Compartir a través de


Arquitectura de seguridad para la sincronización Web

Actualizado: 17 de julio de 2006

Microsoft SQL Server 2005 permite tener un control concreto sobre la configuración de la seguridad de la sincronización Web. En este tema se proporciona una lista exhaustiva de todos los componentes que pueden incluirse en una configuración de la sincronización Web e información acerca de las conexiones entre los componentes.

En la siguiente ilustración se muestran todas las conexiones posibles, aunque es posible que no todas las conexiones sean necesarias en una determinada topología. Por ejemplo, una conexión a un servidor FTP sólo es necesaria si la instantánea se entrega mediante FTP.

Componentes y conexiones en la sincronización web

En las siguientes tablas se describen los componentes y las conexiones que se muestran en la ilustración.

A. Usuario de Windows con el que se ejecuta el Agente de mezcla

Durante la sincronización, el Agente de mezcla (A) se inicia en el suscriptor. El Agente de mezcla puede iniciarse desde un paso de trabajo del Agente SQL Server o desde una aplicación personalizada independiente. Si el Agente de mezcla se inicia desde un paso de trabajo del Agente SQL Server, el Agente de mezcla se ejecuta en el contexto del usuario de Windows que especifique. Si no especifica ningún usuario de Windows, el Agente de mezcla se ejecuta en el contexto de la cuenta de servicio de Windows para el Agente SQL Server.

Tipo de cuenta Dónde se especifica la cuenta

Usuario de Windows

Transact-SQL: los parámetros @job_login y @job_password de sp_addmergepullsubscription_agent.

RMO (Objetos de administración de réplica): las propiedades Login y Password para SynchronizationAgentProcessSecurity.

Cuenta de servicio de Windows para el Agente SQL Server

Administrador de configuración de SQL Server

Aplicación independiente

El Agente de mezcla se ejecuta en el contexto del usuario de Windows que ejecuta la aplicación.

B. Conexión al suscriptor

El Agente de mezcla se conecta al suscriptor mediante la autenticación de Windows o la autenticación de SQL Server. El usuario de Windows o el inicio de sesión de SQL Server que especifique debe asociarse a un usuario de base de datos que sea miembro de la función fija de base de datos dbowner en la base de datos de suscripciones.

[!NOTA] La autenticación de Windows se usa siempre que el Agente de mezcla se inicia desde un trabajo del Agente SQL Server. La autenticación de Windows también se usa cuando el Agente de mezcla se inicia mediante programación, a menos que se especifique explícitamente la autenticación de SQL Server.

Tipo de autenticación Dónde se especifica la autenticación
  • Autenticación de Windows.

El Agente de mezcla realiza conexiones en el contexto del usuario de Windows que se especifica para el Agente de mezcla (A).

La autenticación de SQL Server se usa sólo si se especifica lo siguiente:

RMO: SubscriberLogin y SubscriberPassword.

Línea de comandos del Agente de mezcla: -SubscriberLogin y -SubscriberPassword.

C. Conexión a un servidor proxy saliente

Especifique un usuario de Windows para esta conexión sólo si hay un servidor proxy saliente que restringe el acceso a la red interna del suscriptor.

Tipo de autenticación Dónde se especifica la autenticación

Autenticación de Windows

RMO: InternetProxyLogin e InternetProxyPassword con InternetProxyServer.

Línea de comandos del Agente de mezcla: -InternetProxyLogin e -InternetProxyPassword con -InternetProxyServer.

D. Conexión a IIS

Después de conectarse al suscriptor y extraer los cambios de la base de datos de suscripciones, el Agente de mezcla realiza una solicitud HTTPS a los Servicios de Microsoft Internet Information Server (IIS) y carga los cambios en los datos como un mensaje XML. El Agente de mezcla debe tener permisos de inicio de sesión para IIS.

Tipo de autenticación Dónde se especifica la autenticación

La autenticación básica se usa si se especifica uno de los siguientes:

Transact-SQL: los parámetros @internet_login y @internet_password de sp_addmergepullsubscription_agent.

RMO: InternetLogin e InternetPassword.

Línea de comandos del Agente de mezcla: -InternetLogin e -InternetPassword.

La autenticación integrada 1 se usa si se especifica uno de los siguientes:

  • Transact-SQL: el valor 1 para el parámetro @internet_security_mode de sp_addmergepullsubscription_agent.
  • RMO: el valor Integrated para InternetSecurityMode.
  • Línea de comandos del Agente de mezcla: el valor 1 para -InternetSecurityMode.

El Agente de mezcla realiza conexiones en el contexto del usuario de Windows que se especifica para el Agente de mezcla (A).

1 La autenticación integrada sólo puede usarse si todos los equipos están en el mismo dominio o están en varios dominios que tienen relaciones de confianza entre sí.

[!NOTA] La delegación es necesaria si se usa la autenticación integrada. Se recomienda usar la autenticación básica y SSL para las conexiones del suscriptor a IIS.

E. Conexión al publicador

Los componentes del Reconciliador de réplica de mezcla y de la Escucha de réplica de SQL Server se alojan en el equipo en el que se ejecuta IIS. Estos componentes realizan las siguientes acciones:

  • Recogen la solicitud HTTPS descrita en la sección "D. Conexión a IIS".
  • Realizan una conexión SQL a la base de datos de publicaciones y aplican los cambios cargados en dicha base de datos.
  • Extraen los cambios descargados y devuelven una respuesta HTTPS al Agente de mezcla.

El Reconciliador de réplica de mezcla se conecta al publicador mediante la autenticación de Windows o la autenticación de SQL Server. El usuario de Windows o el inicio de sesión de SQL Server que especifique debe cumplir lo siguiente:

  • Estar en la lista de acceso de la publicación (PAL). Para obtener más información, vea Proteger el publicador.
  • Estar asociado a un usuario en la base de datos de publicaciones.
Tipo de autenticación Dónde se especifica la autenticación

La autenticación de Windows se utiliza si se especifica uno de los siguientes:

El Agente de mezcla realiza conexiones al publicador en el contexto del usuario de Windows que se especifica para la conexión a IIS (D). Si el publicador e IIS están en distintos equipos y se utiliza la autenticación integrada para la conexión (D), debe habilitar la delegación Kerberos en el equipo en el que se ejecuta IIS. Para obtener más información, vea la documentación de Windows.

La autenticación de SQL Server se utiliza si se especifica uno de los siguientes:

  • Transact-SQL: el valor 0 para el parámetro @publisher_security_mode de sp_addmergepullsubscription_agent.
  • RMO: el valor Standard para PublisherSecurityMode.
  • Línea de comandos del Agente de mezcla: el valor 0 para -PublisherSecurityMode.

Transact-SQL: los parámetros @publisher_login y @publisher_password de sp_addmergepullsubscription_agent.

RMO: PublisherLogin y PublisherPassword.

Línea de comandos del Agente de mezcla: -PublisherLogin y -PublisherPassword.

F. Conexión al distribuidor

El Reconciliador de réplica de mezcla alojado en el equipo en el que se ejecuta IIS también realiza conexiones al distribuidor. El Reconciliador de réplica de mezcla se conecta al distribuidor mediante la autenticación de Windows o la autenticación de SQL Server. El usuario de Windows o el inicio de sesión de SQL Server que especifique debe cumplir lo siguiente:

  • Estar en la lista de acceso de la publicación (PAL). Para obtener más información, vea Proteger el publicador.
  • Estar asociado a un usuario de base de datos en la base de datos de distribución. El usuario puede ser el usuario Guest.

Normalmente, el recurso compartido de instantáneas está en el distribuidor. Para obtener más información acerca de los recursos compartidos de instantáneas, vea la sección "H. Acceso al recurso compartido de instantáneas", más adelante en este tema.

  • Tipo de autenticación
Dónde se especifica la autenticación

La autenticación de Windows se utiliza si se especifica uno de los siguientes:

El Agente de mezcla realiza conexiones al distribuidor en el contexto del usuario de Windows que se especifica para la conexión a IIS (D). Si el distribuidor e IIS están en distintos equipos y se utiliza la autenticación integrada para la conexión (D), debe habilitar la delegación Kerberos en el equipo en el que se ejecuta IIS. Para obtener más información, vea la documentación de Windows.

La autenticación de SQL Server se utiliza si se especifica uno de los siguientes:

  • Transact-SQL: el valor 0 para el parámetro @distributor_security_mode de sp_addmergepullsubscription_agent.
  • RMO: el valor Standard para DistributorSecurityMode.
  • Línea de comandos del Agente de mezcla: el valor 0 para -DistributorSecurityMode.

Transact-SQL: los parámetros @distributor_login y @distributor_password de sp_addmergepullsubscription_agent.

RMO: DistributorLogin y DistributorPassword

Línea de comandos del Agente de mezcla: -DistributorLogin y -DistributorPassword.

G. Conexión a un servidor FTP

Especifique un usuario de Windows para esta conexión sólo si va a descargar archivos de instantáneas desde un servidor FTP, en lugar de desde una ubicación UNC, al equipo en el que se ejecuta IIS antes de aplicar la instantánea al suscriptor. Para obtener más información, vea Transferir instantáneas mediante FTP.

Tipo de autenticación Dónde se especifica la autenticación

Autenticación de Windows

Transact-SQL: los parámetros @ftp_login y @ftp_password de sp_addmergepublication.

RMO: FtpLogin y FtpPassword.

H. Acceso al recurso compartido de instantáneas

El Reconciliador de réplica de mezcla tiene acceso al recurso compartido de instantáneas que se aloja en el equipo en el que se ejecuta IIS.

Tipo de autenticación Dónde se especifica la autenticación

Autenticación de Windows

El Agente de mezcla obtiene acceso al recurso compartido de instantáneas en el contexto del usuario de Windows que se especifica para la conexión a IIS (D). Si el recurso compartido de instantáneas e IIS están en distintos equipos y se utiliza la autenticación integrada para la conexión (D), debe habilitar la delegación Kerberos en el equipo en el que se ejecuta IIS. Para obtener más información, vea la documentación de Windows.

I. Cuenta del grupo de aplicaciones para IIS

Esta cuenta se utiliza para iniciar el proceso W3wp.exe en el equipo en el que se ejecuta IIS para o el proceso Dllhost.exe en . Estos procesos alojan aplicaciones en el equipo en el que se ejecuta IIS, como el Reconciliador de réplica de mezcla y la Escucha de réplica de SQL Server. Esta cuenta debe tener permisos de lectura y ejecución en las siguientes DLL de réplica en el equipo en el que se ejecuta IIS:

  • Replisapi
  • Replrec
  • Replprov
  • Msgprox
  • Xmlsub

La cuenta también debe formar parte del grupo IIS_WPG. Para obtener más información, vea la sección sobre cómo configurar los permisos de la Escucha de réplica de SQL Server en Cómo configurar IIS para la sincronización Web.

Tipo de cuenta Dónde se especifica la cuenta

Cualquier usuario de Windows que tenga los permisos necesarios.

Administrador de Servicios de Internet Information Server (IIS) De forma predeterminada, en , se utiliza la cuenta Servicio de red.

Vea también

Conceptos

Configurar la sincronización Web

Otros recursos

Replication Merge Agent

Ayuda e información

Obtener ayuda sobre SQL Server 2005

Historial de cambios

Versión Historial

17 de julio de 2006

Contenido modificado:
  • Se agregó la información sobre el parámetro internet_security_mode que faltaba para la conexión a IIS.