有关 Team Foundation Server 的信任和目录林的注意事项
更新:2007 年 11 月
Team Foundation Server 为不同域甚至不同林间的跨组协作提供了基础。遵循以下一些重要的准则,可确保服务器和域的安全稳定。Team Foundation 应用层和数据层最好位于同一个域中,但连接客户端可处于不同的域位置。
Team Foundation Server 在以下 Active Directory 模式和功能级别中受支持:
本机模式下的 Windows 2000 Active Directory。
Windows 2000 本机模式下的 Windows Server 2003 Active Directory。
处于 Windows Server 2003 功能级别的 Windows Server 2003 Active Directory。
.gif "说明") 说明: |
|---|
Team Foundation Server 不支持任何支持 Windows NT Server 4.0 的域身份验证模式或功能级别。 |
域信任
在受支持的域信任方面,Team Foundation Server 没有任何特定的要求。可以使用的信任类型取决于公司网络中所部署的目录林和域的类型。Team Foundation Server 可能需要某些信任关系,具体取决于 Team Foundation 组件在公司网络中的部署方式。
通常情况下,Team Foundation Server 用户和服务必须经过身份验证才能访问服务器组件。从信任关系的角度来看,Team Foundation Server 必须信任用于定义用户或服务帐户的域。
Team Foundation Server 组件之间的信任关系要求
本节介绍各种 Team Foundation Server 组件之间要求的最小信任关系。本节还介绍信任关系对部署配置可能具有的特殊含义。在确定 Team Foundation 组件之间的信任关系是否充分时,例如,如果要验证潜在的 Team Foundation 客户端计算机与 Team Foundation Server 之间的信任关系,可以使用 Web 浏览器验证该客户端是否可以访问承载逻辑 Team Foundation 应用层组件的服务器上的文件夹或共享。如果该客户端无法访问共享,则说明该配置对 Team Foundation Server 无效。
在 Team Foundation Server 中,对访问服务器及其资源所需的组成员资格和权限(授权)的管理,既可以在团队资源管理器中配置,也可以通过命令行实用工具 TFSSecurity 和 TF 配置。将在应用层服务器上对以这种方式指定的用户进行检查,以确认用户是受信任的域的成员。
客户端和 Team Foundation 应用层服务器之间的信任
当客户端应用程序(例如团队资源管理器)连接到 Team Foundation 应用层服务器时,该服务器将尝试对运行客户端应用程序的用户标识进行身份验证。如果 Team Foundation 应用层服务器所在的域信任用户所属的域,则会在 Windows 集成身份验证中自动对用户进行身份验证。如果不存在上述信任关系,客户端应用程序将显示一个用户名和密码对话框,以便用户提供其他凭据连接到服务器。完成身份验证后,Team Foundation Server 将检查经过身份验证的用户是否有权访问服务器。要访问服务器,用户必须是“Team Foundation Valid User”组的成员。如果将用户标识添加到现有的 Team Foundation Server 组、服务器或项目中,则会自动将相应的用户添加到“Team Foundation Valid User”组。有关更多信息,请参见管理用户和组
Team Foundation 应用层服务器服务在 TFSService 帐户下运行。因此,Team Foundation 应用层服务器的域必须信任 TFSService 帐户所属的域。大多数情况下,Team Foundation 应用层服务器和 TFSService 帐户将属于同一个域。
组件域 |
信任 |
组件域 |
|---|---|---|
Team Foundation 应用层服务器所在的域 |
单向信任 |
Team Foundation 用户所在的域 |
Team Foundation 应用层服务器所在的域 |
单向信任 |
TFSService 帐户的域 |
为了避免 Team Foundation 客户端应用程序每次连接 Team Foundation Server 时都需要键入用户名和密码,Team Foundation 客户端的域必须信任 Team Foundation 应用层服务器所在的域。
客户端和 Team Foundation Server Proxy 之间的信任
Team Foundation Server Proxy 计算机的域必须信任用户所在的域,该代理才能正常工作。
组件域 |
信任 |
组件域 |
|---|---|---|
Team Foundation Server Proxy 计算机所在的域 |
单向信任 |
Team Foundation 用户所在的域 |
Team Foundation Server Proxy 和 Team Foundation 应用层服务器之间的信任
在 Active Directory 上下文中,Team Foundation Server Proxy 是 Team Foundation Server 的另一个客户端。
组件域 |
信任 |
组件域 |
|---|---|---|
Team Foundation 应用层服务器所在的域 |
单向信任 |
Team Foundation Server Proxy 服务帐户域 |
Team Foundation Server Proxy 计算机所在的域 |
单向信任 |
Team Foundation Server Proxy 用户帐户域 |
为了避免 Team Foundation 客户端应用程序每次连接 Team Foundation Server 时都需要键入用户名和密码,Team Foundation 客户端的域必须信任 Team Foundation 应用层服务器所在的域。
Team Foundation 应用层服务器和 Team Foundation 数据层服务器之间的信任
Team Foundation 应用层服务器通过使用服务帐户(通常称为 TFSService 帐户)连接至 Team Foundation 数据层服务器。Team Foundation Server Web 服务也在此帐户下运行。因此,Team Foundation 数据层服务器所在的域必须信任 TFSService 帐户的域。另外,Team Foundation Server 部署中的每个域都必须信任 TFSService 帐户本身(通过域信任关系或显式授予权限)。Team Foundation 数据层服务器的域还必须信任 TFSReports 帐户的域。TFSReport 帐户是用于访问 Team Foundation Server 报表数据源的帐户。
另外,Reporting Services 在 Team Foundation 应用层服务器的网络服务帐户下运行。因此,Team Foundation 数据层服务器的域将信任 Team Foundation 应用层服务器的域。如果组织不希望 Team Foundation 层之间存在信任关系,则可以重新配置系统,以使 Reporting Services 在不属于 Team Foundation 应用层服务器域的命名服务帐户下运行。但是,这种配置相当复杂,要求从单服务器部署迁移至双服务器部署,还需要手动重新配置报表服务器,才能使用命名服务帐户运行。
组件域 |
信任 |
组件域 |
|---|---|---|
Team Foundation 数据层服务器所在的域 |
单向信任 |
TFSService 帐户的域 |
Team Foundation 数据层服务器所在的域 |
单向信任 |
TFSReport 帐户的域 |
Team Foundation 数据层服务器所在的域 |
单向信任 |
Team Foundation 应用层服务器所在的域 |
Team Foundation Build 和 Team Foundation 应用层服务器之间的信任
Team Foundation Build 在 Windows 服务帐户下运行。因此,Team Foundation Build 计算机的域必须信任此服务帐户的域。此服务帐户通常为 TFSService 帐户,但可以手动配置在其他帐户下运行。如果 Team Foundation Build 不在 TFSService 帐户下运行,则必须将服务名称添加到“[项目]\Build Services”应用程序组。
| 说明: |
|---|
创建生成时,新生成放置在“Build Drop”共享文件夹中。您必须确保此文件夹对所有用户共享,并且 TFSService 帐户可完全控制该文件夹。必须在 Team Foundation Build 计算机上打开 Windows 防火墙的“文件和打印机共享”端口,才能进行文件共享。 |
组件域 |
信任 |
组件域 |
|---|---|---|
Team Foundation Build 计算机所在的域 |
单向信任 |
服务帐户的域(通常为 TFSService) |
Team Foundation 应用层服务器所在的域 |
单向信任 |
服务帐户的域(通常为 TFSService) |
其他域配置和注意事项
所有其他 Active Directory 域配置都不受支持,因而不应使用。应确保安装 Team Foundation Server 的域支持 Team Foundation Server,并且安装有 Team Foundation Server 的各台计算机均位于适当的域环境中。如果 Team Foundation Server 支持跨多个林运行,则必须存在相应的跨林信任。
出于安全方面的考虑,请在 Windows Server 2003 域环境中安装 Team Foundation Server。为了避免伪装攻击,应禁止重复的名称,创建者应保护计算机名称的安全。有关更多信息,请参见位于 https://go.microsoft.com/fwlink/?linkid=47541 上的“Windows Server 2003 Active Directory”。
请参见
概念
在工作组中管理 Team Foundation Server