Share via

Gewusst wie: Konfigurieren des Dienstkontos für die Test- und Workflowintegration

  • Artikel

Wenn Sie den Lab Management -Workflow verwenden möchten, um eine Anwendung zu erstellen, bereitzustellen und zu testen, oder um automatisierte Tests oder manuelle Tests in einer virtuellen Umgebung auszuführen, müssen Sie das Lab-Dienstkonto konfigurieren. In diesem Thema werden die Funktion, die Berechtigungen und die Konfiguration des Lab-Dienstkontos beschrieben. Weitere Informationen zum Lab-Dienstkonto finden Sie auch auf dieser Microsoft-Website.

In diesem Thema werden die Funktion, die Berechtigungen und die Konfiguration des Lab-Dienstkontos beschrieben. Weitere Informationen zum Lab-Dienstkonto finden Sie auf dieser Microsoft-Website.

Das Lab-Dienstkonto

In Lab Management wird das Lab-Dienstkonto für die Kommunikation zwischen dem Test-Agent und dem Testcontroller sowie zwischen dem Build-Agent und Team Foundation verwendet.

Tipp

Die Verwendung des Lab-Dienstkontos wird zwar dringend empfohlen, ist aber nicht zwingend erforderlich, da Sie auch die lokalen Konten auf jedem Computer verwenden können. Indem Sie das Lab-Dienstkonto in der Team Foundation-Verwaltungskonsole konfigurieren, müssen Sie sich jedoch nicht die Mühe machen und Berechtigungen manuell gewähren bzw. Agents und Controller bestimmten Dienstkonten zuweisen.

Mit dem Lab-Dienstkonto können Sie den Build-, Test- und Labor-Agent unter einem beliebigen Systemkonto ausführen. Wenn Sie jedoch das Lab-Dienstkonto konfigurieren, wird dem Konto automatisch nur der minimale Satz von Berechtigungen gewährt, der für die Kommunikation des Test- und Build-Agents mit deren Controllern erforderlich ist. Diese Berechtigungen lassen die folgende Kommunikation zu:

  • Der Test-Agent kann mit dem Testcontroller kommunizieren. In testfähigen virtuellen Umgebungen kommuniziert der Test-Agent mithilfe des Lab-Dienstkontos mit dem Testcontroller. Dieses Konto wird nur für den Kommunikationschannel zwischen dem Test-Agent und dem Testcontroller und nicht zum tatsächlichen Ausführen des Test-Agents verwendet. Der Test-Agent fährt mit der Ausführung von Tests und der Sammlung von Protokollen fort. Er verwendet das Konto, das bei Verwendung des Test-Agent-Konfigurationstools konfiguriert wurde.

  • Der Build-Agent kann mit Team Foundation Server kommunizieren. Das Lab-Dienstkonto wird der Gruppe Builddienstkonten für die Projektauflistung automatisch hinzugefügt. In workflowfähigen virtuellen Umgebungen kommuniziert der Build-Agent mithilfe des Lab-Dienstkontos mit Team Foundation. Dieses Konto wird nur für die Kommunikation zwischen dem Build-Agent und Team Foundation und nicht zum Ausführen des Build-Agents verwendet. Der Build-Agent verwendet das Konto, das bei Verwendung der Verwaltungskonsole konfiguriert wurde. Stellen Sie sicher, dass der Build-Agent unter einer Domäne oder einem Systemkonto ausgeführt wird, das Administratorrechte auf dem lokalen Computer hat.

    Warnung

    Durch die Konfiguration des Lab-Dienstkontos werden dem Konto nicht automatisch Leseberechtigungen für den Ablagespeicherort des Builds gewährt. Sie müssen das Lab-Dienstkonto den Konten, die den Ablagespeicherort des Builds lesen können, manuell hinzufügen.

  • Der Build-Agent greift mithilfe des Lab-Dienstkontos auf den Ablagespeicherort des Builds zu. Die vom Lab-Workflow verwendeten Build-Agents werden nicht mit den gleichen Berechtigungen konfiguriert, die die Build-Agents zur Kompilierung eines Builds verwendet haben. Den zur Kompilierung der Quelldateien verwendeten Build-Agents werden Leseberechtigungen im Quellcodeverwaltungssystem gewährt. Da die vom Lab-Workflow verwendeten Build-Agents die Quelldateien nicht lesen müssen, werden ihnen explizit alle Berechtigungen für Quellcodeverwaltungsartefakte in der Projektauflistung verweigert. Die Build-Agents im Lab-Workflow werden nur verwendet, um die in der Workflowvorlage angegebenen Bereitstellungsskripts auszuführen. Bevor die einzelnen Bereitstellungsskripte ausgeführt werden, konfiguriert der Build-Agent seine angemeldete Sitzung so, dass er mithilfe des Lab-Dienstkontos auf den Ablagespeicherort zugreift. Wenn das Skript abgeschlossen ist, entfernt der Build-Agent diese Konfiguration.

Konfigurieren des Dienstkontos

Verwenden Sie bei der ersten Konfiguration des Lab-Dienstkontos die Team Foundation-Verwaltungskonsole. Weitere Informationen finden Sie unter Erstmaliges Konfigurieren von Lab-Management. Beachten Sie die folgenden Richtlinien, wenn Sie ein Systemkonto auswählen, das für das Lab-Dienstkonto verwendet werden soll:

  • Das Lab-Dienstkonto muss ein Domänenkonto sein.

  • Das Lab-Dienstkonto darf nicht Mitglied der Sicherheitsgruppe Administratoren auf dem Computer sein. Die Kontoinformationen für das Lab-Dienstkonto sind zwar sicher in Team Foundation Server gespeichert, sie sind jedoch möglicherweise auf einzelnen virtuellen Computern nicht sicher gespeichert.

  • Das Dienstkonto sollte nicht das Konto sein, das für den Buildcontroller, den Testcontroller oder einen anderen vertrauenswürdigen Dienst verwendet wird. Diese Dienstkonten benötigen mehr Berechtigungen als die Agents.

  • Das Dienstkonto sollte über eingeschränkte Benutzerberechtigungen verfügen.

    Tipp

    Es wird auch empfohlen, zwei Konten für dieses Dienstkonto zu erstellen. So wird die Wahrscheinlichkeit verringert, dass die Test- oder Workflowfunktionen aufgrund einer Kennwortänderung für dieses Konto nicht verfügbar sind.

  • Der Administrator für Teamprojektsammlungen sollte der einzige Benutzer sein, der über die Berechtigung zum Ändern des Kennworts für das Dienstkonto verfügt.

Nachdem Sie das Lab-Dienstkonto für die Teamprojektsammlung konfiguriert haben, können Sie die konfigurierten Kontoinformationen auf der Registerkarte Lab Management für die Projektauflistung in der Team Foundation-Verwaltungskonsole anzeigen. Es wird empfohlen, dass Sie dieses Dienstkonto aus Sicherheitsgründen regelmäßig ändern.

Sie können das Dienstkonto mithilfe der Verwaltungskonsole für Team Foundation ändern. Sie können das Dienstkonto auch über die Befehlszeile ändern. Weitere Informationen finden Sie unter zum Befehlszeilenprogramm TFSLabConfig finden Sie unter Konfigurieren von Lab-Management mit TFSLabConfig.

Führen Sie zum Konfigurieren des Diensts die folgenden Verfahren aus:

So konfigurieren Sie das Dienstkonto, um die Test- und Buildworkflowfunktionen zu aktivieren

  1. Klicken Sie in der Team Foundation-Verwaltungskonsole unter Anwendungsebene auf Teamprojektsammlungen.

  2. Klicken Sie im rechten Bereich in der Liste mit den Projektauflistungen auf die gewünschte Teamprojektsammlung.

  3. Klicken Sie auf die Registerkarte Lab-Management und anschließend auf Benutzerkonto konfigurieren.

  4. Um das Dienstkonto zu ändern, klicken Sie auf Dienstkonto.

  5. Geben Sie auf der Registerkarte Dienstkonto den Namen des Kontos unter Kontoname und das Kennwort unter Kennwort ein.

  6. Klicken Sie zum Überprüfen, ob das Benutzerkonto gültig ist, auf Test.

  7. Klicken Sie auf OK.

    Tipp

    Wenn beim Ändern des Dienstkontos Umgebungen vorhanden sind, werden diese Umgebungen nicht automatisch aktualisiert. Für die Test- und Workflowfunktionen wird möglicherweise anhand eines Status angezeigt, dass sie nicht bereit sind. In der Ansicht "Umgebungen" wird für Microsoft Test Manager eine Fehlermeldung angezeigt. Klicken Sie dort auf Wiederholen, damit der neue Benutzername und das Kennwort aktualisiert werden. Anhand eines Status wird angezeigt, dass die Funktionen bereit sind. Sie können auch das Befehlszeilenprogramm TFSLabConfig verwenden, um alle vorhandenen Umgebungen zu aktualisieren: TFSLabConfig UpdateServiceAccountOnDeployedEnvironments-Befehl. Das Befehlszeilenprogramm hat keine Auswirkungen auf Vorgänge, die derzeit ausgeführt werden, z. B. Workflow oder Tests.

Verwenden Sie die folgenden Verfahren, um zwischen zwei Dienstkonten zu wechseln. So wird die Wahrscheinlichkeit verringert, dass die Test- oder Workflowfunktionen nicht verfügbar sind.

So wechseln Sie zwischen zwei Dienstkonten, um das Risiko zu verringern, dass die Test- oder Workflowfunktionen nicht verfügbar sind

  1. Suchen Sie die Kennwortablaufrichtlinie für die Domäne. In diesem Verfahren wird ein Standardwert von 42 Tagen angenommen.

  2. Legen Sie den Kennwortablauf für beide Konten, Account1 und Account2, auf 42 Tage fest.

  3. Verwenden Sie Account1 als Dienstkonto.

  4. Setzen Sie nach 21 Tagen (die Hälfte des Ablaufzeitraums) das Kennwort für Account2 zurück. Konfigurieren Sie dann mithilfe des vorherigen Verfahrens Account2 als Dienstkonto.

  5. Alle 21 Tage (die Hälfte des Ablaufzeitraums) müssen Sie Schritt 4 wiederholen, indem Sie das Kennwort zurücksetzen und das Konto, das derzeit nicht verwendet wird, als Dienstkonto konfigurieren.

Wenn Sie das Dienstkonto für Team Foundation konfigurieren oder aktualisieren, wird das Konto nicht automatisch in jeder vorhandenen Umgebung aktualisiert. Es gibt zwei Möglichkeiten, das aktualisierte Konto an die vorhandenen Umgebungen weiterzugeben:

  • Führen Sie den Befehl UpdateServiceAccountOnDeployedEnvironments aus, der das Konto in eine Projektauflistung in jeder Umgebung schiebt. Weitere Informationen finden Sie unter zu diesem Befehl finden Sie unter TFSLabConfig UpdateServiceAccountOnDeployedEnvironments-Befehl.

  • Führen Sie einen der folgenden Vorgänge in jeder Umgebung aus.

    • Reparieren Sie die Test- und Workflowfunktion.

    • Nehmen Sie eine Änderung an der virtuellen Umgebung vor.

    • Stellen Sie die Umgebung in einer Momentaufnahme wieder her.

Es wird empfohlen, dass Sie das Dienstkonto mithilfe des UpdateServiceAccountOnDeployedEnvironments-Befehls aktualisieren. Dieser Befehl hat keine Auswirkungen auf laufende Vorgänge, wie z. B. Workflows oder Testläufe, in einer der Umgebungen. Nach Verwendung dieses Befehls wird das Konto in die Umgebung geschoben, und die Agents wenden den Befehl folgendermaßen an:

  • Auf Test-Agents, auf denen keine Tests ausgeführt werden, wird er sofort angewendet.

  • Auf Test-Agents, auf denen Tests ausgeführt werden, wird der Befehl angewendet, nachdem der Testlauf beendet wurde.

  • Build-Agents wenden das neue Dienstkonto an, wenn Build-Agent-Dienst neu gestartet wird. Der Agent-Dienst wird neu gestartet, wenn die Workflowfunktion repariert, die Umgebung gestartet oder eine Momentaufnahme für eine Umgebung wiederhergestellt wird.

Siehe auch

Aufgaben

Erstellen einer Teamprojektsammlung

Konzepte

Konfigurieren des Servers mit der Team Foundation-Verwaltungskonsole

Weitere Ressourcen

Erstmaliges Konfigurieren von Lab-Management

Testen mithilfe von virtuellen Umgebungen

Ändern von vorhandenen Konfigurationen von Lab-Management