パブリッシャのセキュリティ確保

[アーティクル]
12/15/2008

次のレプリケーションエージェントはパブリッシャに接続します。

ログリーダーエージェント
スナップショットエージェント
キューリーダーエージェント
マージエージェント

最低限必要な権限のみを与え、かつ、すべてのパスワードの格納を保護するという原則に従って、これらの各エージェントに対し適切なログインを提供することをお勧めします。ログインとパスワードの管理の詳細については、「レプリケーションのログインとパスワードの管理」を参照してください。各エージェントに必要な権限の詳細については、「レプリケーションエージェントのセキュリティモデル」を参照してください。

ログインとパスワードの適切な管理以外にも、パブリケーションアクセスリスト (PAL) の役割を理解しておく必要があります。PAL は、パブリッシャのデータベースへのアドホックアクセスを制限すると同時に、ログインしてパブリケーションデータへのアクセスを可能にするために使用されます。

パブリケーションアクセスリスト

PAL は、パブリッシャでパブリケーションの安全を確保する主要なメカニズムです。PAL は、Microsoft Windows のアクセス制御リストによく似た機能を備えています。パブリケーションを作成すると、レプリケーションによってそのパブリケーションに対する PAL が作成されます。PAL は、パブリケーションへのアクセスを許可されているログインとグループのリストを含めるように構成できます。エージェントがパブリッシャまたはディストリビュータに接続し、パブリケーションへのアクセスを要求すると、PAL 内の認証情報が、エージェントによって提供されるパブリッシャログインと比較されます。このプロセスでは、クライアントツールがパブリッシャとディストリビュータのログインを使用してパブリッシャ側で直接変更を行う危険性を回避できるので、パブリッシャのセキュリティを向上できます。

メモ :
PAL のメンバに含めるため、レプリケーションによって、各パブリケーションに対してパブリッシャ上にロールが作成されます。ロールには、マージレプリケーションの場合は Msmerge_<PublicationID> という形式、トランザクションレプリケーションとスナップショットレプリケーションの場合は MSReplPAL_<PublicationDatabaseID>_<PublicationID> という形式で名前が付けられます。

PAL のメンバに含めるため、レプリケーションによって、各パブリケーションに対してパブリッシャ上にロールが作成されます。ロールには、マージレプリケーションの場合は Msmerge_<PublicationID> という形式、トランザクションレプリケーションとスナップショットレプリケーションの場合は MSReplPAL_<PublicationDatabaseID>_<PublicationID> という形式で名前が付けられます。

既定で PAL に含まれるログインは、パブリケーションが作成された時点の sysadmin 固定サーバーロールのメンバ、およびパブリケーションを作成するために使用されるログインです。既定で、パブリケーションデータベース上の sysadmin 固定サーバーロールまたは db_owner 固定データベースロールのメンバであるすべてのログインは、明示的に PAL に追加しなくても、パブリケーションに対してサブスクライブできます。

PAL を使用する場合は、次のガイドラインを考慮してください。

SQL Server ログインを PAL に追加する前に、そのログインをパブリケーションデータベースのデータベースユーザーに関連付ける必要があります。
最小特権の原則に従って、PAL 内のログインに、レプリケーションタスクを実行するために必要な権限のみを許可します。レプリケーションに必要のない固定データベースロールやサーバーロールに、ログインを追加しないでください。必要な権限の詳細については、「レプリケーションエージェントのセキュリティモデル」および「レプリケーションセキュリティの推奨事項」を参照してください。
リモートディストリビュータを使用する場合、PAL 内のアカウントは、パブリッシャとディストリビュータの両方で使用できる必要があります。このアカウントは、どちらのサーバーでも定義されているドメインアカウントまたはローカルアカウントにする必要があります。両方のログインに関連付けられているパスワードは、同じにする必要があります。
PAL に Windows アカウントが含まれており、ドメインで Active Directory が使用されている場合、SQL Server を実行する際に使用するアカウントが Active Directory から読み取りを行う権限を持っている必要があります。Windows アカウントに関する問題が発生した場合は、SQL Server を実行する際に使用するアカウントが十分な権限を持っていることを確認します。詳細については、Windows のマニュアルを参照してください。

PAL を管理するには

SQL Server Management Studio: パブリケーションアクセスリストのログインを管理する方法 (SQL Server Management Studio)
レプリケーション Transact-SQL プログラミング : パブリケーションアクセスリストのログインを管理する方法 (レプリケーション Transact-SQL プログラミング)

参照

次の方法で共有

パブリッシャのセキュリティ確保

パブリケーションアクセスリスト

参照

概念

その他の技術情報

ヘルプおよび情報

その他のリソース

次の方法で共有

パブリッシャのセキュリティ確保

パブリケーション アクセス リスト

参照

概念

その他の技術情報

ヘルプおよび情報

その他のリソース

パブリケーションアクセスリスト