Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy:
SQL Server 2016 (13.x), SQL Server 2017 (14.x) i SQL Server 2019 (15.x)
Ważne
Rozproszone odtwarzanie programu SQL Server nie jest dostępne w programie SQL Server 2022 (16.x) i nowszych wersjach.
Przed zainstalowaniem i użyciem funkcji rozproszonego odtwarzania programu Microsoft SQL Server należy zapoznać się z ważnymi informacjami o zabezpieczeniach w tym temacie. W tym temacie opisano kroki konfiguracji zabezpieczeń po instalacji, które są wymagane przed użyciem rozproszonego odtwarzania. W tym temacie opisano również ważne zagadnienia dotyczące ochrony danych i ważnych kroków usuwania.
Konta użytkowników i usług
W poniższej tabeli opisano konta używane do Distributed Replay. Po instalacji rozproszonego odtwarzania należy przypisać podmioty zabezpieczeń, w których będą uruchomione konta usługowe kontrolera i klienta. Dlatego zalecamy skonfigurowanie odpowiednich kont użytkowników domeny przed zainstalowaniem funkcji rozproszonego odtwarzania.
| Konto użytkownika | Wymagania |
|---|---|
| Konto usługi kontrolera rozproszonego odtwarzania programu SQL Server | Może to być konto użytkownika domeny lub konto użytkownika lokalnego. Jeśli używasz konta użytkownika lokalnego, narzędzie administracyjne, kontroler i klient muszą być uruchomione na tym samym komputerze. ** Uwaga dotycząca zabezpieczeń ** Zalecamy, aby konto nie było członkiem lokalnej grupy Administratorzy w systemie Windows. |
| Konto usługi rozproszonego odtwarzania klienta programu SQL Server | Może to być konto użytkownika domeny lub konto użytkownika lokalnego. Jeśli używasz konta użytkownika lokalnego, kontroler, klient i docelowy program SQL Server musi być uruchomiony na tym samym komputerze. ** Uwaga dotycząca zabezpieczeń ** Zalecamy, aby konto nie było członkiem lokalnej grupy Administratorzy w systemie Windows. |
| Interaktywne konto użytkownika używane do uruchamiania narzędzia administracyjnego rozproszonego odtwarzania | Może być użytkownikiem lokalnym lub kontem użytkownika domeny. Aby użyć konta użytkownika lokalnego, narzędzie administracyjne i kontroler muszą być uruchomione na tym samym komputerze. |
Ważne
Podczas konfigurowania kontrolera rozproszonego odtwarzania można określić co najmniej jedno konto użytkownika, które będzie używane do uruchamiania rozproszonych usług klienckich odtwarzania. Poniżej znajduje się lista obsługiwanych kont:
Konto użytkownika domeny
Użytkownik utworzył konto użytkownika lokalnego
Administrator
Konto wirtualne i konto MSA (Konto zarządzanej usługi)
Usługi sieciowe, usługi lokalne i system
Konta grupy (lokalne lub domena) i inne wbudowane konta (takie jak Wszyscy) nie są akceptowane.
Aby ustawić konta usług lub ich hasła po zainstalowaniu rozproszonego odtwarzania, możesz użyć narzędzia Usługi systemu Windows. Aby zmienić konta usług skojarzone z kontrolerem rozproszonego odtwarzania lub usługami klienckimi, wykonaj następujące kroki:
Wykonaj jedną z następujących czynności w zależności od systemu operacyjnego:
Wybierz Start, wpisz services.msc w polu Wyszukaj, a następnie naciśnij ENTER.
Wybierz pozycję Start, wybierz pozycję Uruchom, wpisz services.msc, a następnie naciśnij ENTER.
W oknie dialogowym Usługi kliknij prawym przyciskiem myszy usługę, którą chcesz skonfigurować, a następnie wybierz polecenie Właściwości.
Na karcie Logowanie wybierz pozycję To konto.
Skonfiguruj konto użytkownika, którego chcesz użyć.
Uprawnienia do plików i folderów
Po określeniu kont usług należy przyznać niezbędne uprawnienia do plików i folderów do tych kont usług. Skonfiguruj uprawnienia do plików i folderów zgodnie z poniższą tabelą:
| Konto | Uprawnienia folderu |
|---|---|
| Konto usługi kontrolera rozproszonego odtwarzania programu SQL Server |
<Controller_Installation_Path>\DReplayController (Odczyt, zapis, usuwanie)DReplayServer.xml plik (odczyt, zapis) |
| Konto usługi rozproszonego odtwarzania klienta programu SQL Server |
<Client_Installation_Path>\DReplayClient (Odczyt, zapis, usuwanie)DReplayClient.xml plik (odczyt, zapis)Katalogi robocze i wynikowe, określone w pliku konfiguracji klienta przez elementy WorkingDirectory i ResultDirectory, odpowiednio. (Odczyt, Zapis) |
Uprawnienia DCOM
DCOM jest używany do zdalnego wywołania procedur (RPC) między kontrolerem a narzędziem administracyjnym oraz między kontrolerem a wszystkimi klientami. Należy skonfigurować uprawnienia DCOM dla całego komputera i aplikacji na kontrolerze po zainstalowaniu funkcji rozproszonego odtwarzania.
Aby skonfigurować uprawnienia kontrolera DCOM, wykonaj następujące kroki:
Otwórz przystawkę dcomcnfg.exe, Usługi składników: jest to narzędzie używane do konfigurowania uprawnień modelu DCOM.
Na komputerze kontrolera wybierz pozycję Uruchom.
Wpisz dcomcnfg.exe w polu Wyszukaj .
Naciśnij ENTER.
Konfigurowanie uprawnień dcOM dla całego komputera: Przyznaj odpowiednie uprawnienia DCOM dla każdego konta wymienionego w poniższej tabeli. Aby uzyskać więcej informacji na temat ustawiania uprawnień dla całego komputera, zobacz Lista kontrolna: Zarządzanie aplikacjami DCOM.
Skonfiguruj uprawnienia DCOM specyficzne dla aplikacji: przyznaj odpowiednie uprawnienia DCOM specyficzne dla aplikacji dla każdego konta wymienionego w poniższej tabeli. Nazwa aplikacji DCOM dla usługi kontrolera to DReplayController. Aby uzyskać więcej informacji na temat ustawiania uprawnień specyficznych dla aplikacji, zobacz Lista kontrolna: Zarządzanie aplikacjami DCOM.
W poniższej tabeli opisano, które uprawnienia modelu DCOM są wymagane dla interaktywnego konta użytkownika narzędzia administracyjnego i kont usługi klienta:
| Funkcja | Konto | Wymagane uprawnienia DCOM na kontrolerze |
|---|---|---|
| Rozproszone narzędzie do administrowania odtwarzaniem | Interakcyjne konto użytkownika | Dostęp lokalny Dostęp zdalny Uruchamianie lokalne Zdalne uruchamianie Aktywacja lokalna Aktywacja zdalna |
| Klient rozproszonego odtwarzania | Konto usługi rozproszonego odtwarzania klienta programu SQL Server | Dostęp lokalny Dostęp zdalny Uruchamianie lokalne Zdalne uruchamianie Aktywacja lokalna Aktywacja zdalna |
Ważne
Aby chronić przed złośliwymi zapytaniami lub atakami typu "odmowa usługi", upewnij się, że używasz tylko zaufanego konta użytkownika dla konta usługi klienta. To konto będzie mogło łączyć i powtarzać obciążenia względem docelowego wystąpienia programu SQL Server.
Uprawnienia programu SQL Server
Konta usługi klienta rozproszonego odtwarzania programu SQL Server są używane do nawiązywania połączenia z docelowym wystąpieniem obciążenia programu SQL Server. Tylko tryb uwierzytelniania systemu Windows jest obsługiwany dla tych połączeń.
Po zainstalowaniu usługi klienta rozproszonego odtwarzania programu SQL Server na zestawie komputerów jednostka zabezpieczeń używana dla tych kont usług musi mieć przypisaną rolę serwera sysadmin w wystąpieniu programu SQL Server, względem którego zamierzasz odtworzyć obciążenie śledzenia. Ten krok nie jest wykonywany automatycznie podczas instalacji rozproszonego odtwarzania.
Ochrona danych
W środowisku rozproszonego odtwarzania pracy, następujące konta użytkowników mają pełny dostęp do docelowego wystąpienia serwera SQL Server, danych śledzenia wejściowych i plików śledzenia wyników:
Interaktywne konto użytkownika używane do uruchamiania narzędzia administracyjnego.
Konto usługi kontrolera.
Konto usługi klienta.
Członkowie lokalnej grupy Administratorzy na serwerze kontrolera domeny.
Członkowie lokalnej grupy Administratorzy na komputerach klienckich.
Ważne
Te konta mają pełny dostęp do wszelkich danych osobowych (PII) lub poufnych informacji zawartych w plikach danych śledzenia, pośredniczących, wysyłania lub programu SQL Server, które były używane przez Dystrybuowane Odtwarzanie.
Zalecamy stosowanie następujących środków ostrożności:
Zapisz dane śledzenia danych wejściowych, wyniki śledzenia danych wyjściowych i pliki bazy danych w lokalizacji korzystającej z systemu plików NTFS (NTFS) i zastosuj odpowiednie listy kontroli dostępu (ACL). W razie potrzeby zaszyfruj dane przechowywane na komputerze z programem SQL Server. Należy pamiętać, że listy kontroli dostępu (ACL) nie są stosowane do plików śledzenia i nie ma maskowania danych ani ukrywania. Te pliki należy usunąć szybko po użyciu.
Zastosuj odpowiednie listy ACL i zasady przechowywania do wszystkich plików pośrednich i wysyłania, które są generowane przez rozproszoną powtórkę.
Użyj protokołu Transport Layer Security (TLS), wcześniej znanego jako Secure Sockets Layer (SSL), aby ułatwić zabezpieczanie transportu sieciowego.
Ważne kroki usuwania
Zalecamy używanie tylko rozproszonego odtwarzania w środowisku testowym. Po zakończeniu testowania i przed aprowizację tych komputerów dla innego zadania upewnij się, że wykonano następujące czynności:
Odinstaluj funkcje rozproszonego odtwarzania i usuń powiązane pliki konfiguracji z kontrolera i wszystkich klientów.
Usuń wszystkie pliki śledzenia, pośrednie, wysyłania i bazy danych programu SQL Server, które zostały użyte do testowania. Pliki pośrednie i wysyłane są przechowywane odpowiednio w katalogu roboczym na kontrolerze i kliencie.