Aspekte zu Vertrauensstellungen und Gesamtstrukturen für Team Foundation Server
[Dieses Dokument dient lediglich Vorschauzwecken und kann in späteren Versionen geändert werden. Leere Themen sind als Platzhalter enthalten.]
Mit Visual Studio Team Foundation Server wird eine Grundlage für die gruppenübergreifende Zusammenarbeit über verschiedene Domänen und sogar über verschiedene Gesamtstrukturen hinweg bereitgestellt. Die Sicherheit und Stabilität des Servers und der Domäne können Sie durch Berücksichtigung einiger wichtiger Richtlinien gewährleisten. In optimalen Konfigurationen befinden sich die Team Foundation-Anwendungsebene und die Datenebenen in derselben Domäne, während verbundene Clients sich in unterschiedlichen Domänen befinden können.
Team Foundation Server wird in den folgenden Active Directory-Modi und -Funktionsebenen unterstützt:
Windows 2000 Active Directory im einheitlichen Modus
Windows Server 2003 Active Directory im einheitlichen Modus von Windows 2000
Windows Server 2003 Active Directory auf Windows Server 2003-Funktionsebene
Windows Server 2003 R2 auf Gesamtstruktur-Funktionsebene für Windows Server 2003 R2 Active Directory
Hinweis
Von Team Foundation Server werden keine Domänenauthentifizierungsmodi oder Funktionsebenen mit Unterstützung für Windows NT Server 4.0 unterstützt.
In diesem Thema
Domänenvertrauensstellungen
Anforderungen für Vertrauensstellungen zwischen Team Foundation Server-Komponenten
Vertrauensstellungen zwischen Clients und Team Foundation-Anwendungsebenenserver
Vertrauensstellungen zwischen Clients und Team Foundation Server Proxy
Vertrauensstellungen zwischen Team Foundation Server Proxy und Team Foundation-Anwendungsebenenserver
Vertrauensstellungen zwischen Team Foundation-Anwendungsebenenserver und Team Foundation-Datenebenenserver
Vertrauensstellungen zwischen Team Foundation Build und Team Foundation-Anwendungsebenenserver
Andere Domänenkonfigurationen und weitere Überlegungen
Nicht unterstützte Domänenkonfigurationen
Domänenvertrauensstellungen
Für Team Foundation Server bestehen keine besonderen Anforderungen in Bezug auf unterstützte Domänenvertrauensstellungen. Welche Typen von Vertrauensstellungen verwendet werden können, hängt von der Gesamtstruktur und den Domänentypen ab, die im Unternehmensnetzwerk bereitgestellt sind. Für Team Foundation Server sind möglicherweise bestimmte Vertrauensstellungen erforderlich, je nachdem, wie Team Foundation-Komponenten im Unternehmensnetzwerk bereitgestellt werden.
Im Allgemeinen müssen Team Foundation Server-Benutzer und -Dienste authentifiziert werden, um auf Serverkomponenten zugreifen zu können. In Bezug auf Vertrauensstellungen muss die Domäne, in der ein Benutzer- oder Dienstkonto definiert ist, von Team Foundation Server als vertrauenswürdig eingestuft werden.
Anforderungen für Vertrauensstellungen zwischen Team Foundation Server-Komponenten
In diesem Abschnitt werden die mindestens erforderlichen Vertrauensstellungen zwischen den verschiedenen Team Foundation Server-Komponenten beschrieben. Außerdem enthält dieser Abschnitt Informationen zu den besonderen Implikationen, die eine Vertrauensstellung für die Konfiguration der Bereitstellung nach sich ziehen kann. Wenn Sie ermitteln, ob eine Vertrauensstellung zwischen Team Foundation-Komponenten ausreicht, z. B, wenn Sie eine Vertrauensstellung zwischen einem potenziellen Team Foundation-Clientcomputer und Team Foundation Server prüfen möchten, können Sie mit einem Webbrowser überprüfen, ob dieser Client auf einen Ordner oder eine Freigabe auf dem Server zugreifen kann, auf dem die Komponenten der logischen Team Foundation-Anwendungsebene gehostet werden. Wenn der Client nicht auf die Freigabe zugreifen kann, ist die Konfiguration für Team Foundation Server nicht gültig.
In Team Foundation Server können Sie Gruppenmitgliedschaften und Berechtigungen für den Zugriff (Autorisierung) auf den Server und dessen Ressourcen entweder in Team Explorer über die Verwaltungskonsole für Team Foundation oder mithilfe der Befehlszeilenprogramme TFSSecurity und **TF ** verwalten. Der angegebene Benutzer wird auf dem Anwendungsebenenserver überprüft, um sicherzustellen, dass der Benutzer Mitglied einer vertrauenswürdigen Domäne ist.
Eigenschaften von Benutzern und Gruppen werden von Team Foundation Server mit Active Directory synchronisiert. Die zentrale Vertrauensanforderung besteht darin, dass das von Team Foundation Server verwendete Dienstkonto (TFSService) bei jeder Domäne authentifiziert werden kann, die Benutzer und Gruppen für die Bereitstellung umfasst. Idealerweise wird das Dienstkonto in allen Domänen als vertrauenswürdig eingestuft. Ist diese Vertrauenswürdigkeit nicht gegeben, können Sie trotzdem Domänenkonten hinzufügen, die von Windows für Team Foundation Server überprüft werden. Mit diesen Benutzerkonten kann auf Team Foundation Server zugegriffen werden. Detaillierte Eigenschaften von Benutzern und Gruppenmitgliedschaften können jedoch nicht synchronisiert werden, wenn das Dienstkonto nicht als vertrauenswürdig eingestuft wird. Die Anzeigenamen dieser Benutzer werden nicht angezeigt, sondern nur der Anmeldename. Wenn Sie außerdem Gruppen aus Domänen hinzufügen, von denen dem Dienstkonto für Team Foundation nicht vertraut wird, wird die Mitgliedschaft dieser Gruppen nicht synchronisiert, und Änderungen für diese Gruppen oder geschachtelte Gruppen werden nicht übernommen. Damit wird die Verwaltung von Team Foundation Server mit Active Directory-Gruppen sehr viel weniger effektiv.
Vertrauensstellungen zwischen Clients und Team Foundation-Anwendungsebenenserver
Wenn Clientanwendungen wie Team Explorer mit dem Team Foundation-Anwendungsebenenserver verbunden werden, wird von dem Server ein Versuch zur Authentifizierung der Benutzeridentität unternommen, mit der die Clientanwendung ausgeführt wird. Wenn die Domäne des Benutzers von der Domäne des Team Foundation-Anwendungsebenenservers als vertrauenswürdig eingestuft wird, wird der Benutzer automatisch bei der integrierten Windows-Authentifizierung authentifiziert. Wenn diese Vertrauensstellung nicht vorhanden ist, wird von der Clientanwendung ein Dialogfeld zur Eingabe von Benutzername und Kennwort angezeigt, sodass Benutzer zum Verbinden mit dem Server alternative Anmeldeinformationen eingeben können. Nach der Authentifizierung wird von Team Foundation Server überprüft, ob der authentifizierte Benutzer berechtigt ist, auf den Server zuzugreifen. Dazu muss der Benutzer Mitglied der Gruppe Gültige Team Foundation-Benutzer sein. Benutzer werden dieser Gruppe automatisch hinzugefügt, wenn die entsprechende Benutzeridentität einer vorhandenen Team Foundation Server-Gruppe oder einem Server oder Projekt hinzugefügt wird. Weitere Informationen finden Sie unter Konfigurieren von Benutzern, Gruppen und Berechtigungen.
Dienste des Team Foundation-Anwendungsebenenservers werden unter dem TFSService-Konto ausgeführt. Die Domäne, zu der das TFSService-Konto gehört, muss daher von der Domäne des Team Foundation-Anwendungsebenenservers als vertrauenswürdig eingestuft werden. In den meisten Fällen gehören der Team Foundation-Anwendungsebenenserver und das TFSService-Konto derselben Domäne an.
Komponentendomäne |
Vertrauensstellung |
Komponentendomäne |
|---|---|---|
Domäne des Team Foundation-Anwendungsebenenservers |
unidirektionale Vertrauensstellung zu |
Domäne des Team Foundation-Benutzers |
Domäne des Team Foundation-Anwendungsebenenservers |
unidirektionale Vertrauensstellung zu |
Domäne des TFSService-Kontos |
Damit nicht jedes Mal ein Benutzername und ein Kennwort eingegeben werden müssen, wenn von einer Team Foundation-Clientanwendung eine Verbindung mit Team Foundation Server hergestellt wird, muss die Domäne des Team Foundation-Anwendungsebenenservers von der Domäne des Team Foundation-Clients als vertrauenswürdig eingestuft werden.
Vertrauensstellungen zwischen Clients und Team Foundation Server Proxy
Die Domäne eines Benutzers muss von der Domäne des Team Foundation Server Proxy-Computers als vertrauenswürdig eingestuft werden, damit der Proxy verwendet werden kann.
Komponentendomäne |
Vertrauensstellung |
Komponentendomäne |
|---|---|---|
Domäne des Team Foundation Server Proxy-Computers |
unidirektionale Vertrauensstellung zu |
Domäne des Team Foundation-Benutzers |
Vertrauensstellungen zwischen Team Foundation Server Proxy und Team Foundation-Anwendungsebenenserver
Im Kontext von Active Directory ist Team Foundation Server Proxy ein weiterer Client für Team Foundation Server.
Komponentendomäne |
Vertrauensstellung |
Komponentendomäne |
|---|---|---|
Domäne des Team Foundation-Anwendungsebenenservers |
unidirektionale Vertrauensstellung zu |
Domäne des Team Foundation Server Proxy-Dienstkontos |
Domäne des Team Foundation Server Proxy-Computers |
unidirektionale Vertrauensstellung zu |
Domäne des Team Foundation Server Proxy-Benutzerkontos |
Damit nicht jedes Mal ein Benutzername und ein Kennwort eingegeben werden müssen, wenn von einer Team Foundation-Clientanwendung eine Verbindung mit Team Foundation Server hergestellt wird, muss die Domäne des Team Foundation-Anwendungsebenenservers von der Domäne des Team Foundation-Clients als vertrauenswürdig eingestuft werden.
Vertrauensstellungen zwischen Team Foundation-Anwendungsebenenserver und Team Foundation-Datenebenenserver
Vom Team Foundation-Anwendungsebenenserver wird für die Verbindung mit dem Team Foundation-Datenebenenserver ein Dienstkonto verwendet, das allgemein als TFSService-Konto bezeichnet wird. Die Team Foundation Server-Webdienste werden ebenfalls unter diesem Konto ausgeführt. Die Domäne des TFSService-Kontos muss daher von der Domäne des Team Foundation-Datenebenenservers als vertrauenswürdig eingestuft werden. Darüber hinaus muss das TFSService-Konto als solches von allen Domänen innerhalb der Bereitstellung von Team Foundation Server als vertrauenswürdig eingestuft werden, entweder über eine Vertrauensstellung zwischen den Domänen oder über explizite Berechtigungen. Auch die Domäne des TFSReports-Kontos muss von der Domäne des Team Foundation-Datenebenenservers als vertrauenswürdig eingestuft werden. Das TFSReports-Konto wird verwendet, um auf Datenquellen für die Berichterstellung in Team Foundation Server zuzugreifen.
Darüber hinaus wird Reporting Services auf dem Team Foundation-Anwendungsebenenserver mit dem Netzwerkdienstkonto ausgeführt. Daher wird die Domäne des Team Foundation-Anwendungsebenenservers von der Domäne des Team Foundation-Datenebenenservers als vertrauenswürdig eingestuft. Wenn in der Organisation keine Vertrauensstellung zwischen den Team Foundation-Ebenen erwünscht ist, können Sie das System so konfigurieren, dass Reporting Services unter einem benannten Dienstkonto ausgeführt wird, das einer anderen Domäne angehört als der Team Foundation-Anwendungsserver. Allerdings handelt es sich dabei um eine eher komplexe Konfiguration, die eine Migration von der Bereitstellung auf einem Server zu einer Bereitstellung auf zwei Servern und die manuelle Neukonfiguration des Berichtsservers zum Ausführen eines benannten Dienstkontos erfordert.
Komponentendomäne |
Vertrauensstellung |
Komponentendomäne |
|---|---|---|
Domäne des Team Foundation-Datenebenenservers |
unidirektionale Vertrauensstellung zu |
Domäne des TFSService-Kontos |
Domäne des Team Foundation-Datenebenenservers |
unidirektionale Vertrauensstellung zu |
Domäne des TFSReports-Kontos |
Domäne des Team Foundation-Datenebenenservers |
unidirektionale Vertrauensstellung zu |
Domäne des Team Foundation-Anwendungsebenenservers |
Vertrauensstellungen zwischen Team Foundation Build und Team Foundation-Anwendungsebenenserver
Team Foundation Build wird unter einem Windows-Dienstkonto ausgeführt. Die Domäne dieses Dienstkontos muss daher von der Domäne des Team Foundation Build-Computers als vertrauenswürdig eingestuft werden. Bei diesem Dienstkonto handelt es sich gewöhnlich um das TFSService-Konto. Bei entsprechender manueller Konfiguration kann jedoch auch ein anderes Konto verwendet werden. Wenn Team Foundation Build nicht unter dem TFSService-Konto ausgeführt wird, muss der Dienstname der Anwendungsgruppe [Projekt]\Build Services hinzugefügt werden.
Hinweis
Ein neu erstellter Build wird in dem freigegebenen Buildablageordner gespeichert.Dieser Ordner muss für alle Benutzer freigegeben sein, und das TFSService-Konto muss vollständige Kontrolle über den Ordner haben.Auf dem Team Foundation Build-Computer muss in Windows Firewall der Port für Datei- und Druckerfreigabe geöffnet sein, um die Dateifreigabe zu ermöglichen.
Komponentendomäne |
Vertrauensstellung |
Komponentendomäne |
|---|---|---|
Domäne des Team Foundation Build-Computers |
unidirektionale Vertrauensstellung zu |
Domäne des Dienstkontos (normalerweise TFSService) |
Domäne des Team Foundation-Anwendungsebenenservers |
unidirektionale Vertrauensstellung zu |
Domäne des Dienstkontos (normalerweise TFSService) |
Andere Domänenkonfigurationen und weitere Überlegungen
Alle übrigen Active Directory-Domänenkonfigurationen werden nicht unterstützt und dürfen nicht verwendet werden. Sie müssen sicherstellen, dass Team Foundation Server von der Domäne, in der Sie Team Foundation Server installieren, unterstützt wird und dass sich die einzelnen Computer, auf denen Team Foundation Server installiert wird, in entsprechenden Domänenumgebungen befinden. Wenn von Team Foundation Server die Arbeit über mehrere Gesamtstrukturen hinweg unterstützt wird, müssen entsprechende gesamtstrukturübergreifende Vertrauensstellungen verfügbar sein.
Installieren Sie Team Foundation Server aus Sicherheitsgründen in einer Windows Server 2003-Domänenumgebung. Zur Vermeidung von Angriffen mit Identitätswechsel sollten Sie doppelte Namen verbieten und Computernamen nach dem jeweiligen Ersteller sichern. Weitere Informationen finden Sie unter Windows Server 2003 Active Directory (https://go.microsoft.com/fwlink/?linkid=47541, auf Englisch).
Nicht unterstützte Domänenkonfigurationen
Nicht unterstützt werden Domänenkonfigurationen, von denen die funktionalen Modi von Windows NT Server 4.0 unterstützt werden. Beispielsweise werden die folgenden Domänenkonfigurationen nicht unterstützt:
Windows 2000-Domänen im gemischten Modus
Domänencontroller, mit denen Windows Server 2003 ausgeführt wird und die für die Windows 2000-Funktionsebene im gemischten Modus konfiguriert sind
Konfiguration der Anwendungsebene in einer Domäne und einer Datenebene in einer Arbeitsgruppe
Konfiguration der Anwendungsebene in einer Arbeitsgruppe und einer Datenebene in einer Domäne
Beispiele für unterstützte Domänentopologien finden Sie unter Beispiele für die einfache Topologie, Beispiele für Topologie mit mittlerer Komplexität und Beispiele für die komplexe Topologie.
Siehe auch
Konzepte
Verwalten von Team Foundation Server in einer Arbeitsgruppe
Weitere Ressourcen
Managing Team Foundation Server in an Active Directory Domain