Microsoft SQL Server を使用すると、Web 同期セキュリティの構成をきめ細かく制御できます。 このトピックでは、Web 同期構成に含めることができるすべてのコンポーネントの包括的な一覧と、コンポーネント間で行われる接続に関する情報を提供します。 可能な場合は、Windows 認証を使用します。
次の図は、考えられるすべての接続を示していますが、一部の接続は特定のトポロジでは必要ない場合があります。 たとえば、FTP サーバーへの接続は、スナップショットが FTP を使用して配信される場合にのみ必要です。
次の表では、図に示されているコンポーネントと接続について説明します。
ある。 マージ エージェントを実行する Windows ユーザー
同期中に、マージ エージェント (A) がサブスクライバーで開始されます。 マージ エージェントは、SQL Server エージェント ジョブ ステップまたはスタンドアロン カスタム アプリケーションから開始できます。 マージ エージェントが SQL Server エージェント ジョブ ステップから開始された場合、マージ エージェントは、指定した Windows ユーザーのコンテキストで実行されます。 Windows ユーザーを指定しない場合、マージ エージェントは SQL Server エージェントの Windows サービス アカウントのコンテキストで実行されます。
| アカウントの種類 | アカウントが指定されている場所 |
|---|---|
| Windows ユーザー | Transact-SQL: sp_addmergepullsubscription_agentの@job_loginパラメーターと@job_password パラメーター。 RMO (レプリケーション管理オブジェクト): SynchronizationAgentProcessSecurityのLoginおよびPasswordプロパティ。 |
| SQL Server エージェントの Windows サービス アカウント | SQL Server 構成マネージャー |
| スタンドアロン アプリケーション | マージ エージェントは、アプリケーションを実行している Windows ユーザーのコンテキストで実行されます。 |
B. サブスクライバーへの接続
マージ エージェントは、Windows 認証または SQL Server 認証を使用してサブスクライバーに接続します。 指定する Windows ユーザーまたは SQL Server ログインは、サブスクリプション データベースの dbowner 固定データベース ロールのメンバーであるデータベース ユーザーに関連付ける必要があります。
注
Windows 認証は、SQL Server エージェント ジョブからマージ エージェントを開始するときに常に使用されます。 Windows 認証は、SQL Server 認証が明示的に指定されていない限り、マージ エージェントをプログラムで起動するときにも使用されます。
| 認証の種類 | 認証が指定されている場所 |
|---|---|
| Windows 認証 | マージ エージェントは、マージ エージェント (A) に指定された Windows ユーザーのコンテキストで接続を行います。 |
| SQL Server 認証は、次が指定されている場合にのみ使用されます。 RMO: SubscriberSecurityModeの値はStandardです。 マージ エージェントのコマンド ライン: SubscriberSecurityMode の値は 0 です。 |
RMO: SubscriberLogin と SubscriberPassword。 マージ エージェントのコマンド ライン: -SubscriberLogin と -SubscriberLogin。 |
C. 送信プロキシ サーバーへの接続
サブスクライバーの内部ネットワークへのアクセスを制限する送信プロキシ サーバーがある場合にのみ、この接続に Windows ユーザーを指定します。
| 認証の種類 | 認証が指定されている場所 |
|---|---|
| Windows 認証 | RMO: InternetProxyLoginとInternetProxyPassword、およびInternetProxyServer。 マージ エージェントのコマンド ライン: -InternetProxyLogin と -InternetProxyPassword と -InternetProxyServer。 |
D. IIS への接続
サブスクライバーに接続し、サブスクリプション データベースから変更を抽出した後、マージ エージェントは Microsoft インターネット インフォメーション サービス (IIS) に HTTPS 要求を行い、データ変更を XML メッセージとしてアップロードします。 マージ エージェントには、IIS へのログオン権限が必要です。
| 認証の種類 | 認証が指定されている場所 |
|---|---|
| 基本認証は、次のいずれかが指定されている場合に使用されます。 Transact-SQL: sp_addmergepullsubscription_agent の @internet_security_mode パラメーターに 0 を設定する。 RMO: InternetSecurityModeのStandardの値。 マージ エージェントのコマンド ライン: -InternetSecurityMode の値は 0 です。 |
Transact-SQL: sp_addmergepullsubscription_agentの@internet_loginおよび@internet_passwordパラメーター。 RMO: InternetLogin と InternetPassword。 マージ エージェントのコマンド ライン: -InternetLogin と -InternetPassword。 |
| 統合認証* は、次のいずれかが指定されている場合に使用されます。 Transact-SQL: sp_addmergepullsubscription_agent のパラメーター @internet_security_mode に対する値は 1 です。 RMO: InternetSecurityModeのIntegratedの値。 マージ エージェントのコマンド ライン: -InternetSecurityMode の値は 1 です。 |
マージ エージェントは、マージ エージェント (A) に指定された Windows ユーザーのコンテキストで接続を行います。 |
*統合認証は、すべてのコンピューターが同じドメイン内にあるか、相互に信頼関係を持つ複数のドメインにある場合にのみ使用できます。
注
統合認証を使用する場合は、委任が必要です。 サブスクライバーから IIS への接続には、基本認証と SSL を使用することをお勧めします。
E. パブリッシャーへの接続
SQL Server レプリケーション リスナーとマージ レプリケーション リコンサイルサー コンポーネントは、IIS を実行しているコンピューターでホストされます。 これらのコンポーネントは、次のアクションを実行します。
「D.」セクションで説明されている HTTPS 要求を取得します。 IIS への接続"。
パブリケーション データベースへの SQL 接続を作成し、アップロードした変更をパブリケーション データベースに適用します。
ダウンロードした変更を抽出し、HTTPS 応答をマージ エージェントに送信します。
マージ レプリケーション 調整ツールは、Windows 認証または SQL Server 認証を使用してパブリッシャーに接続します。 指定する Windows ユーザーまたは SQL Server ログインは、次に準拠している必要があります。
パブリケーション アクセス リスト (PAL) に含まれます。 詳細については、「パブリッシャーのセキュリティ保護」を参照してください。
パブリケーション データベースのユーザーに関連付ける。
| 認証の種類 | 認証が指定されている場所 |
|---|---|
| Windows 認証は、次のいずれかが指定されている場合に使用されます。 Transact-SQL: sp_addmergepullsubscription_agentのパラメーター@publisher_security_modeの値を1に設定します。 RMO: PublisherSecurityModeにおけるIntegratedの値。 マージ エージェントのコマンド ライン: -PublisherSecurityMode の値は 1 です。 |
マージ エージェントは、IIS (D) への接続に指定された Windows ユーザーのコンテキストでパブリッシャーに接続します。 パブリッシャーと IIS が異なるコンピューター上にあり、接続に統合認証 (D) が使用されている場合は、IIS を実行しているコンピューターで Kerberos 委任を有効にする必要があります。 詳細については、Windows のマニュアルを参照してください。 |
| SQL Server 認証は、次のいずれかが指定されている場合に使用されます。 Transact-SQL: sp_addmergepullsubscription_agentの@publisher_security_modeパラメーターに対する値は0です。 RMO: PublisherSecurityModeのStandardの値。 マージ エージェントのコマンド ライン: -PublisherSecurityMode の値は 0 です。 |
Transact-SQL: sp_addmergepullsubscription_agentの@publisher_loginおよび@publisher_password パラメーター。 RMO: PublisherLogin と PublisherPassword。 マージ エージェントのコマンド ライン: -PublisherLogin と -PublisherPassword。 |
F. ディストリビューターへの接続
IIS を実行しているコンピューターでホストされているマージ レプリケーション リコンサイルサもディストリビューターに接続します。 マージ レプリケーション 調整ツールは、Windows 認証または SQL Server 認証を使用してディストリビューターに接続します。 指定する Windows ユーザーまたは SQL Server ログインは、次に準拠している必要があります。
パブリケーション アクセス (PAL) に含まれる。 詳細については、「パブリッシャーのセキュリティ保護」を参照してください。
ディストリビューション データベースのデータベース ユーザーに関連付ける。 ユーザーは、
Guestユーザーにすることができます。
通常、スナップショット共有はディストリビューター上にあります。 スナップショット共有の詳細については、「H. このトピックの後半で「スナップショット共有へのアクセス」を参照してください。
| 認証の種類 | 認証が指定されている場所 |
|---|---|
| Windows 認証は、次のいずれかが指定されている場合に使用されます。 Transact-SQL: sp_addmergepullsubscription_agentの@distributor_security_modeパラメーターに1の値を設定します。 RMO: DistributorSecurityModeに対するIntegratedの値。 マージ エージェントのコマンド ライン: -DistributorSecurityMode の値は 1 です。 |
マージ エージェントは、IIS (D) への接続に指定された Windows ユーザーのコンテキストでディストリビューターに接続します。 ディストリビューターと IIS が異なるコンピューター上にあり、接続に統合認証 (D) が使用されている場合は、IIS を実行しているコンピューターで Kerberos 委任を有効にする必要があります。 詳細については、Windows のマニュアルを参照してください。 |
| SQL Server 認証は、次のいずれかが指定されている場合に使用されます。 Transact-SQL: sp_addmergepullsubscription_agentの@distributor_security_modeパラメーターには0の値を設定します。 RMO: DistributorSecurityModeに対するStandardの値。 マージ エージェントのコマンド ライン: -DistributorSecurityMode の値は 0 です。 |
Transact-SQL: sp_addmergepullsubscription_agentの@distributor_loginおよび@distributor_passwordパラメーター。 RMO: DistributorLogin と DistributorPassword マージ エージェントのコマンド ライン: -DistributorLogin と -DistributorPassword。 |
G. FTP サーバーへの接続
スナップショット をサブスクライバーに適用する前に、UNC の場所ではなく FTP サーバーから IIS を実行しているコンピューターにスナップショット ファイルをダウンロードする場合にのみ、この接続に Windows ユーザーを指定します。 詳細については、「FTP によるスナップショットの転送」を参照してください。
| 認証の種類 | 認証が指定されている場所 |
|---|---|
| Windows 認証 | Transact-SQL: sp_addmergepublicationの@ftp_loginおよび@ftp_passwordパラメーター。 RMO: FtpLogin と FtpPassword。 |
H. スナップショット共有へのアクセス
スナップショット共有には、IIS を実行しているコンピューターでホストされているマージ レプリケーション リコンサイルサーによってアクセスされます。
| 認証の種類 | 認証が指定されている場所 |
|---|---|
| Windows 認証 | マージ エージェントは、IIS (D) への接続に指定された Windows ユーザーのコンテキストでスナップショット共有にアクセスします。 スナップショット共有と IIS が異なるコンピューター上にあり、統合認証が接続 (D) に使用されている場合は、IIS を実行しているコンピューターで Kerberos 委任を有効にする必要があります。 詳細については、Windows のマニュアルを参照してください。 |
一 IIS のアプリケーション プール アカウント
このアカウントは、Windows Server 2003 用 IIS を実行しているコンピューターまたは Windows 2000 の Dllhost.exe プロセスで W3wp.exe プロセスを開始するために使用されます。 これらのプロセスは、SQL Server レプリケーション リスナーやマージ レプリケーション リコンサイルサーなど、IIS を実行しているコンピューター上のアプリケーションをホストします。 このアカウントには、IIS を実行しているコンピューター上の次のレプリケーション DLL に対する読み取りと実行のアクセス許可が必要です。
Replisapi
レプリレック
Replprov
Msgprox
Xmlsub
アカウントは、IIS_WPG グループの一部である必要もあります。 詳細については、「 Web 同期用に IIS を構成する」の「SQL Server レプリケーション リスナーのアクセス許可の設定」セクションを参照してください。
| アカウントの種類 | アカウントが指定されている場所 |
|---|---|
| 必要なアクセス許可を持つ Windows ユーザー。 | インターネット インフォメーション サービス (IIS) マネージャー。 |