Jak nakonfigurovat zabezpečení pro SQL Server protokolu dopravy

Překlady článku Překlady článku
ID článku: 321247 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Tento článek obsahuje informace o konfiguraci zabezpečení protokolu expedice. Existuje několik problémů zvažte při konfiguraci zabezpečení protokolu serveru SQL expedice rozsahu z spouštěcí účet pro SQL Server ke sdílení oprávnění pro sdílené síťové položky, kde jsou uloženy zálohy protokolu transakce. V tomto článku jsou problémy popsány.

Spuštění klienta pro SQL Server a SQL Server Agent Services na nákladový servery protokolu

Účet domény

Pokud jste umístili SQL Server v doméně, doporučuje společnost Microsoft použít účet domény spuštění služeb serveru SQL Server. Pokud hodláte konfiguraci serveru SQL spustit jako virtuální server v části Windows Clustering, je nutné použít účet domény. Účet domény poskytuje výhodu minimální údržbu v případě změny hesla. Však nebudete pravděpodobně moci spustit SQL pod účtem domény, pokud SQL Server umístěný na serveru, který je v pracovní skupině.

Účet místní sítě

SQL Server můžete spustit pod účtem místně vytvořena síť. V situaci, kde je přístup k síti vyžadován proces serveru SQL je případ, pokud jste nakonfigurovali SQL Server k použití protokolu dopravy můžete použít předávací zabezpečení sítě. S předávací zabezpečení všech počítačích, které bude přístupné serverem SQL musí mít stejný účet sítě s stejné heslo a příslušná oprávnění konfigurován místně. Navíc při proces serveru SQL požadavků prostředky z druhého počítače, tradiční síti zabezpečení je vynecháno Pokud existuje stejný účet (pod kterou je spuštěna služba žádající SQL Server) s stejné heslo. Dlouhý účtu v druhém počítači nakonfigurována s dostatečná oprávnění k provedení úkolu je požadováno voláním SQL Server, úkol bude úspěšná.

Místní systémový účet

Můžete také konfigurovat server SQL spusťte pod účtem LocalSystem. Změna hesla pro účet LocalSystem, může mít za následek selhání některé služby jsou důležité pro stabilitu systému. Tento účet je místní počítač, kde nachází což znamená, že je místní kontext zabezpečení služby SQL Server používá. Jak je uvedeno v části místní účet sítě při spuštění serveru SQL pod účtem LocalSystem protože hesla pro účet LocalSystem na různých počítačích liší nelze použít předávací zabezpečení sítě. Počáteční serveru SQL pod tímto účtem při je vyžadován přístup k prostředku sítě pravděpodobně výsledkem bude neúspěšné dokončení úkolů.

Informace o minimální požadovaná práva pro účet v síti úspěšně spustit a spustit služby SQL Server a SQL Server Agent zobrazit následující téma v SQL Server Books Online:
Setting up Windows Service Accounts

Principy model zabezpečení SQL Server

Zcela porozumět důsledky pro zabezpečení je důležité porozumět modelu zabezpečení Microsoft implementována v SQL Server 2000. Vytvoření přihlašovacího jména je přidán syslogins tabulky v databázi MASTER. Pro každou toto přihlášení nově přidané je poskytován přístup k databázi je přidán do sysusers tabulky v databázi. Mapování mezi syslogins tabulka a tabulka sysusers je na pole SID.

Pokud uživatel databáze je přesunuta na jiný server, hodnoty SID jsou přeneseny z předchozího serveru. Buď zabezpečení databáze konce při přihlášení druhého serveru nejsou vytvořeny s stejné hodnoty SID nebo pokud zabezpečení je nesprávně nakonfigurován kvůli zjištěny hodnot SID.

Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
240872INF: Jak vyřešit problémy oprávnění, pokud je databáze nebo

Konfigurace protokolu dodávky

Požadavky zabezpečení

Sdílení zálohování

Konfigurovat sdílené síťové položky, který je konfigurován pro uložení záloh protokolu transakce mají oprávnění pro čtení a změny účtu, pod které SQL Server jsou spuštění služby (na sekundární server je nakonfigurován pro dodávky protokolu).

Mít oprávnění pro čtení a změny účtu, pod které SQL Server jsou spuštění služby na sekundární server nakonfigurován protokolu dodávce, by měl být nakonfigurován sdílené síťové položky, který je konfigurován pro uložení záloh protokolu transakce. Kopírovat úlohu na sekundární server zkopírovat záloh protokolu transakce do místní složky v příslušných sekundární server přístup k této sdílené položky. Tyto zálohy úlohy zatížení pak načte z místní složky.

Křížový Domain protokolu dodávky

Pokud počítače se systémem SQL Server jsou umístěny v prostředí s více doménami, společnost Microsoft doporučuje nastavit obousměrné vztahy důvěryhodnosti mezi všemi doménami účastní protokolu expedice. Však Pokud nemůže vytvořit vztahy důvěryhodnosti mezi doménami, můžete použít předávací zabezpečení sítě pro protokol expedice. Naleznete v části tohoto článku popisuje LocalSystem možnost účet spuštění síťové služby související SQL Server.

Výběr režimu ověřování a připojit k serveru sledování

Výběr lze ověřování nebo ověřování SQL (primární a sekundární servery) připojit k serveru monitor a aktualizovat tabulky monitoru. Můžete vybrat to buď při nastavení nahoru protokolu dodávky nebo po nastavit expediční protokolu a je funkční. Ve výchozím nastavení SQL Server používá ověřování systému Windows; však Pokud vyberete ověřování SQL, na primární, sekundární, je vytvořena nová přihlášení SQL log_shipping_monitor_probe a sledování serverů Pokud jeden neexistuje. Pokud vyberete ověřování SQL pro tento účel, konfiguraci serveru SQL použít ověřování SQL a Windows možnost.

Konfigurace zabezpečení v sekundární server pro Standby databáze

Pokud nakonfigurujete sekundární databáze v úsporném režimu, přístup k této databázi jen pro čtení. Obnovením sekundární databáze v tomto režimu to poskytnout prostředek, pomocí kterého spustit offline sestavy tím snižování zátěže některé práce z výrobního systému. Však pro úsporný režim databázi pro podporu funkce jen pro čtení, budete muset použít stejné nastavení zabezpečení na sekundární server. Protože databáze je v úsporném režimu stavu, nemůžete provádět žádné úpravy i pro účely konfigurace zabezpečení. V tomto případě máte vytvořit všech přihlášení serveru SQL pomocí stejné hodnot SID na sekundární server. Přihlášení systému Windows automaticky zachová stejné identifikátory, protože Windows GUID je globálně jedinečný i při použití více domén.

Další informace o vytváření s stejné SID na různých serverech SQL přihlášení klepněte na následující číslo článku databáze Microsoft Knowledge Base:
303722Jak udělit přístup přihlášení SQL na STANDBY databáze při "guest" User je zakázáno

Konfigurace zabezpečení při provádění změnit role

Postup změny role pro dodávky protokolu zahrnuje povýšení sekundární server převzetí jako primární. To lze provést s nebo bez primárního serveru právě online. Jako část role Změna jsou až čtyři uložené procedury, které jsou provedeny. Jeden z těchto uložených procedur sp_resolve_logins pomůže opravit hodnoty SID přihlášení, která jsou umístěny v úsporném režimu databázi těsně před je k dispozici pro použití jako primární databáze.

Jako součást uložené procedury souboru .bcp syslogins tabulky z bývalého primárního serveru je načten do dočasné tabulky. Každé přihlášení je přítomen v dočasné tabulce poté porovnány s syslogins tabulky v databázi MASTER sekundární server a tabulky sysusers sekundární databáze. Pro každé přihlášení dočasné tabulky má přihlášení se stejným názvem v tabulce syslogins a stejné SID jako jeden v tabulce sysusers sekundární databáze SID opraven (v sekundární databáze) pomocí sp_change_users_login odpovídají jedné, který je v tabulce syslogins.

Konfigurace zabezpečení pomocí uložené procedury vyžaduje následující:
  • Přihlášení SQL musí být vytvořeny již sekundární server. Pomocí úloh Transfer DTS přihlášení (což je vysvětlena v SQL Server Books Online téma „ jak nastavení a provádění protokol změnit role. „
  • Musíte poskytnout soubor .bcp syslogins tabulky z primárního serveru. Tento soubor musí být aktuální, protože zastaralý soubor může mít za následek sp_resolve_logins nedaří opravit přihlášení.
Následující tři podmínky musí splňovat před sp_resolve_logins může ve skutečnosti opravit přihlášení v sekundární databázi:
  1. Název přihlášení ze souboru .bcp tabulky syslogins musí odpovídat názvu v tabulce syslogins z primárního serveru.
  2. Hodnota SID musí odpovídat mezi přihlašovací jméno souboru .bcp a sysusers tabulky v databázi sekundární
  3. Hodnota SID z sekundární databáze musí být jiný než hodnota SID v syslogins tabulce v databázi MASTER na sekundární server.
Pokud vytvoříte přihlášení serveru SQL, jak je popsáno v Q303722, nemá spustit uložené procedury, protože všechna přihlášení jsou již být přítomen se stejnou hodnotou SID v tabulce syslogins (v databáze MASTER na sekundární server) a tabulky sysusers (v sekundární databáze).

Nejčastější dotazy

Otázka: znamená protokolu dopravy šíření změny zabezpečení související sekundární server automaticky?

Odpověď: Ano. Protože jsou všechny změny systémových tabulek protokolované operací, tyto jsou šířeny prostřednictvím sekundární server (nebo servery) automaticky.

Otázka: může máte dva přihlášení na sekundární server se stejným SID? Potřebuji toto, protože PouŽívám udržovat více databází úsporného z více serverů pomocí stejného počítače serveru SQL.

Odpověď: Ne. Model zabezpečení SQL Server neumožňuje nutnosti dvě přihlášení s stejné SID. Pokud je konflikt na SID při používání protokolu expedice s více servery, pouze způsobem, jak opravit toto je přetažení konfliktní přihlášení na primární server a potom vytvořit s SID, která na sekundární server neexistuje.
Další informace o protokolu expedice změnit roli klepněte na článek číslo článku databáze Microsoft Knowledge Base:
314515INF: Časté otázky - SQL Server 2000 - protokol dodávky

Vlastnosti

ID článku: 321247 - Poslední aktualizace: 21. prosince 2005 - Revize: 3.5
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft SQL Server 2000 Standard Edition
  • Microsoft SQL Server 2000 64-bit Edition
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Developer Edition
  • Microsoft SQL Server 2005 Enterprise Edition
  • Microsoft SQL Server 2005 Workgroup Edition
Klíčová slova: 
kbmt kbhowtomaster KB321247 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:321247

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com