Aspekte zu Vertrauensstellungen und Gesamtstrukturen für Team Foundation Server

Aktualisiert: November 2007

Team Foundation Server stellt eine Basis für die gruppenübergreifende Zusammenarbeit über verschiedene Domänen oder sogar über verschiedene Gesamtstrukturen hinweg bereit. Um die Sicherheit und Stabilität des Servers und der Domäne sicherzustellen, sollten Sie einige wichtige Richtlinien beachten. In optimalen Konfigurationen befinden sich die Team Foundation-Anwendungsebene und die Datenebenen in derselben Domäne, während verbundene Clients sich in unterschiedlichen Domänen befinden können.

Team Foundation Server wird in folgenden Active Directory-Modi und -Funktionsebenen unterstützt:

  • Windows 2000 Active Directory im einheitlichen Modus

  • Windows Server 2003 Active Directory im einheitlichen Modus von Windows 2000

  • Windows Server 2003 Active Directory auf Windows Server 2003-Funktionsebene

Hinweis:

Team Foundation Server unterstützt keine Domänenauthentifizierungsmodi oder Funktionsebenen, die Windows NT Server 4.0 unterstützen.

Domänenvertrauensstellungen

Team Foundation Server hat keine bestimmten Anforderungen in Bezug auf unterstützte Domänenvertrauensstellungen. Welche Typen von Vertrauensstellungen verwendet werden können, hängt von der Gesamtstruktur und den Domänentypen ab, die im Unternehmensnetzwerk bereitgestellt sind. Team Foundation Server erfordert möglicherweise bestimmte Vertrauensstellungen, je nachdem, wie Team Foundation-Komponenten im Unternehmensnetzwerk bereitgestellt werden.

Im Allgemeinen müssen Team Foundation Server-Benutzer und -Dienste authentifiziert werden, um auf Serverkomponenten zugreifen zu können. In Bezug auf Vertrauensstellungen muss Team Foundation Server die Domäne als vertrauenswürdig einstufen, in der ein Benutzer- oder Dienstkonto definiert ist.

Anforderungen für Vertrauensstellungen zwischen Team Foundation Server-Komponenten

In diesem Abschnitt werden die minimal erforderlichen Vertrauensstellungen zwischen den verschiedenen Team Foundation Server-Komponenten beschrieben. In diesem Abschnitt wird ebenfalls beschrieben, welche speziellen Implikationen die Vertrauensstellung für die Konfiguration Ihrer Bereitstellung haben kann. Bei der Ermittlung, ob eine Vertrauensstellung zwischen Team Foundation-Komponenten ausreicht, z. B, wenn Sie eine Vertrauensstellung zwischen einem potenziellen Team Foundation-Clientcomputer und einem Team Foundation Server verifizieren möchten, können Sie mit einem Webbrowser überprüfen, ob dieser Client auf einen Ordner oder eine Freigabe auf dem Server zugreifen kann, der als Host für die Komponenten der logischen Team Foundation-Anwendungsebene fungiert. Wenn der Client nicht auf die Freigabe zugreifen kann, ist die Konfiguration nicht gültig für Team Foundation Server.

Die Verwaltung von Gruppenmitgliedschaften und Berechtigungen für den Zugriff (Autorisierung) auf den Server und seine Ressourcen kann in Team Foundation Server entweder in Team Explorer oder über die Befehlszeilendienstprogramme TFSSecurity und TF konfiguriert werden. Der angegebene Benutzer wird auf dem Anwendungsebenenserver überprüft, um sicherzustellen, dass der Benutzer Mitglied einer vertrauenswürdigen Domäne ist.

Vertrauensstellungen zwischen Clients und dem Team Foundation-Anwendungsebenenserver

Wenn Clientanwendungen wie Team Explorer eine Verbindung mit dem Team Foundation-Anwendungsebenenserver herstellen, versucht der Server, die Identität des Benutzers zu authentifizieren, der die Clientanwendung ausführt. Wenn die Domäne des Benutzers von der Domäne des Team Foundation-Anwendungsebenenservers als vertrauenswürdig eingestuft wird, wird der Benutzer bei der Windows-Authentifizierung automatisch authentifiziert. Wenn diese Vertrauensstellung nicht vorhanden ist, zeigt die Clientanwendung ein Dialogfeld zur Eingabe von Benutzername und Kennwort an, sodass Benutzer alternative Annmeldeinformationen eingeben können, um eine Verbindung mit dem Server herzustellen. Nach der Authentifizierung überprüft Team Foundation Server, ob der authentifizierte Benutzer berechtigt ist, auf den Server zuzugreifen. Dazu muss der Benutzer ein Mitglied der Gruppe Gültige Team Foundation-Benutzer sein. Benutzer werden dieser Gruppe automatisch hinzugefügt, wenn die entsprechende Benutzeridentität einer vorhandenen Team Foundation Server-Gruppe, einem Server oder einem Projekt hinzugefügt wird. Weitere Informationen finden Sie unter Verwalten von Benutzern und Gruppen.

Dienste des Team Foundation-Anwendungsebenenservers werden unter dem TFSService-Konto ausgeführt. Die Domäne des Team Foundation-Anwendungsebenenservers muss daher die Domäne, zu der das TFSService-Konto gehört, als vertrauenswürdig einstufen. In den meisten Fällen gehören der Team Foundation-Anwendungsebenenserver und das TFSService-Konto derselben Domäne an.

Komponentendomäne

Vertrauensstellung

Komponentendomäne

Domäne des Team Foundation-Anwendungsebenenservers

unidirektionale Vertrauensstellung zu

Domäne des Team Foundation-Benutzers

Domäne des Team Foundation-Anwendungsebenenservers

unidirektionale Vertrauensstellung zu

Domäne des TFSService-Kontos

Damit Sie nicht jedes Mal einen Benutzernamen und ein Kennwort eingeben müssen, wenn eine Team Foundation-Clientanwendung eine Verbindung mit Team Foundation Server herstellt, muss die Domäne des Team Foundation-Clients die Domäne des Team Foundation-Anwendungsebenenservers als vertrauenswürdig einstufen.

Vertrauensstellungen zwischen Clients und dem Team Foundation Server-Proxy

Die Domäne des Team Foundation Server Proxy-Computers muss die Domäne eines Benutzers als vertrauenswürdig einstufen, damit der Proxy verwendet werden kann.

Komponentendomäne

Vertrauensstellung

Komponentendomäne

Domäne des Team Foundation Server Proxy-Computers

unidirektionale Vertrauensstellung zu

Domäne des Team Foundation-Benutzers

Vertrauensstellungen zwischen dem Team Foundation Server-Proxy und dem Team Foundation-Anwendungsebenenserver

Im Kontext von Active Directory ist der Team Foundation Server Proxy ein weiterer Client für Team Foundation Server.

Komponentendomäne

Vertrauensstellung

Komponentendomäne

Domäne des Team Foundation-Anwendungsebenenservers

unidirektionale Vertrauensstellung zu

Domäne des Team Foundation Server Proxy-Dienstkontos

Domäne des Team Foundation Server Proxy-Computers

unidirektionale Vertrauensstellung zu

Domäne des Team Foundation Server Proxy-Benutzerkontos

Damit Sie nicht jedes Mal einen Benutzernamen und ein Kennwort eingeben müssen, wenn eine Team Foundation-Clientanwendung eine Verbindung mit Team Foundation Server herstellt, muss die Domäne des Team Foundation-Clients die Domäne des Team Foundation-Anwendungsebenenservers als vertrauenswürdig einstufen.

Vertrauensstellungen zwischen dem Team Foundation-Anwendungsebenenserver und dem Team Foundation-Datenebenenserver

Der Team Foundation-Anwendungsebenenserver verwendet für die Verbindung mit dem Team Foundation-Datenebenenserver ein Dienstkonto, das allgemein als TFSService-Konto bezeichnet wird. Die Team Foundation Server-Webdienste werden ebenfalls unter diesem Konto ausgeführt. Die Domäne des Team Foundation-Datenebenenservers muss daher die Domäne des TFSService-Kontos als vertrauenswürdig einstufen. Darüber hinaus müssen alle Domänen innerhalb der Bereitstellung von Team Foundation Server das TFSService-Konto selbst als vertrauenswürdig einstufen, entweder über eine Vertrauensstellung zwischen den Domänen oder über explizite Berechtigungen. Die Domäne des Team Foundation-Datenebenenservers muss auch die Domäne des TFSReports-Kontos als vertrauenswürdig einstufen. Das TFSReport-Konto wird verwendet, um auf Team Foundation Server-Berichterstellungsdatenquellen zuzugreifen.

Darüber hinaus führt Reporting Services den Team Foundation-Anwendungsebenenserver unter dem Netzwerkdienstkonto aus. Daher stuft die Domäne des Team Foundation-Datenebenenservers die Domäne des Team Foundation-Anwendungsebenenservers als vertrauenswürdig ein. Wenn in Ihrer Organisation keine Vertrauensstellung zwischen den Team Foundation-Ebenen erwünscht ist, können Sie das System so konfigurieren, dass Reporting Services unter einem benannten Dienstkonto ausgeführt wird, das einer anderen Domäne angehört als der Team Foundation-Anwendungsserver. Allerdings handelt es sich dabei um eine recht komplexe Konfiguration, die eine Migration von der Bereitstellung auf einem Server zu einer Bereitstellung auf zwei Servern und die manuelle Neukonfiguration von Report Server zum Ausführen eines benannten Dienstkontos erfordert.

Komponentendomäne

Vertrauensstellung

Komponentendomäne

Domäne des Team Foundation-Datenebenenservers

unidirektionale Vertrauensstellung zu

Domäne des TFSService-Kontos

Domäne des Team Foundation-Datenebenenservers

unidirektionale Vertrauensstellung zu

Domäne des TFSReport-Kontos

Domäne des Team Foundation-Datenebenenservers

unidirektionale Vertrauensstellung zu

Domäne des Team Foundation-Anwendungsebenenservers

Vertrauensstellungen zwischen Team Foundation Build und dem Team Foundation-Anwendungsebenenserver

Team Foundation Build wird unter einem Windows-Dienstkonto ausgeführt. Die Domäne des Team Foundation Build-Computers muss daher die Domäne dieses Dienstkontos als vertrauenswürdig einstufen. Bei diesem Dienstkonto handelt es sich gewöhnlich um das FSService-Konto, bei entsprechender manueller Konfiguration kann jedoch auch ein anderes Konto verwendet werden. Wenn Team Foundation Build nicht unter dem TFSService-Konto ausgeführt wird, muss der Dienstname der Anwendungsgruppe [Projekt]\Build Services hinzugefügt werden.

Hinweis:

Ein neu erstellter Build wird im freigegebenen Buildordner gespeichert. Dieser Ordner muss für alle Benutzer freigegeben sein, und das TFSService-Konto muss vollständige Kontrolle über den Ordner haben. Auf dem Team Foundation Build-Computer muss in Windows Firewall der Port für Datei- und Druckerfreigabe geöffnet sein, um die Dateifreigabe zu ermöglichen.

Komponentendomäne

Vertrauensstellung

Komponentendomäne

Domäne des Team Foundation Build-Computers

unidirektionale Vertrauensstellung zu

Domäne des Dienstkontos (normalerweise TFSService)

Domäne des Team Foundation-Anwendungsebenenservers

unidirektionale Vertrauensstellung zu

Domäne des Dienstkontos (normalerweise TFSService)

Andere Domänenkonfigurationen und weitere Überlegungen

Alle übrigen Active Directory-Domänenkonfigurationen werden nicht unterstützt und dürfen nicht verwendet werden. Sie müssen sicherstellen, dass die Domäne, in der Sie Team Foundation Server installieren, Team Foundation Server unterstützt und dass sich die einzelnen Computer, auf denen Team Foundation Server installiert wird, in entsprechenden Domänenumgebungen befinden. Wenn Team Foundation Server die Arbeit über mehrere Gesamtstrukturen hinweg unterstützt, müssen entsprechende gesamtstrukturübergreifende Vertrauensstellungen verfügbar sein.

Installieren Sie aus Sicherheitsgründen Team Foundation Server in einer Windows Server 2003-Domänenumgebung. Um Angriffe mit Identitätswechsel zu verhindern, sollten Sie doppelte Namen verbieten und Computernamen nach dem jeweiligen Ersteller sichern. Weitere Informationen finden Sie unter Windows Server 2003 Active Directory (https://go.microsoft.com/fwlink/?linkid=47541).

Siehe auch

Konzepte

Nicht unterstützte Domänenkonfigurationen

Verwalten von Team Foundation Server in einer Arbeitsgruppe

Weitere Ressourcen

Verwalten von Team Foundation Server in einer Active Directory-Domäne

Team Foundation Server-Topologien