Protegendo o Publicador
Os seguintes agentes de replicação se conectam ao Publicador:
Log Reader Agent
Snapshot Agent
Queue Reader Agent.
Merge Agent
Recomendamos que você forneça um logon adequado para esses agentes, siga o princípio de conceder o mínimo possível de direitos necessários e de proteger o armazenamento de todas as senhas. Para obter informações sobre como gerenciar logons e senhas, consulte Gerenciando logons e senhas na replicação. Para obter mais informações sobre permissões requeridas para cada agente, consulte Modelo de segurança do agente de replicação.
Além de gerenciar adequadamente logons e senhas, você deve entender a função da lista de acesso à publicação (PAL). A PAL é usada para habilitar logons para acessar os dados da publicação enquanto restringem o acesso ad hoc ao banco de dados no Publicador.
Lista de acesso à publicação
A PAL é o mecanismo principal para proteger publicações no Publicador. A PAL funciona do mesmo modo que uma lista de controle de acesso Microsoft do Windows. Quando você cria uma publicação, a replicação cria uma PAL para a publicação. A PAL pode ser configurada para conter uma lista de logons e grupos com acesso concedido à publicação. Quando um agente se conecta ao Publicador ou ao Distribuidor e solicita acesso à publicação, as informações de autenticação na PAL são comparadas com o logon no Publicador fornecido por aquele agente. Esse processo fornece segurança adicional ao Publicador, impedindo que o logon do Publicador e do Distribuidor seja usado por uma ferramenta cliente para executar modificações diretamente no Publicador.
.gif "Observação") Observação |
|---|
A replicação cria uma função no Publicador para cada publicação impor a associação à PAL. A função tem um nome no formato Msmerge_<ID_da_Publicação> para replicação de mesclagem e MSReplPAL_<ID_do_Banco_de_Dados_de_Publicação>_<ID_da_Publicação> para replicação transacional e de instantâneo. |
Por padrão, os seguintes logons são incluídos na PAL: os membros da função de servidor fixa sysadmin no momento em que a publicação é criada e o logon usado para criar a publicação. Por padrão, todos os logons que são membros da função de servidor fixa sysadmin ou da função de banco de dados fixa db_owner no banco de dados de publicação podem se inscrever em uma publicação sem serem adicionados explicitamente à PAL.
Quando você estiver usando a PAL, considere as seguintes diretrizes:
É preciso associar o logon do SQL Server com um usuário de banco de dados no banco de dados de publicação antes de adicionar o logon à PAL.
Siga o princípio de menos privilégios permitindo logons na PAL somente as permissões cujos logons precisem executar tarefas de replicação. Não adicione os logons a quaisquer funções de banco de dados fixas ou funções de servidor que não são necessários para replicação. Para obter mais informações sobre as permissões exigidas, consulte Modelo de segurança do agente de replicação e Práticas recomendadas em relação à segurança de replicação.
Se for usado um Distribuidor remoto, as contas da PAL precisarão estar disponíveis tanto no Publicador quanto no Distribuidor. A conta ou deve ser uma conta de domínio ou uma conta local que é definida em ambos os servidores. As senhas associadas com ambos os logons devem ser as mesmas.
Se a PAL contiver contas do Windows e o domínio usa o Active Directory, a conta em que o SQL Server executa deverá ter permissões de leitura do Active Directory. Se você tiver problemas com contas do Windows, verifique se a conta que executa o SQL Server possui permissões adequadas. Para obter mais informações, consulte a documentação do Windows.
Para gerenciar a PAL
SQL Server Management Studio: Como gerenciar logons na lista de Acesso à Publicação (SQL Server Management Studio)
Programação Transact-SQL de replicação: Como administrar logons na lista de acesso à publicação (Programação Transact-SQL de replicação)
Consulte também