Team Foundation Server のアクセス許可とセキュリティのトラブルシューティング

更新 : 2007 年 11 月

Team Foundation Server のセキュリティ アクティビティには、次のようなものがあります。

• Team Foundation Server のユーザー、グループ、および Web サービスに対する適切なアクセス許可の割り当て

• Windows の認証機能との統合

• それぞれの Team Foundation クライアントと Team Foundation サーバー間のネットワーク ポートおよびトラフィックのセキュリティ保護

このトピックでは、一般的なセキュリティの問題とその解決方法を示します。

以下のヒントを参照しても問題を解決できないときは、Microsoft Web サイトの「Visual Studio Team System フォーラム」を参照してください。これらのフォーラムには、さまざまなトラブルシューティングのトピックに関する検索可能なスレッドがあり、頻繁にチェックされています。そのため、質問に対する回答をすばやく得ることができます。

• ユーザーがチーム プロジェクト ポータルにアクセスできない

• ユーザーがレポートにアクセスできない

• ユーザーまたはグループを追加できない

• 追加したユーザーまたはグループが Team Foundation Server で表示されない

• 追加したユーザーまたはグループが Team Foundation Server にアクセスできない

• ユーザーまたはグループに対して変更したアクセス許可が Team Foundation Server で機能しない

• Team Foundation Server のグループのメンバシップに加えた変更が直ちに有効にならない

• Team Foundation アプリケーション層サーバーと Team Foundation データ層サーバーが通信できない

• Team Foundation クライアントが Team Foundation Server に接続できない

• Team Foundation Server Proxy クライアントが Team Foundation Server と同期されていない

• カスタムの Team Foundation Server グループが意図したとおりに機能しない

• ユーザーまたはグループに対して変更したアクセス許可が Team Foundation Server で機能しない

• Team Foundation Server のサービス アカウントにソース管理ファイルの読み取りのアクセス許可がない

ユーザーがチーム プロジェクト ポータルにアクセスできない

現象 :   チーム プロジェクト ポータルにアクセスするときにエラーが発生します。

原因 :

• プロジェクト ポータルの URL を手動で入力したために、URL が間違っている可能性があります。チーム エクスプローラで、プロジェクトを右クリックし、[プロジェクト ポータルの表示] をクリックします。

• Team Foundation アプリケーション層サーバーで、インターネット インフォメーション サービスが停止している可能性があります。インターネット インフォメーション サービスが実行中かどうかを確認するには、Team Foundation アプリケーション層サーバーで、[スタート] ボタンをクリックし、[管理ツール] をクリックします。次に、[インターネット インフォメーション サービス] をクリックし、サーバーが停止しているかどうかをチェックします。詳細については、Microsoft Web サイトの「インターネット インフォメーション サービス」を参照してください。

• インターネット インフォメーション サービスで、Windows SharePoint Services 用のアプリケーション プールが停止している可能性があります。インターネット インフォメーション サービスで、アプリケーション プールが実行中であることを確認します。

• Windows SharePoint Services の適切なアクセス許可を持っていない可能性があります。Team Foundation Server にユーザーまたはグループを追加するとき、Windows SharePoint Services および SQL Server Reporting Services にもユーザーおよびグループを追加する必要があります。詳細については、「アクセス許可の管理」を参照してください。

• 使用中のチーム エクスプローラのバージョンは、Microsoft Visual Studio 2005 Team Foundation Server に組み込まれているバージョンです。Team Foundation Server が Windows SharePoint Services 3.0 を使用するように構成されている場合、チーム エクスプローラと Team System 2008 Team Foundation Server の元のバージョンで問題が発生することが確認されています。この問題は、Microsoft Support Services から修正プログラムを入手するか、チーム エクスプローラを Team System 2008 Team Foundation Server にアップグレードすることで、解決できます。詳細については、「チーム エクスプローラのバージョンの互換性」および「Team Foundation Server のバージョン間の互換性」を参照してください。

ユーザーがレポートにアクセスできない

現象 :   チーム エクスプローラでレポートを開くときやレポートにアクセスするときにエラーが発生します。

原因 :

• SQL Reporting Services の適切なアクセス許可を持っていない可能性があります。Team Foundation Server にユーザーまたはグループを追加する場合は、Windows SharePoint Services および SQL Reporting Services にもユーザーとグループを追加する必要があります。詳細については、「アクセス許可の管理」および「Team Foundation のレポート作成に関するトラブルシューティング」を参照してください。

• Team Foundation アプリケーション層サーバーで、インターネット インフォメーション サービスが停止している可能性があります。インターネット インフォメーション サービスが実行中かどうかを確認するには、Team Foundation アプリケーション層サーバーで、[スタート] ボタンをクリックし、[管理ツール] をクリックします。次に、[インターネット インフォメーション サービス] をクリックし、サーバーが停止しているかどうかをチェックします。詳細については、Microsoft Web サイトの「インターネット インフォメーション サービス」を参照してください。

• インターネット インフォメーション サービスで、Reporting Services 用のアプリケーション プールが停止している可能性があります。インターネット インフォメーション サービスで、Reporting Services のアプリケーション プールが実行中であることを確認します。

  メモ :
  SQL Server 2005 の場合、ReportServer およびレポート マネージャ Web サイトはインターネット インフォメーション サービス (IIS: Internet Information Services) で管理されますが、SQL Server 2008 の場合は IIS で管理されません。

Team Foundation Server にユーザーまたはグループを追加できない

現象 :   [Windows ユーザーまたはグループ] ダイアログ ボックスにドメイン ユーザーまたはグループが表示されません。

原因 :

• ユーザーまたはグループの属しているワークグループまたはドメインが、Team Foundation Server を配置したドメインから信頼されていません。2 つのドメイン間に信頼を構成します。または、TFSSecurity コマンド ライン ツールを使用すると、信頼関係のないドメインからユーザーまたはグループを追加できます。詳細については、「Team Foundation Server の信頼とフォレストに関する考慮事項」および「TFSSecurity コマンド ライン ユーティリティのコマンド」を参照してください。

追加したユーザーまたはグループが Team Foundation Server で表示されない

現象 :   サーバーまたはプロジェクトに最近追加したユーザーまたはグループが表示されません。

原因 :

• ユーザーまたはグループを Team Foundation Server に正しく追加するには、少なくとも 1 つのアクセス許可を [許可] または [拒否] に設定する必要があります。ユーザーまたはグループを追加しても、[許可] または [拒否] に設定したアクセス許可が 1 つもない場合 (つまり、すべてのアクセス許可が未設定の場合)、そのユーザーまたはグループは Team Foundation Server に追加されず、エラー メッセージや警告も表示されません。詳細については、「ユーザーおよびグループの管理」および「Team Foundation Server のアクセス許可」を参照してください。

追加したユーザーまたはグループが Team Foundation Server にアクセスできない

現象 :   最近追加したユーザーまたはグループが、Team Foundation Server の作業項目、ソース コード、プロジェクト ポータル、またはレポートにアクセスできません。

メモ :
プロジェクトまたはサーバーに対してではなく、Team Foundation Server グループに対してユーザーまたはグループを追加することを検討してください。詳細については、「ユーザーおよびグループの管理」を参照してください。

原因 :

• 複数の Team Foundation Server がある環境で、ユーザーが、どのプロジェクトに対してもアクセス許可を持っていない Team Foundation Server にアクセスを試みている可能性があります。プロジェクトに合った正しい Team Foundation Server にユーザーがアクセスしていることを確認します。

• ユーザーまたはグループが属しているのが、Team Foundation Server にアクセスするために必要な信頼関係を持たない、別のドメインまたはワークグループである可能性があります。詳細については、「Active Directory ドメインでの Team Foundation Server の管理」および「ワークグループでの Team Foundation Server の管理」を参照してください。

• 追加したユーザーまたはグループで、[シェルブセットの管理] のアクセス許可だけが [許可] または [拒否] に設定されています。このアクセス許可には既知の問題があります。このアクセス許可だけを [許可] に設定したユーザーまたはグループを追加した場合、そのユーザーまたはグループは Team Foundation 有効ユーザー グループに正常に追加されず、結果として Team Foundation Server にアクセスできなくなります。問題のユーザーまたはグループが [Team Foundation 有効ユーザー] の一覧に表示されていることを確認してください。ユーザーまたはグループを追加するときは、[シェルブセットの管理] のアクセス許可に加えて、そのユーザーまたはグループ対して必ず他のアクセス許可も [許可] または [拒否] に設定してください。詳細については、「ユーザーおよびグループの管理」、「方法 : 既存のユーザーを表示する」、および「Team Foundation Server のアクセス許可」を参照してください。

• ユーザーまたはグループが、SharePoint 製品とテクノロジおよび Reporting Services の適切なアクセス許可を持っていない可能性があります。Team Foundation Server にユーザーまたはグループを追加するとき、SharePoint 製品とテクノロジおよび Reporting Services にもそのユーザーまたはグループを追加する必要があります。詳細については、「アクセス許可の管理」を参照してください。

ユーザーまたはグループに対して変更したアクセス許可が Team Foundation Server で機能しない

現象 :   既存のユーザーまたはグループのアクセス許可を変更する必要が生じました。しかし、そのユーザーまたはグループのアクセス許可を変更した直後に、ユーザーまたはグループの機能が変更されません。

原因 :

• アクセス許可に加えた変更が Team Foundation Server 全体で同期されるまでには、数分間を要することがあります。特に、Team Foundation データ層サーバーと Team Foundation アプリケーション層サーバーの間のネットワークの待機時間が大きい場合は、この傾向が強くなります。問題のユーザーまたはグループには、何分間か待ってから操作をやり直すように依頼します。詳細については、「Team Foundation Server のアクセス許可」および「Team Foundation Server のセキュリティのアーキテクチャ」を参照してください。

Team Foundation Server のグループのメンバシップに加えた変更が直ちに有効にならない

現象 :   管理者が Team Foundation Server のグループからユーザーを追加または削除した直後に、そのユーザーのメンバシップ ステータスが変更されないまま表示されます。

原因 :

• グループ メンバシップに加えた変更が Team Foundation Server 全体で同期されるまでには、数分間を要することがあります。特に、Team Foundation データ層サーバーと Team Foundation アプリケーション層サーバーの間のネットワークの待機時間が大きい場合や、Active Directory セキュリティ グループを使用していて、セキュリティ グループが存在するドメイン コントローラと Team Foundation Server の間のネットワークの待機時間が大きい場合は、この傾向が強くなります。

  • 数分間待ってから、操作をやり直します。

  • Active Directory 環境では、gpupdate/force コマンド ライン ツールを使用して、Active Directory セキュリティ グループを強制的に更新できます。

  • Active Directory セキュリティ グループを使用していて、これらのグループのメンバシップに変更を加えることが多い場合は、Active Directory との同期の頻度を増やすように Team Foundation Server を構成できます。既定では、Active Directory の同期は 1 時間おきに行われます。web.config ファイルを変更し、IdenityUpdatePeriod セクションに appSettings キーを追加すると、この頻度を増やすことができます。appSettings の値を適切な頻度に設定します。既定値は 1 時間 (1:0:0) です。

  • 詳細については、Microsoft Web サイトの「gpupdate」、「方法 : Team Foundation Server コンポーネントの構成設定を変更する」、「Team Foundation Server のアクセス許可」、および「Team Foundation Server のセキュリティのアーキテクチャ」を参照してください。

Team Foundation アプリケーション層サーバーと Team Foundation データ層サーバーが通信できない

現象 :   Team Foundation Server をデュアルサーバー配置で実行しているときに、プロジェクトを作成したり作業を実行したりできません。大部分のサーバー操作について、実行時にエラー メッセージが表示されます。

原因 :

• Team Foundation データ層と Team Foundation アプリケーション層の間にあるファイアウォールまたはネットワーク ルーターによって、両サーバー間のネットワーク トラフィックがブロックされています。必要なすべてのポートで、ネットワーク トラフィックが有効になるように設定されていることを確認します。詳細については、「Team Foundation Server のセキュリティのアーキテクチャ」を参照してください。

• Team Foundation アプリケーション層サーバーと Team Foundation データ層サーバーの間のネットワーク接続が遅すぎます。ネットワーク トラフィックが多すぎてルーターの処理効率が低下しているか、Team Foundation サーバーの 1 つ以上のネットワーク カードが正しく構成されていない可能性があります。ネットワークの速度は、ネットワーク スイッチおよびコンピュータのネットワーク カードの構成によって左右されます。これらの設定が正しいことを確認してください。ネットワーク カードの自動検出設定を使用する方法の詳細については、Microsoft Web サイトを参照してください。ネットワーク カードの設定の詳細については、メーカーのドキュメントを参照してください。

• Team Foundation データ層サーバーと Team Foundation アプリケーション層サーバーが、十分な信頼のない別々の Active Directory ドメインまたはフォレストに配置されています。Team Foundation Server の配置に応じた適切な信頼を構成する必要があります。詳細については、「Team Foundation Server の信頼とフォレストに関する考慮事項」を参照してください。

• Team Foundation アプリケーション層サーバー、Team Foundation データ層サーバー、またはその両方がドメインではなくワークグループに属しています。このような構成はサポートされていません。ワークグループ環境では、シングルサーバー配置のみがサポートされています。

Team Foundation クライアントが Team Foundation Server に接続できない

現象 :   チーム エクスプローラなどの Team Foundation クライアントを使用しているユーザーが Team Foundation Server に接続できません。

原因 :

• 1 つまたは複数の Team Foundation Server サービスが停止されているか、Team Foundation Server がインストールされているサーバーがオフラインになっています。サーバーがネットワークに接続されていることと、必要な Team Foundation Server サービスがすべて実行中であることを確認します。詳細については、「Team Foundation Server のセキュリティの概念」および「Team Foundation Server のセキュリティのアーキテクチャ」を参照してください。

• Team Foundation クライアントと Team Foundation Server の間にあるファイアウォールまたはネットワーク ルーターによって、Team Foundation Server とクライアントの間のネットワーク トラフィックがブロックされています。必要なすべてのポートで、ネットワーク トラフィックが有効になるように設定されていることを確認します。詳細については、「Team Foundation Server のセキュリティのアーキテクチャ」を参照してください。

• Team Foundation Server が属している Active Directory ドメインまたはフォレストが、Team Foundation クライアントのドメインを信頼していません。Team Foundation Server の配置に応じた適切な信頼を構成する必要があります。詳細については、「Team Foundation Server の信頼とフォレストに関する考慮事項」および「サポートされていないドメイン構成」を参照してください。

• Team Foundation クライアントはドメインではなくワークグループに属していますが、Team Foundation Server はドメインに配置されています。ローカル ユーザー アカウントは Team Foundation クライアント コンピュータ上で作成する必要があります。Team Foundation クライアントから Team Foundation Server への接続時に、ユーザーが毎回ユーザー名とパスワードを入力する手間を省くには、ローカル ユーザー アカウントでドメイン ユーザー名と同じユーザー名およびパスワードを使用します。詳細については、「ワークグループでの Team Foundation Server の管理」を参照してください。

• Team Foundation Server はワークグループに配置されていますが、Team Foundation クライアントはドメインに配置されています。Team Foundation サーバーにアクセスする必要があるすべてのユーザーのローカル ユーザー アカウントをこのサーバーに作成する必要があります。詳細については、「ワークグループでの Team Foundation Server の管理」を参照してください。

• ワークグループのみの Team Foundation Server 配置で、すべてのコンピュータに対するローカル ユーザー アカウントが作成されていません。Team Foundation サーバーにアクセスする必要があるすべてのユーザーのローカル ユーザー アカウントをこのサーバーに作成する必要があります。ローカル ユーザー アカウントを Team Foundation Server のサーバー レベルおよびプロジェクト レベルのグループに追加して、ユーザーが Team Foundation サーバーで承認されるようにします。詳細については、「ワークグループでの Team Foundation Server の管理」を参照してください。

• 1 つ以上のクライアント コンピュータ上のチーム エクスプローラのバージョンが、Team Foundation Server のバージョンと一致しません。すべての Team Foundation クライアントが、配置されている Team Foundation Server と同じリリース バージョンを使用していることを確認します。

• 使用中のチーム エクスプローラのバージョンは、Microsoft Visual Studio 2005 Team Foundation Server に組み込まれているバージョンです。Team Foundation Server が Windows SharePoint Services 3.0 を使用するように構成されている場合、チーム エクスプローラと Team System 2008 Team Foundation Server の元のバージョンで問題が発生することが確認されています。この問題は、Microsoft Support Services から修正プログラムを入手するか、チーム エクスプローラを Team System 2008 Team Foundation Server にアップグレードすることで、解決できます。詳細については、「チーム エクスプローラのバージョンの互換性」および「Team Foundation Server のバージョン間の互換性」を参照してください。

Team Foundation Server Proxy クライアントが Team Foundation Server と同期されていない

Team Foundation Server Proxy には、トラブルシューティング ガイドが別個に用意されています。詳細については、「Team Foundation Server Proxy のトラブルシューティング」を参照してください。

メモ :
Team Foundation Server のプロキシまたは Team Foundation Server のプロキシ サービス アカウントに変更を加えた場合は、それらの変更を反映するようにプロキシとサーバーの両方を構成する必要があります。詳細については、「方法 : Team Foundation Server Proxy のキャッシュ セキュリティを構成する」および「Team Foundation Server のセキュリティのアーキテクチャ」を参照してください。

カスタムの Team Foundation Server グループが意図したとおりに機能しない

現象 :   Team Foundation 管理者またはプロジェクト管理者が、特定の Team Foundation Server プロジェクトに対してカスタム グループを作成しましたが、これらのグループのメンバが、意図したタスクを実行できません。

原因 :

• グループ メンバシップに加えた変更が Team Foundation Server 全体で同期されるまでには、数分間を要することがあります。特に、Team Foundation データ層サーバーと Team Foundation アプリケーション層サーバーの間のネットワークの待機時間が大きい場合や、Active Directory セキュリティ グループを使用していて、セキュリティ グループが存在するドメイン コントローラと Team Foundation Server の間のネットワークの待機時間が大きい場合は、この傾向が強くなります。

• ユーザーが実行しようとしているタスクに必要なアクセス許可の一部が、カスタム グループに与えられていません。カスタム グループを作成してアクセス許可を正しく割り当てるのは、複雑なタスクです。各ロールに対する適切なアクセス許可の詳細については、「Team Foundation Server の既定のグループ、アクセス許可、およびロール」を参照してください。Team Foundation Server のアクセス許可の定義の詳細については、「Team Foundation Server のアクセス許可」を参照してください。

ユーザーまたはグループに対して変更したアクセス許可が Team Foundation Server で機能しない

現象 :   既存のユーザーまたはグループのアクセス許可を変更する必要が生じました。しかし、ユーザーまたはグループのアクセス許可を変更した直後に、そのユーザーまたはグループが、新しいアクセス許可を必要とする操作を実行できません。

原因 :

• アクセス許可に加えた変更が Team Foundation Server 全体で同期されるまでには、数分間を要することがあります。特に、Team Foundation データ層サーバーと Team Foundation アプリケーション層サーバーの間のネットワークの待機時間が大きい場合は、この傾向が強くなります。問題のユーザーまたはグループには、何分間か待ってから操作をやり直すように依頼します。詳細については、「Team Foundation Server のアクセス許可」および「Team Foundation Server のセキュリティのアーキテクチャ」を参照してください。

Team Foundation Server のサービス アカウントにソース管理ファイルの読み取りのアクセス許可がない

現象 :   アプリケーション層サーバーのイベント ログに、次のようなメッセージが表示されます。"TF53010: 予期しない条件が Team Foundation コンポーネントで発生しました。ここに含まれている情報は、サイトの管理者によって使用可能でなければなりません。" 詳細メッセージは次のような内容です。"Microsoft.TeamFoundation.VersionControl.Adapter: 変更セットを読み取れません。サービス アカウントには、この変更セットを取得するアクセス許可がない可能性があります。"

原因 :

• ソース管理を行っているファイルまたはフォルダについて、サービス アカウント セキュリティ グループの [読み取り] のアクセス許可を解除すると、VersionControl.Adapter でそのファイルまたはフォルダを読み取れなくなることがあります。ソース管理情報をデータ ウェアハウスに読み込めない場合、アダプタは、イベント ログにエラー メッセージを書き込み、データ ウェアハウスの情報は更新しません。ファイルまたはフォルダからのソース管理情報がないと、それ以降のソース管理レポートは正確でなくなる可能性があります。詳細については、「バージョン管理設定の構成」を参照してください。

• チーム プロジェクトのアクセス許可を明示的に設定したり、既定のセキュリティ グループのアクセス許可を解除したりすると、チーム プロジェクトのリソースに対して個々のユーザーまたはグループがアクセスできるかどうかに影響が及ぶ場合があります。たとえば、サービス アカウントのセキュリティ アクセス許可を設定または変更すると、そのアカウントでチーム プロジェクト ファイルや Team Foundation サービスにアクセスするために必要な既定の設定がオーバーライドされることがあります。アクセス許可の設定と継承の詳細については、「Team Foundation Server のアクセス許可」および「Team Foundation Server の既定のグループ、アクセス許可、およびロール」を参照してください。

参照

概念

ワークグループでの Team Foundation Server の管理

その他の技術情報

ユーザーおよびグループの管理

アクセス許可の管理

Team Foundation Server のサービスおよびサービス アカウントの管理

Active Directory ドメインでの Team Foundation Server の管理

Team Foundation Server のセキュリティ保護