Freigeben über


Sicherheitsarchitektur für die Websynchronisierung

Microsoft SQL Server ermöglicht eine präzise Steuerung der Konfiguration der Websynchronisierungssicherheit. In diesem Thema wird eine umfassende Liste aller Komponenten bereitgestellt, die in eine Websynchronisierungskonfiguration einbezogen werden können, und Informationen zu den zwischen den Komponenten hergestellten Verbindungen. Verwenden Sie nach Möglichkeit die Windows-Authentifizierung.

Die folgende Abbildung zeigt alle möglichen Verbindungen, manche Verbindungen sind jedoch in einer bestimmten Topologie möglicherweise nicht erforderlich. Beispielsweise ist eine Verbindung zu einem FTP-Server nur erforderlich, wenn die Momentaufnahme mithilfe von FTP übermittelt wird.

Komponenten und Verbindungen in der Websynchronisierung

In den folgenden Tabellen werden die in der Abbildung dargestellten Komponenten und Verbindungen beschrieben.

A. Windows-Benutzer, unter dem der Merge-Agent ausgeführt wird

Bei der Synchronisierung wird der Merge-Agent (A) beim Abonnenten gestartet. Der Merge-Agent kann von einem Auftragsschritt des SQL Server -Agents oder von einer eigenständigen benutzerdefinierten Anwendung gestartet werden. Wenn der Merge-Agent von einem Auftragsschritt des SQL Server -Agents gestartet wird, wird der Merge-Agent im Kontext eines von Ihnen angegebenen Windows-Benutzers ausgeführt. Wenn Sie keinen Windows-Benutzer angeben, wird der Merge-Agent im Kontext des Windows-Dienstkontos für den SQL Server -Agent ausgeführt.

Kontotyp Stelle, an der das Konto angegeben wird
Windows-Benutzer Transact-SQL: die parameter @job_login und @job_password von sp_addmergepullsubscription_agent.

Replikationsverwaltungsobjekte (Replication Management Objects oder RMO): die Eigenschaften Login und Password für SynchronizationAgentProcessSecurity.
Windows-Dienstkonto für den SQL Server -Agent SQL Server -Konfigurations-Manager
Eigenständige Anwendung Der Merge-Agent wird im Kontext des Windows-Benutzers ausgeführt, von dem die Anwendung ausgeführt wird.

B. Verbindung mit dem Abonnenten

Der Merge-Agent stellt die Verbindung zum Abonnenten mithilfe der Windows-Authentifizierung oder der SQL Server -Authentifizierung her. Der Windows-Benutzer oder die SQL Server -Anmeldung, den bzw. die Sie angeben, muss einem Datenbankbenutzer zugeordnet werden, der Mitglied der festen Datenbankrolle dbowner in der Abonnementdatenbank ist.

Hinweis

Die Windows-Authentifizierung wird immer dann verwendet, wenn der Merge-Agent von einem SQL Server -Agentauftrag aus gestartet wird. Die Windows-Authentifizierung wird auch beim programmgesteuerten Starten des Merge-Agents verwendet, es sei denn die SQL Server -Authentifizierung ist explizit angegeben.

Authentifizierungstyp Stelle, an der die Authentifizierung angegeben wird
Windows-Authentifizierung. Der Merge-Agent stellt Verbindungen im Kontext des Windows-Benutzers her, der für den Merge-Agent (A) angegeben ist.
DieSQL Server -Authentifizierung wird nur verwendet, wenn Folgendes angegeben wird:

RMO: der Wert Standard für SubscriberSecurityMode.

Merge-Agent Befehlszeile: der Wert 0 für SubscriberSecurityMode.
RMO: SubscriberLogin und SubscriberPassword.

Merge-Agentbefehlszeile: -SubscriberLogin und -SubscriberLogin.

C. Verbindung zu einem ausgehenden Proxyserver

Geben Sie nur dann einen Windows-Benutzer für diese Verbindung an, wenn ein ausgehender Proxyserver den Zugriff auf das interne Netzwerk des Abonnenten einschränkt.

Authentifizierungstyp Stelle, an der die Authentifizierung angegeben wird
Windows-Authentifizierung RMO: InternetProxyLogin und InternetProxyPassword mit InternetProxyServer.

Merge-Agentbefehlszeile: -InternetProxyLogin und -InternetProxyPassword mit -InternetProxyServer.

D: Verbindung zu IIS

Nach Herstellen der Verbindung zum Abonnenten und Extrahieren von Änderungen aus der Abonnementdatenbank führt der Merge-Agent eine HTTPS-Anforderung an Microsoft Internetinformationsdienste (Internet Information Services, IIS) aus und lädt Datenänderungen als XML-Nachricht herunter. Der Merge-Agent muss über eine Anmeldeberechtigung für IIS verfügen.

Authentifizierungstyp Stelle, an der die Authentifizierung angegeben wird
Die Standardauthentifizierung wird verwendet, wenn Folgendes angegeben wird:

Transact-SQL: Der Wert 0 für den parameter @internet_security_mode von sp_addmergepullsubscription_agent.

RMO: der Wert Standard für InternetSecurityMode.

Merge-Agent Befehlszeile: der Wert 0 für -InternetSecurityMode.
Transact-SQL: die @internet_login - und @internet_password-Parameter von sp_addmergepullsubscription_agent.

RMO: InternetLogin und InternetPassword.

Merge-Agentbefehlszeile: -InternetLogin und -InternetPassword.
Die integrierte Authentifizierung* wird verwendet, wenn eine der folgenden Angaben angegeben ist:

Transact-SQL: der Wert 1 für den @internet_security_mode-Parameter von sp_addmergepullsubscription_agent.

RMO: der Wert Integrated für InternetSecurityMode.

Merge-Agent Befehlszeile: der Wert 1 für -InternetSecurityMode.
Der Merge-Agent stellt Verbindungen im Kontext des Windows-Benutzers her, der für den Merge-Agent (A) angegeben ist.

*Die integrierte Authentifizierung kann nur verwendet werden, wenn sich alle Computer in derselben Domäne befinden oder sich in mehreren Domänen befinden, die über Vertrauensbeziehungen zueinander verfügen.

Hinweis

Die Delegierung ist erforderlich, wenn Sie die integrierte Authentifizierung verwenden. Es wird empfohlen, die Standardauthentifizierung und SSL für Verbindungen zwischen Abonnenten und IIS zu verwenden.

E. Verbindung mit dem Verleger

Die Komponenten SQL Server -Replikationsüberwachung und -Mergereplikationssynchronisierung werden auf dem Computer gehostet, auf dem IIS ausgeführt wird. Diese Komponenten führen die folgenden Aktionen aus:

  • Entgegennehmen der HTTPS-Anforderung, die im Abschnitt "D. Verbindung zu IIS" beschrieben wird.

  • Herstellen einer SQL-Verbindung zur Veröffentlichungsdatenbank und Anwenden der hochgeladenen Änderungen auf die Veröffentlichungsdatenbank.

  • Extrahieren der heruntergeladenen Änderungen und Zurücksenden einer HTTPS-Antwort an den Merge-Agent.

Die Mergereplikationssynchronisierung stellt die Verbindung zum Verleger entweder mithilfe der Windows-Authentifizierung oder der SQL Server -Authentifizierung her. Die Windows-Benutzer- oder SQL Server -Anmeldung, die Sie angeben, muss folgende Kriterien erfüllen:

  • Sie muss in der Veröffentlichungszugriffsliste (Publication Access List oder PAL) enthalten sein. Weitere Informationen finden Sie unter Schützen des Verteilers.

  • Sie muss mit einem Benutzer in der Veröffentlichungsdatenbank verknüpft sein.

Authentifizierungstyp Stelle, an der die Authentifizierung angegeben wird
Die Windows-Authentifizierung wird verwendet, wenn Folgendes angegeben wird:

Transact-SQL: Der Wert 1 für den parameter @publisher_security_mode von sp_addmergepullsubscription_agent.

RMO: der Wert Integrated für PublisherSecurityMode.

Merge-Agent Befehlszeile: der Wert 1 für -PublisherSecurityMode.
Der Merge-Agent stellt Verbindungen zum Verleger im Kontext des Windows-Benutzers her, der für die Verbindung zu IIS (D) angegeben ist. Wenn sich der Verleger und IIS auf verschiedenen Computern befinden und die integrierte Authentifizierung für die Verbindung (D) verwendet wird, müssen Sie die Kerberos-Delegierung auf dem Computer aktivieren, auf dem IIS ausgeführt wird. Weitere Informationen finden Sie in der Windows-Dokumentation.
DieSQL Server -Authentifizierung wird verwendet, wenn Folgendes angegeben wird:

Transact-SQL: Der Wert 0 für den parameter @publisher_security_mode von sp_addmergepullsubscription_agent.

RMO: der Wert Standard für PublisherSecurityMode.

Merge-Agent Befehlszeile: der Wert 0 für -PublisherSecurityMode.
Transact-SQL: die parameter @publisher_login und @publisher_password von sp_addmergepullsubscription_agent.

RMO: PublisherLogin und PublisherPassword.

Merge-Agentbefehlszeile: -PublisherLogin und -PublisherPassword.

F. Verbindung zum Verteiler

Die Mergereplikationssynchronisierung, die auf dem Computer mit IIS gehostet wird, stellt auch Verbindungen zum Verteiler her. Die Mergereplikationssynchronisierung stellt die Verbindung zum Verteiler entweder mithilfe der Windows-Authentifizierung oder der SQL Server -Authentifizierung her. Die Windows-Benutzer- oder SQL Server -Anmeldung, die Sie angeben, muss folgende Kriterien erfüllen:

  • Sie muss in der Veröffentlichungszugriffsliste (Publication Access List oder PAL) enthalten sein. Weitere Informationen finden Sie unter Schützen des Verteilers.

  • Sie muss mit einem Datenbankbenutzer in der Verteilungsdatenbank verknüpft sein. Der Benutzer kann der Guest-Benutzer sein.

Die Momentaufnahmefreigabe befindet sich normalerweise auf dem Verteiler. Weitere Informationen zu Momentaufnahmefreigaben finden Sie im Abschnitt "H. Zugriff auf die Momentaufnahmefreigabe" weiter unten in diesem Thema.

Authentifizierungstyp Stelle, an der die Authentifizierung angegeben wird
Die Windows-Authentifizierung wird verwendet, wenn Folgendes angegeben wird:

Transact-SQL: Ein Wert von 1 für den @distributor_security_mode-Parametervon sp_addmergepullsubscription_agent.

RMO: der Wert Integrated für DistributorSecurityMode.

Merge-Agent Befehlszeile: der Wert 1 für -DistributorSecurityMode.
Der Merge-Agent stellt Verbindungen zum Verteiler im Kontext des Windows-Benutzers her, der für die Verbindung zu IIS (D) angegeben ist. Wenn sich der Verteiler und IIS auf verschiedenen Computern befinden und die integrierte Authentifizierung für die Verbindung (D) verwendet wird, müssen Sie die Kerberos-Delegierung auf dem Computer aktivieren, auf dem IIS ausgeführt wird. Weitere Informationen finden Sie in der Windows-Dokumentation.
DieSQL Server -Authentifizierung wird verwendet, wenn Folgendes angegeben wird:

Transact-SQL: Ein Wert von 0 für den @distributor_security_mode-Parameter von sp_addmergepullsubscription_agent.

RMO: der Wert Standard für DistributorSecurityMode.

Merge-Agent Befehlszeile: der Wert 0 für -DistributorSecurityMode.
Transact-SQL: Die parameter @distributor_login und @distributor_password von sp_addmergepullsubscription_agent.

RMO: DistributorLogin und DistributorPassword

Merge-Agentbefehlszeile: -DistributorLogin und -DistributorPassword.

G. Verbindung zu einem FTP-Server

Geben Sie nur dann einen Windows-Benutzer für diese Verbindung an, wenn Sie Momentaufnahmedateien von einem FTP-Server statt von einem UNC-Speicherort auf den Computer herunterladen, auf dem IIS ausgeführt wird, bevor Sie die Momentaufnahme auf den Abonnenten anwenden. Weitere Informationen finden Sie unter Übertragen von Momentaufnahmen über FTP.

Authentifizierungstyp Stelle, an der die Authentifizierung angegeben wird
Windows-Authentifizierung Transact-SQL: die @ftp_login und @ftp_password Parameter von sp_addmergepublication.

RMO: FtpLogin und FtpPassword.

H. Zugriff auf die Momentaufnahmefreigabe

Auf die Momentaufnahmefreigabe wird von der Mergereplikationssynchronisierung zugegriffen, die auf dem Computer mit IIS gehostet wird.

Authentifizierungstyp Stelle, an der die Authentifizierung angegeben wird
Windows-Authentifizierung Der Merge-Agent greift im Kontext des Windows-Benutzers, der für die Verbindung zu IIS (D) angegeben ist, auf die Momentaufnahmefreigabe zu. Wenn sich die Momentaufnahmefreigabe und IIS auf verschiedenen Computern befinden und die integrierte Authentifizierung für die Verbindung (D) verwendet wird, müssen Sie die Kerberos-Delegierung auf dem Computer aktivieren, auf dem IIS ausgeführt wird. Weitere Informationen finden Sie in der Windows-Dokumentation.

I. Anwendungspoolkonto für IIS

Dieses Konto wird verwendet, um den W3wp.exe-Prozess auf dem Computer zu starten, auf dem IIS für Windows Server 2003 ausgeführt wird, oder aber den Dllhost.exe-Prozess unter Windows 2000. Diese Prozesse hosten Anwendungen auf dem Computer, auf dem IIS ausgeführt wird, etwa die SQL Server -Replikationsüberwachung und -Mergereplikationssynchronisierung. Dieses Konto muss über Lese- und Ausführungsberechtigungen für die folgenden Replikation-DLLs auf dem Computer verfügen, auf dem IIS ausgeführt wird:

  • Replisapi

  • Replrec

  • Replprov

  • Msgprox

  • Xmlsub

Das Konto muss auch Bestandteil der IIS_WPG-Gruppe sein. Weitere Informationen finden Sie im Abschnitt "Festlegen von Berechtigungen für die SQL Server-Replikationsüberwachung" unter Konfigurieren von IIS für die Websynchronisierung.

Kontotyp Stelle, an der das Konto angegeben wird
Beliebiger Windows-Benutzer, der über die erforderlichen Berechtigungen verfügt. Internetinformationsdienste-Manager (IIS).

Weitere Informationen

Konfigurieren der Websynchronisierung
Replication Merge Agent