Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Platí pro:
SQL Server 2016 (13.x) SQL Server 2017 (14.x) SQL Server 2019 (15.x)
Důležité
Sql Server Distributed Replay není k dispozici s SQL Serverem 2022 (16.x) a novějšími verzemi.
Než nainstalujete a použijete funkci distribuovaného přehrávání microsoft SQL Serveru, projděte si důležité informace o zabezpečení v tomto článku. Tento článek popisuje kroky konfigurace zabezpečení po instalaci, které jsou potřeba před použitím distribuovaného přehrání. Tento článek také popisuje důležité aspekty týkající se ochrany dat a důležitých kroků pro odebrání.
Účty uživatelů a služeb
Následující tabulka popisuje účty, které se používají pro distribuované přehrávání. Po instalaci distribuovaného přehrání musíte přiřadit objekty zabezpečení, které budou účty kontroleru a klientské služby spouštět jako. Proto doporučujeme před instalací funkcí distribuovaného přehrávání nakonfigurovat odpovídající uživatelské účty domény.
| Uživatelský účet | Požadavky |
|---|---|
| Účet služby kontroléru distribuovaného přehrání SQL Serveru 1 | Může to být uživatelský účet domény nebo místní uživatelský účet. Pokud používáte místní uživatelský účet, musí být na stejném počítači spuštěn nástroj pro správu, kontroler a klient. |
| Účet klientské služby distribuovaného přehrání SQL Server 1 | Může to být uživatelský účet domény nebo místní uživatelský účet. Pokud používáte místní uživatelský účet, musí být řadič, klient a cílový SQL Server spuštěný na stejném počítači. |
| Interaktivní uživatelský účet, který se používá ke spuštění nástroje pro správu distribuovaného přehrávání | Může to být místní uživatel nebo uživatelský účet domény. Pokud chcete použít místní uživatelský účet, musí být na stejném počítači spuštěný nástroj pro správu a kontroler. |
1 Nepřidávejte tento účet do místní skupiny Administrators ve Windows.
Důležité
Při konfiguraci kontroleru distribuovaného přehrávání můžete zadat jeden nebo více uživatelských účtů ke spuštění klientských služeb distribuovaného přehrávání z následujícího seznamu podporovaných účtů:
- Uživatelský účet domény
- Uživatel vytvořil místní uživatelský účet
- Aministrátoři
- Virtuální účet a účet MSA (účet spravované služby)
- Síťové služby, místní služby a systém
Skupinové účty (místní nebo doména) a jiné předdefinované účty (například Všichni) se nepřijímají.
Pokud chcete nastavit účty služeb nebo jejich hesla po instalaci distribuovaného přehrávání, můžete použít nástroj Služby systému Windows. Chcete-li změnit účty služby přidružené k řadiči distribuovaného přehrávání nebo klientským službám, postupujte takto:
V závislosti na operačním systému proveďte jednu z následujících akcí:
- Vyberte Start, do vyhledávacího pole zadejte services.msc a stiskněte Enter.
- Vyberte Start, vyberte Spustit, zadejte services.msc a stiskněte Enter.
V dialogovém okně Služby klikněte pravým tlačítkem myši na službu, kterou chcete konfigurovat, a pak vyberte Vlastnosti.
Na kartě Přihlásit vyberte Tento účet.
Nakonfigurujte uživatelský účet, který chcete použít.
Oprávnění k souborům a složkě
Po zadání účtů služby musíte těmto účtům služby udělit potřebná oprávnění k souborům a složkám. Nakonfigurujte oprávnění souborů a složek podle následující tabulky:
| Účet | Oprávnění ke složce |
|---|---|
| Účet služby distribuovaného přehrání serveru SQL Server |
<Controller_Installation_Path>\DReplayController (Čtení, zápis, odstranění)DReplayServer.xml soubor (čtení, zápis) |
| Účet distribuovaného přehrání klientské služby SQL Serveru |
<Client_Installation_Path>\DReplayClient (Čtení, zápis, odstranění)DReplayClient.xml soubor (čtení, zápis)Pracovní a výsledné adresáře, jak je specifikováno v konfiguračním souboru klienta pomocí elementů WorkingDirectory a ResultDirectory. (Čtení, zápis) |
Oprávnění DCOM
Model DCOM slouží ke komunikaci vzdáleného volání procedur (RPC) mezi kontrolerem a nástrojem pro správu a mezi kontrolerem a všemi klienty. Po instalaci funkcí Distributed Replay musíte na řadiči nakonfigurovat oprávnění DCOM pro celý počítač a specifická oprávnění aplikací.
Chcete-li nakonfigurovat oprávnění DCOM kontroleru, postupujte takto:
Otevřete
dcomcnfg.exemodul snap-in Component Services: Pomocí tohoto nástroje nakonfigurujte oprávnění modelu DCOM.- Na počítači kontroleru vyberte Spustit.
- Zadejte
dcomcnfg.exedo vyhledávacího pole. - Stiskněte klávesu Enter.
Konfigurovat oprávnění modelu DCOM pro celý počítač: Udělte odpovídající oprávnění modelu DCOM pro celý počítač pro každý účet uvedený v následující tabulce. Další informace o tom, jak nastavit oprávnění na úrovni počítače, naleznete v kontrolním seznamu: Správa aplikací modelu DCOM.
Konfigurace oprávnění modelu DCOM specifické pro aplikaci: Udělte odpovídající oprávnění modelu DCOM specifické pro aplikaci pro každý účet uvedený v následující tabulce. Název aplikace DCOM pro službu kontroleru je
DReplayController. Další informace o tom, jak nastavit oprávnění specifická pro aplikaci, naleznete v kontrolním seznamu: Správa aplikací modelu DCOM.
Následující tabulka popisuje, která oprávnění modelu DCOM jsou vyžadována pro interaktivní uživatelský účet nástroje pro správu a účty klientských služeb:
| Vlastnost | Účet | Požadovaná oprávnění DCOM na řadiči |
|---|---|---|
| Nástroj pro správu distribuovaného přehrání | Interaktivní uživatelský účet | Místní přístup Vzdálený přístup Místní spuštění Vzdálené spuštění Místní aktivace Vzdálená aktivace |
| Distribuovaný klient pro přehrávání | Účet distribuovaného přehrání klientské služby SQL Serveru | Místní přístup Vzdálený přístup Místní spuštění Vzdálené spuštění Místní aktivace Vzdálená aktivace |
Důležité
Pokud chcete chránit před škodlivými dotazy nebo útoky na dostupnost služby, ujistěte se, že pro účet klientské služby používáte jenom důvěryhodný uživatelský účet. Tento účet se může připojit a znovu přehrát úlohy s cílovou instancí SQL Serveru.
Oprávnění SQL Serveru
Účty služby SQL Server Distributed Replay client service slouží k připojení k cílové instanci úlohy SQL Serveru. Pro tato připojení se podporuje pouze režim ověřování systému Windows.
Po instalaci služby SQL Server Distributed Replay klientské služby do sady počítačů musí být instanční objekt použitý pro tyto účty služby udělen roli serveru sysadmin v instanci SYSTÉMU SQL Server, pro kterou chcete znovu přehrát trasovací úlohu. Tento krok se neprovádí automaticky během instalace distribuovaného přehrávání.
Ochrana dat
V prostředí distribuovaného přehrávání jsou následujícím uživatelským účtům udělen úplný přístup k instanci cílového serveru SQL Serveru, vstupním datům trasování a souborům trasování výsledků:
Interaktivní uživatelský účet, který slouží ke spuštění nástroje pro správu.
Účet služby kontroleru.
Účet klientské služby.
Členové místní skupiny správců na řadiči.
Členové místní skupiny Administrators v klientech.
Důležité
** Tyto účty mají úplný přístup k jakýmkoli osobním údajům nebo citlivým informacím obsaženým ve sledovacích, zprostředkujících, odesílacích nebo datových souborech SQL Serveru, které byly používány distribuovaným přehráváním (Distributed Replay).
Proveďte následující bezpečnostní opatření:
Uložte vstupní data trasování, výstupní výsledky trasování a soubory databáze do umístění, které používá systém souborů NTFS (NTFS) a použijte příslušné seznamy řízení přístupu (ACL). V případě potřeby zašifrujte data uložená v počítači s SQL Serverem. ACL nejsou aplikována na trasovací soubory a data nejsou maskována ani obfuskována. Tyto soubory byste měli rychle odstranit po použití.
Použijte příslušné ACL a zásady uchování pro všechny zprostředkující a odesílané soubory, které Distributed Replay generuje.
K zabezpečení síťového přenosu použijte protokol TLS (Transport Layer Security).
Důležité kroky odebrání
Používejte distribuované přehrání pouze v testovacím prostředí. Po dokončení testování a před použitím těchto počítačů pro jinou úlohu se ujistěte, že provedete následující kroky:
Odinstalujte funkce distribuovaného přehrávání a odeberte související konfigurační soubory z kontroleru a všech klientů.
Odstraňte všechny soubory databáze, které byly použity k testování, trasování, zprostředkující, odesílané a databázové soubory SQL Serveru. Zprostředkující a expediční soubory jsou uloženy v pracovním adresáři na řadiči a klientovi.