Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
van toepassing op:
SQL Server-
Replicatie verplaatst gegevens in gedistribueerde omgevingen, variërend van intranetten in één domein tot toepassingen die toegang hebben tot gegevens tussen niet-vertrouwde domeinen en via internet. Het is belangrijk om inzicht te hebben in de beste benadering voor het beveiligen van replicatieverbindingen onder deze verschillende omstandigheden.
De volgende informatie is relevant voor replicatie in alle omgevingen:
Versleutel de verbindingen tussen computers in een replicatietopologie met behulp van een industriestandaardmethode, zoals Virtual Private Networks (VPN), Transport Layer Security (TLS), voorheen BEKEND als Secure Sockets Layer (SSL) of IP Security (IPSEC). Zie Versleutelde verbindingen met de database-engine inschakelen (SQL Server Configuration Manager) voor meer informatie. Zie Replicatie beveiligen via internet voor informatie over het gebruik van VPN en TLS voor het repliceren van gegevens via internet.
Als u TLS gebruikt om de verbindingen tussen computers in een replicatietopologie te beveiligen, geeft u een waarde van 1 of 2 op voor de parameter -EncryptionLevel van elke replicatieagent (een waarde van 2 wordt aanbevolen). Een waarde van 1 geeft aan dat versleuteling wordt gebruikt, maar de agent controleert niet of het TLS/SSL-servercertificaat is ondertekend door een vertrouwde verlener; een waarde van 2 geeft aan dat het certificaat wordt geverifieerd. Agent-parameters kunnen worden opgegeven in agentprofielen en via de opdrachtregel. Zie voor meer informatie:
Voer elke replicatieagent uit onder een ander Windows-account en gebruik Windows-verificatie voor alle replicatieagentverbindingen. Zie Identiteits- en toegangsbeheer voor replicatie voor meer informatie over het opgeven van accounts.
Alleen de vereiste machtigingen verlenen aan elke agent. Zie de sectie 'Machtigingen vereist voor agents' van het replicatieagentbeveiligingsmodel voor meer informatie.
Zorg ervoor dat alle accounts van de samenvoegagent en distributieagent zich in de publicatietoegangslijst (PAL) bevinden. Zie De uitgever beveiligen voor meer informatie.
Volg het principe van minimale bevoegdheden door accounts in de PAL alleen de machtigingen toe te staan die ze nodig hebben om replicatietaken uit te voeren. Voeg de aanmeldingen niet toe aan vaste serverfuncties die niet vereist zijn voor replicatie.
Configureer de momentopnameshare om leesrechten toe te kennen aan alle samenvoegagenten en distributieagenten. In het geval van momentopnamen voor publicaties met geparameteriseerde filters, moet u ervoor zorgen dat elke map zo is geconfigureerd dat alleen toegang tot de juiste Merge Agent-accounts is toegestaan.
Configureer de momentopnameshare om schrijftoegang door de momentopnameagent toe te staan.
Als u pull-abonnementen gebruikt, gebruikt u een netwerkshare in plaats van een lokaal pad voor de map met momentopnamen.
Als uw replicatietopologie computers bevat die zich niet in hetzelfde domein bevinden of zich in domeinen bevinden die geen vertrouwensrelaties met elkaar hebben, kunt u Windows-verificatie of SQL Server-verificatie gebruiken voor de verbindingen die zijn gemaakt door agents (zie de Windows-documentatie voor meer informatie over domeinen). Het wordt aanbevolen als best practice voor beveiliging dat u Windows-verificatie gebruikt.
Windows-verificatie gebruiken:
Voeg een lokaal Windows-account (geen domeinaccount) toe voor elke agent op de juiste knooppunten (gebruik dezelfde naam en hetzelfde wachtwoord op elk knooppunt). De distributieagent voor een pushabonnement wordt bijvoorbeeld uitgevoerd bij de Distributeur en maakt verbindingen met de Distributeur en Abonnee. Het Windows-account voor de distributieagent moet worden toegevoegd aan de distributeur en abonnee.
Zorg ervoor dat een bepaalde agent (bijvoorbeeld de distributieagent voor een abonnement) op iedere computer onder hetzelfde account draait.
SQL Server-verificatie gebruiken:
Voeg een SQL Server-account toe voor elke agent op de juiste knooppunten (gebruik dezelfde accountnaam en hetzelfde wachtwoord op elk knooppunt). De distributieagent voor een pushabonnement wordt bijvoorbeeld uitgevoerd bij de Distributeur en maakt verbindingen met de Distributeur en Abonnee. Het SQL Server-account voor de distributieagent moet worden toegevoegd aan de distributeur en abonnee.
Zorg ervoor dat een bepaalde agent (bijvoorbeeld de distributieagent voor een abonnement) verbindingen onder hetzelfde account maakt op elke computer.
In situaties waarin SQL Server-verificatie is vereist, is de toegang tot UNC-momentopnameshares vaak niet beschikbaar (bijvoorbeeld toegang kan worden geblokkeerd door een firewall). In dit geval kunt u de momentopname overdragen naar abonnees via ftp (File Transfer Protocol). Zie Momentopnamen overdragen via FTP-voor meer informatie.
Beveiligingspostuur verbeteren met databasehoofdsleutel
Wanneer u SQL Server-verificatie gebruikt voor replicatie, worden geheimen die u opgeeft wanneer u replicatie configureert, opgeslagen in SQL Server, met name in de distributiedatabase en voor pull-abonnementen, ook in de abonneedatabase.
Om het beveiligingspostuur voor replicatie te verbeteren, voordat u begint met het configureren van replicatie:
- Maak een databasehoofdsleutel (DMK) in de distributiedatabase van de server waarop de distributeur wordt gehost.
- Voor pull-abonnementen maakt u ook een DMK in de abonneedatabase.
Als replicatie vóór de DMK is gemaakt, maakt u eerst de DMK en werkt u de replicatiegeheimen vervolgens bij door wachtwoorden voor replicatietaken bij te werken. U kunt de taak bijwerken met hetzelfde wachtwoord of u kunt een nieuw wachtwoord gebruiken.
Als u replicatiegeheimen wilt bijwerken, gebruikt u een van de volgende relevante opgeslagen procedures om wachtwoorden voor replicatietaken bij te werken:
Het configureren van transactionele replicatie zonder DMK kan leiden tot sql Server-waarschuwing 14130 op: