Sichern des Verlegers
Die folgenden Replikations-Agents stellen eine Verbindung zum Verleger her:
Protokolllese-Agent
Snapshot-Agent
Warteschlangenlese-Agent
Merge-Agent
Es empfiehlt sich, eine geeignete Anmeldung für diese Agents bereitzustellen, sich an den Grundsatz zu halten, dass nur so viele Rechte erteilt werden sollten, wie unbedingt erforderlich sind, und den Aufbewahrungsort für die Kennwörter zu schützen. Informationen zum Verwalten von Anmeldungen und Kennwörtern finden Sie unter Verwalten von Anmeldeinformationen und Kennwörtern bei der Replikation. Informationen zu den für die einzelnen Agents erforderlichen Berechtigungen finden Sie unter Sicherheitsmodell des Replikations-Agents.
Neben der angemessenen Verwaltung von Anmeldungen und Kennwörtern sollten Sie auch über die Rolle der Veröffentlichungszugriffsliste (Publication Access List oder PAL) im Klaren sein. Die PAL wird verwendet, um Anmeldungen den Zugriff auf Veröffentlichungsdaten zu ermöglichen, während gleichzeitig der Ad-hoc-Zugriff auf die Datenbank beim Verleger eingeschränkt wird.
Veröffentlichungszugriffsliste
Die PAL ist der primäre Mechanismus für die Sicherung von Veröffentlichungen beim Verleger. Die PAL ist ähnlich wie eine Microsoft Windows-Zugriffssteuerungsliste funktionsfähig. Wenn Sie eine Veröffentlichung erstellen, wird von der Replikation eine PAL für die Veröffentlichung erstellt. Die PAL kann so konfiguriert werden, dass Sie eine Liste mit Anmeldungen und Gruppen enthält, denen Zugriff auf die Veröffentlichung gewährt wird. Wenn ein Agent eine Verbindung mit dem Verleger oder Verteiler herstellt und den Zugriff auf eine Veröffentlichung anfordert, werden die Authentifizierungsinformationen in der PAL mit der vom Agent bereitgestellten Verlegeranmeldung verglichen. Dieser Vorgang bietet zusätzliche Sicherheit für den Verleger, da die Anmeldung bei Verleger und Verteiler vor einer Verwendung durch ein Clienttool geschützt ist, das direkt beim Verleger Änderungen ausführen könnte.
Hinweis |
---|
Die Replikation erstellt auf dem Verleger eine Rolle für jede Veröffentlichung, um die PAL-Mitgliedschaft durchzusetzen. Für die Mergereplikation weist die Rolle einen Namen im Format Msmerge_<PublicationID> auf, für die Transaktionsreplikation und die Snapshotreplikation im Format MSReplPAL_<PublicationDatabaseID>_<PublicationID>. |
Folgende Anmeldungen sind in der PAL standardmäßig enthalten: die Mitglieder der festen sysadmin-Serverrolle zum Zeitpunkt der Veröffentlichungserstellung sowie die Anmeldung, die zur Veröffentlichungserstellung verwendet wurde. Standardmäßig können sämtliche Anmeldungen, die Mitglied der festen sysadmin-Serverrolle oder der festen db_owner-Datenbankrolle in der Veröffentlichungsdatenbank sind, eine Veröffentlichung abonnieren, ohne der PAL explizit hinzugefügt worden zu sein.
Wenn Sie die PAL verwenden, beachten Sie die folgenden Richtlinien:
Sie müssen einem Datenbankbenutzer in der Veröffentlichungsdatenbank die SQL Server-Anmeldung zuordnen, bevor Sie die Anmeldung der PAL hinzufügen.
Befolgen Sie das Prinzip der geringsten Rechte, indem Sie den Anmeldungen in der PAL nur die Berechtigungen erteilen, die sie zur Ausführung von Replikationstasks benötigen. Fügen Sie die Anmeldungen keinen festen Datenbank- oder Serverrollen hinzu, die für die Replikation nicht erforderlich sind. Weitere Informationen zu den erforderlichen Berechtigungen finden Sie unter Sicherheitsmodell des Replikations-Agents und Bewährte Methoden für die Replikationssicherheit.
Wenn ein Remoteverteiler verwendet wird, müssen Konten in der PAL sowohl beim Verleger als auch beim Verteiler verfügbar sein. Das Konto muss entweder ein Domänenkonto oder ein lokales Konto sein, das auf beiden Servern definiert ist. Die den Anmeldenamen zugehörigen Kennwörter müssen übereinstimmen.
Wenn die PAL Windows-Konten enthält und von der Domäne Active Directory verwendet wird, muss das Konto, unter dem SQL Server ausgeführt wird, zum Lesen aus Active Directory berechtigt sein. Wenn es hinsichtlich Windows-Konten zu Problemen kommt, stellen Sie sicher, dass das Konto, unter dem SQL Server ausgeführt wird, über ausreichende Berechtigungen verfügt. Weitere Informationen finden Sie in der Windows-Dokumentation.
So verwalten Sie die PAL
SQL Server Management Studio: Vorgehensweise: Verwalten von Anmeldenamen in der Veröffentlichungszugriffsliste (SQL Server Management Studio)
Replikationsprogrammierung mit Transact-SQL: Vorgehensweise: Verwalten von Anmeldungen in der Veröffentlichungszugriffsliste (Replikationsprogrammierung mit Transact-SQL)