Proteger o Distribuidor
Aplica-se a:
SQL ServerInstância Gerenciada de SQL do Azure
Os agentes de replicação a seguir se conectam ao Distribuidor: o Agente de Leitor de Log, Agente de Instantâneo, Agente de Leitor de Fila, Agente de Distribuição e Agente de Mesclagem. É importante fornecer um logon adequado para cada um desses agentes e seguir o princípio de conceder o mínimo possível de direitos necessários e de proteger também o armazenamento de todas as senhas:
Para obter mais informações sobre como gerenciar logons e senhas, consulte Gerenciar logons e senhas na Replicação.
Para obter informações detalhadas sobre as permissões requeridas por cada agente, consulte Replication Agent Security Model.
Além de gerenciar os logons e as senhas adequadamente, é importante entender a função do link repl_distributor do servidor remoto e a conta distributor_admin .
Protegendo a conexão do Publicador com o Distribuidor
Para dar suporte à comunicação necessária quando os procedimentos administrativos armazenados são executados no Publicador e as informações são atualizadas no Distribuidor, a replicação configura automaticamente o servidor remoto repl_distributor. A entrada do servidor remoto repl_distributor é usada na comunicação com o banco de dados de distribuição, independentemente de o banco de dados estar incluído na instância do Publicador (um Distribuidor local) ou residir em uma instância remota do SQL Server (um Distribuidor remoto).
Quando o banco de dados de distribuição é incluído em uma instância local, uma senha aleatória é gerada e configurada automaticamente. Quando o banco de dados de distribuição estiver localizado em uma instância remota, o administrador configurará uma senha compartilhada durante a instalação do Publicador e do Distribuidor; essa senha, então, será usada para fornecer a autenticação do tráfego que atravessa o link repl_distributor .
O Distribuidor usa a entrada repl_distributor do servidor remoto para verificar se o servidor que efetua a chamada está configurado como um Publicador no Distribuidor, valida a senha fornecida pelo Publicador e valida que o procedimento armazenado seja um procedimento de replicação armazenado durante a execução.
A senha configurada para a entrada repl_distributor do servidor remoto durante a instalação é associada a um logon do SQL Server, distributor_admin, que é adicionado à função de servidor fixa sysadmin no Distribuidor. O logon distributor_admin é usado pelos procedimentos de replicação armazenados na conexão com o Distribuidor.
Observação
Não altere manualmente a senha para o distributor_admin . Use sempre o procedimento armazenado sp_changedistributor_password, ou as caixas de diálogo Propriedades do Distribuidor ou Atualizar Senhas de Replicação no SQL Server Management Studio, pois as alterações de senhas serão então aplicadas automaticamente às publicações locais.
Como desabilitar o logon do distributor_admin
Se o logon do distributor_admin estiver desabilitado em um Distribuidor remoto, você não poderá mais fazer o seguinte:
- Criar ou excluir publicações.
- Alterar os artigos de uma publicação existente.
- Consultar o status do agente usando o SSMS (SQL Server Management Studio) ou o Replication Monitor no Publisher.
- Criar ou excluir assinaturas.
- Postar tokens de rastreamento usando o Replication Monitor ou executando sys.sp_posttracertoken.
- Configurar um Editor remoto no distribuidor.
Dessa forma, não é recomendável desabilitar o logon do distributor_admin em um Distribuidor remoto. Embora a desabilitação do logon de distributor_admin em um distribuidor local possa não impor as mesmas limitações, ela ainda não é uma prática recomendada.
Segurança da pasta de instantâneos
Certifique-se de que o compartilhamento de instantâneos tenha acesso de leitura para a conta sob a qual o Agente de Mesclagem (para replicação de mesclagem) ou o Agente de Distribuição (para replicação transacional ou de instantâneos) executa, e acesso de gravação concedido à conta sob a qual o Agente de Instantâneo executa. Para obter mais informações sobre a pasta de instantâneos, consulte Proteger a pasta de instantâneos.
Confira também
Exibir e modificar configurações de segurança de replicação
Habilitar conexões criptografadas no Mecanismo de Banco de Dados (SQL Server Configuration Manager)
Replication Security Best Practices
Exibir e modificar configurações de segurança de replicação
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de