Çoğaltma güvenlik en iyi yöntemler
Çoğaltma verileri Internet üzerinden ve güvenilmeyen etki alanları arasında veri erişim uygulamaları için tek bir etki alanı intranetlerde uzanan dağıtılmış ortamlarda taşır.Bu farklı koşullar altında çoğaltma bağlantıları güvenli hale getirmenin en iyi yaklaşım anlamak da önemlidir.
Tüm ortamlarda çoğaltma için aşağıdaki bilgiler geçerlidir:
Sanal özel ağlar (vpn), Güvenli Yuva Katmanı (ssl) veya IP güvenliği (IPSec) gibi bir endüstri standart yöntem kullanarak bir çoğaltma topolojisi içinde bilgisayarlar arasındaki bağlantıyı şifrelemek.Daha fazla bilgi için bkz: SQL Server bağlantıları şifreleme.Internet üzerinden veri çoğaltmak için vpn ve ssl kullanma hakkında daha fazla bilgi için bkz: Internet üzerinden çoğaltma güvenliğini sağlama.
ssl güvenli bir çoğaltma topolojisi içinde bilgisayarlar arasındaki bağlantıları için kullanırsanız, değeri belirtmek 1 veya 2 için - encryptionlevel her çoğaltma aracısı parametresi (değeri 2 tavsiye edilir).Değeri, 1 şifreleme kullanılır, ancak aracı ssl sunucu sertifikası bir güvenilen sertifika veren tarafından; imzalı olduğunu doğrulamak belirtir değeri, 2 sertifika doğrulanıp doğrulanmadığını belirtir.Aracısı parametrelerini Aracısı profilleri ve komut satırında belirtilebilir.Daha fazla bilgi için, bkz:
Her çoğaltma aracısı farklı bir Windows hesabı altında çalıştırın ve tüm çoğaltma aracısı bağlantıları için Windows kimlik doğrulaması kullanın.Hesapları belirtme hakkında daha fazla bilgi için bkz: Oturumları ve çoğaltma parolaları yönetme.
Her Aracısı için gerekli izinleri atayın.Daha fazla bilgi için bkz: "izinleri gerekli tarafından aracıları" kısmında Çoğaltma aracısı güvenlik modeli.
Tüm Birleştirme Aracısı ve Dağıtım Aracısı hesaplarını yayın erişim listesi (pal) olduğundan emin olun.Daha fazla bilgi için bkz: Yayımcı güvenliğini sağlama.
En az ayrıcalık ilkesi için gereksinim duydukları izinleri çoğaltma görevleri yalnızca hesapları içinde pal vererek izleyin.Oturumların çoğaltma için gerekli olan sabit sunucu rolleri ekleyin.
Anlık görüntü paylaşım tüm birleştirme aracıları ve dağıtım aracıları okuma erişimine izin verecek şekilde yapılandırın.De durum parametreli filtreleri içeren yayınlar için anlık görüntülerini her klasör yalnızca uygun Birleştirme Aracısı hesaplarına erişim izin verecek şekilde yapılandırıldığından emin olun.
Anlık görüntü paylaşım Snapshot Agent tarafından yazma erişimine izin verecek şekilde yapılandırın.
Çekme abonelikleri kullanmak, yerel bir yol yerine bir ağ paylaşımı için anlık görüntü klasörü kullanın.
Sizin çoğaltma topolojisi aynı etki alanında olmadığında veya birbirleriyle, güven ilişkileri olan etki alanlarında bulunan bilgisayarlar içeren Windows kimlik doğrulaması kullanabilir veya (etki alanları hakkında daha fazla bilgi için aracıları tarafından yapılan bağlantılar için kimlik doğrulamasıSQL ServerWindows belgelerine bakın).Windows kimlik doğrulaması kullanmasını şart bir güvenlik en iyi yöntem olarak önerilir.
Windows kimlik doğrulaması kullanmak için:
(Her düğümünde aynı adı ve parolayı kullan) uygun düğümler adresindeki her Aracısı için bir yerel Windows hesabı (bir etki alanı hesabını değil) ekleyin.Örneğin, Dağıtım Aracısı için bir gönderme temelli abonelik dağıtıcıda altında çalışır ve bağlantıları dağıtımcı ve abone yapar.Dağıtımcı ve abone Dağıtım Aracısı için Windows hesabı eklenmelidir.
Emin olun bir verilen Aracısı (örneğin Dağıtım Aracısı için bir abonelik) her bilgisayarda aynı hesabı altında çalışır.
Kullanmak için SQL Server kimlik doğrulama:
Ekleme bir SQL Server (kullanmak için aynı hesap adını ve parolayı her düğümde) uygun düğümler adresindeki her aracısı hesabı.Örneğin, Dağıtım Aracısı için bir gönderme temelli abonelik dağıtıcıda altında çalışır ve bağlantıları dağıtımcı ve abone yapar.The SQL Server account for the Distribution Agent should be added to the Distributor and Subscriber.
Bir verilen Aracısı (örneğin Dağıtım Aracısı için bir abonelik) her bilgisayarda aynı hesabı altında bağlantıları yapar emin olun.
Gerektiren durumlarda SQL Server kimlik doğrulaması, unc anlık görüntü paylaşımlara erişim, genellikle kullanılamaz (örnek erişim bir güvenlik duvarı tarafından engellenmiş olabilir için).Bu durumda transfer anlık görüntü Dosya Aktarım Protokolü (ftp) aracılığıyla abonelere.Daha fazla bilgi için bkz: Anlık görüntüleri ftp üzerinden aktarma.