Ескертпе
Бұл бетке кіру үшін қатынас шегін айқындау қажет. Жүйеге кіруді немесе каталогтарды өзгертуді байқап көруге болады.
Бұл бетке кіру үшін қатынас шегін айқындау қажет. Каталогтарды өзгертуді байқап көруге болады.
Область применения:
SQL Server Управляемый экземпляр SQL Azure
К издателю подключаются следующие агенты репликации:
- Агенты чтения журнала
- агент моментальных снимков
- Агент чтения очереди.
- Агент слияния.
Рекомендуется выделить для этих агентов соответствующе имена входа, придерживаясь принципа предоставления минимально необходимых прав, и обеспечить надежное хранение их паролей. Сведения о разрешениях, необходимых для каждого из перечисленных агентов, см. в разделе Replication Agent Security Model.
Помимо надлежащего управления именами входа и паролями, следует понимать роль, которую играет список доступа к публикации (PAL). Он позволяет именам входа производить доступ к данным публикации, ограничивая при этом нерегламентированный доступ к базе данных издателя.
Список доступа к публикации
Список доступа к публикации представляет собой первичный механизм защиты публикаций на издателе. Pal работает аналогично списку управления доступом Microsoft Windows. При создании публикации репликация создает список доступа для этой публикации. Список доступа к публикации может быть сконфигурирован таким образом, что будет содержать список имен входа и групп, которым предоставлен доступ к публикации. Когда агент подключается к издателю или распространителю и запрашивает доступ к публикации, данные проверки подлинности из списка доступа к публикации сравниваются с именем входа издателя, который предоставлен этим агентом. Этот процесс обеспечивает дополнительную защиту издателя, так как имена входа издателя и распространителя не могут использоваться клиентскими средствами для внесения изменений непосредственно на издателе.
Примечание.
Репликация создает для каждой публикации роль на издателе для ввода в действие списка доступа к публикации. Роль имеет имя в форме Msmerge_PublicationID> для репликации слиянием и MSReplPAL_<<PublicationDatabaseID_<PublicationID>> для репликации транзакций и моментальных снимков.
По умолчанию в список доступа к публикации включаются члены предопределенной роли сервера sysadmin (существующие на момент создания публикации) и имя входа, использованное для ее создания. По умолчанию все имена входа, являющиеся членами предопределенной роли сервера sysadmin или предопределенной роли базы данных db_owner в базе данных публикации, могут подписываться на публикацию, даже если они отсутствуют в списке доступа к ней.
При работе со списком доступа к публикации следует учитывать следующие моменты:
Перед добавлением имени входа в PAL необходимо связать имя входа SQL Server с пользователем базы данных в базе данных публикации.
Следуйте принципу наименьших необходимых прав доступа, предоставляя именам входа из списка доступа к публикации только те разрешения, которые им необходимы для выполнения задач репликации. Не добавляйте имена входа в какие-либо предопределенные роли базы данных или роли сервера, ненужные для репликации. Дополнительные сведения о необходимых разрешениях см. в разделах Replication Agent Security Model и Replication Security Best Practices.
Если используется удаленный распространитель, то учетные записи в списке доступа к публикации должны быть доступны как на издателе, так и на распространителе. Это должны быть либо учетные записи домена, либо локальные учетные записи, определенные на обоих серверах. Связанные с обоими именами входа пароли также должны совпадать.
Если PAL содержит учетные записи Windows и домен использует Active Directory, учетная запись, в которой выполняется SQL Server, должна иметь разрешения на чтение из Active Directory. Если у вас возникли проблемы с учетными записями Windows, убедитесь, что учетная запись, в которой выполняется SQL Server, имеет достаточные разрешения. Дополнительные сведения см. в документации по Windows.
Управление списками доступа к публикации описано в статье Управление именами входа в списке доступа к публикации.
агент моментальных снимков
Для каждой публикации существует один агент моментальных снимков. Дополнительные сведения см. в разделе Create a Publication.
Доставка моментальных снимков по FTP
Если указать, что моментальные снимки должны быть доступны через общий FTP-ресурс, а не через общий UNC-ресурс, при настройке доступа по FTP необходимо будет указать имя входа и пароль. Дополнительные сведения см. в статье Доставка моментального снимка через FTP.
Агент чтения журнала.
У каждой базы данных, опубликованной для репликации транзакций, может быть только один агент чтения журнала. Дополнительные сведения см. в разделе Create a Publication.
Агент чтения очереди.
Для всех издателей и публикаций (допускающих подписки, обновляемые посредством очередей), связанных с определенным распространителем, существует один агент чтения очереди. Дополнительные сведения см. в статье Включение обновляемых подписок для публикации транзакций.