TFS 2010 - 拒絕管理員訪問'/ tfs'

Question

我正在嘗試設置TFS2010（帶有SP1）服務器，並且我不斷遇到障礙。

最近阻止我做任何有用的事情，因爲對「https://tfs.myserver.com/tfs」的每個HTTP請求都會生成HTTP 401.這些請求是否來自TFS管理控制檯或來自網絡瀏覽器。每次我提示驗證我輸入域管理員的完全限定的用戶名和密碼，我總是得到這樣的錯誤信息：

Team Foundation Server 
TF30063: You are not authorized to access https://tfs.myserver.com/tfs. - The remote erver returned an error: (401) Unauthorized. 

只有在管理控制檯工作的幾個設置（如「更改網址」 ），但其他人（例如「應用層節點」或「團隊項目集合」中的「組成員資格」）會導致相同的提示然後失敗。

SSL證書有效，並且URL看起來一致。我想不出我錯過了什麼。

編輯：在通常的事件日誌中沒有任何相關。安全日誌確實顯示出我的審計失敗，但我不理解他們，因爲我是正確輸入用戶名和密碼（非常相同的我用來訪問過RDP服務器）：

An account failed to log on. 

Subject: 
    Security ID:  NULL SID 
    Account Name:  - 
    Account Domain:  - 
    Logon ID:  0x0 

Logon Type:   3 

Account For Which Logon Failed: 
    Security ID:  NULL SID 
    Account Name:  Administrator 
    Account Domain:  DOMAIN 

Failure Information: 
    Failure Reason:  Unknown user name or bad password. 
    Status:   0xc000006d 
    Sub Status:  0xc000006a 

Answer 1

在嘗試了人們提出的有用建議但卻沒有到達任何地方後，我越來越感到沮喪，於是我決定重新開始並重試。我完全卸載了TFS，SQL Server和SharePoint服務並從頭開始重新安裝。

這次它工作得很好 - 不需要干涉安全是必要的，系統剛開箱即用。

回想起來，我認爲問題在於我使用SharePoint的高級選項來設置TFS，然後我可能會擺弄我不熟悉的設置，並最終做出散列的事情。

對未來自我的注意：在生產中部署之前在虛擬機中練習。

Answer 2

有什麼不同有關組成員身份&安全對話框是他們經過客戶端API並通過IIS訪問。所有其他服務器（如更改服務器網址）都會直接通過服務器模型訪問數據庫。這意味着IIS由於某種原因無法在您的域中進行身份驗證...

從描述來看，它似乎是一臺加入域的機器。 IIS有權訪問域控制器嗎？ （是否連接到域網絡）嚮導驗證您可以訪問AD，但如果之後斷開連接...如果IIS無法訪問AD，則無法進行身份驗證。 TFS依靠IIS進行Windows身份驗證。看來它不能這樣做。

一些其他的東西來嘗試：

1. 管理控制檯上的應用程序層面板，嘗試改變帳戶（域帳戶），該服務器上運行。
2. 您是否在高級嚮導中選擇了Kerberos身份驗證？如果你使用域用戶作爲服務帳戶，那麼會彈出一個對話框，告訴你需要額外的AD管理。如果您這樣做了，則可以從管理控制檯更改爲NTLM。
3. 嘗試通過本地和遠程的http://machinename:8080/tfs（而不是FQDN）訪問它。也可以從網絡瀏覽器嘗試http://machinename:8080/tfs/web。確保你沒有代理服務器問題（通過代理服務器路由NTLM可能會有問題 - 如果你在IE設置中繞過本地，那麼沒有點的地址將不會路由代理服務器並從故障排除圖片中取出）。您也可以完全禁用IE中的代理服務器以進行故障排除。
4. 使用hello world aspx手動創建另一個網站與匿名&基本身份驗證禁用和集成的Windows身份驗證啓用相同的帳戶運行。確保它的工作。