Relações de confiança e considerações de florestas para Team Foundation Server
[Esta documentação destina-se apenas à visualização e está sujeita a alterações em versões posteriores. Os tópicos em branco estão incluídos como espaços reservados.]
Visual Studio Team Foundation ServerFornece uma base para colaboração emgrupo cross - por domínios diferentes, ou até mesmo em diferentes florestas. Você pode certificar-se que a segurança e a estabilidade do servidor e seu domínio seguindo algumas diretrizes importantes. Idealmente, o Team Foundationda camada de aplicativo e camadas de dados será no mesmo domínio, mas conectando os clientes pode estar em vários locais de domínio.
Team Foundation Serveré suportado nos seguintes modos de Active Directory e os níveis funcionais:
Windows 2000 Active Directory no modo nativo .
Windows Server 2003Active Directory no modonativo do Windows 2000.
Windows Server 2003O Active Directory no Windows Server 2003 nível funcional.
Windows Server 2003R2 em Windows Server 2003 nível funcional de floresta do Active Directory do R2.
Observação
Team Foundation Servernão suporta qualquer modos de autenticação de domínio ou os níveis funcionais de suportam do Windows NT Server 4.0.
Neste tópico
Relações de confiança de domínio
Requisitos de relacionamento entre os componentes de servidor Team Foundation de confiança.
Relações de confiança entre clientes e o servidor de camada de aplicativo de Team Foundation
Relações de confiança entre clientes e o Proxy de servidor de Team Foundation
Relações de confiança entre o Proxy Team Foundation Server e o servidor de camada de aplicativo de Team Foundation
Relações de confiança entre o servidor de camada de aplicativos Team Foundation e o servidor de camada de dados de Team Foundation
Relações de confiança entre Team Foundation Build e o servidor de camada de aplicativo de Team Foundation
Outras considerações e as configurações de domínio
Configurações de domínio sem suporte
Relações de confiança de domínio
Team Foundation Servernão tem quaisquer requisitos específicos em termos de relações de confiança de domínio suportados. Os tipos de relação de confiança que podem ser empregadas dependem os tipos de floresta e domínio que são implantados na rededa sua empresa. Algumas relações de confiança podem ser exigidas por Team Foundation Server dependendo de como Team Foundation componentes são implantados através rede.
Em geral, Team Foundation Server usuários e serviços devem ser autenticados para que eles possam acessar os componentes do servidor. Um relação de confiança relação ponto de Vista, de Team Foundation Server deve confiar no domínio onde o usuário ou conta de serviço está definido.
Requisitos de relacionamento entre os componentes de servidor Team Foundation de confiança.
Esta seção descreve as relações de confiança mínima necessárias entre as várias Team Foundation Server componentes. Esta seção também descreve as implicações especiais que possuam a relação de confiança para suaconfiguraçãode implantação. Ao determinar se uma relação de confiança é suficiente entre Team Foundation componentes, por exemplo, se você deseja verificar uma relação de confiança entre um potencial Team Foundation computador cliente e Team Foundation Server, você pode usar um navegador Web para verificar se o cliente pode acessar uma pasta ou compartilhamento no servidor hospedagem a lógica Team Foundation aplicativo-nível de componentes. Se o cliente não conseguir acessar o compartilhamento, a configuração não será válido para Team Foundation Server.
Na Team Foundation Server, você pode gerenciar as grupo e permissões para acessar (autorização) para o servidor e seus recursos tanto em Team Explorer, no console de administração do Team Foundation, ou até o TFSSecurity e **TF **utilitários delinha comando-. Isso especificado que o usuário é verificado no aplicativo-servidor de camada para verificar se o usuário é membro de um domínio confiável.
Team Foundation Serversincroniza as propriedades de usuários e grupos do Active Directory. O requisito de confiança crítica é que a conta de serviço que Team Foundation Server (TFSService) usa pode autenticar com todos os domínios que contribua com usuários e grupos para a implantação. O ideal é que a conta de serviço deve ser confiável em todos os domínios. Na ausência desta relação de confiança, você ainda pode adicionar contas de domínio que podem ser verificadas pelo Windows para Team Foundation Server. Essas contas de usuário podem acessar Team Foundation Server, mas não podem ser sincronizadas propriedades detalhadas de usuários e membros do grupo , a menos que o conta de serviço é confiável. Os nomes de exibição desses usuários não serão exibido; o nome de logon será exibida. Além disso, se você adicionar grupos de domínios não confiáveis a conta de serviço para Team Foundation, a associação desses grupos não serão sincronizados e alterações a esses grupos ou grupos aninhados não serão separadas para cima. Isso facilita o gerenciamento Team Foundation Server usando muito menos eficazes de grupos do Active Directory.
Relações de confiança entre clientes e o servidor de camada de aplicativo de Team Foundation
Quando aplicativos cliente, como Team Explorer, conectar para o Team Foundation aplicativo-servidor de camada, o servidor tenta autenticar aidentidade do usuárioexecutando o aplicativodo cliente. Se é confiável para o domínio ao qual o usuário pertence a Team Foundation aplicativo-nível de domínio do servidor, o usuário é autenticado automaticamente como parte da autenticação integrada do Windows. Se essa confiança não existir, o aplicativo do cliente exibe umacaixa de diálogo nome de usuário e senhapara que o usuário pode fornecer credenciais alternativas para conectar ao servidor. Após a autenticação, Team Foundation Server verifica se o usuário autenticado está autorizado a acessar o servidor. Para fazer isso, o usuário deve ser membro da Usuário válido do Team Foundation grupo. Um usuário automaticamente será adicionado ao grupo quando essaidentidade do usuárioé adicionado a um existente Team Foundation Server grupo ou adicionado a um servidor ou um projeto. Para mais informações, consulte Configurando permissões de usuários e grupos.
Team Foundation aplicativo-serviços de servidor de camada é executado sob a conta de TFSService. Portanto, o Team Foundation aplicativo-domínio do servidor de nível deve confiar no domínio ao qual pertence a conta de TFSService. A maioria das vezes, o Team Foundation aplicativo-servidor de camada e a conta de TFSService pertencerão ao mesmo domínio.
Domínio de componente |
Trust (Confiar) |
Domínio de componente |
|---|---|---|
Team Foundation aplicativo-nível de domínio do servidor |
a relação de confiança unidirecional para |
Team Foundation domínio do usuário |
Team Foundation aplicativo-nível de domínio do servidor |
a relação de confiança unidirecional para |
Domínio da conta de TFSService |
Para evitar ter que digitar um nome de usuário e senha toda vez que um Team Foundation aplicativo de cliente se conecta ao Team Foundation Server, o Team Foundation domínio do cliente deve confiar a Team Foundation aplicativo-nível de domínio do servidor.
Relações de confiança entre clientes e o Proxy de servidor de Team Foundation
O Team Foundation Server domínio do computador de Proxy deve confiar em um domínio do usuáriopara o proxy trabalhar.
Domínio de componente |
Trust (Confiar) |
Domínio de componente |
|---|---|---|
Team Foundation ServerDomínio do computador do proxy |
a relação de confiança unidirecional para |
Team Foundation domínio do usuário |
Relações de confiança entre o Proxy Team Foundation Server e o servidor de camada de aplicativo de Team Foundation
No contexto do Active Directory, o Team Foundation Server Proxy é outro cliente de Team Foundation Server.
Domínio de componente |
Trust (Confiar) |
Domínio de componente |
|---|---|---|
Team Foundation aplicativo-nível de domínio do servidor |
a relação de confiança unidirecional para |
Team Foundation ServerDomínio de conta de serviço proxy |
Team Foundation ServerDomínio do computador do proxy |
a relação de confiança unidirecional para |
Team Foundation ServerDomínio de conta de usuário de proxy |
Para evitar ter que digitar um nome de usuário e senha toda vez que um Team Foundation aplicativo de cliente se conecta ao Team Foundation Server, o Team Foundation domínio do cliente deve confiar a Team Foundation aplicativo-nível de domínio do servidor.
Relações de confiança entre o servidor de camada de aplicativos Team Foundation e o servidor de camada de dados de Team Foundation
O Team Foundation aplicativo-nível de servidor se conecta ao Team Foundation server da camada de dados usando uma conta de serviço, citados, genericamente como a conta TFSService. O Team Foundation Server Web Services também executados sob esta conta. Portanto, o domínio para o Team Foundation o servidor de camada de dados deve confiar no domínio da conta de TFSService. Além disso, todos os domínios dentro de sua implantação de Team Foundation Server deve confiar a conta de TFSService em si, por meio de uma relação de confiança de domínio relação ou gerenciamento explícito. O Team Foundation domínio do servidor de camada de dados também deve confiar domínio da conta de TFSReports. A conta de TFSReport é a conta usada para acesso Team Foundation Server fontes de dados para emissão de relatórios.
Além disso, o Reporting Services é executado na Team Foundation aplicativo-servidor de camada com a redeconta de serviço. Portanto, o Team Foundation domínio do servidor de camada de dados irá confiar a Team Foundation aplicativo-nível de domínio do servidor. Se uma relação de confiança entre o Team Foundation níveis não é desejável em sua organização, você pode reconfigurar o sistema para que o Reporting Services é executado sob uma conta de serviço nomeado que pertence a um domínio diferente do Team Foundation aplicativo-servidor de camada. No entanto, isso é uma configuração bastante complexo que requer a migração de servidor único para implantações de servidor dual e reconfiguração manual do servidor de relatório a ser executado usando uma nomeado conta de serviço.
Domínio de componente |
Trust (Confiar) |
Domínio de componente |
|---|---|---|
Team Foundationdomínio do servidor de camada de dados |
a relação de confiança unidirecional para |
Domínio da conta de TFSService |
Team Foundationdomínio do servidor de camada de dados |
a relação de confiança unidirecional para |
Domínio da conta de TFSReport |
Team Foundationdomínio do servidor de camada de dados |
a relação de confiança unidirecional para |
Team Foundation aplicativo-nível de domínio do servidor |
Relações de confiança entre Team Foundation Build e o servidor de camada de aplicativo de Team Foundation
Team Foundation Buildé executado em um Windows conta de serviço. Portanto, o Team Foundation Build essa conta de serviçodo domínio deve confiar em domínio do computador. Normalmente este conta de serviço é a TFSService, mas pode ser configurado manualmente para ser executado em outra conta. Se Team Foundation Build não está sendo executado sob a conta de TFSService, o nome do serviço deve ser adicionado aogrupo[projeto] \Build Services aplicativo.
Observação
Quando a compilação é criada, nova compilação é colocada na pasta compartilhada construir soltar.Você deve verificar se essa pasta está compartilhada para todos os usuários e a conta TFSService tem controle total para a pasta.O "Compartilhamento de arquivos e impressoras" portar seja aberta no Firewall do Windows na Team Foundation Build o computador para permitir o compartilhamento de arquivos.
Domínio de componente |
Trust (Confiar) |
Domínio de componente |
|---|---|---|
Team Foundation Builddomínio do computador |
a relação de confiança unidirecional para |
(Geralmente TFSService) de domínio da conta de serviço. |
Team Foundation aplicativo-nível de domínio do servidor |
a relação de confiança unidirecional para |
(Geralmente TFSService) de domínio da conta de serviço. |
Outras considerações e as configurações de domínio
Todas as outras configurações de domínio do Active Directory não são suportadas e não devem ser usadas. Você deve verificar se o domínio onde instalar Team Foundation Server oferece suporte a Team Foundation Servere que computadores individuais em que Team Foundation Server está instalado em ambientes de domínio apropriado. Se Team Foundation Server está oferecendo suporte ao trabalho em várias florestas, relações de confiança entre florestas apropriadas devem estar disponíveis.
As considerações de segurança Team Foundation Server em um Windows Server 2003 ambientede domínio. Para evitar ataques de representação, você deve proibir nomes duplicados e nomes de computador protegido pelo criador. Para obter mais informações, consulte Windows Server 2003 Active Directory em https://go.microsoft.com/fwlink/?linkid=47541.
Configurações de domínio sem suporte
Configurações de domínio que suportam os modos funcionais do Windows NT Server 4.0 não são suportadas. Por exemplo, as seguintes configurações de domínio não são suportadas:
Domínios de modo misto do Windows 2000
os controladores de domínio que estejam executando o Windows Server 2003 e configurado para o nível funcional de modo misto do Windows 2000
Configurando a camada de aplicativo em um domínio e uma camada de dados em um grupo de trabalho.
Configurando a camada de aplicativo em um grupo de trabalho e uma camada de dados em um domínio
Você pode encontrar exemplos de topologias de domínio com suporte em Exemplos de topologia simples, Exemplos de topologia moderada, e Exemplos de topologia complexa.
Consulte também
Concepts
Gerenciamento de servidor Team Foundation em um grupo de trabalho.
Other Resources
Managing Team Foundation Server in an Active Directory Domain