Защита издателя
Область применения: SQL Server Управляемый экземпляр SQL Azure
К издателю подключаются следующие агенты репликации:
- Агенты чтения журнала
- агент моментальных снимков
- Агент чтения очереди.
- Агент слияния.
Рекомендуется выделить для этих агентов соответствующе имена входа, придерживаясь принципа предоставления минимально необходимых прав, и обеспечить надежное хранение их паролей. Сведения о разрешениях, необходимых для каждого из перечисленных агентов, см. в разделе Replication Agent Security Model.
Помимо надлежащего управления именами входа и паролями, следует понимать роль, которую играет список доступа к публикации (PAL). Он позволяет именам входа производить доступ к данным публикации, ограничивая при этом нерегламентированный доступ к базе данных издателя.
Список доступа к публикации
Список доступа к публикации представляет собой первичный механизм защиты публикаций на издателе. Pal работает аналогично списку управления доступом Microsoft Windows. При создании публикации репликация создает список доступа для этой публикации. Список доступа к публикации может быть сконфигурирован таким образом, что будет содержать список имен входа и групп, которым предоставлен доступ к публикации. Когда агент подключается к издателю или распространителю и запрашивает доступ к публикации, данные проверки подлинности из списка доступа к публикации сравниваются с именем входа издателя, который предоставлен этим агентом. Этот процесс обеспечивает дополнительную защиту издателя, так как имена входа издателя и распространителя не могут использоваться клиентскими средствами для внесения изменений непосредственно на издателе.
Примечание.
Репликация создает для каждой публикации роль на издателе для ввода в действие списка доступа к публикации. Роль имеет имя в форме Msmerge_PublicationID> для репликации слиянием и MSReplPAL_<<PublicationDatabaseID_<PublicationID>> для репликации транзакций и моментальных снимков.
По умолчанию в список доступа к публикации включаются члены предопределенной роли сервера sysadmin (существующие на момент создания публикации) и имя входа, использованное для ее создания. По умолчанию все имена входа, являющиеся членами предопределенной роли сервера sysadmin или предопределенной роли базы данных db_owner в базе данных публикации, могут подписываться на публикацию, даже если они отсутствуют в списке доступа к ней.
При работе со списком доступа к публикации следует учитывать следующие моменты:
Перед добавлением имени входа в PAL необходимо связать имя входа SQL Server с пользователем базы данных в базе данных публикации.
Следуйте принципу наименьших необходимых прав доступа, предоставляя именам входа из списка доступа к публикации только те разрешения, которые им необходимы для выполнения задач репликации. Не добавляйте имена входа в какие-либо предопределенные роли базы данных или роли сервера, ненужные для репликации. Дополнительные сведения о необходимых разрешениях см. в разделах Replication Agent Security Model и Replication Security Best Practices.
Если используется удаленный распространитель, то учетные записи в списке доступа к публикации должны быть доступны как на издателе, так и на распространителе. Это должны быть либо учетные записи домена, либо локальные учетные записи, определенные на обоих серверах. Связанные с обоими именами входа пароли также должны совпадать.
Если PAL содержит учетные записи Windows и домен использует Active Directory, учетная запись, в которой выполняется SQL Server, должна иметь разрешения на чтение из Active Directory. Если у вас возникли проблемы с учетными записями Windows, убедитесь, что учетная запись, в которой выполняется SQL Server, имеет достаточные разрешения. Дополнительные сведения см. в документации по Windows.
Управление списками доступа к публикации описано в статье Управление именами входа в списке доступа к публикации.
агент моментальных снимков
Для каждой публикации существует один агент моментальных снимков. Дополнительные сведения см. в разделе Create a Publication.
Доставка моментальных снимков по FTP
Если указать, что моментальные снимки должны быть доступны через общий FTP-ресурс, а не через общий UNC-ресурс, при настройке доступа по FTP необходимо будет указать имя входа и пароль. Дополнительные сведения см. в статье Доставка моментального снимка через FTP.
Агент чтения журнала.
У каждой базы данных, опубликованной для репликации транзакций, может быть только один агент чтения журнала. Дополнительные сведения см. в разделе Create a Publication.
Агент чтения очереди.
Для всех издателей и публикаций (допускающих подписки, обновляемые посредством очередей), связанных с определенным распространителем, существует один агент чтения очереди. Дополнительные сведения см. в статье Включение обновляемых подписок для публикации транзакций.