Architektura zabezpieczeń dla sieci Web synchronizacji
Microsoft SQL Server enables fine-grained control over the configuration of Web synchronization security.Ten temat zawiera pełną listę składników, które mogą być zawarte w synchronizacja w sieci Web konfiguracja i informacje o połączeniach, dokonane między składnikami.Gdy jest to możliwe, należy używać uwierzytelniania systemu Windows.
Na poniższej ilustracji przedstawiono możliwych połączeń, ale niektóre połączenia nie może być wymagana w określonej topologii.Na przykład połączenie z serwerem FTP jest wymagana tylko wtedy, gdy migawka jest dostarczana przy użyciu protokołu FTP.
.gif "Składniki i połączenia w synchronizacji sieci Web")
W poniższych tabelach opisano składniki i połączeń, które są pokazane na rysunku.
A.Użytkownik systemu Windows uruchamiana agenta korespondencji seryjnej
Podczas synchronizacji subskrybent uruchomiono agenta scalania (A).Agent scalania można uruchomić z SQL Server krok zadanie agenta lub autonomicznych niestandardowych aplikacji.Jeśli scalanie Agent jest uruchamiany z SQL Server krok zadanie agenta, scalanie Agent jest uruchamiany w kontekście użytkownika systemu Windows, który określisz.Jeśli nie określisz użytkownika systemu Windows, Agent scalania jest uruchamiany w kontekście konta usługa Windows dla SQL Server agenta.
Typ konta |
Jeżeli określono konto |
|---|---|
Użytkownik systemu Windows |
Transact-SQL: @ job_login i @ job_password parametry sp_addmergepullsubscription_agent. RMO (replikacji Management Objects): Login() i Password() Właściwości SynchronizationAgentProcessSecurity. |
Konto dla usługa Windows SQL Server Agent |
SQL Server Menedżer konfiguracji |
Aplikacja autonomiczna |
Scalanie Agent jest uruchamiany w kontekście użytkownika systemu Windows, na którym działa aplikacja. |
B.Połączenie subskrybenta
Agent scalić łączy subskrybenta przy użyciu uwierzytelniania systemu Windows lub SQL Server uwierzytelniania.Użytkownik systemu Windows lub SQL Server logowania określony muszą być skojarzone z użytkownika bazy danych, który jest członkiem dbowner ustaloną rola bazy danych w baza danych subskrypcja.
Ostrzeżenie
Uwierzytelnianie systemu Windows jest zawsze używany podczas uruchamiania agenta scalić z SQL Server zadanie agenta.Uwierzytelnianie systemu Windows jest używane również podczas scalania agenta jest uruchomiona programowo, chyba że SQL Server uwierzytelniania został jawnie określony.
Typ uwierzytelnianie |
Jeżeli określono uwierzytelnianie |
|---|---|
|
Agent scalić sprawia, że połączenia w kontekście użytkownika Windows określonego dla agenta scalania (A). |
SQL Server Uwierzytelnianie jest używane tylko wtedy, gdy określono następujące czynności:
|
RMO: SubscriberLoginand SubscriberPassword. Scal agenta wiersza polecenia: -SubscriberLogin i - subscriberlogin. |
C.Połączenia wychodzące serwerem Proxy
Użytkownik systemu Windows dla tego połączenia należy określić tylko wtedy, gdy wychodzące serwer proxy, który ogranicza dostęp do sieci wewnętrznej subskrybenta.
Typ uwierzytelnianie |
Jeżeli określono uwierzytelnianie |
|---|---|
Uwierzytelnianie systemu Windows |
RMO: InternetProxyLoginand InternetProxyPassword with InternetProxyServer. Scal agenta wiersza polecenia: -InternetProxyLogin i - internetproxypassword z - internetproxyserver. |
D.Połączenie internetowe usługi informacyjne
Po łączenie z subskrybenta i wyodrębnianie zmiany z baza danych subskrypcja, Agent scalić sprawia, że żądanie HTTPS do Microsoft Internet Information Services (IIS) i zmiany danych przekazywania wiadomości XML.Scalanie Agent musi mieć uprawnienia logowania do programu IIS.
Typ uwierzytelnianie |
Jeżeli określono uwierzytelnianie |
|---|---|
Uwierzytelnianie podstawowe jest używana, jeśli określono przez jedną z następujących:
|
Transact-SQL: @ internet_login i @ internet_password parametry sp_addmergepullsubscription_agent. RMO: InternetLoginand InternetPassword. Scal agenta wiersza polecenia: -InternetLogin i - internetpassword. |
Zintegrowane uwierzytelnianie1 jest używana, jeśli określono przez jedną z następujących:
|
Agent scalić sprawia, że połączenia w kontekście użytkownika Windows określonego dla agenta scalania (A). |
1 Zintegrowanego uwierzytelnianie mogą być używane tylko wtedy, gdy wszystkie komputery w tej samej domena lub w wielu domenas, które mają relacje zaufania między sobą.
Ostrzeżenie
Delegowanie jest wymagane, jeśli używasz zintegrowanego uwierzytelniania.Zaleca się, aby używać uwierzytelniania podstawowego i SSL dla połączeń od subskrybenta do programu IIS.
E.PołączenieWydawca
SQL Server Odbiornika replikacji i składniki Reconciler scalania replikacji są obsługiwane na komputerze, na którym jest uruchomiony program IIS.Te składniki, wykonaj następujące czynności:
Odbiór żądania HTTPS, opisaną w sekcji "D.Połączenie internetowe usługi informacyjne".
Połączenie SQL do baza danych publikacja i Zastosuj zmiany przekazany do baza danych publikacja.
Wyodrębnij pobrane zmiany i wysłać odpowiedź HTTPS do agenta scalania.
Reconciler scalania replikacji łączy się z Wydawca za pomocą uwierzytelniania systemu Windows albo lub SQL Server uwierzytelniania.Użytkownik systemu Windows lub SQL Server logowania określony musi spełniać następujące warunki:
W lista dostępu do publikacja (PAL).Aby uzyskać więcej informacji, zobacz ZabezpieczanieWydawca.
Być skojarzone z użytkownikiem w baza danych publikacja.
Typ uwierzytelnianie |
Jeżeli określono uwierzytelnianie |
|---|---|
Jest używane uwierzytelnianie systemu Windows, jeśli określono przez jedną z następujących czynności:
|
Agent scalić sprawia, że połączenia do Wydawca w kontekście użytkownika Windows określonego dla połączenia usług IIS (D).Wydawca i usługi IIS działają na różnych komputerach i zintegrowanego uwierzytelniania jest używany do połączenia (D), należy włączyć delegowanie Kerberos na komputerze, na którym działa program IIS.Aby uzyskać więcej informacji zobacz dokumentację systemu Windows. |
SQL Server Uwierzytelnianie jest używane, jeśli określono przez jedną z następujących czynności:
|
Transact-SQL: @ publisher_login i @ publisher_password parametry sp_addmergepullsubscription_agent. RMO: PublisherLoginand PublisherPassword. Scal agenta wiersza polecenia: -PublisherLogin i - publisherpassword. |
F.Połączenia do dystrybutora
Reconciler replikacji scalania jest obsługiwana na komputerze, na którym działa program IIS powoduje połączeń do dystrybutora.Za pomocą uwierzytelniania systemu Windows albo Reconciler scalania replikacji łączy dystrybutora lub SQL Server uwierzytelniania.Użytkownik systemu Windows lub SQL Server logowania określony musi spełniać następujące warunki:
Mieć dostęp do publikacja (PAL).Aby uzyskać więcej informacji, zobacz ZabezpieczanieWydawca.
Być skojarzone z użytkownikiem bazy danych w baza danych dystrybucji.Użytkownik może być Guest użytkownika.
Migawka udziału jest zazwyczaj na dystrybutora.Aby uzyskać więcej informacji na temat migawka udziałów można znaleźć w sekcji "H.Dostęp do udziału migawka" w dalszej części tego tematu.
|
Jeżeli określono uwierzytelnianie |
|---|---|
Jest używane uwierzytelnianie systemu Windows, jeśli określono przez jedną z następujących czynności:
|
Agent scalić sprawia, że połączenia do dystrybutora w kontekście użytkownika Windows określonego dla połączenia usług IIS (D).Jeśli dystrybutor i IIS znajdują się na różnych komputerach i zintegrowanego uwierzytelniania jest używany do połączenia (D), należy włączyć delegowanie Kerberos na komputerze, na którym działa program IIS.Aby uzyskać więcej informacji zobacz dokumentację systemu Windows. |
SQL Server Uwierzytelnianie jest używane, jeśli określono przez jedną z następujących czynności:
|
Transact-SQL: @ distributor_login i @ distributor_password parametry sp_addmergepullsubscription_agent. RMO: DistributorLogin i DistributorPassword Scal agenta wiersza polecenia: -DistributorLogin i - distributorpassword. |
G.Połączenie z serwerem FTP
Użytkownik systemu Windows dla tego połączenia należy określić tylko wtedy, gdy będzie pobierał migawkę plików z serwera FTP, zamiast z lokalizacji UNC na komputerze, na którym działa program IIS przed zastosowaniem migawka subskrybenta.Aby uzyskać więcej informacji, zobacz Transferowanie migawki za pośrednictwem FTP.
Typ uwierzytelnianie |
Jeżeli określono uwierzytelnianie |
|---|---|
Uwierzytelnianie systemu Windows |
Transact-SQL: @ ftp_login i @ ftp_password parametry sp_addmergepublication. RMO: FtpLoginand FtpPassword. |
H.Dostęp doudział migawki
Migawka udziału uzyskują Reconciler replikacji scalania jest obsługiwana na komputerze, na którym działa program IIS.
Typ uwierzytelnianie |
Jeżeli określono uwierzytelnianie |
|---|---|
Uwierzytelnianie systemu Windows |
Agent scalić uzyskuje dostęp do migawka udziału w kontekście użytkownika Windows określonego dla połączenia usług IIS (D).Migawka udziału i IIS znajdują się na różnych komputerach i zintegrowanego uwierzytelniania jest używany do połączenia (D), należy włączyć delegowanie Kerberos na komputerze, na którym działa program IIS.Aby uzyskać więcej informacji zobacz dokumentację systemu Windows. |
I.Konta puli aplikacji usług IIS
To konto jest używane, aby rozpocząć proces W3wp.exe na komputerze, na którym działa program IIS dla Windows Server 2003 lub procesu Dllhost.exe na Windows 2000.Procesy te obsługiwanie aplikacji na komputerze, na którym działa program IIS, takie jak SQL Server odbiornika replikacji i Reconciler replikacji scalania.To konto powinno mieć odczytu i wykonać uprawnienia do replikacja następujących bibliotek DLL na komputerze, na którym działa program IIS:
Replisapi
Replrec
Replprov
Msgprox
Xmlsub
Konto powinny również być częścią grupy IIS_WPG.Aby uzyskać więcej informacji, zobacz sekcję "Ustawianie uprawnień do SQL Server odbiornika replikacji" in Jak Skonfigurować usługi IIS Web synchronizacji.
Typ konta |
Jeżeli określono konto |
|---|---|
Każdy użytkownik systemu Windows ma wymagane uprawnienia. |
Internet Information Services Manager (IIS).Domyślnie na Windows Server 2003, konto używane jest Usługa sieciowa. |
Zobacz także