и пароля, чтобы пользователь ввел альтернативные учетные данные для осуществления соединения с сервером. После проверки подлинности, Team Foundation Server проверяет у авторизированного пользователя наличие права доступа к серверу. Для этого, пользователь должен являться участником группы Действительные пользователи Team Foundation. Пользователь будет автоматически добавлен в эту группу, когда удостоверение данного пользователя добавится в существующую группу Team Foundation Server, сервер или проект. Дополнительные сведения см. в разделе Управление пользователями и группами.
Службы сервера уровня приложений Team Foundation выполняются от имени учетной записи TFSService. Следовательно, домен сервера уровня приложений Team Foundation должен доверять домену, которому принадлежит учетная запись TFSService. Зачастую, сервер уровня приложений Team Foundation и учетная запись TFSService принадлежат к единому домену.
Составной домен |
Доверие |
Составной домен |
|---|---|---|
Домен сервера уровня приложений Team Foundation |
одностороннее отношение доверия к |
Домен пользователя Team Foundation |
Домен сервера уровня приложений Team Foundation |
одностороннее отношение доверия к |
Домен учетной записи TFSService |
Чтобы избежать необходимости вводить имя пользователя и пароль при каждом соединении клиентского приложения Team Foundation с Team Foundation Server, клиентский домен Team Foundation должен доверять домену сервера уровня приложений Team Foundation.
Отношения доверия между клиентскими компьютерами и прокси-сервером Team Foundation Server
Домен прокси Team Foundation Server должен доверять пользовательскому домену для успешного функционирования прокси-сервера.
Составной домен |
Доверие |
Составной домен |
|---|---|---|
Домен компьютера прокси Team Foundation Server |
одностороннее отношение доверия к |
Домен пользователя Team Foundation |
Отношения доверия между прокси-сервером Team Foundation и сервером уровня приложений Team Foundation
В контексте Active Directory, прокси Team Foundation Server является еще одним клиентом для Team Foundation Server.
Составной домен |
Доверие |
Составной домен |
|---|---|---|
Домен сервера уровня приложений Team Foundation |
одностороннее отношение доверия к |
Домен учетной записи службы прокси Team Foundation Server: |
Домен компьютера прокси Team Foundation Server |
одностороннее отношение доверия к |
Домен учетной записи пользователя прокси Team Foundation Server |
Чтобы избежать необходимости вводить имя пользователя и пароль при каждом соединении клиентского приложения Team Foundation с Team Foundation Server, клиентский домен Team Foundation должен доверять домену сервера уровня приложений Team Foundation.
Отношения доверия между сервером уровня приложений Team Foundation и сервером уровня данных Team Foundation
Сервер уровня приложений Team Foundation производит подключение к серверу уровня данных Team Foundation, используя учетную запись службы, известную так же как учетная запись TFSService. Веб-службы Team Foundation Server выполняются от имени этой учетной записи. Следовательно, домен сервера уровня данных Team Foundation должен доверять домену учетной записи TFSService. Помимо этого, каждый домен в развертывании Team Foundation Server должен установить отношение доверия с учетной записью TFSService посредством доменного отношения доверия или явного разрешения. Домен сервера уровня данных Team Foundation должен также доверять домену учетной записи TFSService. Учетная запись TFSReport является учетной записью, используемой для получения доступа к источникам данных отчетов Team Foundation Server.
Кроме этого, службы отчетов выполняются на сервере уровня приложений Team Foundation от имени учетной записи сетевой службы. Следовательно, домен сервера уровня данных Team Foundation будет доверять домену сервера уровня приложений Team Foundation. Если отношение доверия между уровнями Team Foundation нежелательно, можно перенастроить конфигурацию системы таким образом, чтобы службы отчетов выполнялись от имени именованной учетной записи службы, находящейся в домене, отличном от домена сервера уровня приложений Team Foundation. Однако, данная конфигурация является довольно сложной и требует перехода от развертывания на одном сервере до развертывания на двойном сервере, а также перенастройки сервера отчетов вручную для обеспечения его работы с использованием именованной учетной записи службы.
Составной домен |
Доверие |
Составной домен |
|---|---|---|
Домен сервера уровня данных Team Foundation |
одностороннее отношение доверия к |
Домен учетной записи TFSService |
Домен сервера уровня данных Team Foundation |
одностороннее отношение доверия к |
Домен учетной записи TFSReport |
Домен сервера уровня данных Team Foundation |
одностороннее отношение доверия к |
Домен сервера уровня приложений Team Foundation |
Отношения доверия между построением Team Foundation и сервером уровня приложений Team Foundation
Team Foundation Build выполняется от имени учетной записи службы Windows. Следовательно, домен компьютера Team Foundation Build должен доверять домену учетной записи данной службы. Как правило, этой учетной записью службы является учетная запись TFSService, но при изменении конфигурации вручную, возможно ее выполнение от имени другой учетной записи. Если Team Foundation Build не выполняется от имени учетной записи TFSService, имя службы должно быть внесено в группы приложений [Project]\службы построения.
| Примечание. |
|---|
При создании построения, новое построение помещается в общую папку размещения построения. Следует убедиться, что эта папка является доступной для всех пользователей, а также в том, что учетная запись TFSService имеет к ней полный доступ. Для общего использования файлов, в брандмауэре Windows на компьютере Team Foundation Build должен быть открыт порт “Управление совместным использованием файлов и принтера ”. |
Составной домен |
Доверие |
Составной домен |
|---|---|---|
Домен компьютера Team Foundation Build |
одностороннее отношение доверия к |
Домен учетной записи службы (обычно TFSService) |
Домен сервера уровня приложений Team Foundation |
одностороннее отношение доверия к |
Домен учетной записи службы (обычно TFSService) |
Прочие конфигурации и характеристики доменов
Все прочие конфигурации доменов Active Directory не поддерживаются и не должны использоваться. Необходимо убедиться, что домен, в котором устанавливается Team Foundation Server поддерживает Team Foundation Server, и что отдельные компьютеры, на которых установлена Team Foundation Server находятся в подходящей доменной среде. Если в Team Foundation Server поддерживается работа с несколькими лесами, должны также быть доступны соответствующие отношения доверия между лесами.
Из соображений безопасности, следует устанавливать Team Foundation Server в доменной среде Windows Server 2003. С целью избежание действий нарушителя под видом законного пользователя, следует запретить повторение имен и обеспечить безопасность имен компьютеров по создателю. Дополнительные сведения см. в Windows Server 2003 Active Directory на https://go.microsoft.com/fwlink/?linkid=47541.
См. также
Основные понятия
Неподдерживаемые конфигурации доменов
Управление Team Foundation Server в рабочей группе