Partilhar via


Proteger o Publicador

Os seguintes agentes de replicação se conectam ao Publicador:

  • Log Reader Agent

  • Snapshot Agent

  • Queue Reader Agent

  • Merge Agent

Recomendamos que você forneça um logon adequado para esses agentes, siga o princípio de conceder o mínimo possível de direitos necessários e de proteger o armazenamento de todas as senhas. Para obter mais informações sobre permissões requeridas para cada agente, consulte Modelo de segurança do agente de replicação.

Além de gerenciar adequadamente logons e senhas, você deve entender a função da lista de acesso à publicação (PAL). A PAL é usada para habilitar logons para acessar os dados da publicação enquanto restringem o acesso ad hoc ao banco de dados no Publicador.

Lista de acesso à publicação

A PAL é o mecanismo principal para proteger publicações no Publicador. A PAL funciona de modo semelhante à lista de controle de acesso do MicrosoftWindows. Quando você cria uma publicação, a replicação cria uma PAL para a publicação. A PAL pode ser configurada para conter uma lista de logons e grupos com acesso concedido à publicação. Quando um agente se conecta ao Publicador ou ao Distribuidor e solicita acesso à publicação, as informações de autenticação na PAL são comparadas com o logon no Publicador fornecido por aquele agente. Esse processo fornece segurança adicional ao Publicador, impedindo que o logon do Publicador e do Distribuidor seja usado por uma ferramenta cliente para executar modificações diretamente no Publicador.

ObservaçãoObservação

A replicação cria uma função no Publicador para cada publicação impor a associação à PAL. A função tem um nome no formato Msmerge_<PublicationID> para replicação de mesclagem e MSReplPAL_<PublicationDatabaseID>_<PublicationID> para replicação transacional e de instantâneo.

Por padrão, os seguintes logons são incluídos na PAL: os membros da função de servidor fixa sysadmin no momento em que a publicação é criada e o logon usado para criar a publicação. Por padrão, todos os logons que são membros da função de servidor fixa sysadmin ou da função de banco de dados fixa db_owner no banco de dados de publicação podem assinar uma publicação sem serem adicionados explicitamente à PAL.

Quando você estiver usando a PAL, considere as seguintes diretrizes:

  • É preciso associar o logon do SQL Server com um usuário de banco de dados no banco de dados de publicação antes de adicionar o logon à PAL.

  • Siga o princípio de menos privilégios permitindo logons na PAL somente as permissões cujos logons precisem executar tarefas de replicação. Não adicione os logons a quaisquer funções de banco de dados fixas ou funções de servidor que não são necessários para replicação. Para obter mais informações sobre as permissões exigidas, consulte Modelo de segurança do agente de replicação e Práticas recomendadas em relação à segurança de replicação.

  • Se for usado um Distribuidor remoto, as contas da PAL precisarão estar disponíveis tanto no Publicador quanto no Distribuidor. A conta ou deve ser uma conta de domínio ou uma conta local que é definida em ambos os servidores. As senhas associadas com ambos os logons devem ser as mesmas.

  • Se a PAL contiver contas do Windows e o domínio usa o Active Directory, a conta em que o SQL Server executa deverá ter permissões de leitura do Active Directory. Se você tiver problemas com contas do Windows, verifique se a conta que executa o SQL Server possui permissões adequadas. Para obter mais informações, consulte a documentação do Windows.

Para gerenciar a PAL, consulte Gerenciar logons na lista de acesso à publicação.

Agente de Instantâneo

Há um Agente de Instantâneo para cada publicação. Para obter mais informações, consulte Crie uma publicação.

Entrega de instantâneo por FTP

Se especificar que os instantâneos devem ser disponibilizados através de um compartilhamento FTP ao invés de um compartilhamento UNC, você deverá especificar um logon e uma senha quando for configurar o acesso ao FTP. Para obter mais informações, consulte Entregar um instantâneo pelo FTP.

Agente de Leitor de Log

Há um Agente de Leitor de Log para cada banco de dados publicado para replicação transacional. Para obter mais informações, consulte Crie uma publicação.

Agente de Leitor de Fila

Há um Agente de Leitor de Fila para todos os Publicadores e publicações (que permite assinaturas de atualização em fila) associados a um determinado Distribuidor.

Consulte também

Conceitos

Habilitar conexões criptografadas no Mecanismo de Banco de Dados (SQL Server Configuration Manager)

Práticas recomendadas em relação à segurança de replicação

Outros recursos

Segurança e proteção (Replicação)