Proteger el publicador
Los siguientes agentes de réplica se conectan al publicador:
- Agente de registro del LOG
- Agente de instantáneas
- Agente de lectura de cola
- Agente de mezcla
Se recomienda proporcionar un inicio de sesión adecuado para estos agentes, seguir el principio de conceder los derechos mínimos necesarios y proteger el almacenamiento de todas las contraseñas. Para obtener información sobre cómo administrar inicios de sesión y contraseñas, vea Administrar inicios de sesión y contraseñas en la réplica. Para obtener información acerca de los permisos necesarios para cada agente, vea Modelo de seguridad del Agente de réplica.
Además de administrar inicios de sesión y contraseñas correctamente, es necesario comprender la función de la lista de acceso de la publicación (PAL). Esta lista se utiliza para permitir que los inicios de sesión tengan acceso a los datos de la publicación al tiempo que se restringe el acceso ad hoc a la base de datos en el publicador.
Lista de acceso de la publicación
La PAL es el mecanismo principal para proteger las publicaciones en el publicador. La PAL funciona de forma similar a las listas de control de acceso de Microsoft Windows. Cuando se crea una publicación, la réplica crea una PAL para la publicación. La PAL puede configurarse para que contenga una lista de los inicios de sesión y los grupos a los que se han concedido permiso de acceso a la publicación. Cuando un agente se conecta al publicador o al distribuidor y solicita acceso a una publicación, la información de autenticación de la PAL se compara con el inicio de sesión del publicador que proporciona el agente. Este proceso proporciona seguridad adicional para el publicador al impedir que una herramienta de cliente utilice el inicio de sesión del publicador y del distribuidor para realizar modificaciones directamente en el publicador.
[!NOTA] La réplica crea una función en el publicador para cada publicación para exigir la pertenencia a la PAL. La función tiene un nombre con el formato Msmerge_<idDePublicación> para la réplica de mezcla y MSReplPAL_<idDeBaseDeDatosDePublicaciones>_<idDePublicación> para la réplica transaccional y de instantáneas.
Los inicios de sesión incluidos en la PAL de forma predeterminada son: los miembros de la función fija de servidor sysadmin cuando se crea la publicación y el inicio de sesión utilizado para crear la publicación. De forma predeterminada, todos los inicios de sesión miembros de la función fija de servidor sysadmin o la función fija de base de datos db_owner en la base de datos de publicaciones pueden suscribirse a una publicación sin agregarse explícitamente a la PAL.
Cuando utilice la PAL, tenga en cuenta las siguientes directrices:
- Debe asociar el inicio de sesión de SQL Server a un usuario de la base de datos de publicaciones antes de agregar el inicio de sesión a la PAL.
- Respete el principio de privilegios mínimos proporcionando a los inicios de sesión de la PAL sólo los permisos que necesitan para realizar tareas de réplica. No agregue los inicios de sesión a ninguna función fija de base de datos o funciones de servidor que no sean necesarias para réplica. Para obtener más información acerca de los permisos necesarios, vea Modelo de seguridad del Agente de réplica y Prácticas recomendadas de seguridad de réplica.
- Si se utiliza un distribuidor remoto, las cuentas de la lista de acceso de la publicación deben estar disponibles tanto en el publicador como en el distribuidor. La cuenta debe ser una cuenta de dominio o una cuenta local que esté definida en ambos servidores. Las contraseñas asociadas a ambos inicios de sesión deben ser iguales.
- Si la PAL contiene cuentas de Windows y el dominio utiliza Active Directory, la cuenta con la que se ejecuta SQL Server debe tener permisos de lectura en Active Directory. Si tiene problemas con cuentas de Windows, asegúrese de que la cuenta con la que se ejecuta SQL Server tiene permisos suficientes. Para obtener más información, vea la documentación de Windows.
Para administrar la PAL
- SQL Server Management Studio: Cómo administrar inicios de sesión en la lista de acceso de la publicación (SQL Server Management Studio)
- Programación de la réplica con Transact-SQL: How to: Manage Logins in the Publication Access List (Replication Transact-SQL Programming)
Vea también
Conceptos
Prácticas recomendadas de seguridad de réplica
Configurar inicios de sesión y contraseñas al crear publicaciones
Otros recursos
Cifrar conexiones a SQL Server
Consideraciones de seguridad para la réplica