ModeliveÇoğaltma güvenlik en iyi uygulamalar
Çoğaltma, dağıtılmış ortamlarda, güvenilmeyen etki alanları arasında ve Internet üzerinden veri erişim uygulamaları intranetlerde tek bir etki alanı arasında değişen veri taşır. Bu farklı koşullar altında çoğaltma bağlantıları güvenli hale getirmenin en iyi yaklaşım anlamak önemlidir.
Aşağıdaki bilgileri tüm ortamlarda çoğaltma geçerlidir:
Sanal özel ağlar (vpn), Güvenli Yuva Katmanı (ssl) veya IP güvenliği (IPSec) gibi bir endüstri standart yöntemi kullanarak çoğaltma topolojisinde bilgisayarlar arasındaki bağlantıları şifreleyin. Daha fazla bilgi için, bkz. Veritabanı altyapısı (SQL Server Configuration Manager) şifreli bağlantıları etkinleştir. Internet üzerinden veri çoğaltmak için vpn ve ssl kullanma hakkında daha fazla bilgi için bkz: Internet üzerinden çoğaltma güvenliğini sağlama.
Çoğaltma topolojisinde bilgisayarlar arasındaki bağlantıları güvenli ssl kullanırsanız, değeri belirtmeniz 1 veya 2 için -EncryptionLevelher çoğaltma aracısı parametre (değeri 2 tavsiye edilir). Değeri 1 şifreleme kullanılır, ancak aracı ssl sunucu sertifikası bir güvenilen gönderici tarafından; imzalı olduğunu doğrulamaz belirtir değeri 2 sertifika doğrulanıp doğrulanmadığını belirtir. Aracısı parametrelerini Aracısı profilleri ve komut satırında belirtilebilir. Daha fazla bilgi için, bkz:
Her çoğaltma aracısı farklı bir Windows hesabı altında çalıştırın ve tüm çoğaltma aracısı bağlantıları için Windows kimlik doğrulaması kullanın. Hesapları belirtme hakkında daha fazla bilgi için bkz: Oturum ve parolalar çoğaltma yönetmek.
Yalnızca gereken her aracı için izinler. Daha fazla bilgi için bkz: "izinleri gerekli tarafından ajanlar" bölümünde Çoğaltma aracısı güvenlik modeli.
Tüm Birleştirme Aracısı ve Dağıtım Aracısı hesaplarını yayın erişim listesinde (pal) olduğundan emin olun. Daha fazla bilgi için, bkz. Publisher'ı güvenli.
En az ayrıcalık ilkesini, yalnızca onlar için gereken izinleri çoğaltma görevleri pal hesap vererek izleyin. Oturumları çoğaltma için gerekli olmayan sabit sunucu rolleri eklemeyin.
Anlık görüntü paylaşım tüm birleştirme aracıları ve dağıtım aracıların okuma erişimine izin verecek şekilde yapılandırın. Parametreli filtreleriyle yayınlar için anlık görüntüleri durumunda, her klasör yalnızca uygun Birleştirme Aracısı hesaplarına erişim izin verecek şekilde yapılandırıldığından emin olun.
Anlık görüntü paylaşım Snapshot Aracısı tarafından yazma erişimine izin verecek şekilde yapılandırın.
Çekme abonelik kullanıyorsanız, yerel bir yol yerine bir ağ paylaşımına anlık görüntü klasörünü kullanın.
Çoğaltma topolojisini, aynı etki alanında olmadığında veya birbirleriyle güven ilişkilerine sahip olmayan etki alanlarındaki bilgisayarlar varsa, Windows kimlik doğrulaması kullanabilirsiniz ya da SQL Serverajanları tarafından yapılan bağlantılar için kimlik doğrulaması (etki alanları hakkında daha fazla bilgi için Windows belgelerine bakın). Bu iyi bir güvenlik yöntemi olarak Windows kimlik doğrulaması kullanmanız önerilir.
Windows kimlik doğrulaması kullanmak için:
(Her düğümünde aynı ad ve parola kullan) uygun düğümlerin her aracı için bir yerel Windows hesabı (olmayan bir etki alanı hesabı) ekleyin. Örneğin, Dağıtım Aracısı itme abonelik dağıtımcı çalıştırır ve bağlantıları dağıtımcı ve abone yapar. Windows hesabı için dağıtım aracı dağıtımcı ve abone eklenmelidir.
Verilen Aracısı (örneğin dağıtım aracısı için bir abonelik) her bilgisayarda aynı hesabı altında çalıştığından emin olun.
Kullanmak için SQL Serverkimlik doğrulama:
Eklemek a SQL ServerHesap (kullanın aynı hesap adını ve parolayı her düğüme) uygun düğümlerin her aracı için. Örneğin, Dağıtım Aracısı itme abonelik dağıtımcı çalıştırır ve bağlantıları dağıtımcı ve abone yapar. SQL Serverİçin dağıtım aracı dağıtımcı ve abone eklenmesi gereken hesap.
Verilen Aracısı (örneğin dağıtım aracısı için bir abonelik) her bilgisayarda aynı hesabı altında bağlantıları yapar emin olun.
Gerektiren durumlarda SQL Serverkimlik doğrulaması, unc anlık paylaşımlarına erişim yok çoğu için (örnek erişim güvenlik duvarı tarafından engellenmiş olabilir). Bu durumda, Dosya Aktarım Protokolü (ftp) abonelerine anlık görüntü aktarabilirsiniz. Daha fazla bilgi için, bkz. Anlık görüntüleri ftp üzerinden aktarma.
Ayrıca bkz.
Kavramlar
Veritabanı altyapısı (SQL Server Configuration Manager) şifreli bağlantıları etkinleştir