Sécurisation du dossier de capture instantanée
Le dossier de capture instantanée est un répertoire qui stocke les fichiers de captures intantanées ; il vous est recommandé de dédier ce dossier au stockage des captures. Accordez à l'Agent de capture instantanée l'autorisation d'écriture sur ce dossier, et assurez-vous que l'autorisation de lecture n'est accordée qu'au compte Windows qu'utilise l'Agent de fusion ou l'Agent de distribution lorsqu'il accède à ce dossier. Pour accéder à un dossier de capture instantanée situé sur un ordinateur distant, le compte Windows associé à l'Agent doit être un compte de domaine.
Notes
Windows Vista comprend une nouvelle fonctionnalité Contrôle de compte d'utilisateur qui aide les administrateurs à gérer leurs droits utilisateur élevés (parfois appelés privilèges). Par défaut, sous Windows Vista, les administrateurs n'utilisent pas leurs droits d'administration. À la place, ils effectuent la plupart des actions en tant qu'utilisateurs standard (non administratifs), assumant temporairement leurs droits d'administration seulement lorsque cela est nécessaire. La fonctionnalité Contrôle de compte d'utilisateur peut empêcher l'accès administratif au partage de fichiers de captures instantanées. Vous devez donc octroyer explicitement des autorisations sur le partage de fichiers de captures instantanées aux comptes Windows qui sont utilisés par l'Agent de capture instantanée, l'Agent de distribution et l'Agent de fusion. Vous devez effectuer cette opération même si les comptes Windows sont membres du groupe Administrateurs.
Lorsque vous configurez un serveur de distribution au moyen de l'Assistant Configuration de distribution ou de l'Assistant Nouvelle publication, le dossier de capture instantanée est installé par défaut sur un chemin local : X:\Program Files\Microsoft SQL Server\<instance>\MSSQL\ReplData. Si vous utilisez un serveur de distribution distant ou des abonnements par extraction de données, vous devez spécifier un partage réseau UNC (tel que \\<computername>\snapshot) plutôt qu'un chemin local.
Lorsque vous accordez des autorisations d'accès au dossier de capture instantanée, faites-le en fonction du mode d'accès au dossier. Les onglets de boîte de dialogue suivants sont utilisés dans Microsoft Windows 2003 :
Si vous spécifiez un chemin local, accordez les autorisations dans l'onglet Sécurité de la boîte de dialogue Propriétés du dossier.
Si vous spécifiez un partage réseau, accordez les autorisations dans l'onglet Partage de la boîte de dialogue Propriétés du dossier.
Notes
Si l'agent de réplication est exécuté sur le serveur de distribution, utilisez les options de l'onglet Sécurité (boîte de dialogue Propriétés) du dossier pour accorder des autorisations au compte Windows servant à l'exécution de l'agent. Faites-le même si vous utilisez un partage réseau. Cette situation concerne l'Agent de fusion et l'Agent de distribution dans le cadre d'un abonnement par envoi de données (push) et l'Agent de capture instantanée lorsque les serveurs de publication et de distribution se trouvent sur le même ordinateur.
Pour plus d'informations sur la définition d'autorisations pour les chemins locaux et les partages réseau, consultez la documentation Windows.
Notes
Si une publication est abandonnée, la réplication tente de supprimer le dossier de capture instantanée dans le contexte de sécurité du compte de service SQL Server. Si ce compte ne détient pas les privilèges suffisants, connectez-vous à l'aide d'un compte qui dispose des bons privilèges et supprimez le dossier manuellement. La suppression d'un dossier nécessite le privilège Modification si le dossier a un chemin local, et le privilège Contrôle total si le dossier a un chemin réseau.
Remise de captures instantanées via FTP
Une pratique de sécurité vous recommande de stocker les captures instantanées dans un partage UNC, mais elles peuvent également être stockées dans un partage FTP puis remises à un Abonné via FTP. Lors de la configuration du serveur FTP, assurez-vous que le répertoire virtuel expose un partage UNC sous-jacent qui accorde à l'Agent de capture instantanée un accès en écriture pour la publication.
Pour configurer un Abonné pour qu'il récupère la capture instantanée via FTP, commencez par configurer un serveur FTP avec un nom de connexion et un mot de passe FTP donnant aux Abonnés un accès en lecture (ou accès « get ») pour leur permettre de télécharger les fichiers de captures instantanées.
Pour remettre des captures instantanées via FTP
SQL Server Management Studio: Procédure : remettre une capture instantanée via FTP (SQL Server Management Studio)
Programmation de réplication Transact-SQL : Procédure : remettre une capture instantanée via FTP (SQL Server Management Studio)
Pour plus d'informations sur la définition et la modification du mot de passe d'accès aux captures instantanées via FTP, consultez la section « Remise de captures instantanées via FTP » dans Définition des connexions et des mots de passe lors de la création de publications.