Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения:
SQL Server 2016 (13.x), SQL Server 2017 (14.x) и SQL Server 2019 (15.x)
Внимание
Распределенное воспроизведение SQL Server недоступно в SQL Server 2022 (16.x) и более поздних версиях.
Прежде чем устанавливать и использовать компонент Microsoft SQL Server распределенное воспроизведение, ознакомьтесь с важными сведениями о безопасности в этом разделе. В этом разделе описываются шаги настройки мер безопасности после установки, необходимые перед началом использования распределенного воспроизведения. В этом разделе также описываются важные соображения по защите данных и важные шаги удаления.
Учетные записи пользователей и служб
В следующей таблице приведены описания учетных записей, применяемых для распределенного воспроизведения. После установки распределенного воспроизведения необходимо назначить субъектов безопасности для запуска учетных записей контроллера и службы клиента распределенного воспроизведения. Таким образом, рекомендуется настроить соответствующие учетные записи пользователей домена перед установкой компонентов распределенного воспроизведения.
| Учетная запись пользователя | Требования |
|---|---|
| Учетная запись службы контроллера распределенного воспроизведения SQL Server | Эта учетная запись может быть учетной записью пользователя домена или учетной записью локального пользователя. Если используется учетная запись локального пользователя, средство администрирования, контроллер и клиент должны быть запущены на одном компьютере. ** Примечание о безопасности ** Мы рекомендуем не делать эту учетную запись членом локальной группы администраторов Windows. |
| Учетная запись службы клиента SQL Server распределенное воспроизведение | Эта учетная запись может быть учетной записью пользователя домена или учетной записью локального пользователя. Для использования учетной записи локального пользователя контроллер, клиент и целевой сервер SQL Server должны быть запущены на одном компьютере. ** Примечание о безопасности ** Мы рекомендуем не делать эту учетную запись членом локальной группы администраторов Windows. |
| Интерактивная учетная запись пользователя, которая используется для запуска средства администрирования распределенного воспроизведения | Эта учетная запись может быть учетной записью локального пользователя или учетной записью пользователя домена. Для использования учетной записи локального пользователя средство администрирования и контроллер должны быть запущены на одном компьютере. |
Внимание
При настройке контроллера распределенного воспроизведения можно указать одну или несколько учетных записей, которые будут использоваться для запуска клиентских служб распределенного воспроизведения. Далее представлен список поддерживаемых учетных записей.
Учетная запись пользователя домена
Пользователь создал учетную запись локального пользователя
Администратор
Виртуальная учетная запись и управляемая учетная запись службы (MSA)
Сетевые службы, локальные службы и система
Учетные записи групп (локальные или доменные) и другие встроенные учетные записи (например, "Все") не принимаются.
Для настройки учетных записей службы или их паролей после установки Distributed Replay вы можете использовать инструмент "Службы Windows". Чтобы изменить учетные записи службы, связанные со службами контроллера или службами клиента в Distributed Replay, выполните следующие действия.
Для этого выполните одно из следующих действий в зависимости от операционной системы.
Нажмите кнопку Пуск, введите services.msc в поле Найти и нажмите клавишу ВВОД.
Нажмите кнопку Пуск, выберите пункт Выполнить, введите services.msc и нажмите клавишу ВВОД.
В диалоговом окне Службы щелкните правой кнопкой мыши службу, которую требуется настроить, и выберите пункт Свойства.
На вкладке Вход в систему выберите Указанная учетная запись.
Настройте учетную запись пользователя, которую предстоит использовать.
Разрешения для папок и файлов
После того как были заданы учетные записи службы, необходимо предоставить этим учетным записям службы необходимые разрешения для файла и папок. Настройте разрешения для файлов и папок в соответствии со следующей таблицей.
| Учетная запись | Разрешения папки |
|---|---|
| Учетная запись службы контроллера распределенного воспроизведения SQL Server |
<Controller_Installation_Path>\DReplayController (чтение, запись и удаление)DReplayServer.xml файл (чтение, запись) |
| Учетная запись службы клиента SQL Server распределенное воспроизведение |
<Client_Installation_Path>\DReplayClient (чтение, запись и удаление)DReplayClient.xml файл (чтение, запись)Рабочие и результирующие каталоги, как указано в файле конфигурации клиента элементами WorkingDirectory и ResultDirectory соответственно. (Чтение и запись) |
Разрешения DCOM
DCOM используется для связи через удаленный вызов процедур (RPC) между контроллером и средством администрирования и между контроллером и всеми клиентами. После установки компонентов распределенного воспроизведения на контроллере необходимо настроить общесистемные и специфичные для приложений разрешения DCOM.
Чтобы настроить разрешения DCOM на контроллере, выполните следующие шаги.
Откройте dcomcnfg.exe, оснастку "Службы компонентов": это средство, которое используется для настройки разрешений DCOM.
На компьютере контроллера нажмите кнопку Пуск.
Введите dcomcnfg.exe в поле Найти .
Нажмите клавишу ВВОД.
Настройте разрешения DCOM компьютера: предоставьте соответствующие разрешения DCOM компьютера каждой учетной записи, перечисленной в следующей таблице. Дополнительные сведения о методах настройки разрешений на компьютере см. в разделе Список задач: управление приложениями DCOM.
Настройте разрешения DCOM для конкретного приложения: предоставьте соответствующие разрешения DCOM для конкретного приложения каждой учетной записи, перечисленной в следующей таблице. Имя приложения DCOM для контроллера службы — DReplayController. Дополнительные сведения о методах настройки разрешений для конкретного приложения см. в разделе Список задач: управление приложениями DCOM.
В следующей таблице описаны разрешения DCOM, необходимые для интерактивной учетной записи пользователя средства администрирования и учетных записей службы клиента.
| Функция | Учетная запись | Требуемые разрешения DCOM на контроллере |
|---|---|---|
| Средство администрирования распределенного воспроизведения | Интерактивная учетная запись пользователя | Локальный доступ Удаленный доступ Локальный запуск Удаленный запуск Локальная активация Удаленная активация |
| Клиент распределенного воспроизведения | Учетная запись службы клиента SQL Server распределенное воспроизведение | Локальный доступ Удаленный доступ Локальный запуск Удаленный запуск Локальная активация Удаленная активация |
Внимание
Для защиты от вредоносных запросов или атак типа «отказ в обслуживании» проверьте, что используется только доверенная учетная запись пользователя для учетной записи службы клиента. Эта учетная запись сможет подключать и воспроизводить рабочие нагрузки в целевом экземпляре SQL Server.
Разрешения SQL Server
Учетные записи клиентской службы SQL Server Distributed Replay используются для подключения к целевому экземпляру SQL Server, обрабатывающему рабочую нагрузку. Для этих соединений поддерживается только режим проверки подлинности Windows.
После установки клиентской службы распределенного воспроизведения SQL Server на наборе компьютеров субъекту безопасности, используемому для этих учётных записей служб, должна быть предоставлена роль sysadmin на экземпляре SQL Server, против которого вы планируете воспроизвести нагрузку трассировки. Этот шаг не выполняется автоматически во время установки распределенного воспроизведения.
Защита данных
В среде распределенного воспроизведения следующие учетные записи пользователей получают полный доступ к целевому экземпляру SQL Server, входным данным трассировки и файлам трассировки результатов:
Интерактивная учетная запись пользователя, которая используется для запуска средства администрирования.
Учетная запись службы контроллера.
Учетная запись службы клиента.
Члены локальной группы администраторов на контроллере.
Члены локальной группы администраторов на клиентских компьютерах.
Внимание
Эти учетные записи имеют полный доступ к любой личной информации (PII) или конфиденциальной информации, содержащейся в файлах данных трассировки, промежуточных или диспетчерских файлах, а также в файлах данных SQL Server, которые использовались распределенным воспроизведением.
Рекомендуется применить следующие меры безопасности.
Сохраните входные данные трассировки, выходные результаты трассировки и файлы базы данных в местонахождении с файловой системой NTFS и примените соответствующие списки управления доступом (ACL). При необходимости зашифруйте данные, сохраненные на компьютере SQL Server. Учтите, что списки управления доступом (ACL) не применяются к файлам трассировки и отсутствует маскирование или обфускация данных. Эти файлы следует удалить немедленно после использования.
Примените соответствующие списки управления доступом (ACL) и политику хранения ко всем промежуточным и отправным файлам, которые создаются распределённым воспроизведением.
В целях безопасности используйте протокол TLS, пришедший на смену SSL.
Важные шаги удаления
Рекомендуется использовать распределенное воспроизведение только в тестовой среде. После завершения тестирования и перед предоставлением этих компьютеров для выполнения другого задания обязательно выполните следующие действия.
Удалите компоненты распределенного воспроизведения и удалите соответствующие файлы конфигурации из контроллера и всех клиентов.
Удалите все файлы трассировки, промежуточные файлы, файлы диспетчеризации и файлы базы данных SQL Server, которые использовались для тестирования. Промежуточные и переданные файлы хранятся в рабочем каталоге на контроллере и клиенте соответственно.