Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Применимо к:
SQL Server 2016 (13.x) SQL Server 2017 (14.x) SQL Server 2019 (15.x)
Внимание
Распределенное воспроизведение SQL Server недоступно в SQL Server 2022 (16.x) и более поздних версиях.
Прежде чем устанавливать и использовать функцию распределенного воспроизведения Microsoft SQL Server, ознакомьтесь с важными сведениями о безопасности в этой статье. В этой статье описаны действия по настройке безопасности после установки, необходимые для использования распределенного воспроизведения. В этой статье также описываются важные аспекты защиты данных и важных действий по удалению.
Учетные записи пользователей и служб
В следующей таблице приведены описания учетных записей, применяемых для распределенного воспроизведения. После установки распределенного воспроизведения необходимо назначить субъектов безопасности для запуска учетных записей контроллера и службы клиента распределенного воспроизведения. Таким образом, рекомендуется настроить соответствующие учетные записи пользователей домена перед установкой компонентов распределенного воспроизведения.
| Учетная запись пользователя | Требования |
|---|---|
| Учетная запись службы контроллера распределенного воспроизведения SQL Server 1 | Эта учетная запись может быть учетной записью пользователя домена или учетной записью локального пользователя. Если используется учетная запись локального пользователя, средство администрирования, контроллер и клиент должны быть запущены на одном компьютере. |
| Учетная запись клиентской службы распределенного воспроизведения SQL Server 1 | Эта учетная запись может быть учетной записью пользователя домена или учетной записью локального пользователя. Для использования учетной записи локального пользователя контроллер, клиент и целевой сервер SQL Server должны быть запущены на одном компьютере. |
| Интерактивная учетная запись пользователя, которая используется для запуска средства администрирования распределенного воспроизведения | Эта учетная запись может быть учетной записью локального пользователя или учетной записью пользователя домена. Для использования учетной записи локального пользователя средство администрирования и контроллер должны быть запущены на одном компьютере. |
1 Не добавляйте эту учетную запись в локальную группу администраторов в Windows.
Внимание
При настройке контроллера распределенного воспроизведения можно указать одну или несколько учетных записей пользователей для запуска клиентских служб распределенного воспроизведения из следующего списка поддерживаемых учетных записей:
- Учетная запись пользователя домена
- Пользователь создал учетную запись локального пользователя
- Администратор
- Виртуальная учетная запись и управляемая учетная запись службы (MSA)
- Сетевые службы, локальные службы и система
Учетные записи групп (локальные или доменные) и другие встроенные учетные записи (например, "Все") не принимаются.
Для настройки учетных записей службы или их паролей после установки Distributed Replay вы можете использовать инструмент "Службы Windows". Чтобы изменить учетные записи службы, связанные со службами контроллера или службами клиента в Distributed Replay, выполните следующие действия.
Для этого выполните одно из следующих действий в зависимости от операционной системы.
- Нажмите кнопку "Пуск", введите services.msc в поле поиска и нажмите клавишу ВВОД.
- Нажмите кнопку "Пуск", выберите "Запустить", введите services.msc и нажмите клавишу ВВОД.
В диалоговом окне Службы щелкните правой кнопкой мыши службу, которую требуется настроить, и выберите пункт Свойства.
На вкладке Вход в систему выберите Указанная учетная запись.
Настройте учетную запись пользователя, которую предстоит использовать.
Разрешения файлов и папок
После указания учетных записей служб необходимо предоставить необходимые разрешения на доступ к файлам и папкам для этих учетных записей служб. Настройте разрешения для файлов и папок в соответствии со следующей таблицей.
| Учетная запись | Разрешения папки |
|---|---|
| Учетная запись службы контроллера распределенного воспроизведения SQL Server |
<Controller_Installation_Path>\DReplayController (чтение, запись и удаление)DReplayServer.xml файл (чтение, запись) |
| Учетная запись службы клиента SQL Server распределенное воспроизведение |
<Client_Installation_Path>\DReplayClient (чтение, запись и удаление)DReplayClient.xml файл (чтение, запись)Рабочие и результирующие каталоги, как указано в файле конфигурации клиента элементами WorkingDirectory и ResultDirectory соответственно. (Чтение и запись) |
Разрешения DCOM
DCOM используется для связи через удаленный вызов процедур (RPC) между контроллером и средством администрирования и между контроллером и всеми клиентами. После установки функций распределенного воспроизведения необходимо настроить разрешения DCOM на уровне компьютера и приложения.
Чтобы настроить разрешения DCOM на контроллере, выполните следующие шаги.
Откройте
dcomcnfg.exeоснастку служб компонентов: используйте это средство для настройки разрешений DCOM.- На компьютере контроллера нажмите кнопку Пуск.
- Введите
dcomcnfg.exeв поле поиска. - Нажмите клавишу ВВОД.
Настройте разрешения DCOM компьютера: предоставьте соответствующие разрешения DCOM компьютера каждой учетной записи, перечисленной в следующей таблице. Дополнительные сведения о методах настройки разрешений на компьютере см. в разделе Список задач: управление приложениями DCOM.
Настройте разрешения DCOM для конкретного приложения: предоставьте соответствующие разрешения DCOM для конкретного приложения каждой учетной записи, перечисленной в следующей таблице. Имя приложения DCOM для службы контроллера
DReplayController. Дополнительные сведения о методах настройки разрешений для конкретного приложения см. в разделе Список задач: управление приложениями DCOM.
В следующей таблице описаны разрешения DCOM, необходимые для интерактивной учетной записи пользователя средства администрирования и учетных записей службы клиента.
| Функция | Учетная запись | Необходимые разрешения DCOM на контроллере |
|---|---|---|
| Средство администрирования распределенного воспроизведения | Интерактивная учетная запись пользователя | Локальный доступ Удаленный доступ Локальный запуск Удаленный запуск Локальная активация Удаленная активация |
| Клиент распределенного воспроизведения | Учетная запись службы клиента SQL Server распределенное воспроизведение | Локальный доступ Удаленный доступ Локальный запуск Удаленный запуск Локальная активация Удаленная активация |
Внимание
Для защиты от вредоносных запросов или атак типа «отказ в обслуживании» проверьте, что используется только доверенная учетная запись пользователя для учетной записи службы клиента. Эта учетная запись может подключать и воспроизводить рабочие нагрузки для целевого экземпляра SQL Server.
Разрешения SQL Server
Учетные записи клиентской службы SQL Server Distributed Replay используются для подключения к целевому экземпляру SQL Server, обрабатывающему рабочую нагрузку. Для этих соединений поддерживается только режим проверки подлинности Windows.
После установки клиентской службы распределенного воспроизведения SQL Server на наборе компьютеров субъекту безопасности, используемому для этих учётных записей служб, должна быть предоставлена роль sysadmin на экземпляре SQL Server, против которого вы планируете воспроизвести нагрузку трассировки. Этот шаг не выполняется автоматически во время установки распределенного воспроизведения.
Защита данных
В среде распределенного воспроизведения следующие учетные записи пользователей предоставляют полный доступ к целевому экземпляру SQL Server, входным данным трассировки и файлам трассировки результатов:
Интерактивная учетная запись пользователя, которая используется для запуска средства администрирования.
Учетная запись службы контроллера.
Учетная запись службы клиента.
Члены локальной группы администраторов на контроллере.
Члены локальной группы администраторов на клиентских компьютерах.
Внимание
Эти учетные записи имеют полный доступ к любым персональным данным или конфиденциальным данным, содержащимся в файлах данных трассировки, промежуточных, диспетчерских или SQL Server, которые использовались в распределенном воспроизведении.
Выполните следующие меры предосторожности:
Сохраните входные данные трассировки, выходные результаты трассировки и файлы базы данных в местонахождении с файловой системой NTFS и примените соответствующие списки управления доступом (ACL). При необходимости зашифруйте данные, хранящиеся на компьютере SQL Server. Списки управления доступом не применяются к файлам трассировки, и маскирование и сокрытие данных также не применяются. Эти файлы следует удалить немедленно после использования.
Примените соответствующие списки управления доступом (ACLs) и политику хранения ко всем промежуточным и диспетчерским файлам, создаваемым Distributed Replay.
Используйте протокол TLS, чтобы защитить сетевой транспорт.
Важные действия по удалению
В тестовой среде используется только распределенное воспроизведение. После завершения тестирования перед использованием этих компьютеров для другой задачи убедитесь, что выполните следующие действия.
Удалите компоненты распределенного воспроизведения и удалите соответствующие файлы конфигурации из контроллера и всех клиентов.
Удалите все файлы трассировки, промежуточные файлы, файлы диспетчеризации и файлы базы данных SQL Server, которые использовались для тестирования. Промежуточные и переданные файлы хранятся в рабочем каталоге на контроллере и клиенте соответственно.