我试图设置一个TFS2010 (SP1)服务器,我一直遇到障碍。
最新的阻止我做任何有用的,因为每个HTTP请求"https://tfs.myserver.com/tfs"的结果在HTTP 401。无论这些请求来自TFS管理控制台还是来自web浏览器,都无关紧要。每次提示验证时,我输入域管理员的完全限定用户名和密码,我总是得到这个错误信息:
Team Foundation Server
TF30063: You are not authorized to access https://tfs.myserver.com/tfs. - The remote erver returned an error: (401) Unauthorized.
管理控制台中只有少数设置有效(如"更改url"),但其他设置,如"组成员资格"(在Application Tier节点上或在Team Project Collection上)会导致相同的提示-然后失败。
SSL证书有效,url一致。我不知道我错过了什么。
编辑:通常的事件日志中没有相关的内容。安全日志确实显示了我的审计失败,但我不理解它们,因为我正确地输入了用户名和密码(与我用于通过RDP访问服务器的相同):
An account failed to log on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: Administrator
Account Domain: DOMAIN
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xc000006d
Sub Status: 0xc000006a
组成员有什么不同?安全对话框是它们通过客户端api并通过IIS访问。所有其他的,比如更改服务器url,都要通过服务器模型直接到达db。这意味着由于某些原因IIS无法在您的域上进行身份验证…
从描述来看,它似乎是一个域连接机器。IIS是否有权访问域控制器?(是否连接到域网络)向导验证您可以到达AD,但如果您断开连接…如果IIS无法访问AD,它将无法进行身份验证。TFS依赖IIS进行windows身份验证。看来它做不到。
其他尝试:
- 在管理控制台的应用程序层面板上,尝试更改服务器运行的帐户(域帐户)。
- 您是否在高级向导中选择Kerberos身份验证?如果您使用域用户作为服务帐户执行此操作,则会弹出一个对话框,告诉您需要额外的AD管理。如果您这样做了,您可以从管理控制台中更改为NTLM。
- 尝试通过http://machinename:8080/tfs(而不是FQDN)本地和远程访问它。也可以从web浏览器试试http://machinename:8080/tfs/web。确保你没有代理服务器问题(通过代理服务器路由NTLM可能会有问题——如果你在IE设置中绕过了本地,那么没有点的地址将不会通过代理路由,并将其排除在故障排除图中)。你也可以在IE中完全禁用代理,只是为了排除故障。
- 手动创建另一个网站,并使用匿名&基本身份验证被禁用,集成Windows身份验证被启用。
在尝试了人们提出的有用的建议但没有得到任何结果之后,我决定重新开始,再试一次。我完全卸载了TFS、SQL Server和SharePoint服务,然后重新安装。
这一次它工作得很好-没有必要干预安全,系统只是开箱即用。
回想起来,我认为问题在于我设置了TFS的高级选项来使用SharePoint,然后我可能摆弄了一些我不熟悉的设置,最后把事情弄得一团糟。
给未来的自己注意:在部署到生产环境之前,先在VM中练习。