Устранение неполадок, связанных с разрешениями и безопасностью Team Foundation Server
Обновлен: Ноябрь 2007
Операции безопасности Team Foundation Server включают:
Присвоение соответствующих разрешений пользователям Team Foundation Server, группам и веб-службам
Интеграция с функциями проверки подлинности Windows
Защита сетевых портов и трафика между каждым клиентом Team Foundation и сервером Team Foundation
Некоторые из распространенных проблем безопасности и их решение перечислены ниже.
Если проблему не удается решить после изучения этих советов, посетите технические форумы Майкрософт Visual Studio Team System на веб-узле корпорации Майкрософт. Данные форумы поддерживают поиск по веткам, посвященным различным разделам по устранению неполадок, и отслеживаются. Таким образом, можно быстро получить ответ на свой вопрос.
Пользователи не могут получить доступ к порталу командного проекта
Пользователи не могут получить доступ к отчетам
Невозможно добавить пользователя или группу
Добавленный пользователь или группа не отображаются в Team Foundation Server
Добавленный пользователь или группа не могут получить доступ к Team Foundation Server
Измененные разрешения для пользователя или группы не работают в Team Foundation Server
Измененное членство в группе Team Foundation Server не вступает в силу незамедлительно
Сервер уровня приложений Team Foundation и сервер уровня данных Team Foundation не могут обмениваться данными
Клиенты Team Foundation не могут подключиться к серверу Team Foundation Server
Клиенты прокси-сервера Team Foundation Server не синхронизированы с сервером Team Foundation Server
Настраиваемые группы Team Foundation Server не работают, как необходимо
Измененные разрешения для пользователя или группы не работают в Team Foundation Server
Учетная запись службы Team Foundation Server не имеет разрешения на чтение файлов системы управления версиями
Пользователи не могут получить доступ к порталу командного проекта
Признак: При попытке доступа к порталу командного проекта, пользователь получает сообщение об ошибке.
Возможные причины:
Возможно, при вводе URL-адреса портала проекта вручную произошла ошибка. В Сред. Командный обозреватель щелкните правой кнопкой мыши проект, а затем нажмите Показать проект портала.
Остановка служб IIS на сервере уровня приложений Team Foundation. Чтобы проверить работу служб IIS, на сервере уровня приложений Team Foundation нажмите кнопку Пуск, выберите пункт Администрирование, а затем Internet Information Services, после чего проверьте, работает ли сервер. Дополнительные сведения см. в разделе "Internet Information Services Technology Center" на веб-узле корпорации Майкрософт.
Возможно, в службах ISS остановлен пул приложений для Windows SharePoint Services. Проверьте, работает ли в службах IIS пул приложений.
Отсутствие необходимых разрешений в Windows SharePoint Services. При добавлении пользователей или групп в Team Foundation Server следует также добавить пользователей и группы в Windows SharePoint Services и службы отчетов SQL Server. Дополнительные сведения см. в разделе Управление разрешениями.
Используемая вами версия Сред. Командный обозреватель — версия, включенная в Microsoft Visual Studio 2005 Team Foundation Server. Существует известная неполадка с исходной версией Сред. Командный обозреватель и Team System 2008 Team Foundation Server при настройке Team Foundation Server для использования служб Windows SharePoint Services 3.0. Для получения исправления обратитесь в службу поддержки корпорации Майкрософт или обновите Сред. Командный обозреватель до Team System 2008 Team Foundation Server. Дополнительные сведения см. в разделах Совместимость версий для командного обозревателя и Совместимость версий для Team Foundation Server.
Пользователи не могут получить доступ к отчетам
Признак: Пользователь получает сообщение об ошибке при попытке открыть журнал в Сред. Командный обозреватель.
Возможные причины:
Отсутствие соответствующего разрешения в службах отчетов SQL. При добавлении пользователей или групп в Team Foundation Server следует также добавлять пользователей и группы в службы Windows SharePoint и службы отчетов SQL. Дополнительные сведения см. в разделах Управление разрешениями и Устранение неполадок отчетов Team Foundation.
Остановка служб IIS на сервере уровня приложений Team Foundation. Чтобы проверить работу служб IIS, на сервере уровня приложений Team Foundation нажмите кнопку Пуск, выберите пункт Администрирование, а затем Internet Information Services, после чего проверьте, работает ли сервер. Дополнительные сведения см. в разделе "Internet Information Services Technology Center" на веб-узле корпорации Майкрософт.
Пул приложений для служб отчетов может быть остановлен в IIS. Проверьте работу пула приложений служб отчетов в IIS.
Примечание. Управление ReportServer и веб-узлом диспетчера отчетов в службах IIS для SQL Server 2005, но не для SQL Server 2008.
Невозможно добавить пользователя или группу в Team Foundation Server
Признак: Пользователь или группа домена не отображаются в диалоговом окне Пользователь или группа Windows.
Возможные причины:
- Пользователь или группа относятся к рабочей группе или домену, которые не являются доверенными для домена с развернутым сервером Team Foundation Server. Между двумя доменами можно настроить отношения доверия или можно с помощью командной строки TFSSecurity добавить пользователей или группы с недоверенных доменов. Дополнительные сведения см. в разделах Рассмотрение доверий и лесов для Team Foundation Server и Команды программы командной строки TFSSecurity.
Добавленный пользователь или группа не отображаются в Team Foundation Server
Признак: Недавно добавленный пользователь или группа не отображаются на сервере или в проекте, куда только что был добавлен пользователь или группа.
Возможные причины:
- Следует установить хотя бы одно разрешение как Разрешить или Запретить для успешного добавления пользователя или группы в Team Foundation Server. Если добавляется пользователь или группа, но не задается по крайней мере одно разрешение Разрешить или Запретить (т.е. все разрешения остаются неопределенными), такой пользователь или группа не добавляются к серверу Team Foundation Server, но при этом не появляется сообщение об ошибке или предупреждение. Дополнительные сведения см. в разделах Управление пользователями и группами и Разрешения Team Foundation Server.
Добавленный пользователь или группа не могут получить доступ к Team Foundation Server
Признак: Недавно добавленный пользователь или группа не могут получить доступ к рабочим элементам Team Foundation Server, исходному коду, порталам проекта или отчетам.
Примечание. |
---|
Подумайте о добавлении пользователей и групп в Team Foundation Server вместо проекта или сервера. Дополнительные сведения см. в разделе Управление пользователями и группами. |
Возможные причины:
В окружении с несколькими серверами Team Foundation Server пользователь может пытаться получить доступ к серверу Team Foundation Server, на котором пользователь не имеет разрешений для какого-либо проекта. Убедитесь, что пользователь пытается получить доступ к правильному Team Foundation Server для проекта.
Пользователь или группа могут относиться к другому домену или рабочей группе, которые не имеют необходимых отношений доверия для доступа к Team Foundation Server. Дополнительные сведения см. в разделах Управление Team Foundation Server в домене Active Directory и Управление Team Foundation Server в рабочей группе.
Вы добавили пользователя или группу, которые имеют только разрешение Администрирование наборами отложенных изменений со значением Разрешить или Запретить. Известная проблема с этим разрешением заключается в том, что если добавляется пользователь или группа только с данным разрешением, для которого задано значение Разрешить, пользователь или группа не добавляются корректно к группе Допустимые пользователи Team Foundation и, таким образом, не могут получить доступ к серверу Team Foundation Server. Проверьте, что пользователь или группа отображаются в списке Допустимые пользователи Team Foundation, и убедитесь, что при добавлении пользователя или группы для других разрешений, помимо разрешения Администрирование наборами отложенных изменений, также выбирается значение Разрешить или Запретить. Дополнительные сведения см. в разделах Управление пользователями и группами, Практическое руководство. Просмотр существующих пользователей и Разрешения Team Foundation Server.
Пользователь или группа не имеют соответствующих разрешений в SharePoint (продукты и технологии) и службах отчетов. При добавлении пользователя или группы в Team Foundation Server необходимо также добавить данного пользователя или группу в SharePoint (продукты и технологии) и службы отчетов. Дополнительные сведения см. в разделе Управление разрешениями.
Измененные разрешения для пользователя или группы, которые не работают в Team Foundation Server
Признак: Необходимо изменение разрешений существующего пользователя или группы. Сразу же после изменения разрешений для данного пользователя или группы их функциональность не меняется.
Возможные причины:
- Изменениям разрешений необходимо до двух минут для синхронизации в Team Foundation Server, особенно в случае задержек в сети между сервером уровня данных Team Foundation и сервером уровня приложений Team Foundation. Попросите пользователя или группу подождать несколько минут, а затем повторить действие. Дополнительные сведения см. в разделах Разрешения Team Foundation Server и Архитектура безопасности Team Foundation Server.
Измененное членство в группе Team Foundation Server не вступает в силу незамедлительно
Признак: Администратор добавляет или удаляет пользователя из группы Team Foundation Server, но сразу же после этого статус членства для этого пользователя не изменяется.
Возможные причины:
Изменениям участников группы может потребоваться до двух минут для синхронизации на всем сервере Team Foundation Server, особенно если имеется значительная сетевая задержка между сервером уровня данных Team Foundation и сервером уровня приложений Team Foundation или между Team Foundation Server и контроллерами доменов, где располагается группа безопасности, когда используются группы безопасности Active Directory.
Подождите несколько минут и попробуйте снова.
В развертываниях Active Directory с помощью командной строки gpupdate/force можно принудительно обновлять группы безопасности Active Directory.
При использовании групп безопасности Active Directory и регулярных изменений в них, можно настроить Team Foundation Server для более частой синхронизации с Active Directory. По умолчанию синхронизация Active Directory происходит каждый час. Частоту можно изменить, изменив файл web.config с добавлением ключа appSettings в раздел IdenityUpdatePeriod. Задайте appSettings желаемую частоту. Значением по умолчанию является один час 1:0:0.
Дополнительные сведения см. в разделе "Gpupdate" на веб-узле корпорации Майкрософт, Практическое руководство. Изменение параметров конфигурации компонентов Team Foundation Server, Разрешения Team Foundation Server и Архитектура безопасности Team Foundation Server.
Сервер уровня приложений Team Foundation и сервер уровня данных Team Foundation не могут обмениваться данными
Признак: При запуске Team Foundation Server в развертывании с двумя серверами невозможно создать проект или выполнить работу. Большинство попыток выполнить серверные операции приводят к сообщениям об ошибках.
Возможные причины:
Брандмауэр или сетевой маршрутизатор между уровнем данных Team Foundation и уровнем приложений Team Foundation блокирует сетевой трафик между двумя серверами. Убедитесь, что все необходимые порты настроены на поддержку сетевого трафика. Дополнительные сведения см. в разделе Архитектура безопасности Team Foundation Server.
Сетевое подключение между сервером уровня приложений Team Foundation и сервером уровня данных Team Foundation слишком медленное. Маршрутизаторы могут испытывать перегрузку при обработке сетевого трафика, или одна или несколько сетевых карт на серверах Team Foundation могут быть настроены неправильно. Настройка сетевых коммутаторов и сетевых карт компьютеров может оказывать влияние на скорость сети. Убедитесь, что эти параметры правильные. Дополнительные сведения об использовании настройки автоматического обнаружения сетевых карт см. на веб-узле корпорации Майкрософт. Для получения дополнительной информации о параметрах сетевых карт см. документацию производителя.
Сервер уровня данных Team Foundation и сервер уровня приложений Team Foundation находятся в разных доменах или лесах Active Directory без достаточных отношений доверия. Необходимо настроить отношения доверия, соответствующие развертыванию Team Foundation Server. Дополнительные сведения см. в разделе Рассмотрение доверий и лесов для Team Foundation Server.
Сервер уровня приложений Team Foundation, сервер уровня данных Team Foundation или оба сервера находятся в рабочей группе, а не в домене. Эти конфигурации не поддерживаются. В рабочей группе поддерживаются только развертывания с одним сервером.
Клиенты Team Foundation не могут подключиться к серверу Team Foundation Server
Признак: Пользователи с клиентами Team Foundation наподобие Сред. Командный обозреватель не могут подключиться к Team Foundation Server.
Возможные причины:
Одна или несколько служб Team Foundation Server остановлены, или сервер с установленным Team Foundation Server работает в автономном режиме. Убедитесь, что сервер подключен к сети и что работают все необходимые службы Team Foundation Server. Дополнительные сведения см. в разделах Понятия о безопасности Team Foundation Server и Архитектура безопасности Team Foundation Server.
Брандмауэр или сетевой маршрутизатор между клиентом Team Foundation и сервером Team Foundation Server блокирует сетевой трафик между Team Foundation Server и клиентом. Убедитесь, что все необходимые порты настроены на поддержку сетевого трафика. Дополнительные сведения см. в разделе Архитектура безопасности Team Foundation Server.
Сервер Team Foundation Server находится в домене или лесе Active Directory, которые не имеют отношений доверия с доменом клиента Team Foundation. Необходимо настроить отношения доверия, соответствующие развертыванию Team Foundation Server. Дополнительные сведения см. в разделах Рассмотрение доверий и лесов для Team Foundation Server и Неподдерживаемые конфигурации доменов.
Клиент Team Foundation находится в рабочей группе, а не в домене, но Team Foundation Server развернут в домене. Учетные записи локальных пользователей должны быть созданы на клиентских компьютерах Team Foundation. Если вы не хотите, чтобы пользователи вводили имя пользователя и пароль при каждом подключении клиента Team Foundation к серверу Team Foundation Server, убедитесь, что учетные записи локальных пользователей используют то же имя пользователя и пароль, что и пользователи домена. Дополнительные сведения см. в разделе Управление Team Foundation Server в рабочей группе.
Сервер Team Foundation Server развернут в рабочей группе, но клиент Team Foundation находится в домене. Для всех пользователей, которым необходим доступ к серверу, на сервере Team Foundation необходимо создать локальные учетные записи пользователей. Дополнительные сведения см. в разделе Управление Team Foundation Server в рабочей группе.
Локальные учетные записи пользователей не были созданы для всех компьютеров в развертывании Team Foundation Server только для рабочей группы. Для всех пользователей, которым необходим доступ к серверу, на сервере Team Foundation необходимо создать локальные учетные записи пользователей. Учетные записи локальных пользователей нужно добавить в группы уровня сервера Team Foundation Server и уровня проекта, чтобы пользователи проходили авторизацию на сервере Team Foundation. Дополнительные сведения см. в разделе Управление Team Foundation Server в рабочей группе.
Версия Сред. Командный обозреватель на одном или нескольких клиентских компьютерах не соответствует версии Team Foundation Server. Убедитесь, что все клиенты Team Foundation используют версию выпуска, которая совпадает с версией развертывания Team Foundation Server.
Используемая вами версия Сред. Командный обозреватель — это та, что включена в Microsoft Visual Studio 2005 Team Foundation Server. Существует известная неполадка с исходной версией Сред. Командный обозреватель и Team System 2008 Team Foundation Server при настройке Team Foundation Server для использования служб Windows SharePoint Services 3.0. Для получения исправления обратитесь в службу поддержки корпорации Майкрософт или обновите Сред. Командный обозреватель до Team System 2008 Team Foundation Server. Дополнительные сведения см. в разделах Совместимость версий для командного обозревателя и Совместимость версий для Team Foundation Server.
Клиенты прокси-сервера Team Foundation Server не синхронизированы с сервером Team Foundation Server
Для прокси-сервера Team Foundation Server имеется свое собственное руководство по устранению неполадок. Дополнительные сведения см. в разделе Устранение неполадок с Team Foundation Server Proxy.
Примечание. |
---|
В случае изменений прокси-сервера Team Foundation Server или учетной записи службы прокси-сервера для Team Foundation Server необходимо настроить прокси-сервер и сервер таким образом, чтобы отобразить эти изменения. Дополнительные сведения см. в разделах Практическое руководство. Настройка безопасности кэша для прокси-сервера Team Foundation Server и Архитектура безопасности Team Foundation Server. |
Настраиваемые группы Team Foundation Server не работают, как необходимо
Признак: Администратор Team Foundation или администратор проекта создал настраиваемые группы для определенного проекта Team Foundation Server, но участники этих групп не могут выполнять необходимые задачи.
Возможные причины:
Изменениям участников групп может потребоваться до двух минут для синхронизации по всему серверу Team Foundation Server, особенно если имеется значительная сетевая задержка между сервером уровня данных Team Foundation и сервером уровня приложений Team Foundation или, если используются группы безопасности Active Directory, между сервером Team Foundation Server и контроллерами доменов, где располагается группа безопасности.
Настраиваемые группы не имеют всех необходимых разрешений для выполнения пользовательских задач. Создание настраиваемых групп и правильное присвоение разрешений — это сложная задача. Дополнительные сведения о разрешениях, соответствующих для каждой роли, см. в разделе Группы по умолчанию, права и роли в Team Foundation Server. Сведения об определениях разрешений Team Foundation Server см. в разделе Разрешения Team Foundation Server.
Измененные разрешения для пользователя или группы, которые не работают в Team Foundation Server
Признак: Необходимо изменение разрешений существующего пользователя или группы. Сразу же после изменения разрешений для данного пользователя или группы пользователь или группа все еще не могут выполнить действие, для которого требовались новые разрешения.
Возможные причины:
- Изменениям разрешений необходимо до двух минут для синхронизации в Team Foundation Server, особенно в случае задержек в сети между сервером уровня данных Team Foundation и сервером уровня приложений Team Foundation. Попросите пользователя или группу подождать несколько минут, а затем повторить действие. Дополнительные сведения см. в разделах Разрешения Team Foundation Server и Архитектура безопасности Team Foundation Server.
Учетная запись службы Team Foundation Server не имеет разрешения на чтение файлов системы управления версиями
Признак: В журнале событий на сервере уровня приложений появляется примерно такое сообщение: "TF53010: В компоненте Team Foundation наступило неожиданное условие. Данная информация должна быть передана администраторам вашего узла". Более подробное сообщение выглядит примерно так: "Microsoft.TeamFoundation.VersionControl.Adapter: Не удалось прочитать набор изменений. Возможно, учетная запись службы не имеет разрешений на извлечение данного набора изменений".
Возможные причины:
Если для группы безопасности Учетные записи служб удаляется разрешение Читать для файла или папки, которые включены в систему управления версиями, адаптер VersionControl.Adapter может не прочитать файл или папку. Если адаптер не может прочитать данные системы управления версиями в хранилище данных, адаптер запишет сообщение об ошибке в журнал событий и не обновит данные в хранилище. Без данных системы управления версиями из файла или папки последующие отчеты системы управления версиями могут содержать неточности. Дополнительные сведения см. в разделе Настройка параметров управления версиями.
Если для командного проекта явно заданы разрешения или для группы безопасности по умолчанию удалены разрешения, это могло повлиять на возможность доступа отдельных пользователей или групп к ресурсам командного проекта. Например, определение или изменение разрешений безопасности для Учетной записи службы может переопределить параметры по умолчанию, которые требуются учетной записи для доступа к файлам командного проекта или службам Team Foundation. Дополнительные сведения о параметрах разрешений и наследовании см. в разделах Разрешения Team Foundation Server и Группы по умолчанию, права и роли в Team Foundation Server.
См. также
Основные понятия
Управление Team Foundation Server в рабочей группе
Другие ресурсы
Управление пользователями и группами
Управление службами и учетными записями служб сервера Team Foundation Server