Web eşitlemesi için güvenlik mimarisi
Microsoft SQL Server üzerinde hassas bir denetim sağlar yapılandırma Web üzerinden eşitleme güvenlik.Bu konu, Web üzerinden eşitleme yapılandırmasını ve bileşenler arasında yapılan bağlantılar hakkında bilgi içerdiği tüm bileşenlerini kapsamlı bir listesini sağlar.When possible, use Windows Authentication.
Olası tüm bağlantıları aşağıda gösterilmiştir, ancak bazı bağlantılar belirli bir topolojisinde gerekli olabilecek değil.Örneğin, anlık görüntü FTP kullanarak yalnızca teslim edilirse bir FTP sunucusuna bağlantı gereklidir.
.gif "Components and connections in Web synchronization")
Çizimde gösterildiği bağlantıları ve bileşenleri, aşağıdaki tabloda açıklanmaktadır.
C.Windows kullanıcı hangi Birleştirme Aracısı çalıştırır.
Eşitleme sırasında Abone tarafında Birleştirme Aracısı (A) başlatıldı.Birleştirme Aracısı tarafından başlatılan bir SQL Server Iş adım Aracısı veya tek başına bir özel uygulama. Birleştirme Aracısı tarafından başlatılmışsa bir SQL Server Birleştirme Aracısı, Aracısı iş adım, belirttiğiniz bir Windows kullanıcısı bağlamı altında çalışır. Bir Windows kullanıcı adı belirtmezseniz, Birleştirme Aracısı için Windows hizmet hesabının bağlamında çalışır SQL Server Aracı.
Hesap türü |
Burada belirtilen hesabın |
|---|---|
Windows kullanıcısı |
Transact-SQL: @ job_login and @ job_password parametrelerisp_addmergepullsubscription_agent. RMO (çoğaltma Yönetim Nesneleri): the Login() ve Password() özellikleri SynchronizationAgentProcessSecurity(). |
Windows hizmet hesabı için SQL Server Aracı |
SQL Server Yapılandırma Yöneticisi |
Tek başına bir uygulama |
Birleştirme Aracısı, uygulamanın çalıştığı bir Windows kullanıcı bağlamında çalışır. |
b.Abone bağlanma
Birleştirme Aracısı, abone için Windows kimlik doğrulaması'nı kullanarak bağlanır veya SQL Server Kimlik doğrulaması. Windows kullanıcısı veya SQL Server belirttiğiniz bir oturum açma üyesi olan bir veritabanı kullanıcısı ile ilişkilendirilmelidir dbowner sabit veritabanı rolü abonelik veritabanı.
Not
Birleştirme Aracısı tarafından yeniden başlatıldığında, Windows kimlik doğrulaması her zaman kullanılan bir SQL Server Aracı işlemi. Birleştirme Aracısı sürece programsal olarak başlatıldığında, Windows kimlik doğrulaması da kullanılır SQL Server Kimlik doğrulama, açık şekilde belirtilmiş.
kimlik doğrulaması türü |
Burada, kimlik doğrulaması belirtildi |
|---|---|
|
Birleştirme Aracısı Birleştirme Aracısı (A) belirtilen Windows kullanıcısı bağlamı altında bağlantılar sağlar. |
SQL Server Yalnızca aşağıda belirtilen kimlik doğrulaması kullanılır:
|
rmo: SubscriberLogin() ve SubscriberPassword(). Aracı komut satırında birleştirebilirsiniz: -SubscriberLogin and -SubscriberLogin. |
c.Giden bir proxy sunucusu bağlantısı
Yalnızca abone bir iç ağa erişimi sınırlayan giden bir proxy sunucusu varsa, bu bağlantı, bir Windows kullanıcısı belirtin.
kimlik doğrulaması türü |
Burada, kimlik doğrulaması belirtildi |
|---|---|
Windows kimlik doğrulaması |
rmo: InternetProxyLogin() ve InternetProxyPassword() ile InternetProxyServer(). Aracı komut satırında birleştirebilirsiniz: -InternetProxyLogin and -InternetProxyPassword with -InternetProxyServer. |
d.IIS bağlantı
Abone için bağlanma ve değişiklikleri abonelik veritabanından ayıklanması sonra bir HTTPS isteğine Birleştirme Aracısı yapar. Microsoft Internet ınformation Services (IIS) ve veri değişiklikleri XML iletisine karşıya yüklemeleri. Birleştirme Aracısı, IIS için oturum açma izinleri olması gerekir.
kimlik doğrulaması türü |
Burada, kimlik doğrulaması belirtildi |
|---|---|
Aşağıdakilerden biri belirtilirse, temel kimlik doğrulaması kullanılır:
|
Transact-SQL: @ internet_login and @ internet_password parametrelerisp_addmergepullsubscription_agent. rmo: InternetLogin() ve InternetPassword(). Aracı komut satırında birleştirebilirsiniz: -InternetLogin and -ınternetpassword. |
Tümleşik kimlik doğrulaması1 aşağıdakilerden biri belirtilmediyse, kullanılan:
|
Birleştirme Aracısı Birleştirme Aracısı (A) belirtilen Windows kullanıcısı bağlamı altında bağlantılar sağlar. |
1 Yalnızca tüm bilgisayarların aynı etki alanında veya birbirleriyle güven ilişkileri olan birden çok etki alanı içinde tümleşik kimlik doğrulaması kullanılır.
Not
Temsilci seçme, tümleşik kimlik doğrulaması kullanıyorsanız gereklidir.ııs, abonenin gelen bağlantılar için temel kimlik doğrulaması ve SSL kullanmanız önerilir.
e.Bağlantı Yayımcı
The SQL Server çoğaltma Listener and birleştirme çoğaltma Reconciler components are hosted on the computer that is running IIS. Bu bileşenleri aşağıdaki eylemleri gerçekleştirin:
D."bölümünde anlatılan HTTPS isteği almasıBağlantı ııS".
Bir SQL bağlantısı yayın veritabanı ve karşıya yüklenen değişiklikleri yayın veritabanı.
Karşıdan yüklenen değişiklikleri ayıklamak ve HTTPS yanıtının Birleştirme Aracısı için geri gönderin.
Birleştirme çoğaltma Birleştiricisi, yayımcıya ya da Windows kimlik doğrulaması'nı kullanarak bağlanır veya SQL Server Kimlik doğrulaması. Windows kullanıcısı veya SQL Server belirttiğiniz bir oturum ile aşağıdaki uymanız gerekir:
yayın erişim listesindeki (PAL) olabilir.Daha fazla bilgi için bkz: Yayımcı güvenliğini sağlama.
yayın veritabanında bir kullanıcı ile ilişkilendirilmesi.
kimlik doğrulaması türü |
Burada, kimlik doğrulaması belirtildi |
|---|---|
Aşağıdakilerden biri belirtilirse, Windows kimlik doğrulaması kullanılır:
|
Birleştirme Aracısı bağlantıları yayımcı bağlantı için IIS (D) için belirtilen Windows kullanıcının bağlamında yapar.Yayımcı ve IIS farklı bilgisayarlarda ve tümleşik kimlik doğrulaması (D) bağlantısı için kullanılan, IIS çalıştıran bir bilgisayarda Kerberos temsilcisi etkinleştirmeniz gerekir.Daha fazla bilgi için Windows belgelerine bakın. |
SQL Server Aşağıdakilerden biri belirtilirse, kimlik doğrulaması kullanılır:
|
Transact-SQL: @ publisher_login and @ publisher_password parametrelerisp_addmergepullsubscription_agent. rmo: PublisherLogin() ve PublisherPassword(). Aracı komut satırında birleştirebilirsiniz: -PublisherLogin and -PublisherPassword. |
f.dağıtımcı bağlantı
IIS çalıştıran bilgisayarda barındırılan birleştirme çoğaltma Birleştiricisi, dağıtımcı olarak de bağlantı sağlar.Birleştirme çoğaltma Birleştiricisi, dağıtımcı olarak ya da Windows kimlik doğrulaması'nı kullanarak bağlanır veya SQL Server Kimlik doğrulaması. Windows kullanıcısı veya SQL Server belirttiğiniz bir oturum ile aşağıdaki uymanız gerekir:
yayın de (PAL) erişimi olmalıdır.Daha fazla bilgi için bkz: Yayımcı güvenliğini sağlama.
Dağıtım veritabanındaki bir veritabanı kullanıcısı ile ilişkilendirilmesi.Kullanıcı olabilir Guest Kullanıcı.
Anlık Görüntü Paylaşımı genelde dağıtımcı üzerinde bulunur.Anlık görüntü paylaşımları hakkında daha fazla bilgi için H."bölümüne bakın.Anlık Görüntü Paylaşımı bu konuda daha sonra erişim".
|
Burada, kimlik doğrulaması belirtildi |
|---|---|
Aşağıdakilerden biri belirtilirse, Windows kimlik doğrulaması kullanılır:
|
Birleştirme Aracısı bağlantıları dağıtımcı bağlantı için IIS (D) için belirtilen Windows kullanıcının bağlamında yapar.IIS ve dağıtımcı farklı bilgisayarlarda ve tümleşik kimlik doğrulaması (D) bağlantısı için kullanılan, IIS çalıştıran bir bilgisayarda Kerberos temsilcisi etkinleştirmeniz gerekir.Daha fazla bilgi için Windows belgelerine bakın. |
SQL Server Aşağıdakilerden biri belirtilirse, kimlik doğrulaması kullanılır:
|
Transact-SQL: @ distributor_login and @ distributor_password parametrelerisp_addmergepullsubscription_agent. rmo: DistributorLogin() ve DistributorPassword() Aracı komut satırında birleştirebilirsiniz: -DistributorLogin and -DistributorPassword. |
g.Bir FTP sunucusu bağlantısı
Yalnızca, bir FTP sunucusundan anlık görüntü dosyaları yerine bir UNC konumundan için abone anlık uygulamadan önce IIS çalıştıran bir bilgisayara yüklenir, bu bağlantı, bir Windows kullanıcısı belirtin.Daha fazla bilgi için bkz: FTP üzerinden anlık görüntü aktarma.
kimlik doğrulaması türü |
Burada, kimlik doğrulaması belirtildi |
|---|---|
Windows kimlik doğrulaması |
Transact-SQL: @ ftp_login and @ ftp_password parametrelerisp_addmergepublication. rmo: FtpLogin() ve FtpPassword(). |
h.Anlık Görüntü Paylaşımı erişimi
Anlık Görüntü Paylaşımı, IIS çalıştıran bilgisayarda barındırılan birleştirme çoğaltma Birleştiricisi tarafından erişilebilir.
kimlik doğrulaması türü |
Burada, kimlik doğrulaması belirtildi |
|---|---|
Windows kimlik doğrulaması |
Birleştirme Aracısı anlık görüntü görüntü Paylaşımı bağlantı için IIS (D) için belirtilen Windows kullanıcı bağlamında erişir.Anlık Görüntü Paylaşımı ve IIS farklı bilgisayarlarda ve tümleşik kimlik doğrulaması (D) bağlantısı için kullanılan, IIS çalıştıran bir bilgisayarda Kerberos temsilcisi etkinleştirmeniz gerekir.Daha fazla bilgi için Windows belgelerine bakın. |
İ.ııs uygulama havuzu hesabı
Bu hesap, W3wp.exe işlemi, IIS çalıştıran bilgisayarda başlatmak için kullanılır Windows Server 2003 veya Dllhost.exe) işlemi Windows 2000. Bu işlemleri gibi IIS çalıştıran bilgisayardaki uygulamaları barındıran SQL Server Çoğaltma dinleyicisi ve birleştirme çoğaltması Birleştiricisi. Bu hesabın olması okuma ve yürütmek izinleri, IIS çalıştıran bilgisayarda aşağıdaki çoğaltma DLL'ler hakkında:
Replisapi
Replrec
Replprov
Msgprox
Xmlsub
Hesabın ııs_wpg grubunun bir parçası olarak da olmalıdır.Daha fazla bilgi için bkz: "için izinleri ayarlama SQL ServerIçinde "çoğaltma dinleyicisi Nasıl Yapılır: IIS Web üzerinden eşitlemesi için yapılandırın..
Hesap türü |
Burada belirtilen hesabın |
|---|---|
Gerekli izinlere sahip herhangi bir Windows kullanıcı. |
Internet ınformation Services (IIS) Yöneticisi.Varsayılan olarak, üzerinde Windows Server 2003NETWORK hizmet kullanılan hesaptır. |