Защита подписчика
Применимо к:
SQL Server База данных SQL Azure
Агенты слияния и распространителей подключаются к подписчику. Эти подключения можно выполнять в контексте имени входа SQL Server или имени входа Windows. Важно предоставить для этих агентов соответствующее имя входа, придерживаясь принципа предоставления минимально необходимых прав и обеспечивая защиту хранилища всех паролей. Сведения о разрешениях, необходимых для каждого агента, см. в разделе Replication Agent Security Model.
Примечание.
Управляемый экземпляр SQL Azure может быть издателем, распространителем и подписчиком для репликации моментальных снимков и транзакций. Базы данных в службе "База данных SQL Azure" могут быть только принудительными подписчиками для репликации моментальных снимков и транзакций. Дополнительные сведения см. в статье о репликации транзакций с Базой данных SQL Azure и Управляемым экземпляром SQL Azure.
Агент распространителя
Может использоваться либо один агент распространителя на подписку (независимый агент, установленный по умолчанию для публикаций, созданных в мастере создания публикаций), либо один агент распространителя на пару баз данных публикации и подписки (общий агент). T
Указание сведений о подключении для принудительной подписки рассматривается в статье Создание принудительной подписки.
Указание сведений о подключении для подписки по запросу рассматривается в статье Создание подписки по запросу.
Агент слияния.
Каждая подписка на публикацию слиянием имеет собственный агент, который подключается к издателю и обновляет как издателя, так и подписчика.
Указание сведений о подключении для принудительной подписки рассматривается в статье Создание принудительной подписки.
Указание сведений о подключении для подписки по запросу рассматривается в статье Создание подписки по запросу.
Немедленно обновляемые подписки
Когда выполняется настройка немедленно обновляемой подписки, на подписчике выбирается учетная запись, от имени которой устанавливается подключение к издателю. Соединения используются триггерами, которые запускаются на подписчике и распространяют изменения на издатель. Для этого типа соединения имеются следующие три параметра.
Связанный сервер, который создает репликация. Подключение устанавливается с учетными данными, задаваемыми во время настройки.
Связанный сервер, создаваемый репликацией; соединение устанавливается с использованием учетных данных пользователя, который вносит изменения на подписчике.
Уже определенный связанный или удаленный сервер.
Важно!
Чтобы указать сведения о подключении, используйте хранимую процедуру sp_link_publication (Transact-SQL). Также можно воспользоваться страницей Имя входа для обновляемых подписок в мастере создания подписки, который вызывает хранимую процедуру sp_link_publication. В определенных условиях эта хранимая процедура может завершиться ошибкой, если подписчик работает под управлением SQL Server 2005 (9.x) с пакетом обновления 1 (SP1) или более поздней, а издатель работает с более ранней версией. Если хранимая процедура завершается ошибкой в этом сценарии, обновите издателя до SQL Server 2005 (9.x) с пакетом обновления 1 (SP1) или более поздней версии.
Дополнительные сведения см. в статьях Создание обновляемых подписок для публикаций транзакций и Просмотр и изменение параметров безопасности репликации.
Важно!
Учетная запись, заданная для соединения, должна предоставлять только разрешения для вставки, обновления и удаления данных в представлениях, которые репликация создает в базе данных публикации. Она не должна иметь никаких дополнительных разрешений. Предоставьте разрешения на представления в базе данных публикации, именованные в форме syncobj_<HexadecimalNumber>, учетной записи, настроенной на каждом подписчике.
Подписки, обновляемые посредством очередей
При настройке обновляемых посредством очередей подписок необходимо учитывать два аспекта, касающихся безопасности:
Для каждого распространителя существует только один агент чтения очереди. Рекомендуется настраивать для каждого распространителя не более одной публикации, для которой включены обновляемые посредством очередей подписки.
Агент чтения очереди осуществляет подключения к распространителю, издателю и к каждому подписчику:
Учетная запись, под которой агент выполняется и устанавливает подключения к распространителю, задается при создании агента (если используется мастер создания публикации, агент создается при создании публикации, для которой включены подписки, обновляемые по очереди).
Учетная запись, под которой агент выполняет подключения к издателю, задается при настройке распространения для издателя. Укажите учетную запись Windows, в которой выполняется агент или учетная запись SQL Server.
Учетная запись, под которой агент выполняет подключения к подписчику, задается при создании подписки.
Важно!
Используйте проверку подлинности SQL Server для подключений к подписчикам и укажите другую учетную запись подключения к каждому подписчику. Если вы используете подписку на вытягивание, реплика всегда задает подключение для использования проверки подлинности Windows (для подписок на вытягивание реплика не может получить доступ к метаданным на подписчике, необходимому для использования проверки подлинности SQL Server). В этом случае измените подключение на использование проверки подлинности SQL Server после настройки подписки.
Дополнительные сведения см. в статьях "Инструкции. Создание обновляемых подписок для публикаций транзакций (среда SQL Server Management Studio)" и Просмотр и изменение параметров безопасности репликации.
См. также
Включение шифрования соединений в ядре СУБД (диспетчер конфигурации SQL Server)
Replication Security Best Practices
Безопасность и защита (репликация)
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по