Настройка IIS для веб-синхронизации

Процедуры в этой теме составляют второй этап настройки веб-синхронизации для репликации слияния. Этот шаг выполняется после включения публикации для веб-синхронизации. Общие сведения о процессе настройки см. в разделе "Настройка веб-синхронизации". После выполнения процедур в этом разделе перейдите к третьему шагу, настроив подписку для использования веб-синхронизации. Этот третий шаг описан в следующих разделах:

• SQL Server Management Studio . Практическое руководство. Настройка подписки на использование веб-синхронизации (SQL Server Management Studio)

• Программирование репликации Transact-SQL: Как настроить подписку на использование веб-синхронизации (Программирование репликации Transact-SQL)

• RMO : Практическое руководство. Настройка подписки для использования веб-синхронизации (программирование RMO)

Веб-синхронизация использует компьютер, на котором запущены службы Microsoft Internet Information Services (IIS), для синхронизации извлекаемых подписок с публикациями слиянием. Поддерживаются службы IIS версии 5.0, IIS версии 6.0 и IIS версии 7.0. Мастер настройки веб-синхронизации не поддерживается в версии служб IIS 7.0.

Это важно

Убедитесь, что приложение использует только версии .NET Framework 2.0 или более поздних версий, а более ранние версии .NET Framework не установлены на сервере IIS. Более ранние версии .NET Framework могут привести к ошибкам. К ним относится следующее: "Недопустимый формат сообщения во время веб-синхронизации. Убедитесь, что компоненты репликации правильно настроены на веб-сервере.

Осторожность

Одновременно не используйте как WebSync, так и альтернативные расположения папок моментальных снимков.

Чтобы использовать веб-синхронизацию, необходимо настроить службы IIS, выполнив следующие шаги. Каждый шаг подробно описан в этом разделе.

1. Настройка протокола SSL. Протокол SSL необходим для обмена данными между IIS и всеми подписчиками.

2. Установите компоненты подключения Microsoft SQL Server на компьютере под управлением IIS с помощью мастера установки SQL Server. Если вы планируете использовать мастер настройки веб-синхронизации, упомянутый на шаге 3, необходимо также установить SQL Server Management Studio на компьютере под управлением IIS.

3. Настройте компьютер под управлением IIS для веб-синхронизации. Вы можете настроить компьютер вручную или использовать мастер настройки веб-синхронизации. Мы рекомендуем использовать мастер.

   Замечание

   Если компьютер под управлением IIS работает в 64-разрядной версии Windows, необходимо выполнить следующую команду, чтобы убедиться, что сервер правильно настроен для запуска приложений API Internet Server (ISAPI). Дополнительные сведения см. в документации по IIS.

   cscript %SystemDrive%\inetpub\AdminScripts\adsutil.vbs set w3svc/AppPools/Enable32bitAppOnWin64 1  
   

4. Задайте соответствующие разрешения для прослушивателя репликации SQL Server.

5. Запустите веб-синхронизацию в режиме диагностики, чтобы проверить подключение к компьютеру под управлением IIS и убедиться, что SSL-сертификат установлен правильно.

Настройка защищенного слоя сокетов (SSL)

Чтобы настроить SSL, укажите сертификат для используемого компьютера, на котором запущены службы IIS. Веб-синхронизация для репликации путем слияния поддерживает использование серверных сертификатов, но не клиентских сертификатов. Чтобы настроить службы IIS для развертывания, необходимо вначале получить сертификат из центра сертификации (certification authority, CA). Центр сертификации — это организация, которая отвечает за установление и подтверждение подлинности открытых ключей шифрования, принадлежащих пользователям, компьютерам или другим центрам сертификации. Дополнительные сведения о сертификатах см. в документации по службам IIS. После установки сертификата необходимо связать сертификат с веб-сайтом, который используется веб-синхронизацией.

Чтобы указать сертификат для развертывания

1. Войдите на компьютер под управлением IIS в качестве администратора.

2. Запустите диспетчер служб IIS:

   1. Нажмите кнопку "Пуск" и нажмите кнопку "Выполнить".

   2. В поле Открыть введите inetmgr, а затем нажмите кнопку ОК.

3. Запустите мастер сертификатов IIS:

   1. В диспетчере служб IIS разверните узел локального компьютера и разверните папку веб-сайтов .

   2. Щелкните правой кнопкой мыши веб-сайт по умолчанию и выберите пункт "Свойства".

   3. В диалоговом окне "Свойства веб-сайта по умолчанию" на вкладке "Безопасность каталогов " щелкните "Сертификат сервера".

   4. Завершите работу мастера настройки сертификатов веб-сервера.

4. Нажмите кнопку ОК.

Если вы не можете получить сертификат сервера из ЦС, можно указать сертификат для тестирования. Чтобы настроить IIS 6.0 для тестирования, установите сертификат с помощью служебной программы SelfSSL. Эта программа доступна в пакете ресурсов IIS 6.0. Средства можно скачать из Центра загрузки Майкрософт. Для IIS 5.0 перейдите в службу справки и поддержки Майкрософт.

Замечание

Сертификат должен быть связан с веб-сайтом, прежде чем этот веб-сайт может использовать SSL. SelfSSL автоматически связывает сертификат с веб-сайтом по умолчанию. Если у вас уже есть сертификат или вы позже установите сертификат из центра сертификации, необходимо явно ассоциировать этот сертификат с веб-сайтом, используемым для веб-синхронизации. Убедитесь, что существует только один сертификат, связанный с веб-сайтом, который используется для синхронизации подписок. При наличии нескольких сертификатов подписчик будет использовать первый доступный веб-сайт.

Указание сертификата для тестирования в IIS 6.0

1. Войдите на компьютер под управлением IIS в качестве администратора.

2. Скачайте и установите SelfSSL. По умолчанию приложение устанавливается на <диск>:\Program Files\IIS Resources\SelfSSL. Ярлыки приложений и документации копируются на <диск>:\Documents and Settings\All Users\Start Menu\Programs\IIS Resources\SelfSSL.

3. Выполните SelfSSL:

   • Чтобы запустить SelfSSL со значениями по умолчанию для всех параметров, найдите каталог установки для приложения, а затем дважды щелкните SelfSSL.exe.

     Замечание

     По умолчанию сертификат, установленный SelfSSL, действителен в течение семи дней.

   • Чтобы указать значения для одного или нескольких параметров, нажмите кнопку "Пуск" и нажмите кнопку "Выполнить". В поле "Открыть" введите cmdи нажмите кнопку "ОК". Найдите каталог установки SelfSSL, введите SelfSSLи укажите значения для одного или нескольких параметров. Для списка параметров введите SelfSSL -?.

Установка компонентов подключения и SQL Server Management Studio

Установка компонентов подключения SQL Server и SQL Server Management Studio

1. Войдите в систему от имени администратора на компьютере под управлением IIS.

2. На диске установки SQL Server 2012 запустите мастер установки SQL Server. Дополнительные сведения об использовании этого мастера см. в разделе "Установка SQL Server 2014" в мастере установки (программа установки).

3. На странице выбора компонентов выберите "Клиентские средства подключения".

4. Если вы планируете использовать мастер настройки веб-синхронизации, выберите "Средства управления " Базовый".

5. Завершите работу мастера, а затем перезапустите компьютер.

   Замечание

   Можно установить дополнительные компоненты, но для веб-синхронизации требуются только компоненты подключения.

Настройка компьютера под управлением IIS с помощью мастера настройки веб-синхронизации

Настройте сервер IIS с помощью мастера настройки веб-синхронизации или вручную. Мы рекомендуем использовать мастер, но мы также предоставляем шаги по настройке вручную в следующем разделе. Мастер веб-синхронизации, доступный в SQL Server 2012, можно использовать только для публикаций, созданных на издателе, работающем под управлением SQL Server 2012, или издателя, который был обновлен до SQL Server 2012. Мастер не может использоваться для публикаций в SQL Server 2005. Мастер можно использовать с подписками на SQL Server 2005 и более поздних версий и SQL Server Compact 3.5 3.0 и более поздних версий.

Конфигурация имеет следующие характеристики:

• Использует веб-сайт по умолчанию в IIS. Однако вы можете использовать другой веб-сайт. Дополнительные сведения о создании веб-сайтов см. в документации по IIS.

  Замечание

  Указанный веб-сайт предоставляет доступ к компонентам, используемым веб-синхронизацией. Веб-сайт не предоставляет доступ к другим данным или веб-страницам, если вы не настроите сайт для этого.

• Создает виртуальный каталог и его связанный псевдоним. Псевдоним используется при доступе к компонентам веб-синхронизации. Например, если адрес IIS указан как https://*server.domain.com* и вы указали псевдоним 'websync1', то адрес для доступа к компоненту replisapi.dll будет https://*server.domain.com*/websync1/replisapi.dll.

• Использует обычную проверку подлинности. Мы рекомендуем использовать обычную проверку подлинности, так как базовая проверка подлинности позволяет запускать службы IIS и издателя SQL Server или распространителя на отдельных компьютерах (рекомендуемую конфигурацию), не требуя делегирования Kerberos. Использование SSL с базовой проверкой подлинности гарантирует, что входы, пароли и все данные шифруются при передаче. (ПРОТОКОЛ SSL требуется независимо от типа используемой проверки подлинности.) Дополнительные сведения о рекомендациях по веб-синхронизации см. в разделе "Рекомендации по обеспечению безопасности для веб-синхронизации" в разделе "Настройка веб-синхронизации".

Настройка компьютера под управлением IIS с помощью мастера настройки веб-синхронизации

1. На компьютере с установленным IIS запустите SQL Server Management Studio.

2. Подключитесь к издателю и разверните узел сервера.

3. Разверните папку "Локальные публикации" , щелкните публикацию правой кнопкой мыши и выберите команду "Настройка веб-синхронизации".

4. В мастере настройки веб-синхронизации на странице "Тип подписчика " выберите SQL Server.

5. На странице веб-сервера :

   1. Выберите экземпляр IIS, выполняющий синхронизацию подписок.

   2. Выберите "Создать новый виртуальный каталог".

   3. В нижней области страницы разверните экземпляр IIS, разверните веб-сайты и выберите веб-сайт по умолчанию.

6. На странице сведений о виртуальном каталоге :

   1. В поле "Псевдоним" введите псевдоним для виртуального каталога.

   2. В поле "Путь " введите путь к виртуальному каталогу. Например, если вы ввели websync1 в поле "Псевдоним" , введите C:\Inetpub\wwwroot\websync1 в поле "Путь ". Нажмите кнопку Далее.

   3. В обоих диалоговых окнах нажмите кнопку "Да". Это указывает, что необходимо создать новую папку и скопировать DLL-библиотеку ISAPI SQL Server для Интернет-сервера. .

7. На странице "Аутентифицированный доступ" выполните следующие действия.

   1. Убедитесь, что встроенная проверка подлинности Windows и дайджест-проверка подлинности для серверов домена Windows сняты.

   2. Выберите обычную проверку подлинности.

   3. В полях домена по умолчанию и области введите домен компьютера, на котором работает IIS.

8. На странице доступа к каталогу :

   1. Нажмите кнопку "Добавить", а затем в диалоговом окне "Выбор пользователей или групп " добавьте учетные записи, в которых подписчики будут подключаться к IIS. Это учетные записи, которые будут указаны на странице сведений о веб-сервере мастера создания подписки или в качестве значения параметра sp_addmergepullsubscription_agent@internet_login .

9. На странице Доступ к моментальному снимку введите доступ для общего использования моментального снимка. Соответствующие разрешения задаются в этой общей папке, чтобы подписчики могли получить доступ к файлам моментальных снимков. Дополнительные сведения о разрешениях для общего ресурса см. в разделе "Защита папки моментальных снимков".

10. На странице «Завершение работы мастера» нажмите «Готово».

    Если происходит сбой, например, ошибка сети, когда вы пытаетесь настроить удаленный компьютер с IIS, все выполненные действия отменяются, а все оставшиеся действия отменяются. Если завершенное действие не может быть отменено, состояние на конечной странице мастера отображает Успех, и завершенные действия остаются зафиксированными.

11. Если компьютер под управлением IIS работает в 64-разрядной версии Windows, replisapi.dll необходимо скопировать в соответствующий каталог:

    1. Нажмите кнопку "Пуск" и нажмите кнопку "Выполнить". В поле "Открыть" введите iisresetи нажмите кнопку "ОК".

    2. После остановки и перезапуска IIS, скопируйте replisapi.dll с <диска>:\Program Files\Microsoft SQL Server\120\COM\replisapi в каталог, указанный на шаге 6b.

    3. Нажмите кнопку "Пуск" и нажмите кнопку "Выполнить". В поле "Открыть" введите cmdи нажмите кнопку "ОК".

    4. В каталоге, указанном на шаге 6b, выполните следующую команду:

       regsvr32 replisapi.dll

Настройка компьютера под управлением IIS вручную

Чтобы настроить компьютер, на котором запущены службы IIS вручную, необходимо установить и настроить прослушиватель репликации SQL Server, а затем настроить авторизацию для подписчиков, которые будут подключаться к службам IIS.

Установка и настройка прослушивателя репликации SQL Server

1. Создайте каталог файлов на компьютере под управлением IIS, чтобы содержать replisapi.dll. Каталог можно создать в любом месте, но рекомендуется создать каталог под диском<>:\Inetpub. Например, создайте каталог <drive>:\Inetpub\SQLReplication\.

   Это важно

   Настоятельно рекомендуется создать этот каталог в разделе файловой системы NTFS вместо файловой системы FAT. При использовании файловой системы NTFS можно использовать разрешения файловой системы NTFS для точного управления пользователями, которые могут получить доступ к репликации SQL Server.

2. Скопируйте replisapi.dll с диска> каталога<:\Program Files\Microsoft SQL Server\120\com\ в каталог файлов, созданный на шаге 1.

3. Зарегистрируйте файл replisapi.dll:

   1. Нажмите кнопку "Пуск" и нажмите кнопку "Выполнить". В поле "Открыть" введите cmdи нажмите кнопку "ОК".

   2. В каталоге, созданном на шаге 1, выполните следующую команду:

      regsvr32 replisapi.dll

4. Создайте новый веб-сайт для репликации или используйте существующий сайт. Веб-сайт будет получать доступ к компонентам репликации во время синхронизации. Дополнительные сведения о создании веб-сайтов см. в документации по IIS.

5. Создайте виртуальный каталог в службах IIS. Виртуальный каталог должен быть создан на веб-сайте, созданном на шаге 4, и должен быть сопоставлен с каталогом, который был создан на шаге 1. Дополнительные сведения о создании виртуальных каталогов см. в документации по IIS. Мы рекомендуем быть максимально строгими при назначении разрешений для этого каталога. Необходимо выбрать разрешения на чтение и выполнение, но можно удалить разрешения на запуск скриптов, запись и просмотр.

6. Установите в настройках служб IIS разрешение выполнять файл replisapi.dll. Разрешения, назначенные на шаге 4, достаточно для более ранних версий IIS; Однако для служб IIS версии 6.0 требуется включить расширения API Internet Server (ISAPI). Дополнительные сведения см. в разделе "Настройка расширений ISAPI" и "Включение и отключение динамического содержимого" в документации iis 6.0.

Настройка проверки подлинности IIS

• Когда подписчики подключаются к службам IIS, службы IIS должны пройти проверку подлинности подписчиков, прежде чем они смогут получить доступ к ресурсам и процессам. IIS предлагает три типа проверки подлинности: анонимный, базовый и интегрированный. Проверка подлинности может выполняться для всего веб-сайта или для созданного виртуального каталога.

  Рекомендуется использовать обычную проверку подлинности с SSL. Протокол SSL является обязательным независимо от типа используемой проверки подлинности. Дополнительные сведения о настройке проверки подлинности см. в документации по IIS.

Настройка разрешений для прослушивателя репликации SQL Server

Когда подписчик подключается к компьютеру под управлением IIS, подписчик проходит проверку подлинности с помощью типа проверки подлинности, указанного при настройке IIS. После проверки подлинности подписчика IIS проверяет, авторизован ли подписчик на вызов репликации SQL Server. Вы управляете пользователями, которые могут вызывать репликацию SQL Server, задав разрешения для replisapi.dll. Для предотвращения несанкционированного доступа к репликации SQL Server необходимо правильно настроить разрешения.

Чтобы настроить минимальные разрешения для учетной записи, под которой выполняется прослушиватель репликации SQL Server, выполните следующую процедуру. Действия, описанные в процедуре, применяются к Microsoft Windows Server 2003 под управлением IIS 6.0.

Помимо выполнения следующих шагов, убедитесь в том, что все необходимые имена входа содержатся в списке доступа к публикации (PAL). Для получения дополнительной информации о PAL см. Защита издателя.

Настройка учетной записи и разрешений

1. Создайте локальную учетную запись на компьютере под управлением IIS:

   1. Щелкните правой кнопкой мыши значок Мой компьютер и выберите команду Управление.

   2. В разделе "Управление компьютерами" разверните локальные пользователи и группы.

   3. Щелкните правой кнопкой мыши узел Пользователи и выберите пункт Новый пользователь.

   4. Введите имя пользователя и надежный пароль.

   5. Нажмите кнопку "Создать" и нажмите кнопку "Закрыть".

2. Добавьте учетную запись в группу IIS_WPG:

   1. В управлении компьютерами разверните раздел "Локальные пользователи и группы", а затем нажмите "Группы".

   2. Щелкните правой кнопкой мыши IIS_WPG и нажмите кнопку "Добавить в группу".

   3. В диалоговом окне "Свойства IIS_WPG" нажмите кнопку "Добавить".

   4. В диалоговом окне Выбор: Пользователи, Компьютеры или Группы добавьте учетную запись, созданную на шаге 1.

   5. Убедитесь, что имя в поле " Из этого расположения " — это имя локального компьютера, а не домена. Если имя не относится к локальному компьютеру, щелкните Расположения. В диалоговом окне "Расположения " выберите локальный компьютер и нажмите кнопку "ОК".

   6. В диалоговом окне "Выбор пользователей" и в диалоговом окне "Свойства IIS_WPG" нажмите кнопку "ОК".

3. Предоставьте минимальные разрешения для папки, содержащей replisapi.dll, учетной записи:

   1. Найдите папку, созданную для replisapi.dll, щелкните правой кнопкой мыши папку и выберите пункт "Общий доступ" и "Безопасность".

   2. На вкладке Безопасность нажмите Добавить.

   3. В диалоговом окне выбора пользователей, компьютеров или групп добавьте учетную запись, созданную на шаге 1.

   4. Убедитесь, что имя в поле " Из этого расположения " — это имя локального компьютера, а не домена. Если имя не указано для локального компьютера, щелкните Расположения. В диалоговом окне "Расположения" выберите локальный компьютер и нажмите кнопку "ОК".

   5. Убедитесь, что учетной записи предоставлены разрешения только на чтение, чтение и выполнение и просмотр содержимого папки.

   6. Выберите пользователей или группы, которые не требуют доступа к каталогу, а затем нажмите кнопку "Удалить".

   7. Нажмите кнопку ОК.

4. Создайте пул приложений в диспетчере служб IIS:

   1. Нажмите кнопку "Пуск" и нажмите кнопку "Выполнить".

   2. В поле Открыть введите inetmgr, а затем нажмите кнопку ОК.

   3. В Диспетчере служб Интернета (IIS) разверните узел локального компьютера.

   4. Щелкните правой кнопкой мыши пулы приложений, выберите пункт "Создать " и выберите "Пул приложений".

   5. Введите имя пула в поле идентификатора пула приложений и нажмите кнопку "ОК".

5. Свяжите учетную запись с этим пулом приложений:

   1. В диспетчере служб IIS разверните узел локального компьютера и разверните пулы приложений.

   2. Щелкните правой кнопкой мыши созданный пул приложений и выберите пункт "Свойства".

   3. В диалоговом окне Свойства <ApplicationPoolName> на вкладке Удостоверение щелкните Настраиваемый.

   4. В полях имени пользователя и пароля введите учетную запись и пароль, созданные на шаге 1.

   5. Нажмите кнопку ОК.

6. Свяжите пул приложений с виртуальным каталогом, используемым для веб-синхронизации:

   1. В диспетчере служб IIS разверните узел локального компьютера и разверните веб-сайты.

   2. Разверните веб-сайт, который вы используете для веб-синхронизации, щелкните правой кнопкой мыши виртуальный каталог, созданный для веб-синхронизации, и выберите пункт "Свойства".

   3. На вкладке "Виртуальный каталог" диалогового <окна "Свойства VirtualDirectoryName>" в раскрывающемся списке пула приложений выберите пул приложений, созданный на шаге 5.

   4. Нажмите кнопку ОК.

Тестирование подключения к replisapi.dll

Запустите веб-синхронизацию в режиме диагностики, чтобы проверить подключение к компьютеру, на котором запущены службы IIS, и убедитесь, что сертификат SSL установлен должным образом. Чтобы запустить веб-синхронизацию в режиме диагностики, необходимо быть администратором сервера IIS.

Проверка подключения к replisapi.dll

1. Убедитесь, что параметры локальной сети на подписчике установлены правильно:

   1. В Microsoft Internet Explorer в меню "Сервис" выберите пункт "Параметры браузера".

   2. На вкладке Подключения щелкните Настройки локальной сети.

   3. Если прокси-сервер не используется в локальной сети, снимите флажок "Автоматически обнаруживать параметры " и используйте прокси-сервер для локальной сети.

   4. Если используется прокси-сервер, выберите "Использовать прокси-сервер" для локальной сети и обход прокси-сервера для локальных адресов.

   5. Нажмите кнопку ОК.

2. В обозревателе Internet Explorer на подписчике подключитесь к серверу в диагностическом режиме, добавив параметр ?diag к адресу replisapi.dll. Например: https://server.domain.com/directory/replisapi.dll?diag.

3. Если сертификат, указанный для IIS, не распознается операционной системой Windows, появится диалоговое окно "Оповещение системы безопасности ". Это оповещение может возникать из-за того, что сертификат является тестируемым сертификатом или сертификатом был выдан центром сертификации (ЦС), который Windows не распознает.

   Замечание

   Если это диалоговое окно не отображается, убедитесь, что сертификат для сервера, к которому вы обращаетесь, был добавлен в хранилище сертификатов на подписчике в качестве доверенного сертификата. Дополнительные сведения об экспорте сертификатов см. в документации по службам IIS.

   1. В диалоговом окне "Оповещение системы безопасности " нажмите кнопку "Просмотреть сертификат".

   2. В диалоговом окне "Сертификат" на вкладке "Общие " нажмите кнопку "Установить сертификат".

   3. Выполните указания мастера импорта сертификатов, приняв значения по умолчанию.

   4. В диалоговом окне "Предупреждение системы безопасности " нажмите кнопку "Да".

   5. В диалоговом окне подтверждения импорта сертификатов нажмите кнопку "ОК".

   6. Закройте диалоговое окно Сертификат .

   7. В диалоговом окне "Оповещение системы безопасности " нажмите кнопку "Да".

   Замечание

   Сертификаты установлены. Эту операцию необходимо выполнить для каждого пользователя, который будет синхронизироваться с IIS.

4. В диалоговом окне Connect to <ServerName> укажите имя входа и пароль, которые будут использоваться агентом слияния для подключения к IIS. Эти учетные данные указываются также в мастере создания подписки.

5. В окне Internet Explorer с именем диагностическая информация SQL Websync убедитесь, что значение в каждом столбце Статус на странице — SUCCESS.

6. Убедитесь в том, что сертификат правильно установлен на подписчике:

   1. Закройте, а затем повторно откройте окно Internet Explorer.

   2. Подключитесь к серверу в диагностическом режиме. Если сертификат установлен правильно, диалоговое окно "Оповещение системы безопасности " не появится. Если появится диалоговое окно, агент слияния вернёт ошибку при попытке подключиться к компьютеру под управлением IIS. Необходимо убедиться, что сертификат для сервера, к которому вы обращаетесь, был добавлен в хранилище сертификатов на подписчике в качестве доверенного сертификата. Дополнительные сведения об экспорте сертификатов см. в документации по службам IIS.

См. также

Настройка веб-синхронизации