TFS 2017 - 构建代理连接错误 - 无法连接答案

【问题标题】：TFS 2017 - Build Agent Connection Error - Failed to ConnectTFS 2017 - 构建代理连接错误 - 无法连接
【发布时间】：2020-07-04 07:49:08
【问题描述】：

我们有一个 3 层 TFS 环境：1 台应用服务器、1 台构建服务器和 1 台数据库服务器。 TFS 2017 已安装和配置。我们正在尝试使用 config.cmd 将构建服务器与应用程序服务器连接，但收到以下错误：

PS D:\agent01> .\config.cmd

连接：

输入服务器 URL > https://tfs.domain.com 输入身份验证类型（按 Enter 表示集成）> 连接到服务器 ... 发送请求时出错。连接失败。重试或按 ctrl-c 退出

防火墙设置：

来源：TFS 构建服务器目的地：TFS 应用服务器端口：443 和 8080

服务器之间还需要允许哪些其他端口？

【问题讨论】：

标签： tfs tfsbuild

【解决方案1】：

因为您使用 https 作为您的公共 TFS 网址。

请确保您已通过 TFS 服务器创建自签名证书并在构建代理机器上安装了相同的证书。

更多细节请看这里类似的问题：TFS Build Agent Fails to Configure & Run with TFS2018 Self-Signed SSL Certificate

如果您在上述操作后仍然遇到相同的错误，请尝试以下步骤，这可能有助于缩小问题范围：

确保将运行代理安装的用户添加到池和队列管理员
如果您使用用户名/密码，请尝试使用 PAT
暂时关闭防火墙，然后重试

【讨论】：

我在 TFS 应用服务器上创建了一个自签名的 ssl 证书，将其导入到 Trusted Root 下的 TFS 构建服务器，并将 https 的 URL 绑定更改为自签名证书（之前使用通配符证书)。我重新运行 config.cmd，现在连接到服务器后看到“注册代理”.....
但是，当我在 Edge 或 Chrome 中访问 URL - tfs.domain.com 时，我看到：您的连接不是私有的攻击者可能试图从 tfs.domain.com 窃取您的信息（例如，密码、消息或信用卡）。 NET::ERR_CERT_COMMON_NAME_INVALID tfs.domain.com 使用加密来保护您的信息。当 Microsoft Edge 这次尝试连接到 tfs.domain.com 时，该网站发回了异常且不正确的凭据。当攻击者试图冒充 tfs.domain.com 或 Wi-Fi 登录屏幕中断连接时，可能会发生这种情况。
您的信息仍然是安全的，因为 Microsoft Edge 在交换任何数据之前停止了连接。您现在无法访问 tfs.domain.com，因为该网站使用 HSTS。网络错误和攻击通常是暂时的，所以这个页面可能会在以后工作。
在私密窗口中运行站点显示：您的连接不是私密的攻击者可能试图从 tfs.domain.com 窃取您的信息（例如，密码、消息或信用卡）。 NET::ERR_CERT_COMMON_NAME_INVALID 此服务器无法证明它是 tfs.domain.com；其安全证书未指定主题备用名称。这可能是由于配置错误或攻击者拦截了您的连接造成的。继续到 tfs.domain.com（不安全） - 单击继续加载站点。
注意：在 IE11 中加载 URL 时没有警告。

【解决方案2】：

我重新导入了通配符证书，并在 TFS 构建和应用程序服务器上的 Trusted Root 中导入了 DigiCert High Assurance CA。

【讨论】：