Proteger el publicador
Los siguientes agentes de replicación se conectan al publicador:
Agente de registro del LOG
Agente de instantáneas
Agente de lectura de cola
Agente de mezcla
Se recomienda proporcionar un inicio de sesión adecuado para estos agentes, seguir el principio de conceder los derechos mínimos necesarios y proteger el almacenamiento de todas las contraseñas. Para obtener información sobre cómo administrar inicios de sesión y contraseñas, vea Administrar inicios de sesión y contraseñas en la replicación. Para obtener información acerca de los permisos necesarios para cada agente, vea Modelo de seguridad del Agente de replicación.
Además de administrar inicios de sesión y contraseñas correctamente, es necesario comprender la función de la lista de acceso a la publicación (PAL). Esta lista se utiliza para permitir que los inicios de sesión tengan acceso a los datos de la publicación al tiempo que se restringe el acceso ad hoc a la base de datos en el publicador.
Lista de acceso a la publicación
La PAL es el mecanismo principal para proteger las publicaciones en el publicador. La PAL funciona de forma similar a las listas de control de acceso de Microsoft Windows. Cuando se crea una publicación, la replicación crea una PAL para la publicación. La PAL puede configurarse para que contenga una lista de los inicios de sesión y los grupos a los que se han concedido permiso de acceso a la publicación. Cuando un agente se conecta al publicador o al distribuidor y solicita acceso a una publicación, la información de autenticación de la PAL se compara con el inicio de sesión del publicador que proporciona el agente. Este proceso proporciona seguridad adicional para el publicador al impedir que una herramienta de cliente utilice el inicio de sesión del publicador y del distribuidor para realizar modificaciones directamente en el publicador.
[!NOTA]
La replicación crea una función en el publicador para cada publicación para exigir la pertenencia a la PAL. La función tiene un nombre con el formato Msmerge_<idDePublicación> para la replicación de mezcla y MSReplPAL_<idDeBaseDeDatosDePublicaciones>_<idDePublicación> para la replicación transaccional y de instantáneas.
Los inicios de sesión incluidos en la PAL de forma predeterminada son: los miembros de la función fija de servidor sysadmin cuando se crea la publicación y el inicio de sesión utilizado para crear la publicación. De forma predeterminada, todos los inicios de sesión miembros de la función fija de servidor sysadmin o la función fija de base de datos db_owner en la base de datos de publicaciones pueden suscribirse a una publicación sin agregarse explícitamente a la PAL.
Cuando utilice la PAL, tenga en cuenta las siguientes directrices:
Debe asociar el inicio de sesión de SQL Server a un usuario de la base de datos de publicaciones antes de agregar el inicio de sesión a la PAL.
Respete el principio de privilegios mínimos proporcionando a los inicios de sesión de la PAL sólo los permisos que necesitan para realizar tareas de replicación. No agregue los inicios de sesión a ninguna función fija de base de datos o funciones de servidor que no sean necesarias para replicación. Para obtener más información acerca de los permisos necesarios, vea Modelo de seguridad del Agente de replicación y Prácticas recomendadas de seguridad de replicación.
Si se utiliza un distribuidor remoto, las cuentas de la lista de acceso de la publicación deben estar disponibles tanto en el publicador como en el distribuidor. La cuenta debe ser una cuenta de dominio o una cuenta local que esté definida en ambos servidores. Las contraseñas asociadas a ambos inicios de sesión deben ser iguales.
Si la PAL contiene cuentas de Windows y el dominio utiliza Active Directory, la cuenta con la que se ejecuta SQL Server debe tener permisos de lectura en Active Directory. Si tiene problemas con cuentas de Windows, asegúrese de que la cuenta con la que se ejecuta SQL Server tiene permisos suficientes. Para obtener más información, vea la documentación de Windows.
Para administrar la PAL
SQL Server Management Studio: Cómo administrar los inicios de sesión en la lista de acceso a la publicación (SQL Server Management Studio)
Programación de la replicación con Transact-SQL: Cómo administrar los inicios de sesión en la lista de acceso a la publicación (programación de la replicación con Transact-SQL)