Najważniejsze wskazówki dotyczące zabezpieczeń replikacja

Replikacja przenosi dane w środowiskach rozproszonych od sieci intranet w jednej domenie do aplikacji, dostęp do danych między domen niezaufanych oraz w Internecie.Ważne jest zrozumieć, najlepszym podejściem do zabezpieczania połączenia replikacja tych różnych okolicznościach.

Istotne dla replikacja we wszystkich środowiskach są następujące informacje:

• Szyfrowanie połączenia między komputerami w topologia replikacja przy użyciu metoda standard przemysłu, takie jak wirtualne sieci prywatne (VPN), Secure Sockets Layer (SSL) lub zabezpieczenia IP (IPSEC).Aby uzyskać więcej informacji zobacz Encrypting Connections to SQL Server. Aby uzyskać informacje dotyczące korzystania z sieci VPN i protokołu SSL na replikowanie danych za pośrednictwem Internetu Zobacz Securing Replication Over the Internet.

  Jeśli używasz protokołu SSL do zabezpieczania połączenia między komputerami w topologia replikacja, podaj wartość 1 or 2 for the -EncryptionLevel Każdy agent replikacja (wartość parametr2 jest zalecane).Wartość 1 Określa, że używane jest szyfrowanie, ale agent nie sprawdza, czy certyfikat serwera SSL jest podpisany przez wystawcę zaufanych; wartość 2 Określa, czy certyfikat został zweryfikowany.Agent parametry można określić w profilach agenta, jak i w wierszu polecenia.Aby uzyskać więcej informacji, zobacz:

  • How to: Work with Replication Agent Profiles (SQL Server Management Studio)

  • How to: View and Modify Replication Agent Command Prompt Parameters (SQL Server Management Studio)

  • How to: Work with Replication Agent Profiles (Replication Transact-SQL Programming)

  • Pojęcia dotyczące replikacja agenta pliki wykonywalne

• Uruchom Każdy agent replikacja przy użyciu innego konta systemu Windows, a za pomocą uwierzytelnianie systemu Windows dla wszystkich połączeń agent replikacja.Aby uzyskać więcej informacji na temat określania kont Zobacz Zarządzanie logowania i hasła w replikacja.

• Udziel tylko wymagane uprawnienia do każdego agenta.Aby uzyskać więcej informacji zobacz część "Uprawnienia wymagane przez agentów" Replication Agent Security Model.

• Upewnij się, wszystkie agenta korespondencji seryjnej i dystrybucji agenta konta są na liście publikacja dostępu (PAL).Aby uzyskać więcej informacji zobacz Securing the Publisher.

• Postępuj zgodnie z zasadę najmniejszego uprawnienia, umożliwiając kont w PAL, tylko uprawnienia, których potrzebują do wykonywania zadań replikacja.Nie dodawaj logowania do wszystkich ról serwerów stałych, które nie są wymagane dla replikacja.

• Konfigurowanie udział migawka aby zezwolić na dostęp do odczytu przez wszystkich agentów korespondencji seryjnej i agenci dystrybucji.przypadek braku migawki dla publikacji z filtrami sparametryzowana upewnij się, że każdy folder jest skonfigurowany do zezwalania na dostęp tylko do odpowiednich kont Agent korespondencji seryjnej.

• Skonfiguruj udziału migawka, aby zezwolić na dostęp do zapisu przez agenta migawka.

• Jeżeli korzystasz z subskrypcji ściąganej, należy użyć udziału sieciowego, a nie ścieżka lokalną dla folderu migawka.

Jeśli Twój topologia replikacja obejmuje komputery, które nie znajdują się w tej samej domena lub znajdują się w domenach, których nie ma relacji zaufania z innymi, można używać uwierzytelniania systemu Windows lub SQL Server Uwierzytelnianie dla połączeń przez agentów (Aby uzyskać więcej informacji o domenach, zobacz w dokumentacji systemu Windows). Ze względów bezpieczeństwa zaleca się korzystanie z uwierzytelnianie systemu Windows.

• Do korzystania z uwierzytelnianie systemu Windows:

  • Dodaj konto lokalne Windows (a nie na koncie domena) dla każdego agenta na odpowiednie węzły (za pomocą tej samej nazwy i hasła w każdym węźle).Na przykład Agent dystrybucji subskrypcja wypychana działa na dystrybutor i sprawia, że połączenia dystrybutor i subskrybent.Konto dla agenta dystrybucji powinny zostać dodane do dystrybutor i subskrybent.

  • Upewnij się, czy danej agent (na przykład Agent dystrybucji dla subskrypcja) jest uruchamiany przy użyciu tego samego konta na każdym komputerze.

• Aby użyć SQL Server Uwierzytelnianie:

  • Dodawanie SQL Server konta dla każdego agenta na odpowiednie węzły (za pomocą tej samej nazwy konta i hasła w każdym węźle). Na przykład Agent dystrybucji subskrypcja wypychana działa na dystrybutor i sprawia, że połączenia dystrybutor i subskrybent.The SQL Server account for the Distribution Agent should be added to the dystrybutor and subskrybent.

  • Upewnij się, że dany agent (na przykład Agent dystrybucji dla subskrypcja) ustanawiającym połączenie z tego samego konta na każdym komputerze.

  • W sytuacjach, które wymagają użycia SQL Server Uwierzytelnianie, dostęp do udziałów UNC w migawka często nie jest dostępna (na przykład dostęp może być blokowany przez zaporę). W takim przypadek można przenieść migawkę do subskrybentów za pośrednictwem protokół przesyłania plików (FTP).Aby uzyskać więcej informacji zobacz Przenoszenie migawek za pośrednictwem FTP.