Team Foundation Server 使用權限和安全性疑難排解
更新:2007 年 11 月
Team Foundation Server 安全性活動包括:
將適當的使用權限指派給 Team Foundation Server 使用者、群組和 Web 服務
與 Windows 驗證功能整合
協助保護每個 Team Foundation 用戶端與 Team Foundation 伺服器之間的網路通訊埠和流量安全
本主題將列出某些較常見的安全性問題及其解決方案。
如果您在檢閱這些秘訣之後仍無法解決問題,請造訪 Microsoft 網站上 Visual Studio Team System 的 Microsoft 技術論壇。這些論壇會提供可搜尋的文章主題,其中有各式各樣的疑難排解主題,並且派有專人監看。因此,您的問題將獲得快速回應。
使用者無法存取 Team 專案入口網站
使用者無法存取報告
無法加入使用者或群組
加入的使用者或群組沒有顯示在 Team Foundation Server 中
加入的使用者或群組無法存取 Team Foundation Server
針對使用者或群組變更的使用權限似乎無法在 Team Foundation Server 中運作
針對 Team Foundation Server 群組變更的成員資格不會立即生效
Team Foundation 應用程式層伺服器與 Team Foundation 資料層伺服器無法進行通訊
Team Foundation 用戶端無法連接至 Team Foundation Server
Team Foundation Server Proxy 用戶端與 Team Foundation Server 不同步
自訂的 Team Foundation Server 群組並未如預期方式運作
針對使用者或群組變更的使用權限似乎無法在 Team Foundation Server 中運作
Team Foundation Server 服務帳戶沒有讀取原始檔控制檔案的使用權限
使用者無法存取 Team 專案入口網站
徵兆:當您嘗試存取 Team 專案入口網站時,收到一則錯誤。
可能的原因:
您可能是手動輸入專案入口網站 URL 而且輸入錯誤。以滑鼠右鍵按一下 Team 總管中的專案,然後按一下 [顯示專案入口網站]。
Team Foundation 應用程式層伺服器的網際網路資訊服務可能已停止。若要確認網際網路資訊服務是否正在執行,請在 Team Foundation 應用程式層伺服器上,依序按一下 [開始]、[系統管理工具] 和 [Internet Information Services],然後查看這個伺服器是否已停止。如需詳細資訊,請參閱 Microsoft 網站上的「網際網路資訊服務技術中心」(英文)。
Windows SharePoint Services 的應用程式集區可能已在網際網路資訊服務中停止。在網際網路資訊服務中,請確認應用程式集區是否正在執行。
您可能在 Windows SharePoint Services 中沒有適當的使用權限。當您將使用者或群組加入至 Team Foundation Server 時,也必須將使用者和群組加入至 Windows SharePoint Services 和 SQL Server Reporting Services。如需詳細資訊,請參閱管理使用權限。
使用的 Team 總管版本是 Microsoft Visual Studio 2005 Team Foundation Server 隨附的版本。當 Team Foundation Server 設定成使用 Windows SharePoint Services 3.0 時,已知原始 Team 總管和 Team System 2008 Team Foundation Server 會發生問題。您可以從 Microsoft 支援服務取得 Hotfix,或將 Team 總管升級至 Team System 2008 Team Foundation Server。如需詳細資訊,請參閱Team 總管的版本相容性和Team Foundation Server 的版本相容性。
使用者無法存取報告
徵兆:嘗試在 Team 總管中開啟或存取報告時接收到錯誤。
可能的原因:
您可能在 SQL Reporting Services 中沒有適當的使用權限。當您將使用者或群組加入至 Team Foundation Server 時,就必須同時將使用者和群組加入至 Windows SharePoint Services 及 SQL Reporting Services。如需詳細資訊,請參閱管理使用權限和 Team Foundation 報告疑難排解。
Team Foundation 應用程式層伺服器的網際網路資訊服務可能已停止。若要確認網際網路資訊服務是否正在執行,請在 Team Foundation 應用程式層伺服器上,依序按一下 [開始]、[系統管理工具] 和 [Internet Information Services],然後查看這個伺服器是否已停止。如需詳細資訊,請參閱 Microsoft 網站上的「網際網路資訊服務技術中心」(英文)。
Reporting Services 的應用程式集區可能已在網際網路資訊服務中停止。在網際網路資訊服務中,請確認 Reporting Services 應用程式集區是否正在執行。
.gif "注意事項")
注意事項:您可以在網際網路資訊服務 (IIS) 中管理 SQL Server 2005 的 ReportServer 和報表管理員網站,但是不能管理 SQL Server 2008 的 ReportServer 和報表管理員網站。
無法將使用者或群組加入至 Team Foundation Server
徵兆:網域使用者或群組沒有顯示在 [Windows 使用者或群組] 對話方塊中。
可能的原因:
- 使用者或群組屬於某個工作群組或網域,但是這個工作群組或網域不受部署了 Team Foundation Server 之網域的信任。您可以在這兩個網域之間設定信任,也可使用 TFSSecurity 命令列工具,從未受信任的網域加入使用者或群組。如需詳細資訊,請參閱 Team Foundation Server 的信任和樹系考量和 TFSSecurity 命令列公用程式命令。
加入的使用者或群組沒有顯示在 Team Foundation Server 中
徵兆:最近加入的使用者或群組沒有顯示在您剛新增該使用者或群組的伺服器或專案中。
可能的原因:
- 您至少必須將一個使用權限設為 [允許] 或 [拒絕],才能成功地將使用者或群組加入至 Team Foundation Server。如果您加入某個使用者或群組,但是未將任何使用權限設為 [允許] 或 [拒絕] (亦即,您保持所有使用權限在未設定狀態),則該使用者或群組將不會加入至 Team Foundation Server,而且您不會看見錯誤訊息或警告。如需詳細資訊,請參閱管理使用者和群組和 Team Foundation Server 使用權限。
加入的使用者或群組無法存取 Team Foundation Server
徵兆:最近加入的使用者或群組無法存取 Team Foundation Server 工作項目、原始程式碼、專案入口網站或報表。
| 注意事項: |
|---|
請考慮將使用者和群組加入至 Team Foundation Server 群組,而非加入至專案或伺服器。如需詳細資訊,請參閱管理使用者和群組。 |
可能的原因:
在具有多個 Team Foundation Server 的環境中,使用者可能嘗試存取某個 Team Foundation Server,但是使用者沒有任何專案的使用權限。請確定使用者針對專案存取正確的 Team Foundation Server。
使用者或群組可能屬於不同的網域或工作群組,但是該網域或工作群組沒有存取 Team Foundation Server 的必要信任關係。如需詳細資訊,請參閱在 Active Directory 網域中管理 Team Foundation Server 和在工作群組中管理 Team Foundation Server。
您加入了僅將 [管理擱置集] 使用權限設定為 [允許] 或 [拒絕] 的使用者或群組。這個使用權限的已知問題是,如果加入只將這個使用權限設為 [允許] 的使用者或群組,該使用者或群組就不會正確加入至 [Team Foundation Valid Users] 群組,因此無法存取 Team Foundation Server。請查看使用者或群組是否顯示在 [Team Foundation Valid Users] 的清單中,並且確保在您加入使用者或群組時,除了 [管理擱置集] 使用權限以外,是否針對該使用者或群組將其他使用權限設定為 [允許] 或 [拒絕]。如需詳細資訊,請參閱管理使用者和群組、HOW TO:檢視現有使用者和 Team Foundation Server 使用權限。
使用者或群組可能在 SharePoint 產品和技術和 Reporting Services 中沒有適當的使用權限。當您將使用者或群組加入至 Team Foundation Server 時,也必須將該使用者或群組加入至 SharePoint 產品和技術和 Reporting Services。如需詳細資訊,請參閱管理使用權限。
針對使用者或群組變更的使用權限無法在 Team Foundation Server 中運作
徵兆:現有的使用者或群組需要變更其使用權限。在您針對該使用者或群組變更使用權限之後,使用者或群組並未注意到任何功能變更。
可能的原因:
- 對使用權限所做的變更可能需要一兩分鐘才能在 Team Foundation Server 中同步處理,尤其是 Team Foundation 資料層伺服器與 Team Foundation 應用程式層伺服器之間發生顯著的網路延遲時。請要求使用者或群組等候數分鐘,然後再次嘗試執行動作。如需詳細資訊,請參閱 Team Foundation Server 使用權限和 Team Foundation Server 安全性架構。
針對 Team Foundation Server 群組變更的成員資格不會立即生效
徵兆:系統管理員在 Team Foundation Server 群組中加入或移除使用者,但是該使用者的成員資格狀態沒有立即更新。
可能的原因:
對群組成員資格所做的變更可能需要一兩分鐘才能在 Team Foundation Server 中同步處理,尤其是當 Team Foundation 資料層伺服器與 Team Foundation 應用程式層伺服器之間有顯著的網路延遲,或是使用 Active Directory 安全性群組時 Team Foundation Server 與安全性群組所在的網域控制站之間發生顯著的網路延遲。
請等候數分鐘,然後再次嘗試執行動作。
在 Active Directory 部署中,您可以使用 gpupdate/force 命令列工具來強制更新 Active Directory 安全性群組。
如果您使用 Active Directory 安全性群組,而且定期對這些群組進行成員資格變更,則可以將 Team Foundation Server 設定為與 Active Directory 進行更頻繁的同步處理。根據預設,Active Directory 同步處理會每個小時進行一次。您可以透過變更 web.config 檔並在 IdenityUpdatePeriod 區段中加入 appSettings 機碼 (Key),藉以增加此作業的頻率。請將 appSettings 的值設定為所需的頻率。預設值為一個小時 1:0:0。
如需詳細資訊,請參閱 Microsoft 網站上的<gpupdate>(英文)、HOW TO:變更 Team Foundation Server 元件的組態設定、Team Foundation Server 使用權限以及 Team Foundation Server 安全性架構。
Team Foundation 應用程式層伺服器與 Team Foundation 資料層伺服器無法進行通訊
徵兆:在雙重伺服器部署中執行 Team Foundation Server 時,無法建立專案或執行工作。當您嘗試大部分伺服器作業時,就會收到錯誤訊息。
可能的原因:
Team Foundation 資料層與 Team Foundation 應用程式層之間的防火牆或網路路由器正在封鎖這兩部伺服器之間的網路流量。請確定所有必要的通訊埠都設定為啟用網路傳輸。如需詳細資訊,請參閱 Team Foundation Server 安全性架構。
Team Foundation 應用程式層伺服器與 Team Foundation 資料層伺服器之間的網路連接速度太慢。可能是網路流量過多,導致路由器無法有效率地加以處理,或者 Team Foundation 伺服器上一張或多張網路卡的設定不正確。網路交換器與電腦網路卡的組態都有可能會影響網路速度。因此,請確認這些設定是否正確。如需如何針對網路卡使用自動偵測設定的詳細資訊,請參閱 Microsoft 網站。如需網路卡設定的詳細資訊,請參閱製造商的文件。
Team Foundation 資料層伺服器與 Team Foundation 應用程式層伺服器位於不同的 Active Directory 網域或樹系中,而且沒有受到足夠的信任。您必須設定適用於 Team Foundation Server 部署的信任。如需詳細資訊,請參閱 Team Foundation Server 的信任和樹系考量。
Team Foundation 應用程式層伺服器和 (或) Team Foundation 資料層伺服器位於某個工作群組中,而非某個網域中。目前不支援這些組態。工作群組環境僅支援單一伺服器部署。
Team Foundation 用戶端無法連接至 Team Foundation Server
徵兆:擁有 Team Foundation 用戶端 (如 Team 總管) 的使用者無法連接至 Team Foundation Server。
可能的原因:
一項或多項 Team Foundation Server 服務已經停止,或者安裝 Team Foundation Server 的伺服器已經離線。請確定伺服器已連接至網路,而且所有必要的 Team Foundation Server 服務都在執行中。如需詳細資訊,請參閱 Team Foundation Server 安全性概念和 Team Foundation Server 安全性架構。
Team Foundation 用戶端與 Team Foundation Server 之間的防火牆或網路路由器正在封鎖 Team Foundation Server 與用戶端之間的網路流量。請確定所有必要的通訊埠都設定為啟用網路傳輸。如需詳細資訊,請參閱 Team Foundation Server 安全性架構。
Team Foundation Server 位於不信任 Team Foundation 用戶端所屬網域的 Active Directory 網域或樹系中。您必須設定適用於 Team Foundation Server 部署的信任。如需詳細資訊,請參閱 Team Foundation Server 的信任和樹系考量和不支援的網域設定。
Team Foundation 用戶端位於工作群組而非網域中,但是 Team Foundation Server 部署於網域中。您必須在 Team Foundation 用戶端電腦上建立本機使用者帳戶。如果您不想要在每次 Team Foundation 用戶端必須連接至 Team Foundation Server 時,要求使用者輸入使用者名稱和密碼,請確定本機使用者帳戶與網域使用者名稱使用相同的使用者名稱和密碼。如需詳細資訊,請參閱在工作群組中管理 Team Foundation Server。
Team Foundation Server 部署於工作群組中,但 Team Foundation 用戶端部署於網域中。您必須針對需要存取伺服器的所有使用者,在 Team Foundation 伺服器上建立本機使用者帳戶。如需詳細資訊,請參閱在工作群組中管理 Team Foundation Server。
您尚未針對純工作群組 Team Foundation Server 部署中的所有電腦,建立本機使用者帳戶。您必須針對需要存取伺服器的所有使用者,在 Team Foundation 伺服器上建立本機使用者帳戶。您必須將本機使用者帳戶加入至 Team Foundation Server 伺服器層級和專案層級群組,如此這些使用者才會在 Team Foundation 伺服器上獲得授權。如需詳細資訊,請參閱在工作群組中管理 Team Foundation Server。
一部或多部用戶端電腦上的 Team 總管版本與 Team Foundation Server 的版本不符。請確定所有 Team Foundation 用戶端都與 Team Foundation Server 部署使用相同的發行版本 (Release Version)。
使用的 Team 總管版本是 Microsoft Visual Studio 2005 Team Foundation Server 隨附的版本。在原始的 Team 總管和 Team System 2008 Team Foundation Server 版本中,已知會在 Team Foundation Server 設定為使用 Windows SharePoint Services 3.0 時出現問題。您可以從 Microsoft 支援服務取得 Hotfix,或將 Team 總管升級至 Team System 2008 Team Foundation Server。如需詳細資訊,請參閱Team 總管的版本相容性和Team Foundation Server 的版本相容性。
Team Foundation Server Proxy 用戶端與 Team Foundation Server 不同步
Team Foundation Server Proxy 具有自己的疑難排解手冊。如需詳細資訊,請參閱 Team Foundation Server Proxy 疑難排解。
| 注意事項: |
|---|
如果已對 Team Foundation Server Proxy 或 Team Foundation Server 的 Proxy 服務帳戶進行過任何變更,則必須設定 Proxy 和伺服器以反映這些變更。如需詳細資訊,請參閱 HOW TO:設定 Team Foundation Server Proxy 的快取安全性和Team Foundation Server 安全性架構。 |
自訂的 Team Foundation Server 群組並未如預期方式運作
徵兆:Team Foundation 系統管理員或專案系統管理員已針對特定 Team Foundation Server 專案建立自訂群組,但是這些群組的成員無法執行預期的工作。
可能的原因:
對群組成員資格所做的變更可能需要一兩分鐘才能在 Team Foundation Server 中同步處理,尤其是 Team Foundation 資料層伺服器與 Team Foundation 應用程式層伺服器之間有顯著的網路延遲,或使用 Active Directory 安全性群組時 Team Foundation Server 與安全性群組所在的網域控制站之間發生顯著的網路延遲。
自訂群組沒有使用者必須執行之工作所需的所有使用權限。建立自訂群組並正確指派使用權限是一項複雜的工作。如需每個角色適用之使用權限的詳細資訊,請參閱 Team Foundation Server 預設群組、使用權限和角色。如需 Team Foundation Server 使用權限定義的詳細資訊,請參閱 Team Foundation Server 使用權限。
針對使用者或群組變更的使用權限無法在 Team Foundation Server 中運作
徵兆:現有的使用者或群組需要變更其使用權限。在您變更該使用者或群組的使用權限之後,該使用者或群組仍然無法執行需要新使用權限的動作。
可能的原因:
- 對使用權限所做的變更可能需要一兩分鐘才能在 Team Foundation Server 中同步處理,尤其是 Team Foundation 資料層伺服器與 Team Foundation 應用程式層伺服器之間發生顯著的網路延遲時。請要求使用者或群組等候數分鐘,然後再次嘗試執行動作。如需詳細資訊,請參閱 Team Foundation Server 使用權限和 Team Foundation Server 安全性架構。
Team Foundation Server 服務帳戶沒有讀取原始檔控制檔案的使用權限
徵兆:在應用程式層伺服器的事件記錄檔中顯示一則類似下面內容的訊息:「TF53010: Team Foundation 元件中發生未預期的狀況。您應該將包含在這裡的資訊提供站台管理人員」。詳細的訊息看起來像:「Microsoft.TeamFoundation.VersionControl.Adapter: 無法讀取變更集。服務帳戶可能沒有擷取這個變更集的使用權限」。
可能的原因:
如果您移除 [Service Accounts] 安全性群組對原始檔控制下之檔案或資料夾的 [讀取] 使用權限,VersionControl.Adapter 可能就無法讀取此檔案或資料夾。如果配接器 (Adapter) 無法將原始檔控制資訊讀入資料倉儲,此配接器就會在事件記錄檔中寫入一則錯誤訊息,而且不會更新資料倉儲中的資訊。如果沒有來自檔案或資料夾的原始檔控制資訊,後續的原始檔控制報告可能就會不正確。如需詳細資訊,請參閱設定版本控制的設定。
如果您針對 Team 專案明確設定使用權限或移除預設安全性群組的使用權限,可能會影響個別使用者或群組存取 Team 專案資源的能力。例如,針對 [服務帳戶] 設定或變更安全性權限,可能會覆寫帳戶存取 Team 專案檔或 Team Foundation 服務所需的預設設定。如需使用權限設定和繼承 (Inheritance) 的詳細資訊,請參閱 Team Foundation Server 使用權限和 Team Foundation Server 預設群組、使用權限和角色。
請參閱
概念
在工作群組中管理 Team Foundation Server
其他資源
管理 Team Foundation Server 服務和服務帳戶