Team Foundation Server의 트러스트 및 포리스트 고려 사항
[이 설명서는 미리 보기 전용이며, 이후 릴리스에서 변경될 수 있습니다. 비어 있는 항목은 자리 표시자로 포함됩니다.]
Visual Studio Team Foundation Server는 서로 다른 도메인이나 서로 다른 포리스트에서 여러 그룹이 공동 작업을 수행하기 위한 기반을 제공합니다. 몇 가지 중요한 지침을 따라 서버와 도메인의 보안 및 안정성을 유지할 수 있습니다. 이상적인 경우 Team Foundation의 응용 프로그램 계층과 데이터 계층은 동일한 도메인에 있어야 하지만 연결하는 클라이언트는 여러 도메인 위치에 있을 수 있습니다.
Team Foundation Server는 다음과 같은 Active Directory 모드와 기능 수준에서 지원됩니다.
기본 모드의 Windows 2000 Active Directory
Windows 2000 기본 모드의 Windows Server 2003 Active Directory
Windows Server 2003 기능 수준의 Windows Server 2003 Active Directory
Windows Server 2003 R2 Active Directory 포리스트 기능 수준의 Windows Server 2003 R2
참고
Team Foundation Server는 Windows NT Server 4.0을 지원하는 도메인 인증 모드나 기능 수준을 지원하지 않습니다.
항목 내용
도메인 트러스트
Team Foundation Server 구성 요소 간의 트러스트 관계 요구 사항
클라이언트와 Team Foundation 응용 프로그램 계층 서버 간의 트러스트
클라이언트와 Team Foundation Server Proxy 간의 트러스트
Team Foundation Server Proxy와 Team Foundation 응용 프로그램 계층 서버 간의 트러스트
Team Foundation 응용 프로그램 계층 서버와 Team Foundation 데이터 계층 서버 간의 트러스트
Team Foundation Build와 Team Foundation 응용 프로그램 계층 서버 간의 트러스트
기타 도메인 구성 및 고려 사항
지원되지 않는 도메인 구성
도메인 트러스트
Team Foundation Server에는 지원되는 도메인 트러스트에 대한 어떠한 요구 사항도 없습니다. 적용할 수 있는 트러스트 유형은 기업 네트워크에 배포된 포리스트 및 도메인 유형에 따라 달라집니다. 기업 네트워크에 Team Foundation 구성 요소를 배포하는 방식에 따라 Team Foundation Server에 특정 트러스트 관계가 필요할 수 있습니다.
일반적으로 Team Foundation Server 사용자 및 서비스에서 서버 구성 요소에 액세스하려면 먼저 인증을 받아야 합니다. 트러스트 관계의 관점에서 Team Foundation Server는 사용자 또는 서비스 계정이 정의된 도메인을 트러스트해야 합니다.
Team Foundation Server 구성 요소 간의 트러스트 관계 요구 사항
이 단원에서는 다양한 Team Foundation Server 구성 요소 간에 필요한 최소한의 트러스트 관계에 대해 설명합니다. 또한 배포 구성과 관련이 있을 수 있는 트러스트 관계의 특수한 의미에 대해 설명합니다. 트러스트 관계가 Team Foundation 구성 요소 간에 충분한지 확인하는 경우(예를 들어, Team Foundation 클라이언트 컴퓨터 후보와 Team Foundation Server 간의 트러스트 관계를 확인하려는 경우) 웹 브라우저를 사용하여 클라이언트가 논리적 Team Foundation 응용 프로그램 계층 구성 요소를 호스팅하는 서버의 폴더나 공유에 액세스할 수 있는지 확인할 수 있습니다. 클라이언트가 공유에 액세스할 수 없으면 구성이 Team Foundation Server에 유효하지 않습니다.
Team Foundation Server에서 팀 탐색기 또는 Team Foundation 관리 콘솔에서나 TFSSecurity 및 **TF ** 명령줄 유틸리티를 통해 서버와 해당 리소스에 액세스(권한 부여)하기 위한 그룹 멤버 자격과 권한을 관리할 수 있습니다. 이렇게 지정된 사용자는 응용 프로그램 계층 서버에서 트러스트된 도메인의 멤버인지 확인하는 과정을 거치게 됩니다.
Team Foundation Server는 Active Directory의 사용자 및 그룹 속성을 동기화합니다. 중요한 트러스트 요구 사항은 Team Foundation Server에서 사용하는 서비스 계정(TFSService)이 사용자와 그룹을 배포에 참가시키는 모든 도메인에서 인증할 수 있어야 한다는 것입니다. 이상적으로는 서비스 계정이 모든 도메인에서 트러스트되어야 합니다. 이 트러스트가 없으면 Windows에서 확인될 수 있는 도메인 계정을 Team Foundation Server에 계속 추가할 수 있습니다. 이러한 사용자 계정은 Team Foundation Server에 액세스할 수 있지만 사용자 및 그룹 멤버 자격의 세부 속성은 서비스 계정이 트러스트되지 않는 한 동기화될 수 없습니다. 이러한 사용자의 표시 이름은 나타나지 않으며 로그온 이름만 나타납니다. 또한 Team Foundation의 서비스 계정을 트러스트하지 않는 도메인의 그룹을 추가하는 경우 이러한 그룹의 멤버 자격은 동기화되지 않으며 이러한 그룹 또는 중첩 그룹의 변경 사항은 선택되지 않습니다. 이 경우 Active Directory 그룹을 사용하여 Team Foundation Server를 관리하는 작업의 효율성이 크게 떨어집니다.
클라이언트와 Team Foundation 응용 프로그램 계층 서버 간의 트러스트
팀 탐색기와 같은 클라이언트 응용 프로그램이 Team Foundation 응용 프로그램 계층 서버에 연결할 경우 서버에서는 클라이언트 응용 프로그램을 실행한 사용자 ID에 대한 인증을 시도합니다. Team Foundation 응용 프로그램 계층 서버의 도메인에서 사용자가 속한 도메인을 트러스트하는 경우 해당 사용자는 Windows 통합 인증의 일부로 자동으로 인증됩니다. 하지만 이러한 트러스트 관계가 존재하지 않는 경우 서버에 연결할 수 있는 대체 자격 증명을 입력할 수 있도록 클라이언트 응용 프로그램에서 사용자 이름 및 암호 대화 상자를 표시합니다. 인증 후 Team Foundation Server에서는 인증된 사용자가 서버에 액세스할 수 있는 권한이 있는지 확인합니다. 서버에 액세스하려면 사용자가 Team Foundation Valid User 그룹의 멤버여야 합니다. 사용자 ID가 기존 Team Foundation Server 그룹에 추가되었거나 서버 또는 프로젝트에 추가된 경우 해당 사용자는 자동으로 이 그룹에 추가됩니다. 자세한 내용은 사용자, 그룹 및 권한 구성을 참조하십시오.
Team Foundation 응용 프로그램 계층 서버 서비스는 TFSService 계정으로 실행됩니다. 따라서 Team Foundation 응용 프로그램 계층 서버의 도메인은 TFSService 계정이 속한 도메인을 트러스트해야 합니다. 대부분의 경우 Team Foundation 응용 프로그램 계층 서버와 TFSService 계정은 동일한 도메인에 속합니다.
구성 요소 도메인 |
트러스트 |
구성 요소 도메인 |
|---|---|---|
Team Foundation 응용 프로그램 계층 서버의 도메인 |
단방향 트러스트 관계 |
Team Foundation 사용자의 도메인 |
Team Foundation 응용 프로그램 계층 서버의 도메인 |
단방향 트러스트 관계 |
TFSService 계정의 도메인 |
Team Foundation 클라이언트 응용 프로그램이 Team Foundation Server에 연결할 때마다 사용자 이름과 암호를 입력하지 않아도 되게 하려면 Team Foundation 클라이언트의 도메인에서 Team Foundation 응용 프로그램 계층 서버의 도메인을 트러스트해야 합니다.
클라이언트와 Team Foundation Server Proxy 간의 트러스트
프록시가 작동하려면 Team Foundation Server Proxy 컴퓨터의 도메인에서 사용자의 도메인을 트러스트해야 합니다.
구성 요소 도메인 |
트러스트 |
구성 요소 도메인 |
|---|---|---|
Team Foundation Server Proxy 컴퓨터의 도메인 |
단방향 트러스트 관계 |
Team Foundation 사용자의 도메인 |
Team Foundation Server Proxy와 Team Foundation 응용 프로그램 계층 서버 간의 트러스트
Active Directory의 컨텍스트에서는 Team Foundation Server Proxy도 Team Foundation Server의 클라이언트입니다.
구성 요소 도메인 |
트러스트 |
구성 요소 도메인 |
|---|---|---|
Team Foundation 응용 프로그램 계층 서버의 도메인 |
단방향 트러스트 관계 |
Team Foundation Server Proxy 서비스 계정 도메인 |
Team Foundation Server Proxy 컴퓨터의 도메인 |
단방향 트러스트 관계 |
Team Foundation Server Proxy 사용자 계정 도메인 |
Team Foundation 클라이언트 응용 프로그램이 Team Foundation Server에 연결할 때마다 사용자 이름과 암호를 입력하지 않아도 되게 하려면 Team Foundation 클라이언트의 도메인에서 Team Foundation 응용 프로그램 계층 서버의 도메인을 트러스트해야 합니다.
Team Foundation 응용 프로그램 계층 서버와 Team Foundation 데이터 계층 서버 간의 트러스트
Team Foundation 응용 프로그램 계층 서버는 일반적으로 TFSService 계정이라고 하는 서비스 계정을 사용하여 Team Foundation 데이터 계층 서버에 연결합니다. Team Foundation Server Web Services도 이 계정으로 실행됩니다. 따라서 Team Foundation 데이터 계층 서버의 도메인은 TFSService 계정의 도메인을 트러스트해야 합니다. 또한 Team Foundation Server의 배포 환경에 있는 모든 도메인은 도메인 트러스트 관계 또는 명시적인 권한 설정을 통해 TFSService 계정을 트러스트해야 합니다. Team Foundation 데이터 계층 서버의 도메인은 TFSReports 계정의 도메인도 트러스트해야 합니다. TFSReport 계정은 Team Foundation Server 보고 데이터 소스에 액세스하는 데 사용되는 계정입니다.
또한 Reporting Services는 Team Foundation 응용 프로그램 계층 서버에서 네트워크 서비스 계정으로 실행됩니다. 따라서 Team Foundation 데이터 계층 서버의 도메인에서는 Team Foundation 응용 프로그램 계층 서버의 도메인을 트러스트합니다. 조직에서 Team Foundation 계층 간의 트러스트 관계가 올바르지 않은 경우 Reporting Services가 Team Foundation 응용 프로그램 계층 서버와 다른 도메인에 속한 명명된 서비스 계정으로 실행되도록 시스템을 다시 구성할 수 있습니다. 하지만 이 구성은 단일 서버 배포 환경을 이중 서버 배포 환경으로 마이그레이션하고 Report Server가 명명된 서비스 계정을 사용하여 실행되도록 수동으로 다시 구성해야 하는 복잡한 구성입니다.
구성 요소 도메인 |
트러스트 |
구성 요소 도메인 |
|---|---|---|
Team Foundation 데이터 계층 서버의 도메인 |
단방향 트러스트 관계 |
TFSService 계정의 도메인 |
Team Foundation 데이터 계층 서버의 도메인 |
단방향 트러스트 관계 |
TFSReport 계정의 도메인 |
Team Foundation 데이터 계층 서버의 도메인 |
단방향 트러스트 관계 |
Team Foundation 응용 프로그램 계층 서버의 도메인 |
Team Foundation Build와 Team Foundation 응용 프로그램 계층 서버 간의 트러스트
Team Foundation Build는 Windows 서비스 계정으로 실행됩니다. 따라서 Team Foundation Build 컴퓨터의 도메인에서는 이 서비스 계정의 도메인을 트러스트해야 합니다. 일반적으로 이 서비스 계정은 TFSService 계정이지만 다른 계정으로 실행되도록 수동으로 구성할 수 있습니다. Team Foundation Build가 TFSService 계정으로 실행되지 않는 경우 해당 서비스 이름을 [Project]\Build Services 응용 프로그램 그룹에 추가해야 합니다.
참고
빌드가 새로 만들어지면 해당 빌드는 빌드 저장 공유 폴더에 저장됩니다.이 폴더는 모든 사용자에게 공유되며 TFSService 계정이 이 폴더에 대해 모든 권한을 가지고 있어야 합니다.파일을 공유하려면 Team Foundation Build 컴퓨터에서 Windows 방화벽의 “파일 및 프린터 공유” 포트를 열어야 합니다.
구성 요소 도메인 |
트러스트 |
구성 요소 도메인 |
|---|---|---|
Team Foundation Build 컴퓨터의 도메인 |
단방향 트러스트 관계 |
서비스 계정의 도메인(대개 TFSService) |
Team Foundation 응용 프로그램 계층 서버의 도메인 |
단방향 트러스트 관계 |
서비스 계정의 도메인(대개 TFSService) |
기타 도메인 구성 및 고려 사항
다른 모든 Active Directory 도메인 구성은 지원되지 않으므로 사용하지 말아야 합니다. Team Foundation Server를 설치하는 도메인에서 Team Foundation Server를 지원하는지 확인하고, Team Foundation Server가 설치된 개별 컴퓨터가 적절한 도메인 환경에 있는지 확인해야 합니다. Team Foundation Server에서 여러 포리스트 간의 작업을 지원하는 경우 적절한 포리스트 간 트러스트를 사용할 수 있어야 합니다.
보안을 위해서는 Team Foundation Server를 Windows Server 2003 도메인 환경에 설치하십시오. 가장 공격을 방지하려면 중복 이름을 금지하고 컴퓨터 이름을 작성자별로 보호해야 합니다. 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=47541에서 Windows Server 2003 Active Directory를 참조하십시오.
지원되지 않는 도메인 구성
Windows NT Server 4.0의 기능 모드를 지원하는 도메인 구성은 지원되지 않습니다. 예를 들어, 다음 도메인 구성은 지원되지 않습니다.
Windows 2000 혼합 모드 도메인
Windows Server 2003을 실행하며 Windows 2000 혼합 모드 기능 수준에 대해 구성된 도메인 컨트롤러
도메인의 응용 프로그램 계층 및 작업 그룹의 데이터 계층 구성
작업 그룹의 응용 프로그램 계층 및 도메인의 데이터 계층 구성
단순 토폴로지 예제, 중간 규모 토폴로지 예제 및 복잡한 토폴로지 예제에서 지원되는 도메인 토폴로지의 예를 찾을 수 있습니다.
참고 항목
개념
작업 그룹에서 Team Foundation Server 관리
기타 리소스
Managing Team Foundation Server in an Active Directory Domain