Поделиться через

Настройка сервера IIS 7 для веб-синхронизации

Процедуры, описанные в этом разделе, помогут вам вручную настроить Microsoft Internet Information Services (IIS) версии 7 и более поздних версий для использования веб-синхронизации в процессе репликации слиянием.

Настройка IIS 7 — это первый из трех шагов, необходимых для включения веб-синхронизации.

Обзор процесса настройки см. в статье Настройка веб-синхронизации.

Это важно

Убедитесь, что приложение использует только версии .NET Framework 2.0 или более поздних версий, а более ранние версии .NET Framework не установлены на сервере IIS. Более ранние версии .NET Framework могут привести к ошибкам, например"Формат сообщения во время веб-синхронизации был недопустим. Убедитесь, что компоненты репликации правильно настроены на веб-сервере".

Чтобы использовать веб-синхронизацию, необходимо настроить IIS 7, выполнив следующие действия. Каждый шаг подробно описан в этом разделе.

  1. Установите и настройте прослушиватель репликации Microsoft SQL Server на компьютере под управлением IIS.

  2. Настройка протокола SSL. Для связи между IIS и всеми подписчиками требуется SSL.

  3. Настройка проверки подлинности IIS

  4. Настройте учетную запись и задайте разрешения для слушателя репликации SQL Server.

Установка прослушивателя репликации SQL Server

Веб-синхронизация поддерживается в IIS, начиная с версии 5.0. Мастер настройки веб-синхронизации IIS версии 5 и 6 недоступен в IIS версии 7.0 и выше. Начиная с SQL Server 2012, чтобы использовать компонент веб-синхронизации на сервере IIS, необходимо установить SQL Server с репликацией. Это может быть бесплатный выпуск SQL Server Express.

Установка и настройка прослушивателя репликации SQL Server

  1. Установите репликацию SQL Server на компьютере IIS.

  2. Создайте на компьютере, где запущены службы IIS, новый каталог для файла replisapi.dll. Каталог можно создать в любом месте, но рекомендуется создать каталог под диском<>:\Inetpub. Например, создайте каталог <drive>:\Inetpub\SQLReplication\.

  3. Скопируйте replisapi.dll с < каталога>:\Program Files\Microsoft SQL Server\120\com\ в каталог файлов, созданный на шаге 1.

  4. Зарегистрируйте файл replisapi.dll:

    1. Нажмите кнопку "Пуск" и нажмите кнопку "Выполнить". В поле "Открыть" введите cmdи нажмите кнопку "ОК".

    2. В каталоге, созданном в шаге 1, выполните следующую команду:

      regsvr32 replisapi.dll

  5. Создайте новый веб-сайт для репликации или воспользуйтесь уже существующим. Во время синхронизации компоненты репликации будут обращаться к этому веб-сайту. В этом разделе предполагается, что используется Сайт по умолчанию. Дополнительные сведения о том, как создать веб-сайт, содержатся в документации по службам IIS.

  6. Создайте виртуальный каталог в службах IIS. Виртуальный каталог должен быть создан на сайте, созданном в шаге 4, и сопоставлен с каталогом, созданным в шаге 1. Разрешения для этого каталога должны быть максимально ограничены. Необходимо выбрать как минимум разрешения Чтение и Выполнение .

    1. В диспетчере служб IISна панели Соединения щелкните правой кнопкой мыши Веб-сайт по умолчаниюи выберите Добавить виртуальный каталог.

    2. Для псевдонима введите SQLReplication.

    3. Для физического пути введите <диск>:\Inetpub\SQLReplication\, а затем нажмите ОК.

  7. Установите в настройках служб IIS разрешение выполнять файл replisapi.dll.

    1. В диспетчере служб IIS щелкните веб-сайт по умолчанию.

    2. В центральной области щелкните "Сопоставления обработчиков".

    3. В области действий нажмите кнопку "Добавить сопоставление модулей".

    4. Для пути запроса введите replisapi.dll.

    5. В раскрывающемся списке модуля выберите IsapiModule.

    6. Для исполняемого файла введите <диск>:\Inetpub\SQLReplication\replisapi.dll.

    7. Для параметра Имя введите Replisapi.

    8. Нажмите кнопку "Ограничения запроса" , перейдите на вкладку "Доступ" и нажмите кнопку "Выполнить".

    9. Нажмите кнопку "ОК ", чтобы закрыть диалоговое окно "Ограничения запросов ", а затем нажмите кнопку "ОК ", чтобы закрыть диалоговое окно "Добавление сопоставления модулей ". Когда появится запрос на разрешение расширения ISAPI, нажмите кнопку "Да ", чтобы добавить расширение.

    10. Убедитесь, что Replisapi.dll указан в разделе Включено сопоставлений обработчиков. Если он находится в списке "Отключено ", щелкните правой кнопкой мыши запись Replisapi и выберите команду "Изменить разрешения функции". Установите флажок "Выполнить " и нажмите кнопку "ОК".

Настройка проверки подлинности IIS

При подключении компьютеров подписчиков к серверу IIS службы IIS должны проверить подлинность подключаемых подписчиков перед предоставлением им доступа к ресурсам и процессам. Проверка подлинности может выполняться для всего веб-сайта или для созданного виртуального каталога.

Рекомендуется использовать обычную проверку подлинности с SSL. Протокол SSL является обязательным независимо от типа используемой проверки подлинности.

Рекомендуется использовать обычную проверку подлинности с SSL. Протокол SSL является обязательным независимо от типа используемой проверки подлинности.

Настройка проверки подлинности IIS

  1. В диспетчере служб IIS щелкните веб-сайт по умолчанию.

  2. На средней панели дважды щелкните Проверка подлинности.

  3. Щелкните правой кнопкой мыши «Анонимная проверка подлинности» и выберите «Выключить».

  4. Щелкните правой кнопкой мыши «Обычная проверка подлинности» и выберите «Включить».

Настройка защищенного слоя сокетов (SSL)

Чтобы настроить SSL, укажите сертификат, используемый компьютером под управлением IIS. Веб-синхронизация для слияния репликаций поддерживает использование сертификатов сервера, но не сертификатов клиента. Чтобы настроить службы IIS для развертывания, необходимо вначале получить сертификат из центра сертификации (certification authority, CA). Дополнительные сведения о сертификатах см. в документации по службам IIS.

После установки сертификата необходимо связать сертификат с веб-сайтом, который используется веб-синхронизацией. При разработке и тестировании можно указать самоподписанный сертификат. С помощью служб IIS 7 можно создать сертификат и зарегистрировать его на компьютере пользователя.

Разница между развертыванием для рабочей среды и процедурами, приведенными здесь, заключается в том, что в рабочей среде и тестировании предпроизводственной среды вы будете использовать сертификат, выданный удостоверяющим центром, а не самоподписанный сертификат.

Это важно

Самоподписанный сертификат не рекомендуется для производственной установки. Самозаверяющий сертификат не является безопасным. Самозаверяющие сертификаты следует использовать только при разработке и отладке.

Чтобы настроить SSL, выполните следующие действия.

  1. Настройте веб-сайт, чтобы требовать SSL и игнорировать сертификаты клиента.

  2. Получить сертификат в центре сертификации или создать самозаверяющий сертификат.

  3. Выполнить привязку сертификата к веб-сайту репликации.

Требование безопасности SSL для веб-сайта

  1. В диспетчере служб IIS разверните узел локального сервера и выберите веб-сайт по умолчанию (или веб-сайт синхронизации, если он отличается от веб-сайта по умолчанию).

  2. На центральной панели дважды щелкните Параметры SSL.

  3. Выберите параметр Требовать SSL . Убедитесь, что в области Клиентские сертификатывыбран параметр Игнорировать .

Создание самозаверяющего сертификата для тестирования

  1. В диспетчере служб IIS щелкните узел локального сервера, а затем в центральной области дважды щелкните сертификаты сервера.

  2. В области действий нажмите кнопку "Создать сертификат Self-Signed".

  3. В диалоговом окне "Создание сертификата Self-Signed" введите имя сертификата и нажмите кнопку "ОК".

Привязка сертификата к веб-сайту

  1. В области "Подключения" щелкните веб-сайт по умолчанию (или сайт веб-синхронизации, если он отличается от веб-сайта по умолчанию).

  2. В области "Действия " щелкните "Привязки" и нажмите кнопку "Добавить". Отобразится диалоговое окно «Добавление привязки сайта».

  3. В раскрывающемся списке "Тип" выберите https. Оставьте без изменений настройки для полей IP-адрес и Порт.

  4. В раскрывающемся списке SSL-сертификата выберите сертификат, созданный в разделе "Создание самозаверяющего сертификата для тестирования", нажмите кнопку "ОК" и нажмите кнопку "Закрыть".

Проверка сертификата

  1. В диспетчере служб IIS щелкните веб-сайт по умолчанию.

  2. В области действий нажмите Обзор *:443(https).

  3. Internet Explorer откроет и отобразит сообщение о проблеме с сертификатом безопасности этого веб-сайта. Это предупреждение сообщает о том, что связанный сертификат не был выдан распознаваемым ЦС и может не быть надежным. Это ожидаемое предупреждение, поэтому нажмите кнопку "Продолжить на этот веб-сайт" (не рекомендуется).

  4. Если вам будет предложено подключиться к localhost, введите имя пользователя и пароль для продолжения. Должна отобразиться домашняя страница веб-сайта.

Настройка разрешений для прослушивателя репликации SQL Server

При подключении компьютера подписчика к компьютеру, на котором запущены службы IIS, проверка подлинности подписчика производится с помощью типа проверки подлинности, заданного при настройке служб IIS. После проверки подлинности подписчика IIS проверяет, авторизован ли подписчик на вызов репликации SQL Server. Вы управляете пользователями, которые могут вызывать репликацию SQL Server, задав разрешения для replisapi.dll. Для предотвращения несанкционированного доступа к репликации SQL Server необходимо правильно настроить разрешения.

Чтобы настроить минимальные разрешения для учетной записи, под которой выполняется прослушиватель репликации SQL Server, выполните следующую процедуру. Действия, описанные в следующей процедуре, применяются к Microsoft Windows Server 2008 под управлением IIS 7.0.

Помимо выполнения следующих шагов, убедитесь в том, что все необходимые имена входа содержатся в списке доступа к публикации (PAL). Для получения дополнительной информации о PAL см. Защита издателя.

Важный Учетная запись, созданная в этом разделе, — это учетная запись, которая будет подключаться к издателю и распространителю во время синхронизации. Эта учетная запись должна быть добавлена как учетная запись входа SQL на сервере издателя и распространителя.

Учетная запись, используемая для прослушивателя репликации SQL Server, должна иметь разрешения, как описано в разделе "Безопасность агента слияния" в разделе "Подключение к издателю или распространителю".

В нескольких словах, учетная запись должна отвечать следующим требованиям.

  • Вступите в Список доступа к публикации (PAL).

  • Должно быть сопоставлено с именем входа, связанным с пользователем в базе данных публикаций.

  • Она должна быть связана с именем входа, ассоциированным с пользователем в распределительной базе данных.

  • Она должна иметь разрешение на чтение в хранилище моментального снимка.

Настройка учетной записи и разрешений

  1. На компьютере, на котором запущены службы IIS, создайте локальную учетную запись:

    1. Откройте диспетчер серверов. В меню "Пуск" щелкните правой кнопкой мыши компьютер и выберите пункт "Управление".

    2. В Диспетчер сервера разверните узел Настройка, затем узел Локальные пользователи и группы.

    3. Щелкните правой кнопкой мыши узел Пользователи и выберите пункт Новый пользователь.

    4. Введите имя пользователя и надежный пароль. Очистить Требовать смены пароля при следующем входе в систему.

    5. Нажмите кнопку "Создать" и нажмите кнопку "Закрыть".

  2. Добавьте учетную запись в группу IIS_IUSRS:

    1. В диспетчере серверов разверните узел "Конфигурация", разверните узел "Локальные пользователи и группы" и выберите пункт "Группы".

    2. Щелкните правой кнопкой мыши IIS_IUSRS и нажмите кнопку "Добавить в группу".

    3. В диалоговом окне "Свойства IIS_IUSRS" нажмите кнопку "Добавить".

    4. В диалоговом окне Выбор: Пользователи, Компьютеры или Группы добавьте учетную запись, созданную на шаге 1.

    5. Убедитесь, что в поле В следующем месте: указано имя локального компьютера, а не домена. Если это поле не отображает имя локального компьютера, щелкните "Расположения". В диалоговом окне "Расположения" выберите локальный компьютер и нажмите кнопку "ОК".

    6. В диалоговом окне "Выбор пользователей" и в диалоговом окне "Свойства IIS_IUSRS" нажмите кнопку"ОК".

  3. Предоставьте учетной записи минимальные разрешения для доступа к папке, содержащей библиотеку replisapi.dll:

    1. В проводнике Windows щелкните правой кнопкой мыши папку, созданную для replisapi.dll, и выберите пункт "Свойства".

    2. На вкладке "Безопасность " нажмите кнопку "Изменить".

    3. В диалоговом окне "Разрешения для <имени> папки" нажмите кнопку "Добавить", чтобы добавить учетную запись, созданную на шаге 1.

    4. Убедитесь, что в поле В следующем месте: указано имя локального компьютера, а не домена. Если это поле не отображает имя локального компьютера, щелкните "Расположения". В диалоговом окне "Расположения" выберите локальный компьютер и нажмите кнопку "ОК".

    5. Убедитесь, что учетной записи предоставлены только разрешения Чтение, Чтение и выполнение и Перечисление содержимого папки.

    6. Выберите пользователей или группы, которые не требуют доступа к каталогу, нажмите кнопку "Удалить" и нажмите кнопку "ОК".

  4. Создайте пул приложений в диспетчере служб IIS:

    1. В диспетчере служб IISна панели Соединения разверните узел локального сервера.

    2. Щелкните правой кнопкой мыши пулы приложений и нажмите кнопку "Добавить пул приложений".

    3. Введите имя пула приложений, оставьте значения по умолчанию для оставшихся полей и нажмите кнопку "ОК".

    Замечание

    Если предполагается использовать более двух параллельных клиентов синхронизации, рекомендуется создать веб-сад. Дополнительные сведения см. в разделе "Создание веб-сада" в разделе "Настройка веб-синхронизации".

  5. Свяжите учетную запись с этим пулом приложений:

    1. В диспетчере служб IIS разверните узел локального сервера и выберите пулы приложений.

    2. Щелкните правой кнопкой мыши созданный пул приложений и выберите пункт "Задать значения по умолчанию пула приложений".

    3. В диалоговом окне "Пул приложений по умолчанию" прокрутите вниз до раздела "Модель процесса " и выберите поле "Удостоверение ".

    4. Нажмите кнопку с многоточием в правой части строки Идентификатор.

    5. Нажмите радиокнопку "Пользовательская учетная запись", затем нажмите "Установить".

    6. В полях имени пользователя и пароля введите учетную запись и пароль, созданные на шаге 1, а затем нажмите кнопку ОК.

    7. Нажмите ОК, чтобы закрыть диалоговое окно Удостоверение пула приложений, а затем снова нажмите ОК, чтобы закрыть диалоговое окно Настройки пула приложений.

  6. Свяжите пул приложений с веб-сайтом репликации:

    1. В диспетчере служб IIS разверните узел локального сервера и выберите веб-сайт по умолчанию (или сайт веб-синхронизации, если он отличается от веб-сайта по умолчанию).

    2. В области "Действия " в разделе "Управление веб-сайтом" нажмите кнопку "Дополнительные параметры".

    3. В диалоговом окне "Дополнительные параметры" нажмите кнопку с многоточием справа от пула приложений.

    4. В раскрывающемся списке пула приложений выберите пул приложений , созданный на шаге 4, и нажмите кнопку "ОК".

    5. Нажмите кнопку "ОК", чтобы закрыть дополнительные параметры.

Тестирование подключения к replisapi.dll

Запустите веб-синхронизацию в режиме диагностики, чтобы проверить подключение к компьютеру под управлением IIS и убедиться, что сертификат SSL установлен правильно. Чтобы запустить веб-синхронизацию в режиме диагностики, необходимо быть администратором сервера IIS.

Проверка подключения к replisapi.dll

  1. Убедитесь, что параметры локальной сети на подписчике установлены правильно:

    1. В Microsoft Internet Explorer в меню "Сервис" выберите пункт "Параметры браузера".

    2. На вкладке Подключения щелкните Настройки локальной сети.

    3. Если прокси-сервер не используется в локальной сети, снимите флажок "Автоматически обнаруживать параметры " и используйте прокси-сервер для локальной сети.

    4. Если используется прокси-сервер, нажмите кнопку "Использовать прокси-сервер для локальной сети " и " Обход прокси-сервера" для локальных адресов и нажмите кнопку "ОК".

  2. В обозревателе Internet Explorer на подписчике подключитесь к серверу в диагностическом режиме, добавив параметр ?diag к адресу replisapi.dll. Например: https://server.domain.com/directory/replisapi.dll?diag.

    Замечание

    В приведенном выше примере server.domain.com следует заменить на точное имя, указанное в разделе Сертификаты сервера в диспетчере IIS.

  3. Если сертификат, указанный для IIS, не распознается операционной системой Windows, появится диалоговое окно "Оповещение системы безопасности ". Это оповещение может возникать из-за того, что сертификат является тестируемым сертификатом или сертификатом был выдан центром сертификации (ЦС), который Windows не распознает.

    Замечание

    Если это диалоговое окно не отображается, убедитесь, что сертификат для сервера, к которому вы обращаетесь, был добавлен в хранилище сертификатов на подписчике в качестве доверенного сертификата. Дополнительные сведения об экспорте сертификатов см. в документации по службам IIS.

    1. В диалоговом окне "Оповещение системы безопасности " нажмите кнопку "Просмотреть сертификат".

    2. В диалоговом окне "Сертификат" на вкладке "Общие " нажмите кнопку "Установить сертификат".

    3. Выполните указания мастера импорта сертификатов, приняв значения по умолчанию.

    4. В диалоговом окне "Предупреждение системы безопасности " нажмите кнопку "Да".

    5. В диалоговом окне подтверждения импорта сертификатов нажмите кнопку "ОК".

    6. Закройте диалоговое окно Сертификат .

    7. В диалоговом окне "Оповещение системы безопасности " нажмите кнопку "Да".

    Замечание

    Сертификаты установлены. Эту операцию необходимо выполнить для каждого пользователя, который будет синхронизироваться с IIS.

  4. В диалоговом окне Connect to <ServerName> укажите имя входа и пароль, которые будут использоваться агентом слияния для подключения к IIS. Эти учетные данные указываются также в мастере создания подписки.

  5. В окне Internet Explorer с именем диагностическая информация SQL Websync убедитесь, что значение в каждом столбце Статус на странице — SUCCESS.

  6. Убедитесь в том, что сертификат правильно установлен на подписчике:

    1. Закройте, а затем повторно откройте окно Internet Explorer.

    2. Подключитесь к серверу в диагностическом режиме. Если сертификат установлен правильно, диалоговое окно "Оповещение системы безопасности " не появится. Если появится диалоговое окно, агент слияния вернёт ошибку при попытке подключиться к компьютеру под управлением IIS. Необходимо убедиться, что сертификат для сервера, к которому вы обращаетесь, был добавлен в хранилище сертификатов на подписчике в качестве доверенного сертификата. Дополнительные сведения об экспорте сертификатов см. в документации по службам IIS.

См. также

Веб-синхронизация для слияния репликации
Настройка веб-синхронизации

  • Last updated on