Udostępnij za pośrednictwem

  • Artykuł

Security Architecture for Web Synchronization

Microsoft SQL Server Umożliwia szczegółowymi kontrolować konfiguracja zabezpieczeń synchronizacja w sieci Web.Ten temat zawiera pełną listę wszystkich składników, które mogą zostać uwzględnione w konfiguracja synchronizacja w sieci Web oraz informacje dotyczące połączenia, które są wykonywane między składnikami.When possible, use Windows Authentication.

Na poniższej ilustracji pokazano wszystkie możliwe połączenia, ale niektóre połączenia nie może być wymagana w określonej topologii.Na przykład połączenie z serwerem FTP jest wymagany tylko wtedy, gdy migawka jest dostarczany za pośrednictwem FTP.

Components and connections in Web synchronization

W poniższych tabelach opisano składniki i połączeń, które są pokazane na ilustracji.

A.Użytkownik systemu Windows, W którym działa agent korespondencji seryjnej

Podczas synchronizacji Scal Agent (A) jest uruchamiana przez subskrybent.Agent korespondencji seryjnej można uruchomić z SQL Server Etap zadanie agenta lub autonomicznej aplikacji niestandardowych. Jeśli scalanie Agent jest uruchamiany z SQL Server Etap zadanie agenta, Agent Scal uruchomiony w kontekście użytkownika systemu Windows, które określisz. Jeśli nie zostanie określony użytkownik systemu Windows, Agent korespondencji seryjnej jest uruchamiany w kontekście konta usługa systemu Windows dla SQL Server Agent.

Typ konta

Określono konto

Użytkownik systemu Windows

Transact-SQL: @ job_login and @ job_password parametrówsp_addmergepullsubscription_agent.

RMO (replikacja Management Objects): the Login() i Password() właściwości SynchronizationAgentProcessSecurity().

Konto usługa systemu Windows SQL Server Agent

SQL Server Uwzględnia wyrażenie ([a-zA-Z_$][a-zA-Z0-9_$]*).

Autonomiczną aplikację

Scal Agent jest uruchomiony w kontekście użytkownika systemu Windows, na którym działa aplikacja.

B.Połączenie subskrybent

Scal Agent łączy się z subskrybent przy użyciu uwierzytelniania systemu Windows lub SQL Server Uwierzytelnianie. Użytkownik systemu Windows lub SQL Server Identyfikator logowania, określonym przez użytkownika muszą być skojarzone z użytkownika bazy danych, który jest członkiem dbowner stała rola bazy danych w bazie danych subskrypcja.

Uwaga

Uwierzytelnianie systemu Windows jest zawsze używany podczas scalania Agent jest uruchamiany z SQL Server zadanie agenta. Uwierzytelnianie systemu Windows jest również używane, gdy agent korespondencji seryjnej jest uruchomiona programowo, chyba że SQL Server Uwierzytelnianie jest jawnie określony.

Typ uwierzytelnianie

Określono uwierzytelnianie

  • Uwierzytelnianie systemu Windows.

Agent korespondencji seryjnej powoduje, że połączenia w kontekście użytkownika Windows określonego dla agenta korespondencji seryjnej (A).

SQL Server Uwierzytelnianie jest używane tylko wtedy, gdy określona jest następujące:

  • RMO: wartość Standard() dla SubscriberSecurityMode().

  • Scal Agent wiersza polecenia: wartość 0 for SubscriberSecurityMode.

RMO: SubscriberLogin() i SubscriberPassword().

Scal Agent wiersza polecenia: -SubscriberLogin and -SubscriberLogin.

C.Połączenia wychodzące serwer proxy

Użytkownik systemu Windows dla tego połączenia należy określić tylko wtedy, gdy nie ma wychodzących serwera proxy, który ogranicza dostęp do sieci wewnętrznej subskrybent.

Typ uwierzytelnianie

Określono uwierzytelnianie

Uwierzytelnianie systemu Windows

RMO: InternetProxyLogin() i InternetProxyPassword() z InternetProxyServer().

Scal Agent wiersza polecenia: -InternetProxyLogin and -InternetProxyPassword with -InternetProxyServer.

D.Połączenie internetowe usługi informacyjne

Po zakończeniu łączenia się z subskrybent i wyodrębnianie zmian z baza danych subskrypcja, Agent korespondencji seryjnej powoduje, że żądanie HTTPS Microsoft Internet Information Services (IIS) i zmiany danych przekazywania wiadomości XML. Scal Agent musi mieć uprawnienia logowania do usług IIS.

Typ uwierzytelnianie

Określono uwierzytelnianie

Uwierzytelnianie podstawowe jest używana, jeśli określono jedną z następujących czynności:

  • Transact-SQL: wartość 0 for the @ internet_security_mode parametrsp_addmergepullsubscription_agent.

  • RMO: wartość Standard() dla InternetSecurityMode().

  • Scal Agent wiersza polecenia: wartość 0 for -InternetSecurityMode.

Transact-SQL: @ internet_login and @ internet_password parametrówsp_addmergepullsubscription_agent.

RMO: InternetLogin() i InternetPassword().

Scal Agent wiersza polecenia: -InternetLogin and -InternetPassword.

Zintegrowane uwierzytelnianie1 jest używana, jeśli określono jedną z następujących czynności:

  • Transact-SQL: wartość 1 for the @ internet_security_mode parametrsp_addmergepullsubscription_agent.

  • RMO: wartość Integrated() dla InternetSecurityMode().

  • Scal Agent wiersza polecenia: wartość 1 for -InternetSecurityMode.

Agent korespondencji seryjnej powoduje, że połączenia w kontekście użytkownika Windows określonego dla agenta korespondencji seryjnej (A).

1 Zintegrowane uwierzytelnianie mogą być używane tylko wtedy, gdy wszystkie komputery są w tej samej domenie lub w wielu domenach, których relacje zaufania między sobą.

Uwaga

Delegowanie jest wymagany, jeśli używasz zintegrowanego uwierzytelnianie.Firma Microsoft zaleca, aby użyć uwierzytelnianie podstawowe i SSL do połączeń z subskrybent internetowych usług informacyjnych.

E.Połączenie Wydawca

The SQL Server replikacja Listener and Merge replikacja Reconciler components are hosted on the computer that is running IIS. Składniki te należy wykonać następujące czynności:

  • Odbiera żądanie HTTPS, które opisano w sekcji „ D.Połączenie z usługami IIS „.

  • Sprawdź połączenie SQL baza danych publikacja i zastosować zmiany przesłane do baza danych publikacja.

  • Wyodrębnić pobrany zmiany i wysłać w postaci odpowiedzi protokołu HTTPS do agenta korespondencji seryjnej.

Reconciler replikacja łączenia łączy się z wydawcą przy użyciu albo uwierzytelnianie systemu Windows lub SQL Server Uwierzytelnianie. Użytkownik systemu Windows lub SQL Server logowanie określonym przez użytkownika muszą być zgodne z następujących czynności:

  • Można na liście publikacja dostępu (PAL).Aby uzyskać więcej informacji zobacz Securing the Publisher.

  • Można skojarzyć z kontem użytkownika w bazie danych publikacja.

Typ uwierzytelnianie

Określono uwierzytelnianie

Uwierzytelnianie systemu Windows jest używane, jeśli określono jedną z następujących czynności:

  • Transact-SQL: wartość 1 for the @ publisher_security_mode parametrsp_addmergepullsubscription_agent.

  • RMO: wartość Integrated() dla PublisherSecurityMode().

  • Scal Agent wiersza polecenia: wartość 1 for -PublisherSecurityMode.

Agent korespondencji seryjnej powoduje, że połączenia do Wydawca w kontekście użytkownika systemu Windows, którą określono dla połączeń internetowych usług informacyjnych (D).Jeśli Wydawca i usługi IIS działają na różnych komputerach i zintegrowanego uwierzytelnianie jest używany do połączenia (D), należy włączyć delegowanie Kerberos na komputerze, na którym działa program IIS.Aby uzyskać więcej informacji zobacz w dokumentacji systemu Windows.

SQL Server Uwierzytelnianie jest używane, jeśli określono jedną z następujących czynności:

  • Transact-SQL: wartość 0 for the @ publisher_security_mode parametrsp_addmergepullsubscription_agent.

  • RMO: wartość Standard() dla PublisherSecurityMode().

  • Scal Agent wiersza polecenia: wartość 0 for -PublisherSecurityMode.

Transact-SQL: @ publisher_login and @ publisher_password parametrówsp_addmergepullsubscription_agent.

RMO: PublisherLogin() i PublisherPassword().

Scal Agent wiersza polecenia: -PublisherLogin and -PublisherPassword.

F.Połączenie dystrybutor

Reconciler replikacja łączenia jest przechowywana na komputerze, na którym działa program IIS powoduje połączeń do dystrybutor.Przy użyciu uwierzytelniania systemu Windows albo Reconciler replikacja łączenia łączy dystrybutor lub SQL Server Uwierzytelnianie. Użytkownik systemu Windows lub SQL Server logowanie określonym przez użytkownika muszą być zgodne z następujących czynności:

  • Mieć dostęp do publikacja (PAL).Aby uzyskać więcej informacji zobacz Securing the Publisher.

  • Można skojarzyć z użytkownikiem bazy danych w bazie danych dystrybucji.Użytkownik może być Guest użytkownik.

udział migawka zazwyczaj znajduje się dystrybutor.Aby uzyskać więcej informacji na temat akcji migawka zobacz sekcję „ H.Dostęp do udział migawka "w dalszej części tego tematu.

  • Typ uwierzytelnianie

Określono uwierzytelnianie

Uwierzytelnianie systemu Windows jest używane, jeśli określono jedną z następujących czynności:

  • Transact-SQL: wartość 1 for the @ distributor_security_mode parametrsp_addmergepullsubscription_agent.

  • RMO: wartość Integrated() dla DistributorSecurityMode().

  • Scal Agent wiersza polecenia: wartość 1 for -DistributorSecurityMode.

Agent korespondencji seryjnej powoduje, że połączenia do dystrybutor w kontekście użytkownika systemu Windows, którą określono dla połączeń internetowych usług informacyjnych (D).Dystrybutor oraz usługi IIS działają na różnych komputerach i zintegrowane uwierzytelnianie jest używane do połączenia (D), należy włączyć delegowanie Kerberos na komputerze, na którym działa program IIS.Aby uzyskać więcej informacji zobacz w dokumentacji systemu Windows.

SQL Server Uwierzytelnianie jest używane, jeśli określono jedną z następujących czynności:

  • Transact-SQL: wartość 0 for the @ distributor_security_mode parametrsp_addmergepullsubscription_agent.

  • RMO: wartość Standard() dla DistributorSecurityMode().

  • Scal Agent wiersza polecenia: wartość 0 for -DistributorSecurityMode.

Transact-SQL: @ distributor_login and @ distributor_password parametrówsp_addmergepullsubscription_agent.

RMO: DistributorLogin() i DistributorPassword()

Scal Agent wiersza polecenia: -DistributorLogin and -DistributorPassword.

G.Połączenie z serwerem FTP

Określ użytkownika systemu Windows dla tego połączenia, tylko wtedy, gdy użytkownik pobierze migawka plików z serwera FTP, a nie z lokalizacji UNC, na komputerze, na którym działa program IIS przed zastosowaniem migawka do subskrybent.Aby uzyskać więcej informacji zobacz Przenoszenie migawek za pośrednictwem FTP.

Typ uwierzytelnianie

Określono uwierzytelnianie

Uwierzytelnianie systemu Windows

Transact-SQL: @ ftp_login and @ ftp_password parametrówsp_addmergepublication.

RMO: FtpLogin() i FtpPassword().

H.Dostęp do udział migawka

udział migawka Uzyskują Reconciler replikacja łączenia jest przechowywana na komputerze, na którym działa program IIS.

Typ uwierzytelnianie

Określono uwierzytelnianie

Uwierzytelnianie systemu Windows

Scal Agent uzyskuje dostęp do udziału migawkę w kontekście użytkownika systemu Windows, którą określono dla połączeń internetowych usług informacyjnych (D).Jeśli udział migawka oraz usługi IIS działają na różnych komputerach i zintegrowanego uwierzytelnianie jest używany do połączenia (D), należy włączyć delegowanie Kerberos na komputerze, na którym działa program IIS.Aby uzyskać więcej informacji zobacz w dokumentacji systemu Windows.

I.Konta puli aplikacji dla internetowych usług informacyjnych

To konto będzie używane, aby rozpocząć proces W3wp.exe na komputerze, na którym działa program IIS dla Windows Server 2003 lub procesu DLLHOST.exe na Windows 2000. Te procesy udostępniać aplikacje na komputerze, na którym działa serwer IIS, takie jak SQL Server Odbiornik replikacja i Reconciler replikacja łączenia. To konto powinno mieć Odczyt i wykonać uprawnień replikacja następujących bibliotek DLL na komputerze, na którym działa program IIS:

  • Replisapi

  • Replrec

  • Replprov

  • Msgprox

  • Xmlsub

Konto także powinien być częścią grupy IIS_WPG.Aby uzyskać więcej informacji, zobacz sekcję "Ustawianie uprawnień do SQL ServerOdbiornik replikacja"w Jak Konfigurowanie usług IIS dla synchronizacja w sieci Web.

Typ konta

Określono konto

Każdy użytkownik systemu Windows ma wymagane uprawnienia.

Menedżer Internet Information Services (IIS).Domyślnie na Windows Server 2003Usługa sieciowa to konto, które jest używane.