Организация безопасности распространителя
К распространителю подключаются следующие агенты репликации: агент чтения журнала, агент моментальных снимков, агент чтения очереди, агент распространителя и агент слияния. Важно обеспечить для каждого из этих агентов соответствующее имя входа, соблюдая при этом принцип предоставления минимальных необходимых прав, а также защищая хранилище всех паролей:
Сведения об управлении именами для входа и паролями см. в статье Управление именами для входа и паролями при репликации.
Дополнительные сведения о разрешениях, необходимых каждому агенту, см. в разделе Replication Agent Security Model.
В дополнение к надлежащему управлению именами входа и паролями важно понимать роль канала связи с удаленным сервером repl_distributor и учетной записи distributor_admin .
Защита соединения издателя с распространителем
Система репликации автоматически настраивает удаленный сервер repl_distributorдля поддержания связи, необходимой при выполнении административных хранимых процедур на издателе и при обновлении данных на распространителе. Запись удаленного сервера repl_distributor используется для связи с базой данных распространителя вне зависимости от того, содержится ли эта база данных на экземпляре издателя (локальный распространитель) или находится на удаленном экземпляре SQL Server (удаленный распространитель).
Когда база данных распространителя содержится на локальном экземпляре, формируется и автоматически настраивается случайный пароль. Когда база данных распространителя находится на удаленном экземпляре сервера, администратор настраивает общий пароль при настройке издателя и распространителя; в дальнейшем этот пароль используется для проверки подлинности трафика, проходящего через канал связи с сервером repl_distributor .
Распространитель использует запись удаленного сервера repl_distributor , чтобы удостовериться в том, что удаленный сервер настроен на распространителе как издатель, проверяет пароль, предъявляемый издателем, а во время выполнения хранимой процедуры проверяет, что это — хранимая процедура репликации.
Пароль, устанавливаемый для записи удаленного сервера repl_distributor при первоначальной настройке, связан с именем входа SQL Server , distributor_admin, добавляемым к предопределенной роли сервера sysadmin на распространителе. Имя входа distributor_admin используется хранимыми процедурами репликации при подключении к распространителю.
Примечание
Не меняйте пароль для имени distributor_admin вручную. Всегда пользуйтесь хранимой процедурой sp_changedistributor_password или диалоговыми окнами Свойства распространителя и Обновление паролей репликации в среде SQL Server Management Studio, потому что в этом случае изменения паролей применяются к локальным публикациям автоматически.
Безопасность папки моментальных снимков
Убедитесь в том, что учетной записи, под которой выполняется агент слияния (для репликации слиянием) или агент распространителя (для репликации моментальных снимков и репликации транзакций), предоставлен доступ к хранилищу моментальных снимков на чтение, а учетной записи, под которой выполняется агент моментальных снимков, предоставлен доступ к хранилищу моментальных снимков на запись. Дополнительные сведения о папке моментальных снимков см. в статье Организация безопасности папки моментальных снимков.
См. также
Просмотр и изменение параметров безопасности репликации
Включение шифрования соединений в ядре СУБД (диспетчер конфигурации SQL Server)
Рекомендации по защите репликации
Безопасность Репликация SQL Server