Proteger el distribuidor
Se aplica a:
SQL ServerAzure SQL Managed Instance
Al distribuidor se conectan los siguientes agentes de replicación: el Agente de registro del LOG, el Agente de instantáneas, el Agente de lectura de cola, el Agente de distribución y el Agente de mezcla. Es importante proporcionar un inicio de sesión adecuado para cada uno de estos agentes respetando el principio de conceder los derechos mínimos necesarios y proteger el almacenamiento de todas las contraseñas:
Para información sobre la administración de inicios de sesión y contraseñas, vea Manage Logins and Passwords in Replication (Administrar inicios de sesión y contraseñas en la replicación).
Para obtener información detallada acerca de los permisos exigidos para cada agente, vea Replication Agent Security Model.
Además de administrar correctamente los inicios de sesión y contraseñas, es importante conocer el rol del vínculo del servidor remoto repl_distributor y la cuenta distributor_admin .
Proteger la conexión del publicador al distribuidor
Para permitir la comunicación necesaria cuando los procedimientos almacenados administrativos se ejecutan en el publicador y actualizan información en el distribuidor, la replicación configura automáticamente el servidor remoto repl_distributor. La entrada del servidor remoto repl_distributor se utiliza para la comunicación con la base de datos de distribución, independientemente de si está incluida en la instancia del publicador (un distribuidor local) o reside en una instancia remota de SQL Server (un distribuidor remoto).
Cuando la base de datos de distribución está incluida en una instancia local, se genera una contraseña aleatoria y se configura automáticamente. Cuando la base de datos de distribución se encuentra en una instancia remota, el administrador configura una contraseña compartida durante la instalación del publicador y el distribuidor; a continuación, esta contraseña se utiliza para proporcionar autenticación del tráfico que pasa por el vínculo repl_distributor .
El distribuidor utiliza la entrada del servidor remoto repl_distributor para comprobar que el servidor que llama está configurado como un publicador en el distribuidor, valida la contraseña proporcionada por el publicador y valida que el procedimiento almacenado sea un procedimiento almacenado de replicación durante la ejecución.
La contraseña configurada para la entrada del servidor remoto repl_distributor durante la instalación está asociada a un inicio de sesión de SQL Server, distributor_admin, que se agrega al rol fijo de servidor sysadmin en el distribuidor. Los procedimientos almacenados de replicación utilizan el inicio de sesión distributor_admin al conectarse al distribuidor.
Nota:
No cambie manualmente la contraseña de distributor_admin . Use siempre el procedimiento almacenado sp_changedistributor_password o los cuadros de diálogo Propiedades del distribuidor o Actualizar contraseñas de replicación de SQL Server Management Studio, ya que los cambios de contraseña se aplican a las publicaciones locales automáticamente.
Deshabilitar el inicio de sesión de distributor_admin
Si el inicio de sesión de distributor_admin está deshabilitado en un distribuidor remoto, ya no puede hacer lo siguiente:
- Crear o eliminar publicaciones.
- Cambiar los artículos de una publicación existente.
- Ver el estado del agente mediante SQL Server Management Studio (SSMS) o el Monitor de replicación en el editor.
- Crear o eliminar suscripciones.
- Publicar testigos de seguimiento mediante el Monitor de replicación o con la ejecución de sys.sp_posttracertoken.
- Configurar un editor remoto en el distribuidor.
Por tanto, no se recomienda deshabilitar el inicio de sesión de distributor_admin en un distribuidor remoto. Aunque deshabilitar el inicio de sesión de distributor_admin en un distribuidor local puede no imponer las mismas limitaciones; todavía no es una práctica recomendada.
Seguridad de la carpeta de instantáneas
Asegúrese de que el recurso compartido de instantáneas tiene acceso de lectura a la cuenta con la que se ejecutan el Agente de mezcla (para la replicación de mezcla) o el Agente de distribución (para la replicación transaccional o de instantáneas), así como acceso de escritura a la cuenta con la que se ejecuta el Agente de instantáneas. Para obtener más información sobre la carpeta de instantáneas, vea Proteger la carpeta de instantáneas.
Consulte también
View and Modify Replication Security Settings (Ver y modificar la configuración de seguridad de la replicación)
Habilitar conexiones cifradas en el motor de base de datos (Administrador de configuración de SQL Server)
Procedimientos recomendados de seguridad de replicación
Ver y modificar la configuración de seguridad de la replicación
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de