サブスクライバーのセキュリティ保護

[アーティクル]
06/18/2013

マージエージェントとディストリビューションエージェントはサブスクライバーに接続します。これらの接続は、SQL Server ログインまたは Windows ログインのコンテキスト下で行われます。最低限必要な権限のみを与え、かつ、すべてのパスワードの格納を保護するという原則に従って、これらの各エージェントに対し適切なログインを提供することが重要です。各エージェントに必要な権限の詳細については、「レプリケーションエージェントのセキュリティモデル」を参照してください。

ディストリビューションエージェント

サブスクリプションごとに 1 つのディストリビューションエージェント (パブリケーションの新規作成ウィザードで既定で作成される独立したエージェント)、またはパブリケーションデータベースとサブスクリプションデータベースのペアごとに 1 つのディストリビューションエージェント (共有エージェント) があります。 T

プッシュサブスクリプションの接続情報を指定するには、「プッシュサブスクリプションの作成」を参照してください。

プルサブスクリプションの接続情報を指定するには「プルサブスクリプションの作成」を参照してください。

マージエージェント

マージサブスクリプションごとにマージエージェントがあり、パブリッシャーとサブスクライバーの両方に接続し、更新します。

プッシュサブスクリプションの接続情報を指定するには、「プッシュサブスクリプションの作成」を参照してください。

プルサブスクリプションの接続情報を指定するには「プルサブスクリプションの作成」を参照してください。

即時更新サブスクリプション

即時更新サブスクリプションを構成する場合は、パブリッシャーに接続する際のアカウントをサブスクライバーで指定します。サブスクライバーで起動され、パブリッシャーに変更を反映するトリガーが接続を使用します。接続の種類については 3 つのオプションがあります。

レプリケーションが作成するリンクサーバー。構成時に指定した資格情報を使用して接続が行われます。
レプリケーションが作成するリンクサーバー。サブスクライバーで変更を行うユーザーの資格情報を使用して接続が行われます。
定義済みのリンクサーバーまたはリモートサーバー。

重要
接続情報を指定するには、ストアドプロシージャ sp_link_publication (Transact-SQL) を使用します。サブスクリプションの新規作成ウィザードの [更新可能なサブスクリプション用のログイン] を使用して、sp_link_publication を呼び出すこともできます。特定の条件下で、サブスクライバーが SQL Server 2005 Service Pack 1 (SP1) 以降を実行し、パブリッシャーがそれよりも前のバージョンを実行している場合、このストアドプロシージャは失敗する可能性があります。このシナリオでストアドプロシージャが失敗する場合は、パブリッシャーを SQL Server 2005 SP1 以降にアップグレードしてください。

接続情報を指定するには、ストアドプロシージャ sp_link_publication (Transact-SQL) を使用します。サブスクリプションの新規作成ウィザードの [更新可能なサブスクリプション用のログイン] を使用して、sp_link_publication を呼び出すこともできます。特定の条件下で、サブスクライバーが SQL Server 2005 Service Pack 1 (SP1) 以降を実行し、パブリッシャーがそれよりも前のバージョンを実行している場合、このストアドプロシージャは失敗する可能性があります。このシナリオでストアドプロシージャが失敗する場合は、パブリッシャーを SQL Server 2005 SP1 以降にアップグレードしてください。

詳細については、「トランザクションパブリケーションの更新可能なサブスクリプションの作成」および「レプリケーションのセキュリティ設定の表示および変更」を参照してください。

重要
接続用に指定するアカウントには、レプリケーションによってパブリケーションデータベース内に作成されるビューのデータの挿入、更新、および削除だけを実行できる権限を与える必要があります。それ以外の権限は与えないでください。各サブスクライバーで構成したアカウントに、syncobj_<HexadecimalNumber> の形式で名前が指定されたパブリケーションデータベース内のビューに対する権限を与えます。

接続用に指定するアカウントには、レプリケーションによってパブリケーションデータベース内に作成されるビューのデータの挿入、更新、および削除だけを実行できる権限を与える必要があります。それ以外の権限は与えないでください。各サブスクライバーで構成したアカウントに、syncobj_<HexadecimalNumber> の形式で名前が指定されたパブリケーションデータベース内のビューに対する権限を与えます。

キュー更新サブスクリプション

キュー更新サブスクリプションを構成する際には、セキュリティに関して、以下の 2 点に注意してください。

各ディストリビューターには、キューリーダーエージェントが 1 つしかありません。ディストリビューターごとに、キュー更新サブスクリプションを有効にしたパブリケーションを 1 つだけ構成することをお勧めします。

キューリーダーエージェントは、ディストリビューター、パブリッシャー、および各サブスクライバーに接続します。

エージェントの実行とディストリビューターへの接続で使用するアカウントは、エージェントを作成する際に指定します (パブリケーションの新規作成ウィザードを使用する場合は、更新サブスクリプションを有効にしたパブリケーションを作成する際にエージェントが作成されます)。
エージェントがパブリッシャーに接続する際に使用するアカウントは、パブリッシャーのディストリビューションを構成する際に指定します。エージェントの実行で使用する Windows アカウントか SQL Server アカウントを指定してください。
エージェントがサブスクライバーに接続する際に使用するアカウントは、サブスクリプションを作成する際に指定します。

重要
サブスクライバーへの接続には SQL Server 認証を使用し、各サブスクライバーへの接続にはそれぞれ異なるアカウントを指定してください。プルサブスクリプションを使用する場合は、レプリケーションによって、常に Windows 認証を使用するように接続が設定されます (プルサブスクリプションでは、SQL Server 認証が必要なサブスクライバーのメタデータにレプリケーションからアクセスすることはできません)。その場合、サブスクリプションを構成した後に、接続で SQL Server 認証を使用するように変更してください。

サブスクライバーへの接続には SQL Server 認証を使用し、各サブスクライバーへの接続にはそれぞれ異なるアカウントを指定してください。プルサブスクリプションを使用する場合は、レプリケーションによって、常に Windows 認証を使用するように接続が設定されます (プルサブスクリプションでは、SQL Server 認証が必要なサブスクライバーのメタデータにレプリケーションからアクセスすることはできません)。その場合、サブスクリプションを構成した後に、接続で SQL Server 認証を使用するように変更してください。

詳細については、「トランザクションパブリケーションに対して更新可能なサブスクリプションを作成する方法 (SQL Server Management Studio)」および「レプリケーションのセキュリティ設定の表示および変更」を参照してください。

次の方法で共有

サブスクライバーのセキュリティ保護

ディストリビューションエージェント

マージエージェント

即時更新サブスクリプション

キュー更新サブスクリプション

関連項目

概念

その他の技術情報

その他のリソース

次の方法で共有

サブスクライバーのセキュリティ保護

ディストリビューション エージェント

マージ エージェント

即時更新サブスクリプション

キュー更新サブスクリプション

関連項目

概念

その他の技術情報

その他のリソース

ディストリビューションエージェント

マージエージェント