Najważniejsze wskazówki dotyczące zabezpieczeń replikacji

Replikacja przenosi dane w rozproszonych środowiskach od intranetów na jednym domena aplikacjom dostęp do danych między niezaufanymi domenas i w Internecie.Jest zrozumieć najlepszym podejściem w celu zabezpieczania połączeń replikacja tych różnych okolicznościach.

Istotne dla replikacja we wszystkich środowiskach są następujące informacje:

• Szyfrowanie połączenia między komputerami w topologia replikacja za pomocą standardowa metoda, takie jak wirtualne sieci prywatne (VPN, Virtual Private Network), Secure Sockets Layer (SSL) lub zabezpieczenia IP (IPSEC).Aby uzyskać więcej informacji, zobacz Szyfrowania połączeńSQL Server.Informacje, replikowanie danych przez Internet przy użyciu sieci VPN i SSL, zobacz Zabezpieczanie replikacji w Internecie.

  Używać protokołu SSL do zabezpieczania połączeń między komputerami w topologia replikacja, określ wartość 1 lub 2 dla - encryptionlevel parametr każdego agenta replikacja (wartość 2 jest zalecane).Wartość 1 Określa, że używane jest szyfrowanie, ale agent nie sprawdza, czy certyfikat serwera SSL jest podpisany przez zaufaną emitenta; wartość 2 Określa, czy certyfikat jest prawidłowy.Parametry agenta można określić w profilach agenta i w wierszu polecenia.Aby uzyskać więcej informacji, zobacz:

  • Jak Praca z profilami Agent replikacji (SQL Server Management Studio)

  • Jak Wyświetlanie i modyfikowanie parametrów wiersza polecenia Agent replikacji (SQL Server Management Studio)

  • Jak Praca z profilami Agent replikacji (Programowanie replikacji Transact-SQL)

  • Pojęcia dotyczące plików wykonywalnych Agent replikacji

• Uruchom każdy agent replikacja przy użyciu innego konta systemu Windows i uwierzytelniania systemu Windows dla wszystkich połączeń agent replikacja.Aby uzyskać więcej informacji na temat określania kont, zobacz Zarządzanie logowania i hasła w replikacji.

• Udziel wymagane uprawnienia każdego agenta.Aby uzyskać więcej informacji zobacz "Uprawnienia wymagane przez agentów" sekcja Model zabezpieczeń Agent replikacji.

• Zapewnić wszystkie konta agenta scalanie i dystrybucji agenta lista dostępu do publikacja (PAL).Aby uzyskać więcej informacji, zobacz ZabezpieczanieWydawca.

• Wykonaj zasadę najmniejszego uprawnienia, umożliwiając kont w PAL tylko uprawnienia, których potrzebują do wykonywania zadań replikacja.Nie dodawaj logowania wszystkie role serwera stałych, które nie są wymagane dla replikacja.

• Skonfiguruj udziału migawka, aby umożliwić dostęp do odczytu przez wszystkich agentów scalanie i dystrybucji agentów.W przypadek migawek dla publikacji z filtrami sparametryzowana upewnić się, że konfiguracja każdego folderu, umożliwiają dostęp tylko do odpowiednich kont scalić agenta.

• Skonfiguruj udziału migawka, aby umożliwić dostęp do zapisu przez agenta migawka.

• Jeśli używasz ściągać subskrypcje, należy użyć udziału sieciowego, a nie ścieżki lokalnej dla folderu migawka.

Jeśli Twój topologia replikacja zawiera komputery, które nie są w tej samej domenie lub w domenach, które nie mają relacji zaufania z innymi, można używać uwierzytelniania systemu Windows lub SQL Server uwierzytelniania dla połączeń przez agentów (Aby uzyskać więcej informacji o domenachzobacz dokumentację systemu Windows).Ze względów bezpieczeństwa zaleca się korzystanie z uwierzytelniania systemu Windows.

• Uwierzytelnianie systemu Windows:

  • Dodaj konto lokalne Windows (nie konto domena) dla każdego agenta na odpowiednie węzły (Użyj tej samej nazwy i hasła na każdym węźle).Na przykład agenta dystrybucji dla subskrypcja wypychana działa na dystrybutora i sprawia, że połączenia dystrybutora i subskrybenta.Konto systemu Windows dla agenta dystrybucji powinny zostać dodane do dystrybutora i abonenta.

  • Zapewnienia danym agent (na przykład Agent dystrybucji dla subskrypcja) działa na każdym komputerze na koncie.

• Aby użyć SQL Server uwierzytelniania:

  • Dodaj SQL Server konta dla każdego agenta na odpowiednie węzły (Użyj tej samej nazwy konta i hasła na każdym węźle).Na przykład agenta dystrybucji dla subskrypcja wypychana działa na dystrybutora i sprawia, że połączenia dystrybutora i subskrybenta. SQL Server Konto agenta dystrybucji powinny zostać dodane do dystrybutora i subskrybenta.

  • Upewnij się, że dany agent (na przykład Agent dystrybucji dla subskrypcja) czyni połączeń na koncie na każdym komputerze.

  • W sytuacjach wymagających SQL Server Uwierzytelnianie dostępu do udziałów migawka UNC są często niedostępne (na przykład dostęp może być blokowany przez zaporę).W takim przypadek można przenieść migawka subskrybentom za pośrednictwem protokół przesyłania plików (FTP).Aby uzyskać więcej informacji, zobacz Transferowanie migawki za pośrednictwem FTP.