Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of mappen te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen om mappen te wijzigen.
Van toepassing op:
SQL Server 2016 (13.x) SQL Server 2017 (14.x) SQL Server 2019 (15.x)
Belangrijk
SQL Server Distributed Replay is niet beschikbaar met SQL Server 2022 (16.x) en latere versies.
Raadpleeg de belangrijke beveiligingsinformatie in dit artikel voordat u de functie Gedistribueerde herhaling van Microsoft SQL Server installeert en gebruikt. In dit artikel worden de beveiligingsconfiguratiestappen na de installatie beschreven die vereist zijn voordat u Gedistribueerde herhaling kunt gebruiken. In dit artikel worden ook belangrijke overwegingen met betrekking tot gegevensbescherming en belangrijke verwijderingsstappen beschreven.
Gebruikers- en serviceaccounts
In de volgende tabel worden de accounts beschreven die worden gebruikt voor Gedistribueerde Herhaling. Na de installatie van Distributed Replay moet u de beveiligingsprincipals toewijzen aan de controller- en clientserviceaccounts. Daarom raden we u aan de bijbehorende domeingebruikersaccounts te configureren voordat u de functies voor gedistribueerde herhaling installeert.
| Gebruikersaccount | Behoeften |
|---|---|
| Serviceaccount voor SQL Server Distributed Replay-controller 1 | Dit kan een domeingebruikersaccount of een lokaal gebruikersaccount zijn. Als u een lokaal gebruikersaccount gebruikt, moeten het beheerprogramma, de controller en de client allemaal op dezelfde computer worden uitgevoerd. |
| SQL Server Distributed Replay-klantenservice-account 1 | Dit kan een domeingebruikersaccount of een lokaal gebruikersaccount zijn. Als u een lokaal gebruikersaccount gebruikt, moeten de controller, client en doel-SQL Server allemaal op dezelfde computer worden uitgevoerd. |
| Interactief gebruikersaccount dat wordt gebruikt om het Distributed Replay-beheerprogramma uit te voeren | Dit kan een lokale gebruiker of een domeingebruikersaccount zijn. Als u een lokaal gebruikersaccount wilt gebruiken, moeten het beheerprogramma en de controller op dezelfde computer worden uitgevoerd. |
1 Voeg dit account niet toe aan de lokale groep Administrators in Windows.
Belangrijk
Wanneer u de Distributed Replay-controller configureert, kunt u een of meer gebruikersaccounts opgeven om de gedistribueerde replay-clientservices uit te voeren in de volgende lijst met ondersteunde accounts:
- Domeingebruikersaccount
- Gebruiker heeft een lokaal gebruikersaccount gemaakt
- Administrateur
- Virtueel account en MSA (Beheerde Service Account)
- Netwerkservices, lokale services en systeem
Groepsaccounts (lokaal of domein) en andere ingebouwde accounts (zoals Iedereen) worden niet geaccepteerd.
Als u de serviceaccounts of hun wachtwoorden wilt instellen nadat u Gedistribueerde herhaling hebt geïnstalleerd, kunt u het hulpprogramma Windows Services gebruiken. Voer de volgende stappen uit om de serviceaccounts te wijzigen die zijn gekoppeld aan de Gedistribueerde Replay Controller of clientservices:
Voer een van de volgende handelingen uit, afhankelijk van het besturingssysteem:
- Selecteer Start, typ services.mscin het zoekvak en druk op Enter.
- Selecteer Start, selecteer Uitvoeren, typ services.msc en druk op Enter.
Klik in het dialoogvenster Services met de rechtermuisknop op de service die u wilt configureren en selecteer Vervolgens Eigenschappen.
Selecteer Dit account op het tabblad Aanmelden.
Configureer het gebruikersaccount dat u wilt gebruiken.
Machtigingen voor bestanden en mappen
Nadat de serviceaccounts zijn opgegeven, moet u de benodigde bestands- en mapmachtigingen verlenen aan deze serviceaccounts. Configureer bestands- en mapmachtigingen volgens de volgende tabel:
| Rekening | Mapmachtigingen |
|---|---|
| Serviceaccount voor SQL Server Distributed Replay-controller |
<Controller_Installation_Path>\DReplayController (Lezen, schrijven, verwijderen)DReplayServer.xml bestand (lezen, schrijven) |
| Sql Server Distributed Replay-clientserviceaccount |
<Client_Installation_Path>\DReplayClient (Lezen, schrijven, verwijderen)DReplayClient.xml bestand (lezen, schrijven)De werk- en resultaatmappen, zoals opgegeven in het clientconfiguratiebestand, respectievelijk door de WorkingDirectory en ResultDirectory elementen. (Lezen, schrijven) |
DCOM-machtigingen
DCOM wordt gebruikt voor RPC-communicatie (remote procedure call) tussen de controller en het beheerprogramma, en tussen de controller en alle clients. U moet computerbrede en toepassingsspecifieke DCOM-machtigingen op de controller configureren nadat de gedistribueerde replay-functies zijn geïnstalleerd.
Voer de volgende stappen uit om de DCOM-machtigingen voor de controller te configureren:
Open
dcomcnfg.exe, de Component Services-snap-in: Gebruik dit hulpprogramma om DCOM-machtigingen te configureren.- Selecteer Start op de controllercomputer.
- Typ
dcomcnfg.exein het zoekvak. - Druk op Enter.
DCOM-machtigingen voor de hele computer configureren: Verleen de bijbehorende DCOM-machtigingen voor de hele computer voor elk account dat in de volgende tabel wordt vermeld. Zie Controlelijst: DCOM-toepassingen beheren voor meer informatie over het instellen van machtigingen voor de hele computer.
Toepassingsspecifieke DCOM-machtigingen configureren: de bijbehorende toepassingsspecifieke DCOM-machtigingen verlenen voor elk account dat in de volgende tabel wordt vermeld. De naam van de DCOM-toepassing voor de controllerservice is
DReplayController. Zie Controlelijst: DCOM-toepassingen beheren voor meer informatie over het instellen van toepassingsspecifieke machtigingen.
In de volgende tabel wordt beschreven welke DCOM-machtigingen vereist zijn voor het interactieve gebruikersaccount van het beheerprogramma en de clientserviceaccounts:
| Eigenschap | Rekening | Vereiste DCOM-machtigingen voor controller |
|---|---|---|
| Gedistribueerd beheerprogramma voor opnieuw afspelen | Het interactieve gebruikersaccount | Lokale toegang Externe toegang Lokaal starten Op afstand starten Lokale activering Externe activering |
| Gedistribueerde herhalingsclient | Sql Server Distributed Replay-clientserviceaccount | Lokale toegang Externe toegang Lokaal starten Op afstand starten Lokale activering Externe activering |
Belangrijk
Om te beschermen tegen schadelijke query's of denial-of-service-aanvallen, moet u ervoor zorgen dat u alleen een vertrouwd gebruikersaccount gebruikt voor het klantserviceaccount. Dit account kan verbinding maken en workloads opnieuw afspelen op het doelexemplaar van SQL Server.
SQL Server-machtigingen
De accounts van de SQL Server Distributed Replay-clientservice worden gebruikt om verbinding te maken met het doelexemplaar van SQL Server voor de workload. Alleen de Windows-verificatiemodus wordt ondersteund voor deze verbindingen.
Nadat u de SQL Server Distributed Replay-clientservice op een set computers hebt geïnstalleerd, moet aan de beveiligingsprincipaal die voor deze serviceaccounts wordt gebruikt, de sysadmin-serverfunctie worden verleend op het exemplaar van SQL Server waarop u de traceringsworkload opnieuw wilt afspelen. Deze stap wordt niet automatisch uitgevoerd tijdens het instellen van gedistribueerde herhalingen.
Gegevensbescherming
In de gedistribueerde replay-omgeving krijgen de volgende gebruikersaccounts volledige toegang tot het doelserverexemplaren van SQL Server, de invoertraceringsgegevens en resultaattraceringsbestanden:
Het interactieve gebruikersaccount dat wordt gebruikt om het beheerprogramma uit te voeren.
Het controllerserviceaccount.
Het klantenserviceaccount.
Leden van de lokale beheerdersgroep op de controller.
Leden van de lokale Administrators-groep op de clients.
Belangrijk
Deze accounts hebben volledige toegang tot persoonsgegevens of gevoelige informatie die is opgenomen in de tracerings-, tussen-, verzendings- of SQL Server-gegevensbestanden die zijn gebruikt door Gedistribueerde herhaling.
Neem de volgende voorzorgsmaatregelen voor beveiliging:
Sla de invoertraceringsgegevens, uitvoertraceringsresultaten en databasebestanden op een locatie op die gebruikmaakt van het NTFS-bestandssysteem (NTFS) en pas de juiste toegangsbeheerlijsten (ACL's) toe. Versleutel zo nodig de gegevens die zijn opgeslagen op de SQL Server-computer. ACL's worden niet toegepast op de traceringsbestanden en er is geen gegevensmaskering of verdoofing. U moet deze bestanden snel verwijderen na gebruik.
Pas de juiste ACL's en het juiste bewaarbeleid toe op alle intermediaire en verzendbestanden die Distributed Replay genereert.
Gebruik TLS (Transport Layer Security) om het netwerktransport te beveiligen.
Belangrijke verwijderingsstappen
Gebruik gedistribueerde herhaling alleen in een testomgeving. Nadat het testen is voltooid en voordat u deze computers voor een andere taak gebruikt, moet u de volgende stappen uitvoeren:
Verwijder de functies voor gedistribueerde herhalingen en verwijder de gerelateerde configuratiebestanden van de controller en alle clients.
Verwijder alle tracerings-, tussenliggende, dispatch- en SQL Server-databasebestanden die zijn gebruikt voor het testen. De tussenliggende en verzendbestanden worden respectievelijk opgeslagen in de werkmap op de controller en client.