Konfigurace služby IIS 7 pro synchronizaci webu

platí pro:SQL Server

Postupy v tomto článku vás provedou procesem ruční konfigurace internetové informační služby (IIS) verze 7 a vyšší pro použití se synchronizací webu pro replikaci sloučení.

Konfigurace služby IIS 7 nebo vyšší je první ze tří kroků potřebných k povolení synchronizace webu.

Přehled celého procesu konfigurace najdete v tématu Konfigurace synchronizace webu.

Ujistěte se, že vaše aplikace používá pouze rozhraní .NET Framework 2.0 nebo novější verze a že starší verze rozhraní .NET Framework nejsou nainstalovány na serveru služby IIS. Starší verze rozhraní .NET Framework můžou způsobit chyby, například:

The format of a message during Web synchronization was invalid. Ensure that replication components are properly configured at the Web server.

Pokud chcete používat synchronizaci webu, musíte nakonfigurovat službu IIS provedením následujících kroků. Každý krok je podrobně popsán v tomto článku.

1. Nainstalujte a nakonfigurujte posluchač replikace SQL Serveru na počítači, na kterém běží služba IIS.

2. Konfigurace protokolu TLS (Transport Layer Security), dříve označovaného jako SSL (Secure Sockets Layer). Protokol TLS se vyžaduje pro komunikaci mezi službou IIS a všemi odběrateli.

3. Nakonfigurujte ověřování IIS.

4. Nakonfigurujte účet a nastavte oprávnění pro naslouchací službu replikace SQL Serveru.

Nainstalujte replikační posluchač SQL Serveru

Synchronizace webu je podporována ve službě IIS počínaje verzí 5.0. Průvodce konfigurací webové synchronizace služby IIS verze 5 a 6 není k dispozici se službou IIS verze 7.0 a vyšší.

Poznámka:

Pokud chcete použít součást webové synchronizace na serveru IIS v SQL Serveru 2012 (11.x) a novějších verzích, měli byste nainstalovat SQL Server s replikací. To zahrnuje bezplatnou edici SQL Server Express.

Instalace a konfigurace naslouchače replikace SQL Serveru

1. Nainstalujte replikaci SQL Serveru do počítače služby IIS.

2. V počítači se spuštěnou službou IIS vytvořte nový adresář souborů pro replisapi.dll. Adresář můžete vytvořit kamkoliv, ale doporučujeme vytvořit adresář v rámci <jednotky>:\Inetpub. Vytvořte například adresář na <>:\Inetpub\SQLReplication\.

3. Zkopírujte replisapi.dll z adresáře <:\Program Files\Microsoft SQL Server\>\COM\ do adresáře, který jste vytvořili v kroku 1.

4. Zaregistrovat replisapi.dll:

   1. Vyberte Start a pak vyberte Spustit. Do pole Otevřít zadejte příkaz cmd a pak vyberte OK.

   2. V adresáři vytvořeném v kroku 1 spusťte následující příkaz:

      regsvr32 replisapi.dll
      

5. Vytvořte nový web pro replikaci nebo použijte existující web. Tento web bude během synchronizace přístupný komponentami replikace. Postupy v tomto článku předpokládají výchozí web. Další informace o vytváření webů najdete v dokumentaci ke službě IIS.

6. Vytvořte virtuální adresář ve službě IIS. Virtuální adresář by se měl vytvořit pod webem, který jste vytvořili v kroku 4, a namapovat ho na adresář vytvořený v kroku 1. Při přiřazování oprávnění k tomuto adresáři buďte co nejvíce omezující. Musíte vybrat alespoň oprávnění ke čtení a spuštění .

   1. Ve Správci internetové informační služby (IIS) v podokně Připojení klepněte pravým tlačítkem myši na výchozí web a pak vyberte Přidat virtuální adresář.

   2. Jako alias zadejte SQLReplication.

   3. Jako fyzickou cestu zadejte <jednotku>:\Inetpub\SQLReplication\, a pak vyberte OK.

7. Nakonfigurujte službu IIS, aby povolilo spuštění replisapi.dll.

   1. Ve Správci internetové informační služby (IIS) vyberte výchozí web.

   2. V prostředním podokně vyberte Mapování obslužných rutin.

   3. V podokně Akce vyberte Přidat mapování modulů.

   4. Pro cestu požadavku zadejte replisapi.dll.

   5. V rozevíracím seznamu Modul vyberte IsapiModule.

   6. Jako spustitelný soubor zadejte <drive>:\Inetpub\SQLReplication\replisapi.dll.

   7. Jako název zadejte Replisapi.

   8. Vyberte tlačítko Omezení požadavku , vyberte kartu Přístup a pak vyberte Spustit.

   9. Kliknutím na tlačítko OK zavřete dialogové okno Omezení požadavků a potom znovu vyberte OK a zavřete dialogové okno Přidat mapování modulů . Po zobrazení výzvy k povolení rozšíření ISAPI vyberte Ano a přidejte rozšíření.

   10. Ověřte, že Replisapi.dll je uvedena v mapování obslužných rutin Povoleno. Pokud je v seznamu Zakázáno , klikněte pravým tlačítkem myši na položku Replisapi a pak vyberte Upravit oprávnění funkce. Zaškrtněte políčko Spustit a pak vyberte OK.

Konfigurace ověřování IIS

Když se počítače odběratele připojí ke službě IIS, musí služba IIS ověřit předplatitele, aby měli přístup k prostředkům a procesům. Ověřování lze použít na celý web nebo na virtuální adresář, který jste vytvořili.

Doporučujeme používat základní ověřování s protokolem TLS. Vyžaduje se protokol TLS bez ohledu na typ použitého ověřování.

Konfigurace ověřování IIS

1. Ve Správci internetové informační služby (IIS) vyberte výchozí web.
2. V prostředním podokně poklikejte na Ověřování.
3. Klepněte pravým tlačítkem myši na anonymní ověřování a potom zvolte Zakázat.
4. Klepněte pravým tlačítkem myši na základní ověřování a potom zvolte Zapnout.

Konfigurujte Secure Sockets Layer

Chcete-li nakonfigurovat protokol TLS, zadejte certifikát, který má počítač se spuštěnou službou IIS používat. Synchronizace webu pro slučovací replikaci podporuje použití certifikátů serveru, ale ne klientských certifikátů. Pokud chcete nakonfigurovat službu IIS pro nasazení, musíte nejprve získat certifikát od certifikační autority (CA). Další informace o certifikátech najdete v dokumentaci ke službě IIS.

Po instalaci certifikátu je nutné přidružit certifikát k webu, který používá synchronizace webu. Pro účely vývoje a testování můžete zadat samopodepsaný certifikát. Služba IIS 7 může vytvořit certifikát za vás a zaregistrovat ho ve vašem počítači.

Rozdíl mezi nasazením pro produkční prostředí a postupy uvedenými zde je ten, že v produkčním a předprodukčním testování byste místo samopodepsaného certifikátu použili certifikát vydaný certifikační autoritou.

Důležité

Pro produkční instalaci se nedoporučuje samopodepsaný certifikát. Certifikáty podepsané svým držitelem nejsou zabezpečené. Používejte certifikáty podepsané svým držitelem pouze pro vývoj a testování.

Pokud chcete nakonfigurovat protokol TLS, proveďte následující kroky:

1. Nakonfigurujte web tak, aby vyžadoval protokol TLS a ignoroval klientské certifikáty.
2. Získejte certifikát od certifikační autority nebo vytvořte certifikát podepsaný svým držitelem.
3. Vytvořte vazbu certifikátu na web replikace.

Vyžadování zabezpečení SSL pro web

1. Ve Správci internetové informační služby (IIS) rozbalte uzel místního serveru a pak vyberte výchozí web (nebo web synchronizace webu, pokud se liší od výchozího webu).

2. V prostředním podokně poklikejte na Nastavení SSL.

3. Zaškrtněte možnost Vyžadovat SSL . V části Klientské certifikáty ověřte, že je vybráno tlačítko Ignorovat .

Vytvořit vlastnoručně podepsaný certifikát pro testování

1. Ve Správci internetové informační služby (IIS) vyberte uzel místního serveru a potom v prostředním podokně poklikejte na Certifikáty serveru.

2. V podokně Akce vyberte Vytvořit Self-Signed Certifikát.

3. V dialogovém okně Vytvořit Self-Signed Certifikát zadejte název certifikátu a pak vyberte OK.

Přiřadit certifikát k webové stránce

1. V podokně Připojení vyberte výchozí web (nebo web synchronizace webu, pokud se liší od výchozího webu).

2. V podokně Akce vyberte Vazby a pak zvolte Přidat. Zobrazí se dialogové okno Přidat vazbu webu.

3. V rozevíracím seznamu Typ vyberte https. Ponechte výchozí nastavení IP adresy a Portu.

4. V rozevíracím seznamu certifikátu SSL vyberte certifikát vytvořený v části Vytvoření certifikátu podepsaného svým držitelem pro testování, vyberte OK a pak vyberte Zavřít.

Otestování certifikátu

1. Ve Správci internetové informační služby (IIS) vyberte výchozí web.

2. V podokně Akce vyberte Procházet *:443(https).

3. Otevře se Internet Explorer a zobrazí zprávu, že došlo k problému s certifikátem zabezpečení tohoto webu. Toto upozornění vám říká, že přidružený certifikát není vystavený rozpoznanou certifikační autoritou a nemusí být důvěryhodný. Toto je očekávané upozornění, proto vyberte Pokračovat na tento web (nedoporučuje se).

4. Pokud se zobrazí výzva k připojení k místnímu hostiteli, zadejte uživatelské jméno a heslo, abyste mohli pokračovat. Měla by se zobrazit výchozí stránka webu.

Nastavit oprávnění pro posluchač replikace SQL Serveru

Když se počítač odběratele připojí k počítači se spuštěnou službou IIS, odběratel se ověří pomocí typu ověřování zadaného při konfiguraci služby IIS. Po ověření odběratele služba IIS zkontroluje, jestli má odběratel oprávnění k vyvolání replikace SQL Serveru. Řídíte uživatele, kteří mohou vyvolat replikaci SYSTÉMU SQL Server nastavením oprávnění pro replisapi.dll. Správná konfigurace oprávnění je nezbytná, aby se zabránilo neoprávněnému přístupu k replikaci SQL Serveru.

Pokud chcete nakonfigurovat minimální oprávnění pro účet, pod kterým běží naslouchací proces replikace SQL Serveru, proveďte následující postup. Kroky v následujícím postupu platí pro Systém Windows Server 2008 se službou IIS 7.0.

Kromě provedení následujících kroků se ujistěte, že jsou požadovaná přihlášení v přístupovém seznamu publikace (PAL). Další informace o PAL naleznete v Zabezpečení vydavatele.

Důležité

Účet vytvořený v této části je účet, který se během synchronizace připojuje k vydavateli a distributoru. Tento účet musí být přidán jako přihlašovací účet SQL na distribučním a publikačním serveru.

Účet použitý pro službu naslouchání replikace SQL Server musí mít oprávnění popsaná v části Připojení k vydavateli nebo distributoru v článku Zabezpečení agenta sloučení.

V souhrnu musí účet:

• Staňte se členem seznamu pro přístup k publikacím (PAL).
• Mělo by být namapováno na přihlašovací jméno přidružené k uživateli v publikační databázi.
• Namapujte na přihlašovací jméno přidružené k uživateli v distribuční databázi.
• Oprávnění ke čtení v sdílení snímků.

Konfigurace účtu a oprávnění

1. Na počítači se spuštěnou službou IIS vytvořte místní účet:

   1. Otevřete Správce serveru. V nabídce Start klepněte pravým tlačítkem myši Na počítač a pak vyberte Spravovat.

   2. Ve Správci serveru rozbalte položku Konfigurace a potom rozbalte položku Místní uživatelé a skupiny.

   3. Pravým tlačítkem klikněte na Uživatelé a potom vyberte Nový uživatel.

   4. Zadejte uživatelské jméno a silné heslo. Vymazat uživatele musí při příštím přihlášení změnit heslo.

   5. Vyberte Vytvořit a pak vyberte Zavřít.

2. Přidejte účet do skupiny IIS_IUSRS:

   1. Ve Správci serveru rozbalte položku Konfigurace, rozbalte položku Místní uživatelé a skupiny a pak vyberte Skupiny.

   2. Pravým tlačítkem myši klikněte na IIS_IUSRS a pak vyberte Přidat do skupiny.

   3. V dialogovém okně IIS_IUSRS Vlastnosti vyberte Přidat.

   4. V dialogovém okně Vybrat uživatele, počítače nebo skupiny přidejte účet vytvořený v kroku 1.

   5. Ověřte, že v tomto umístění se zobrazí název místního počítače (nikoli domény). Pokud toto pole nezobrazuje název místního počítače, vyberte Umístění. V dialogovém okně Umístění vyberte místní počítač a pak vyberte OK.

   6. V dialogovém okně Vybrat uživatele a dialogové okno IIS_IUSRS Vlastnosti vyberte OK.

3. Udělte minimální oprávnění účtu ke složce, která obsahuje replisapi.dll:

   1. V Průzkumníku Windows klikněte pravým tlačítkem myši na složku, kterou jste vytvořili pro replisapi.dll, a pak vyberte Vlastnosti.

   2. Na kartě Zabezpečení vyberte Upravit.

   3. V dialogovém okně Oprávnění pro <název složky> vyberte Přidat a přidejte účet, který jste vytvořili v kroku 1.

   4. Ověřte, že v tomto umístění se zobrazí název místního počítače (nikoli domény). Pokud toto pole nezobrazuje název místního počítače, vyberte Umístění. V dialogovém okně Umístění vyberte místní počítač a pak vyberte OK.

   5. Ověřte, že je účtu udělena pouze oprávnění ke čtení, čtení a spuštění a obsahu složky seznamu .

   6. Vyberte všechny uživatele nebo skupiny, které nevyžadují přístup k adresáři, vyberte Odebrat a pak vyberte OK.

4. Vytvoření fondu aplikací ve Správci internetové informační služby (IIS):

   1. Ve Správci internetové informační služby (IIS) v podokně Připojení rozbalte uzel místního serveru.

   2. Klikněte pravým tlačítkem myši na Fondy aplikací a pak vyberte Přidat fond aplikací.

   3. Zadejte název fondu aplikací, ponechte výchozí hodnoty pro zbývající pole a pak vyberte OK.

   Pokud předpokládáte, že máte více než dva souběžné synchronizační klienty, můžete chtít vytvořit webovou zahradu. Další informace naleznete v tématu Vytvoření webové zahrady.

5. Přidružit účet k fondu aplikací:

   1. Ve Správci internetové informační služby (IIS) rozbalte uzel místního serveru a pak vyberte Fondy aplikací.

   2. Klikněte pravým tlačítkem na fond aplikací, který jste vytvořili, a pak vyberte Nastavit výchozí hodnoty fondu aplikací.

   3. V dialogovém okně Výchozí nastavení fondu aplikací se posuňte dolů do části Model procesu a vyberte pole Identita .

   4. Vyberte tlačítko s třemi tečkami na pravé straně řádku Identita.

   5. Vyberte přepínač Vlastní účet a pak vyberte Nastavit.

   6. Do polí Uživatelské jméno a Heslo zadejte účet a heslo, které byly vytvořeny v kroku 1, a pak vyberte OK.

   7. Kliknutím na tlačítko OK zavřete dialogové okno Identita fondu aplikací a potom znovu vyberte OK a zavřete dialogové okno Výchozí hodnoty fondu aplikací .

6. Přidružte fond aplikací k webové stránce replikace:

   1. Ve Správci internetové informační služby (IIS) rozbalte uzel místního serveru a pak vyberte výchozí web (nebo web synchronizace webu, pokud se liší od výchozího webu).

   2. V podokně Akce v části Spravovat web vyberte Upřesnit nastavení.

   3. V dialogovém okně Upřesnit nastavení vyberte tlačítko se třemi tečky napravo od fondu aplikací.

   4. V rozevíracím seznamu Fond aplikací vyberte fond aplikací, který jste vytvořili v kroku 4, a pak vyberte OK.

   5. Dalším kliknutím na TLAČÍTKO OK zavřete Rozšířená nastavení.

Otestovat připojení k replisapi.dll

Spusťte synchronizaci webu v diagnostickém režimu a otestujte připojení k počítači se spuštěnou službou IIS a ujistěte se, že je správně nainstalovaný certifikát TLS/SSL. Pokud chcete spustit synchronizaci webu v diagnostickém režimu, musíte být správcem počítače se spuštěnou službou IIS.

1. Ujistěte se, že nastavení místní sítě (LAN) u odběratele jsou správná:

   1. V aplikaci Internet Explorer, v nabídce Nástroje, vyberte Možnosti internetu.

   2. Na kartě Připojení vyberte Nastavení sítě LAN.

   3. Pokud se proxy server nepoužívá v síti LAN, zrušte zaškrtnutí políčka Automaticky rozpoznat nastavení a použít proxy server pro vaši síť LAN.

   4. Pokud se používá proxy server, vyberte Použít proxy server pro vaši LAN a Obejít proxy server pro místní adresy, a pak vyberte OK.

2. V Internet Exploreru na straně Odběratele se připojte k serveru v diagnostickém režimu tak, že k adrese pro replisapi.dllpřipojíte ?diag. Například: https://<server.domain.com>/directory/replisapi.dll?diag.

   V předchozím příkladu by se měl <server.domain.com> nahradit přesným názvem Vystaveno pro uvedeným v části Certifikáty serveru ve Správci služby IIS.

3. Pokud operační systém Windows nerozpozná certifikát, který jste zadali pro službu IIS, zobrazí se dialogové okno Výstraha zabezpečení . K této výstraze může dojít, protože certifikát je testovací certifikát nebo certifikát vydal certifikační autorita( CA), kterou Systém Windows nerozpozná.

   Pokud se toto dialogové okno nezobrazí, ujistěte se, že certifikát pro server, ke kterému přistupujete, byl přidán do úložiště certifikátů odběratele jako důvěryhodný certifikát. Další informace o exportu certifikátů najdete v dokumentaci ke službě IIS.

   1. V dialogovém okně Výstraha zabezpečení vyberte Zobrazit certifikát.

   2. V dialogovém okně Certifikát na kartě Obecné vyberte Nainstalovat certifikát.

   3. Dokončete Průvodce importem certifikátu a přijměte výchozí nastavení.

   4. V dialogovém okně Upozornění zabezpečení vyberte Ano.

   5. V potvrzovací dialogovém okně Průvodce importem certifikátu vyberte OK.

   6. Zavřete dialogové okno Certifikát .

   7. V dialogovém okně Výstraha zabezpečení vyberte Ano.

   Certifikáty se instalují pro uživatele. Tento proces musí být proveden pro každého uživatele, který se bude synchronizovat se službou IIS.

4. V dialogovém okně Připojit k <ServerName> zadejte přihlašovací jméno a heslo, které bude Agent sloučení používat pro připojení ke službě IIS. Tyto přihlašovací údaje budou také zadány v Průvodci novým předplatným.

5. V okně Aplikace Internet Explorer s názvem SQL Websync diagnostic information, ověřte, zda hodnota v každém sloupci Stav na stránce je SUCCESS.

6. Ujistěte se, že je certifikát správně nainstalovaný pro odběratele:

   1. Zavřete a znovu otevřete Internet Explorer.

   2. Připojte se k serveru v režimu diagnostiky. Pokud je certifikát správně nainstalovaný, dialogové okno Výstraha zabezpečení se nezobrazí. Pokud se zobrazí dialogové okno, slučovací agent selže, když se pokusí připojit k počítači se spuštěnou službou IIS. Musíte se ujistit, že certifikát pro server, ke kterému přistupujete, byl přidán do úložiště certifikátů odběratele jako důvěryhodný certifikát. Další informace o exportu certifikátů najdete v dokumentaci ke službě IIS.

Související obsah

• Webová synchronizace pro slučovací replikaci
• Konfigurace webové synchronizace