Architecture de la sécurité pour la synchronisation web
S’applique à :
SQL Server
Microsoft SQL Server permet un contrôle précis sur la configuration de la sécurité de synchronisation web. Cette rubrique donne une liste complète de tous les composants qui peuvent être inclus dans une configuration de synchronisation Web, ainsi que des informations sur les connexions qui sont établies entre ces composants. Lorsque c'est possible, utilisez l'authentification Windows.
L'illustration suivante présente toutes les connexions envisageables, mais il est possible que certaines d'entre elles ne soient pas nécessaires dans une topologie donnée. Par exemple, une connexion à un serveur FTP est nécessaire uniquement si l'instantané est remis à l'aide de FTP.
Les tableaux suivants décrivent les composants et les connexions présentés dans l'illustration.
A. Utilisateur Windows sous lequel l'Agent de fusion est exécuté
Au cours de la synchronisation, l'Agent de fusion (A) est démarré chez l'Abonné. Le Agent de fusion peut être démarré à partir d’une étape de travail SQL Server Agent ou d’une application personnalisée autonome. Si le Agent de fusion est démarré à partir d’une étape de travail SQL Server Agent, le Agent de fusion s’exécute dans le contexte d’un utilisateur Windows que vous spécifiez. Si vous ne spécifiez pas d’utilisateur Windows, le Agent de fusion s’exécute sous le contexte du compte de service Windows pour SQL Server Agent.
| Type de compte | Emplacement de spécification du compte |
|---|---|
| utilisateur Windows | Transact-SQL : paramètres @job_login de @job_passwordsp_addmergepullsubscription_agent.RMO (Replication Management Objects) : propriétés Login et Password de SynchronizationAgentProcessSecurity. |
| Compte de service Windows pour SQL Server Agent | Gestionnaire de configuration SQL Server |
| Application indépendante | L'Agent de fusion est exécuté dans le contexte de l'utilisateur Windows qui exécute l'application. |
B. Connexion à l'Abonné
Le Agent de fusion se connecte à l’Abonné à l’aide de l’authentification Windows ou de l’authentification SQL Server. L’utilisateur Windows ou la connexion SQL Server que vous spécifiez doivent être associés à un utilisateur de base de données membre du rôle de base de données fixe dbowner dans la base de données d’abonnement.
Remarque
L’authentification Windows est toujours utilisée lorsque le Agent de fusion est démarré à partir d’un travail SQL Server Agent. L’authentification Windows est également utilisée lorsque le Agent de fusion est démarré par programme, sauf si l’authentification SQL Server est spécifiée explicitement.
| Type d'authentification | Emplacement de spécification de l'authentification |
|---|---|
| - Authentification Windows. | L'Agent de fusion établit les connexions dans le contexte de l'utilisateur Windows spécifié pour l'Agent de fusion (A). |
| L’authentification SQL Server est utilisée uniquement si les éléments suivants sont spécifiés : - Objets RMO : valeur Standard pour SubscriberSecurityMode. - Ligne de commande de l’Agent de fusion : valeur 0 pour SubscriberSecurityMode. |
Objets RMO : SubscriberLogin et SubscriberPassword. Ligne de commande de l'Agent de fusion : -SubscriberLogin et -SubscriberLogin. |
C. Connexion à un serveur proxy sortant
Spécifiez un utilisateur Windows pour cette connexion uniquement si un serveur proxy sortant limite l'accès au réseau interne de l'Abonné.
| Type d'authentification | Emplacement de spécification de l'authentification |
|---|---|
| Authentification Windows | Objets RMO : InternetProxyLogin et InternetProxyPassword avec InternetProxyServer. Ligne de commande de l'Agent de fusion : -InternetProxyLogin et -InternetProxyPassword avec -InternetProxyServer. |
D. Connexion à IIS
Après la connexion à l’Abonné et l’extraction des modifications apportées à la base de données d’abonnement, l’Agent de fusion effectue une requête HTTPS auprès de Microsoft Internet Information Services (IIS) et charge les modifications de données en tant que message XML. L'Agent de fusion doit disposer d'autorisations d'ouverture de session sur IIS.
| Type d'authentification | Emplacement de spécification de l'authentification |
|---|---|
| L'authentification de base est utilisée si l'une des conditions suivantes est spécifiée : - Transact-SQL : valeur 0 pour le @internet_security_mode paramètre de sp_addmergepullsubscription_agent.- Objets RMO : valeur Standard pour InternetSecurityMode. - Ligne de commande de l’Agent de fusion : valeur 0 pour -InternetSecurityMode. |
Transact-SQL : paramètres @internet_login de @internet_passwordsp_addmergepullsubscription_agent.Objets RMO : InternetLogin et InternetPassword. Ligne de commande de l'Agent de fusion : -InternetLogin et -InternetPassword. |
| L'authentification intégrée1 est utilisée si l'une des conditions suivantes est spécifiée : - Transact-SQL : valeur 1 pour le @internet_security_mode paramètre de sp_addmergepullsubscription_agent.- Objets RMO : valeur Integrated pour InternetSecurityMode. - Ligne de commande de l’Agent de fusion : valeur 1 pour -InternetSecurityMode. |
L'Agent de fusion établit les connexions dans le contexte de l'utilisateur Windows spécifié pour l'Agent de fusion (A). |
1 L'authentification intégrée peut être utilisée uniquement si tous les ordinateurs appartiennent au même domaine ou à des domaines différents liés l'un à l'autre par des relations d'approbation.
Remarque
La délégation est nécessaire en cas d'utilisation de l'authentification intégrée. Nous vous recommandons d'utiliser l'authentification de base et TLS pour les connexions de l'Abonné vers IIS.
E. Connexion au serveur de publication
Les composants Réplication SQL Server écouteur et de réplication de fusion sont hébergés sur l’ordinateur exécutant IIS. Ces composants réalisent les actions suivantes :
Ils récupèrent la demande HTTPS décrite dans la section « D. Connexion à IIS ».
Ils établissent une connexion SQL à la base de données de publication et lui appliquent les modifications téléchargées.
Ils extraient les modifications téléchargées et renvoient une réponse HTTPS à l'Agent de fusion.
Le rapprochement de réplication de fusion se connecte au serveur de publication à l’aide de l’authentification Windows ou de l’authentification SQL Server. L’utilisateur Windows ou la connexion SQL Server que vous spécifiez doivent se conformer aux éléments suivants :
faire partie de la liste d'accès à la publication (PAL, Publication Access List). Pour plus d’informations, consultez Sécuriser le serveur de publication.
être associé à un utilisateur de la base de données de publication.
| Type d'authentification | Emplacement de spécification de l'authentification |
|---|---|
| L'authentification Windows est utilisée si l'une des conditions suivantes est spécifiée : - Transact-SQL : valeur 1 pour le @publisher_security_mode paramètre de sp_addmergepullsubscription_agent.- Objets RMO : valeur Integrated pour PublisherSecurityMode. - Ligne de commande de l’Agent de fusion : valeur 1 pour -PublisherSecurityMode. |
L'Agent de fusion établit les connexions au serveur de publication dans le contexte de l'utilisateur Windows spécifié pour la connexion à IIS (D). Si le serveur de publication et IIS se trouvent sur des ordinateurs différents et si l'authentification intégrée est utilisée pour la connexion (D), vous devez activer la délégation Kerberos sur l'ordinateur exécutant IIS. Pour plus d'informations, consultez la documentation Windows. |
| L’authentification SQL Server est utilisée si l’un des éléments suivants est spécifié : - Transact-SQL : valeur 0 pour le @publisher_security_mode paramètre de sp_addmergepullsubscription_agent.- Objets RMO : valeur Standard pour PublisherSecurityMode. - Ligne de commande de l’Agent de fusion : valeur 0 pour -PublisherSecurityMode. |
Transact-SQL : paramètres @publisher_login de @publisher_passwordsp_addmergepullsubscription_agent.Objets RMO : PublisherLogin et PublisherPassword. Ligne de commande de l'Agent de fusion : -PublisherLogin et -PublisherPassword. |
F. Connexion au serveur de distribution
Le réconciliateur de réplication de fusion hébergé sur l'ordinateur exécutant IIS établit également des connexions au serveur de distribution. Le rapprochement de réplication de fusion se connecte au serveur de distribution à l’aide de l’authentification Windows ou de l’authentification SQL Server. L’utilisateur Windows ou la connexion SQL Server que vous spécifiez doivent se conformer aux éléments suivants :
faire partie de la liste d'accès à la publication (PAL, Publication Access List). Pour plus d’informations, consultez Sécuriser le serveur de publication.
être associé à un utilisateur de la base de données de distribution. l'utilisateur peut être un Guest ;
Le partage de fichiers d'instantanés se trouve en général sur le serveur de distribution. Pour plus d'informations sur les partages d'instantanés, consultez la section « H. Accès au partage de fichiers d'instantanés » plus loin dans cette rubrique.
| - Type d’authentification | Emplacement de spécification de l'authentification |
|---|---|
| L'authentification Windows est utilisée si l'une des conditions suivantes est spécifiée : - Transact-SQL : valeur 1 pour le @distributor_security_mode paramètre de sp_addmergepullsubscription_agent.- Objets RMO : valeur Integrated pour DistributorSecurityMode. - Ligne de commande de l’Agent de fusion : valeur 1 pour -DistributorSecurityMode. |
L'Agent de fusion établit les connexions au serveur de distribution dans le contexte de l'utilisateur Windows spécifié pour la connexion à IIS (D). Si le serveur de distribution et IIS se trouvent sur des ordinateurs différents et si l'authentification intégrée est utilisée pour la connexion (D), vous devez activer la délégation Kerberos sur l'ordinateur exécutant IIS. Pour plus d'informations, consultez la documentation Windows. |
| L’authentification SQL Server est utilisée si l’un des éléments suivants est spécifié : - Transact-SQL : valeur 0 pour le @distributor_security_mode paramètre de sp_addmergepullsubscription_agent.- Objets RMO : valeur Standard pour DistributorSecurityMode. - Ligne de commande de l’Agent de fusion : valeur 0 pour -DistributorSecurityMode. |
Transact-SQL : paramètres @distributor_login de @distributor_passwordsp_addmergepullsubscription_agent.Objets RMO : DistributorLogin et DistributorPassword Ligne de commande de l'Agent de fusion : -DistributorLogin et -DistributorPassword. |
G. Connexion à un serveur FTP
Spécifiez un utilisateur Windows pour cette connexion uniquement si vous allez télécharger des fichiers d'instantanés à partir d'un serveur FTP au lieu d'un emplacement UNC vers l'ordinateur exécutant IIS avant d'appliquer l'instantané à l'Abonné. Pour plus d’informations, consultez Transférer des instantanés via FTP.
| Type d'authentification | Emplacement de spécification de l'authentification |
|---|---|
| Authentification Windows | Transact-SQL : paramètres @ftp_login de @ftp_passwordsp_addmergepublication.Objets RMO : FtpLogin et FtpPassword. |
H. Accès au partage de fichiers d'instantanés
L'accès au partage de fichiers d'instantanés est assuré par le réconciliateur de réplication de fusion hébergé sur l'ordinateur exécutant IIS.
| Type d'authentification | Emplacement de spécification de l'authentification |
|---|---|
| Authentification Windows | L'Agent de fusion accède au partage de fichiers d'instantanés dans le contexte de l'utilisateur Windows spécifié pour la connexion à IIS (D). Si le partage de fichiers d'instantanés et IIS se trouvent sur des ordinateurs différents et si l'authentification intégrée est utilisée pour la connexion (D), vous devez activer la délégation Kerberos sur l'ordinateur exécutant IIS. Pour plus d'informations, consultez la documentation Windows. |
I. Compte du pool d'applications pour IIS
Ce compte est utilisé pour démarrer le processus de W3wp.exe sur l’ordinateur exécutant IIS pour Windows Server 2003 ou le processus de Dllhost.exe sur Windows 2000. Ces processus hébergent des applications sur l’ordinateur exécutant IIS, telles que l’écouteur Réplication SQL Server et le rapprochement de réplication de fusion. Ce compte doit disposer sur l'ordinateur exécutant IIS d'autorisations en lecture et en exécution sur les DLL de réplication suivantes :
Replisapi
Replrec
Replprov
Msgprox
Xmlsub
Le compte doit également faire partie du groupe IIS_WPG. Pour plus d’informations, consultez la section « Définition des autorisations pour l’écouteur Réplication SQL Server » dans Configurer IIS pour la synchronisation web.
| Type de compte | Emplacement de spécification du compte |
|---|---|
| Tout utilisateur Windows disposant des autorisations nécessaires. | Gestionnaire IIS (Internet Information Services). |
Voir aussi
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour