Udostępnij za pośrednictwem

  • Artykuł

Najważniejsze wskazówki dotyczące przy użyciu usług sieci Web XML w trybie macierzystym

This feature will be removed in a future version of Microsoft SQL Server. Avoid using this feature in new development work, and plan to modify applications that currently use this feature.

W tym temacie przedstawiono niektóre z najważniejszych wskazówek wziąć pod uwagę podczas planowania i oceny macierzysty usług XML sieci Web w SQL Server 2005 lub SQL Server 2008 do użytku w sieci rozwiązań biznesowych. Zalecenia te mają na celu pomóc w następujący sposób:

  • Zabezpieczania instalacji SQL Server Po użyciu macierzysty usług XML sieci Web w SQL Server 2005 lub SQL Server 2008.

  • Poprawić wydajność instalacji SQL Server oferując wytyczne dotyczące użycia. Te wskazówki pomogą zdecydować o czy aplikacja jest skutecznie obsługiwanej za pomocą macierzystego usług XML sieci Web.

Najważniejsze wskazówki dotyczące zabezpieczeń

Należy wziąć pod uwagę następujące zabezpieczeń najlepszymi sposobami podczas wdrożyć macierzysty usług XML sieci Web:

  • Korzystanie z uwierzytelnianie Kerberos.

  • Limit punkt końcowy połączenia uprawnienia określonym użytkownikom lub grupom.

  • Secure Socket Layer służy do wymiany dane poufne.

  • Użycie SQL Server za zaporą.

  • Sprawdź konto gościa systemu Windows jest wyłączona na serwerze.

  • Formant i aktualizacja punkt końcowy stan stosownie do potrzeb.

  • Użyj bezpiecznego punktu końcowego ustawień domyślnych, o ile to możliwe.

Za pomocą uwierzytelnianie protokołu Kerberos

Kiedy używać Utwórz punkt końcowy (języka Transact-SQL) Aby utworzyć punkty końcowe, zaznacz albo uwierzytelnianie = KERBEROS lub uwierzytelnianie = układy, aby włączyć zintegrowane zabezpieczenia systemu Windows w obszarze Kerberos do użycia jako typu uwierzytelnianie używanego dla punktu końcowego. Pierwsza opcja umożliwia tylko protokół Kerberos jako tryb uwierzytelnianie dla punktu końcowego.Druga opcja umożliwia punktu końcowego do obsługi uwierzytelnianie NTLM i Kerberos.

Do uwierzytelniania protokół Kerberos zapewnia ulepszone zabezpieczenia przy użyciu wbudowanych funkcji, takich jak uwierzytelnianie wzajemne.Oznacza to, że tożsamość oba serwery i klienci są uwierzytelniane.

Jeśli korzystasz z uwierzytelnianie Kerberos SQL Server należy skojarzyć głównej nazwy usługa (główna nazwa usługi) do konta będzie działać. Aby uzyskać więcej informacji zobaczRejestrowanie nazwy głównej usługa Kerberos za pomocą HTTP.sys.

Limit punkt końcowy połączenia uprawnienia do określonych użytkowników lub grup

Po utworzeniu punktami końcowymi, które są wymagane do rozmieszczenia zabezpieczenia tych przez ustawienie uprawnienia do połączenia przy użyciu punktu końcowego Transact-SQL instrukcje, takie jak GRANT CONNECT i punktu KOŃCOWEGO W instrukcji ALTER. Podczas przypisywania uprawnień do połączenia się określonym i udzielić uprawnienia tylko do określonych użytkowników lub do określonej grupy, która jest zarezerwowana dla punktu końcowego dostępu do SQL Server.

Ogólnie rzecz biorąc należy ograniczyć uprawnienia do Zezwalaj tylko na poszczególnych użytkowników połączyć się z punktami końcowymi.Aby umożliwić dostęp do publiczne rola nie jest zalecane.Zalecany pełni rozumiesz modelu uprawnień dla SQL Server. Można użyć tego modelu judiciously kontrola dostępu punktu końcowego.

Important noteImportant Note:

The public role is a special rola bazy danych to which every SQL Server user belongs. Rola ta ma domyślnie uprawnienia dostępu dla każdego użytkownika, który można uzyskać dostęp do bazy danych.Ponieważ ta rola bazy danych jest rola Domyślny wbudowany SQL Server i służy jako, aby zezwolić na dostęp do wszystkich użytkowników (podobnie jak wszyscy lub Użytkownicy uwierzytelnieni uprawnień systemu Windows), dlatego powinno być używane z rozwagą, po skonfigurowaniu uprawnień w SQL Server.

Aby uzyskać więcej informacji zobaczGRANT Endpoint Permissions (Transact-SQL).

Za pomocą Secure Sockets Layer dane poufne programu Exchange

Protokół Secure Sockets Layer (SSL) zapewnia obsługę szyfrowanie i odszyfrowywania danych za pośrednictwem bezpiecznych gniazd (adres IP i kombinacji numerów portów TCP) interfejs protokołu TCP/IP.Dla SQL Server punkty końcowe, aby zapewnić szyfrowanie SSL, należy najpierw skonfigurować certyfikat.

Podczas rejestrowania certyfikatów dla protokołu SSL domyślnego portu 443, należy pamiętać, że ten sam certyfikat może być współużytkowane przez inne aplikacje.Na przykład Internet Information Services (IIS) obsługi ruchu sieciowego protokołu SSL na ten sam port, przez co ta konfiguracja może dotyczyć użytkowników programu IIS.Ze względu na to udostępnianie SSL port i jego certyfikatów może być wpływ na bezpieczeństwo.

Aby uzyskać więcej informacji zobaczKonfigurowanie certyfikat do użytku przez SSL.

Za pomocą programu SQL Server za zaporą

Aby zapewnić najwyższy poziom zabezpieczeń to możliwe należy używać tylko macierzysty usług XML sieci Web za zaporą.Upewnij się, że przy tym można zestaw zapasowej punktów końcowych, że wszelkie numerów portów TCP, należy użyć, aby zapewnić dostęp HTTP są chronione przez zaporę.Umożliwienie instalacji SQL Server dostęp bezpośrednio do klientów internetowych i nie jest chroniony przez zaporę nie jest konfiguracja zalecana sieci. Aby uzyskać więcej informacji zobaczSecurity Considerations for a SQL Server Installation.

Sprawdź system Windows konto Gość jest wyłączone na serwerze

Konto gościa jest wbudowane konta, pod warunkiem że w większości wersji Microsoft System Windows. W Windows Server 2003, jest domyślnie wyłączona. Dla Windows 2000 Server i Windows NT Server 4.0, jest domyślnie włączona.

Aby zmniejszyć ryzyko ataków powierzchni, gdy punkty końcowe są używane, należy sprawdzić, czy że konto gościa jest wyłączone na serwerze, na którym SQL Server jest uruchomiony. Aby uzyskać więcej informacji zobacz temat „ Aby wyłączyć lub uaktywnić konto użytkownika lokalnego"w Pomocy systemu Windows.

Formant i aktualizacja punktu końcowego Państwo jako wymagane

Po utworzeniu punktu końcowego za pomocą Utwórz punkt końcowy (języka Transact-SQL), stan domyślny zostanie zatrzymana, chyba że użytkownik jawnie uruchomić przez określenie STATE = uruchomiono. Aby kontrolować stan istniejący punkt końcowy, należy użyć ALTER ENDPOINT (Transact-SQL) Aby określić zatrzymano, uruchomiono lub DISABLED.

Na przykład użyć następujące instrukcje, aby uruchomić lub zatrzymać wcześniej utworzony punkt końcowy sql_endpoint:

ALTER ENDPOINT sql_endpoint STATE=STARTED

ALTER ENDPOINT sql_endpoint STATE=STOPPED

Należy również wyłączyć punkty końcowe lub usuwanie określonej metody sieci Web na punkt końcowy lub punkt końcowy, jeśli masz nie użycia przewidywanych dla nich.

W poniższym przykładzie pokazano, wyłączenie punktu końcowego:

ALTER ENDPOINT sql_endpoint STATE=DISABLED

Uwaga

Po wyłączeniu punktu końcowego, to nie można uruchomić ponownie do SQL Server Usługa (MSSQLServer) zostanie ponownie uruchomiona.

Upuść metoda sieci Web z punktem końcowym, użyje instrukcja podobny do następującego formatu:

ALTER ENDPOINT sql_endpoint

FOR SOAP

(

DROP WEBMETHOD 'SayHello'

)

Aby usunąć punkt końcowy, należy użyć USUWANIE PUNKTU KOŃCOWEGO.

Użyj domyślnych ustawień zabezpieczeń punktu końcowego zawsze jest możliwe

Tworzenie lub modyfikowanie przy użyciu punktu końcowego UTWÓRZ PUNKT KOŃCOWY or ZMIENIANIE PUNKTU KOŃCOWEGO, następującą opcję wartości domyślne są stosowane tylko wtedy, gdy użytkownik jawnie ustawiony inny sposób:

  • PARTIE = DISABLED

    Transact-SQLpartia trybu jest wyłączona dla punktu końcowego.

  • LOGIN_TYPE = OKIEN

    Dla użytkowników punktu końcowego jest dozwolone tylko uwierzytelnianie systemu Windows.

Chyba, że należy zmodyfikować te ustawienia do obsługi dostępu lub funkcje, które będą i wymagać instalacji aplikacji, zaleca się używanie ustawień domyślnych dla tych opcji, o ile to możliwe.

Aby uzyskać informacje na temat wybierania algorytm szyfrowanie zobacz Choosing an Encryption Algorithm.

Najważniejsze wskazówki dotyczące wydajności

Należy wziąć pod uwagę następujące wydajności najlepszymi sposobami podczas wdrożyć macierzysty usług XML sieci Web:

  • wdrożyć w odpowiednich przypadkach.

  • Współczynnik zasoby dodatkowe serwera planowania rozwiązań opartych na protokołu SOAP.

  • Skonfigurować odpowiednią opcję WSDL dla własnych potrzeb.

Odpowiedni scenariusze wdrożyć

Macierzysty usług XML sieci Web jest najodpowiedniejszy w przypadku scenariuszy z następujące wymagania:

  • Aplikacja zwraca wartość lub używa danych XML.

  • Aplikacja intensywnie korzysta z procedur przechowywanych dla logika biznesowa.

  • W ramach rozwiązań biznesowych, chcesz zintegrować SQL Server-obsługiwanych aplikacji usługa sieci Web z innymi aplikacjami usługa sieci Web do osiągnięcia celów Architektura zorientowana na usługa (SOA) (adresu startowego uwierzytelniania SOA).

  • Szukasz lepszej wydajności zastąpienie SQLXML mid-tier rozwiązania dotyczące wdrażania usług sieci Web na tym samym serwerze.

  • Aby utworzyć i opublikować raport statyczne dla sieci intranet witryna sieci Web w przypadku gdy z bogatych funkcji zestaw i dodatkowe obciążenie związane z SQL Server 2005 Reporting Services (SSRS) lub później może przekroczyć potrzeb użytkownika.

Podobnie w scenariuszach, z następującymi wymaganiami, nie jest zalecane używanie macierzysty usług XML sieci Web:

  • Your application is used to insert or retrieve binary large object (BLOB) data, such as large binaryimage, or text values.

  • Aplikacja wymaga rzeczywistego-czas przetwarzania transakcji i kluczowych odpowiedzi czas s.

  • W przypadku korzystania SQL Server w połączeniu z innych aplikacji intensywnie wykorzystujących przetwarzania, takich jak aplikacje TPC testu wydajności C (TPC-C).

Współczynnik dodatkowe zasoby serwera podczas planowania opartego na SOAP rozwiązania

Celów planowania zdolności produkcyjnych, należy zwrócić uwagę, że w odróżnieniu od protokół strumień danych tabelarycznych (TDS) protokół SOAP wydajność zależy to od aplikacji i może wymagać serwera dodatkowe obciążenie zasób.Na przykład w testowaniu SQL Server 2005 przeprowadzone przez SQL Server zespół produktu w scenariuszach, w jakim zostały zwrócone dużych dokumentów XML, wydajność dla dostępu oparte na protokole SOAP trwało dłużej niż dostępu oparte na protokole TDS o 20 do 30 procent.

Skonfigurować opcję WSDL odpowiedni dla wymagań użytkownika

Przed wdrożeniem macierzysty usług XML sieci Web, należy określić odpowiednią opcję WSDL w obsługi wszystkich klientów i systemy operacyjne, które są wymagane do rozwiązania problemu.

Maksymalna współdziałanie w środowiskach heterogenicznych, w którym klienci usługa sieci Web zawierają systemów operacyjnych innych niż Windows, należy użyć proste WSDL.For Windows-only environments in which you are developing with Microsoft Visual Studio 2005, you can use the default WSDL to access the rich type support included in Visual Studio 2005.

Czasami klienci protokołu SOAP firm może wymagać dostosowane WSDL ze względu na współdziałanie.Aby uzyskać więcej informacji zobaczObsługa języka WSDL niestandardowe wykonawczych.