Condividi tramite

Sicurezza del server di pubblicazione

  • Articolo

Gli agenti di replica seguenti si connettono al server di pubblicazione:

  • Agente di lettura log

  • agente snapshot

  • Agente di lettura coda

  • Agente di merge

È importante specificare un account di accesso appropriato per questi agenti, attenendosi al principio di concedere i diritti minimi necessari e proteggere l'archiviazione di tutte le password. Per informazioni sulle autorizzazioni necessarie per ogni agente, vedere Replication Agent Security Model.

Oltre a gestire gli account di accesso e le password in modo appropriato, è importante comprendere il ruolo dell'elenco di accesso alla pubblicazione. Questo elenco viene utilizzato per consentire agli account di accedere ai dati di pubblicazione, limitando nel contempo l'accesso ad hoc al database nel server di pubblicazione.

Elenco di accesso alla pubblicazione

L'elenco di accesso alla pubblicazione costituisce il principale sistema di protezione delle pubblicazioni nel server di pubblicazione. Le funzioni PAL in modo analogo a un elenco di controllo di accesso di Microsoft Windows. Quando si crea una pubblicazione, la replica crea un elenco di accesso alla pubblicazione per la pubblicazione creata. Tale elenco può essere configurato per contenere l'elenco degli account di accesso e dei gruppi autorizzati ad accedere alla pubblicazione. Quando un agente si connette al server di pubblicazione o al server di distribuzione e richiede l'accesso a una pubblicazione, i dati di autenticazione dell'elenco di accesso alla pubblicazione vengono confrontati con l'account di accesso al server di pubblicazione specificato dall'agente. Ciò garantisce un maggior livello di sicurezza del server di pubblicazione, impedendo che gli account di accesso del server di pubblicazione e del server di distribuzione vengano utilizzati da uno strumento client per apportare modifiche direttamente nel server di pubblicazione.

Nota

La replica crea un ruolo sul server di pubblicazione per ogni pubblicazione, in modo da applicare l'appartenenza all'elenco di accesso alla pubblicazione. Il ruolo ha un nome nel formato Msmerge_PublicationID> per la replica di tipo merge e MSReplPAL_<<PublicationDatabaseID_PublicationID>>per la replica transazionale e< snapshot.

Per impostazione predefinita, nell'elenco di accesso alla pubblicazione sono inclusi gli account di accesso seguenti: i membri del ruolo predefinito del server sysadmin al momento della creazione della pubblicazione e l'account di accesso utilizzato per creare la pubblicazione. Per impostazione predefinita, tutti gli account di accesso membri del ruolo predefinito del server sysadmin o del ruolo predefinito del database db_owner nel database di pubblicazione possono sottoscrivere una pubblicazione, senza necessità di essere aggiunti esplicitamente all'elenco di accesso alla pubblicazione.

Quando si utilizza l'elenco di accesso alla pubblicazione, tenere presenti le indicazioni seguenti:

  • È necessario associare l'account di accesso SQL Server a un utente del database di pubblicazione prima di aggiungere l'account di accesso al pal.

  • Attenersi al principio dei privilegi minimi, concedendo agli account nell'elenco di accesso alla pubblicazione solo le autorizzazioni necessarie per eseguire le attività di replica. Non aggiungere gli account di accesso a ruoli predefiniti del database o del server che non sono necessari per la replica. Per ulteriori informazioni sulle autorizzazioni necessarie, vedere Replication Agent Security Model e Replication Security Best Practices.

  • Se si usano un server di distribuzione remoto, gli account nell'elenco di accesso alla pubblicazione devono essere disponibili sia nel server di pubblicazione che nel server di distribuzione. L'account deve essere un account di dominio o un account locale definito in entrambi i server. Le password associate a entrambi gli account di accesso devono essere identiche.

  • Se il pal contiene account Windows e il dominio usa Active Directory, l'account in cui SQL Server esecuzioni deve disporre delle autorizzazioni per la lettura da Active Directory. Se si verificano problemi con gli account Windows, assicurarsi che l'account in base al quale SQL Server esecuzioni disponga di autorizzazioni sufficienti. Per ulteriori informazioni, vedere la documentazione di Windows.

Per gestire l'elenco di accesso alla pubblicazione, vedere Gestire gli account nell'elenco di accesso alla pubblicazione.

agente snapshot

Per ogni pubblicazione esiste un solo agente snapshot. Per altre informazioni, vedere Create a Publication.

Recapito snapshot FTP

Se si specifica che gli snapshot devono essere resi disponibili tramite una condivisione FTP anziché una condivisione UNC, quando si configura l'accesso FTP è necessario specificare un account di accesso e una password. Per altre informazioni, vedere Recapitare uno snapshot tramite FTP.

Agente di lettura log

Per ogni database pubblicato per la replica transazionale, esiste un solo agente di lettura log. Per altre informazioni, vedere Create a Publication.

Agente di lettura coda

Per tutti i server di pubblicazione e le pubblicazioni (che consentono le sottoscrizioni ad aggiornamento in coda) associate a uno specifico database di distribuzione esiste un solo agente di lettura coda. Per altre informazioni, vedere Abilitare le sottoscrizioni aggiornabili per le pubblicazioni transazionali.

Vedere anche

Abilitazione di connessioni crittografate al Motore di database (Gestione configurazione SQL Server)
Procedure consigliate per la sicurezza della replica
sicurezza replica di SQL Server