Mengamankan Publisher
Berlaku untuk: SQL Server Azure SQL Managed Instance
Agen replikasi berikut tersambung ke Publisher:
- Agen Pembaca Log
- Agen Snapshot
- Agen Pembaca Antrean
- Agen Penggabungan
Sebaiknya Berikan login yang sesuai untuk agen ini, ikuti prinsip pemberian hak minimal yang diperlukan, dan lindungi penyimpanan semua kata sandi. Untuk informasi tentang izin yang diperlukan untuk setiap agen, lihat Model Keamanan Agen Replikasi.
Selain mengelola login dan kata sandi dengan tepat, Anda harus memahami peran daftar akses publikasi (PAL). PAL digunakan untuk mengaktifkan login untuk mengakses data publikasi sambil membatasi akses ad hoc ke database di Publisher.
Daftar Akses Publikasi
PAL adalah mekanisme utama untuk mengamankan publikasi di Publisher. PAL berfungsi mirip dengan daftar kontrol akses Microsoft Windows. Saat Anda membuat publikasi, replikasi membuat PAL untuk publikasi. PAL dapat dikonfigurasi untuk berisi daftar login dan grup yang diberikan akses ke publikasi. Saat agen tersambung ke Penerbit atau Distributor dan meminta akses ke publikasi, informasi autentikasi di PAL dibandingkan dengan login Publisher yang disediakan agen. Proses ini memberikan keamanan tambahan untuk Penerbit dengan mencegah login Penerbit dan Distributor digunakan oleh alat klien untuk melakukan modifikasi pada Penerbit secara langsung.
Catatan
Replikasi membuat peran di Publisher untuk setiap publikasi guna memberlakukan keanggotaan PAL. Peran ini memiliki nama dalam formulir Msmerge_<PublicationID> untuk replikasi penggabungan dan MSReplPAL_<PublicationDatabaseID>_<PublicationID> untuk replikasi transaksional dan rekam jepret.
Secara default, login berikut disertakan dalam PAL: anggota peran server tetap sysadmin pada saat publikasi dibuat dan login yang digunakan untuk membuat publikasi. Secara default, semua login yang merupakan anggota peran server tetap sysadmin atau peran database tetap db_owner pada database publikasi dapat berlangganan publikasi tanpa ditambahkan secara eksplisit ke PAL.
Saat Anda menggunakan PAL, pertimbangkan panduan berikut:
Anda harus mengaitkan login SQL Server dengan pengguna database di database publikasi sebelum menambahkan login ke PAL.
Ikuti prinsip hak istimewa paling sedikit dengan mengizinkan masuk di PAL hanya izin yang harus dilakukan login untuk melakukan tugas replikasi. Jangan tambahkan login ke peran database tetap atau peran server apa pun yang tidak diperlukan untuk replikasi. Untuk informasi selengkapnya tentang izin yang diperlukan, lihat Model Keamanan Agen Replikasi dan Praktik Terbaik Keamanan Replikasi.
Jika Distributor jarak jauh digunakan, akun di PAL harus tersedia di Penerbit dan Distributor. Akun harus berupa akun domain atau akun lokal yang ditentukan di kedua server. Kata sandi yang terkait dengan kedua login harus sama.
Jika PAL berisi akun Windows dan domain menggunakan Direktori Aktif, akun tempat SQL Server berjalan harus memiliki izin untuk membaca dari Direktori Aktif. Jika Anda mengalami masalah dengan akun Windows, pastikan akun tempat SQL Server berjalan memiliki izin yang memadai. Untuk informasi selengkapnya, lihat dokumentasi Windows.
Untuk mengelola PAL, lihat Mengelola Login di Daftar Akses Publikasi.
Agen Snapshot
Ada satu Agen Rekam Jepret untuk setiap publikasi. Untuk informasi selengkapnya, lihat Membuat Publikasi.
Pengiriman Rekam Jepret FTP
Jika Anda menentukan bahwa rekam jepret harus tersedia melalui berbagi FTP daripada berbagi UNC, Anda harus menentukan login dan kata sandi saat mengonfigurasi akses FTP. Untuk informasi selengkapnya, lihat Mengirimkan Rekam Jepret Melalui FTP.
Agen Pembaca Log
Ada satu Agen Pembaca Log untuk setiap database yang diterbitkan untuk replikasi transaksional. Untuk informasi selengkapnya, lihat Membuat Publikasi.
Agen Pembaca Antrean
Ada satu Agen Pembaca Antrean untuk semua Penerbit dan publikasi (yang memungkinkan pembaruan langganan antrean) yang terkait dengan Distributor tertentu. Untuk informasi selengkapnya, lihat Mengaktifkan Pembaruan Langganan untuk Publikasi Transaksional.