Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Следующие агенты репликации подключаются к издателю:
Агент чтения журналов
Агент моментальных снимков
Агент обработки очереди.
Агент слияния
Рекомендуется предоставить соответствующий вход для этих агентов, следовать принципу предоставления минимальных прав, необходимых, и защитить хранилище всех паролей. Сведения о разрешениях, необходимых для каждого агента, см. в разделе "Модель безопасности агента репликации".
Помимо правильного управления именами входа и паролями, необходимо понять роль списка доступа к публикации (PAL). Pal используется для включения входа для доступа к данным публикации при ограничении специального доступа к базе данных на издателе.
Список доступа к публикации
PAL — это основной механизм защиты публикаций на издателе. Pal работает аналогично списку управления доступом Microsoft Windows. При создании публикации репликация создает PAL для публикации. PAL можно настроить для хранения списка имен входа и групп, которым предоставлен доступ к публикации. Когда агент подключается к издателю или распространителю и запрашивает доступ к публикации, данные проверки подлинности в PAL сравниваются с именем входа издателя, который предоставляет агент. Этот процесс обеспечивает дополнительную безопасность для издателя, не позволяя издателю и распространителю использовать клиентское средство для выполнения изменений непосредственно на издателе.
Замечание
Репликация создает роль издателя для каждой публикации для принудительного применения членства PAL. Роль имеет имя в форме Msmerge_PublicationID> для репликации слиянием и MSReplPAL_<<PublicationDatabaseID_PublicationID>>для репликации транзакций и моментальных< снимков.
По умолчанию следующие имена входа включены в PAL: члены предопределенных ролей сервера sysadmin во время создания публикации и имя входа, используемое для создания публикации. По умолчанию все имена входа, которые являются членами предопределенной роли сервера sysadmin или db_owner предопределенной роли базы данных в базе данных публикации, могут подписываться на публикацию без явного добавления в PAL.
При использовании PAL рассмотрите следующие рекомендации.
Перед добавлением имени входа в PAL необходимо связать имя входа SQL Server с пользователем базы данных в базе данных публикации.
Следуйте принципу наименьших привилегий, разрешая имена входам в PAL только разрешения, которые должны быть необходимы для выполнения задач репликации. Не добавляйте имена входа в фиксированные роли базы данных или роли сервера, которые не требуются для репликации. Дополнительные сведения о необходимых разрешениях см. в разделе "Модель безопасности агента репликации " и рекомендации по обеспечению безопасности репликации.
Если используется удаленный распространитель, учетные записи в PAL должны быть доступны как на издателе, так и на распространителе. Учетная запись должна быть учетной записью домена или локальной учетной записью, определенной на обоих серверах. Пароли, связанные с обоими именами входа, должны совпадать.
Если PAL содержит учетные записи Windows и домен использует Active Directory, учетная запись, в которой выполняется SQL Server, должна иметь разрешения на чтение из Active Directory. Если у вас возникли проблемы с учетными записями Windows, убедитесь, что учетная запись, в которой выполняется SQL Server, имеет достаточные разрешения. Дополнительные сведения см. в документации по Windows.
Сведения об управлении pal см. в разделе "Управление именами входа" в списке доступа к публикации.
Агент моментальных снимков
Для каждой публикации существует один агент моментальных снимков. Дополнительные сведения см. в разделе Create a Publication.
Доставка моментальных снимков FTP
Если указать, что моментальные снимки должны быть доступны через общую папку FTP, а не общую папку UNC, необходимо указать имя входа и пароль при настройке ftp-доступа. Дополнительные сведения см. в разделе "Доставка моментального снимка через FTP".
Агент чтения журналов
Существует один агент чтения журналов для каждой базы данных, опубликованной для репликации транзакций. Дополнительные сведения см. в разделе Create a Publication.
Агент обработки очереди.
Существует один агент чтения очередей для всех издателей и публикаций (разрешающих обновления очередей подписки), связанных с заданным распространителем. Дополнительные сведения см. в разделе "Включение обновлений подписок для публикаций транзакций".
См. также
Включение шифрования соединений в ядре СУБД (диспетчер конфигурации SQL Server)
Рекомендации по обеспечению безопасности репликации
Безопасность репликации SQL Server