Anleitungen zum Konfigurieren der Sicherheit für SQL Server Protokollversand

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 321247 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Dieser Artikel enthält Informationen zum Konfigurieren der Sicherheit für den Protokollversand. Es sind mehrere Probleme berücksichtigen Sie beim Konfigurieren Sie Sicherheit für SQL Server Protokollversand Bereichs aus dem Startkonto für SQL Server zum Berechtigungen für die Netzwerkfreigabe freigeben, wo sich die Transaktionsprotokollsicherungen befinden. Diese Probleme werden in diesem Artikel beschrieben.

Start-Dienstkonto für SQLServer und SQL Server-Agent Services auf Server für den Protokollversand

Domäne Konto

Falls Sie SQL Server in einer Domäne gesetzt haben, empfiehlt es sich, dass Sie ein Domänenkonto, verwenden um SQL Server-Dienste zu starten. Sie müssen ein Domänenkonto verwenden, wenn Sie beabsichtigen, SQL Server als virtueller Server unter Windows Clustering ausgeführt konfigurieren. Ein Domänenkonto bietet den Vorteil der minimalen Wartung im Fall von Kennwortänderungen. Allerdings Sie möglicherweise nicht SQL unter einem Domänenkonto starten, wenn SQL Server auf einem Server befindet, die in einer Arbeitsgruppe ist.

Lokales Netzwerk-Konto

SQL Server können Sie unter einem Netzwerkkonto lokal erstellt starten. In der Situation wobei Netzwerkzugriff benötigt ein SQL Server-Prozess, das der Fall, ist Wenn Sie SQL Server mit Protokollversand, konfiguriert haben, können Sie Pass-Through-Netzwerksicherheit. Pass-Through-Sicherheit müssen auf allen Computern, auf die von SQL Server zugegriffen wird das gleiche Netzwerk-Konto mit dem gleichen Kennwort und entsprechenden Berechtigungen, die lokal konfiguriert sein. Wenn SQL Server-Prozesses Ressourcen aus dem zweiten Computer anfordert, wird außerdem herkömmliche Netzwerksicherheit umgangen, wenn das gleiche Konto (unter dem der anfordernden SQL Serverdienst gestartet ist) mit demselben Kennwort vorhanden ist. Wie lange das Konto auf dem zweiten Computer konfiguriert ist, mit genügend Berechtigung zum Ausführen der Aufgabe, die durch Aufrufen von SQL Server angefordert wird, wird der Vorgang erfolgreich sein.

Lokales Systemkonto

Sie können auch SQL Server, unter dem lokalen Systemkonto gestartet konfigurieren. Ändern das Kennwort für das Konto LocalSystem kann der Ausfall einige Dienste führen, die für die Systemstabilität wichtig sind. Dieses Konto ist lokal auf dem Computer, wobei es sich befindet, d. h., der Sicherheitskontext, der SQL Server-Dienste verwendet lokale. Wie im Abschnitt lokale Netzwerk-Kontos erwähnt, können Sie Pass-Through-Netzwerksicherheit nicht verwenden, wenn Sie SQL Server unter dem lokalen Systemkonto, starten da die Kennwörter für das Konto LocalSystem auf verschiedenen Computern unterschiedlich sind. Das Starten von SQL Server unter diesem Konto, wenn der Zugriff auf Netzwerkressourcen erforderlich ist wahrscheinlich führt nicht erfolgreichen Abschluss der Aufgaben.

Weitere Informationen über die minimal erforderlichen Rechte für ein Netzwerkkonto erfolgreich starten und SQL Server und SQL Server Agent-Dienste ausführen finden Sie im folgende Thema in SQL Server-Onlinedokumentation:
Setting up Windows Service Accounts

Grundlegendes zu SQL Server-Sicherheitsmodell

Um die Auswirkungen auf die Sicherheit vollständig zu verstehen, ist es wichtig das Sicherheitsmodell verstehen, das Microsoft in SQL Server 2000 implementiert. Wenn Sie einen Benutzernamen erstellen, wird der Syslogins-Tabelle in der MASTER -Datenbank hinzugefügt. Für jede Datenbank, die dieser Anmeldung neu hinzugefügte Zugriff auf bereitgestellt wird, wird es der Sysusers-Tabelle der Datenbank hinzugefügt. Die Zuordnung zwischen Syslogins-Tabelle und der Sysusers-Tabelle befindet sich auf das Feld SID.

Wenn eine Benutzerdatenbank auf einem anderen Server verschoben wird, werden die SID-Werte vom vorherigen Server übernommen. Entweder die Datenbanksicherheit wird unterbrochen, wenn Benutzernamen auf dem zweiten Server mit der gleichen SID-Werte nicht erstellt werden oder wenn die Sicherheit nicht ordnungsgemäß konfiguriert ist, aufgrund von nicht übereinstimmende SID-Werte.

Weitere Informationen finden Sie die Artikel der Microsoft Knowledge Base:
240872Info: How to Zugriffsproblemen, wenn eine Datenbank verschoben wird

Konfiguration der Protokollversand

Sicherheitsanforderungen

Sicherung freigeben

Konfigurieren Sie die Netzwerkfreigabe, auf dem halten Sicherungen des Transaktionsprotokolls, Read/change Berechtigungen für das Konto unter dem SQL Server-Dienste (auf dem sekundären Server, der für den Protokollversand konfiguriert ist) gestartet werden.

Die Netzwerkfreigabe, die für Sicherungen des Transaktionsprotokolls halten konfiguriert ist sollte konfiguriert werden, damit Read/change Berechtigungen für das Konto unter dem SQL Server Dienste auf dem sekundären Server für log-shipping, konfiguriert gestartet werden. Diese Freigabe erfolgt durch die Auftrag kopieren, auf dem sekundären Server Sicherungen des Transaktionsprotokolls in den lokalen Ordner auf dem entsprechenden sekundären Server zu kopieren. Laden Auftrag lädt diese Sicherungen dann aus dem lokalen Ordner.

Cross-Domain-Protokollversand

Wenn Computer mit SQL Server in einer Umgebung platziert sind, empfiehlt Microsoft, dass Sie bidirektionale Vertrauensstellungen zwischen allen Domänen einrichten, die im Protokollversand beteiligt sind. Wenn Sie Vertrauensstellungen zwischen Domänen herstellen können, können Sie jedoch Pass-Through-Netzwerksicherheit für den Protokollversand verwenden. Finden Sie im Abschnitt dieses Artikels, die die Startoption LocalSystem Netzwerk-Konto für SQL Server-bezogene Dienste erläutert.

Authentifizierungsmodus Verbindung auf Monitor Server auswählen

Sie können entweder die Windows-Authentifizierung oder SQL-Authentifizierung (vom primären und sekundären Server) Verbindung zum Überwachungsserver und die Monitor-Tabellen aktualisieren auswählen. Sie können diese auswählen entweder während der Einstellung Einrichten des Protokollversands oder nachdem Sie Protokollversand eingerichtet haben und es funktionsfähig ist. Standardmäßig wird SQL Server verwendet Windows-Authentifizierung; jedoch Wenn Sie SQL-Authentifizierung auswählen, auf der primären, sekundären wird eine neue SQL-Benutzernamen Log_shipping_monitor_probe erstellt, und Überwachen von Servern sofern nicht vorhanden. Bei Auswahl von SQL-Authentifizierung für diesen Zweck konfigurieren Sie SQL Server Option für die SQL- und Windows-Authentifizierung verwenden.

Sicherheitskonfiguration für sekundäre Server für den Standby-Datenbanken

Wenn Sie die sekundäre Datenbank im Standbymodus konfigurieren, können Sie diese Datenbank im schreibgeschützten Zustand zugreifen. In diesem Modus die sekundäre Datenbank wiederherstellen, kann diese ein Mittel, um offline Berichte, Verschiebung und somit Teil der Arbeit vom Produktionssystem bereitstellen. Allerdings möglicherweise für die standby Datenbank um nur-Lese-Funktionalität zu unterstützen, müssen Sie die gleichen Sicherheitseinstellungen auf sekundären Server anwenden. Da die Datenbank im Standbymodus befindet, können Sie keine sogar Änderungen für die Zwecke Konfigurieren von Sicherheitseinstellungen vornehmen. In diesem Fall müssen Sie alle SQL Server-Benutzernamen mit den gleichen SID-Werten auf dem sekundären Server zu erstellen. Windows Anmeldungen behalten automatisch die gleichen SIDs, da die Windows-GUID global eindeutig, ist auch wenn mehrere Domänen verwendet.

Weitere Informationen zum Erstellen von SQL-Anmeldungen mit der gleichen SID auf verschiedenen Servern finden Sie die folgende KB-Artikelnummer:
303722So erteilen Access zu SQL-Anmeldungen auf einem Standby Datenbank beim "Gast" Benutzer ist deaktiviert

Sicherheitskonfiguration beim Ausführen der Rollenänderung

Die Rollenänderung Prozedur für Protokollversand umfasst das Heraufstufen eines sekundären Servers zu übernehmen als primäres. Dies ist mit oder ohne den primären Server werden online möglich. Als Teil der Rollenänderung stehen Ihnen bis zu vier gespeicherte Prozeduren, die ausgeführt werden. Eine dieser gespeicherten Prozeduren Sp_resolve_logins hilft, Korrigieren der SID-Werte für Benutzernamen, die in den Standbymodus Datenbank befinden, genau, bevor Sie für die Verwendung als primäre Datenbank verfügbar gemacht wird.

Als Teil dieser gespeicherten Prozedur ist eine bcp-Datei der Syslogins-Tabelle der ehemaligen primären Servers in eine temporäre Tabelle geladen. Jede Anmeldung, die in dieser temporären Tabelle vorhanden ist, wird dann der Syslogins-Tabelle in der MASTER -Datenbank des sekundären Servers zu der Tabelle Sysusers der sekundären Datenbank verglichen. Für jeden Benutzernamen in der temporären Tabelle, die über ein Login mit demselben Namen in der Syslogins-Tabelle und die gleiche SID wie die in der Sysusers-Tabelle der sekundären Datenbank verfügt, wird die SID (in der sekundären Datenbank) korrigiert, mithilfe von Sp_change_users_login der übereinstimmen, die in der Syslogins-Tabelle ist.

Sicherheitskonfiguration mithilfe dieser gespeicherten Prozedur ist Folgendes erforderlich:
  • SQL-Anmeldungen müssen bereits auf dem sekundären Server erstellt werden. Verwenden Sie übertragen Benutzernamen DTS-Task, um so durchzuführen (die in SQL Server-Onlinedokumentation, erläutert wird "How to einrichten und Protokollversand-Rollenänderung durchführen.
  • Sie müssen eine bcp-Datei der Syslogins-Tabelle vom primären Server zur Verfügung stellen. Diese Datei muss aktuelle sein, da eine veraltete Datei Sp_resolve_logins beheben, die Anmeldungen fehlschlagen führen kann.
Sie müssen die folgenden drei Bedingungen erfüllt sein, bevor Sp_resolve_logins tatsächlich die Benutzernamen in der sekundären Datenbank beheben können:
  1. Der Name der Anmeldung aus der bcp-Datei der Syslogins-Tabelle muss den Namen in der Syslogins-Tabelle vom primären Server übereinstimmen.
  2. Der SID Wert muss zwischen der Anmeldung die bcp-Datei und der Sysusers-Tabelle in der sekundären Datenbank entsprechen
  3. Der SID-Wert aus der sekundären Datenbank muss nach der SID-Wert in der Syslogins-Tabelle in der MASTER -Datenbank auf dem sekundären Server unterscheiden.
Wenn Sie SQLServer-Benutzernamen, erstellen wie in Q303722 beschrieben, hat er keinen zum Ausführen dieser gespeicherten Prozedur, da alle Benutzernamen bereits mit der gleichen SID-Wert in der Syslogins-Tabelle (in MASTER -Datenbank auf dem sekundären Server) und der Sysusers-Tabelle (in der sekundären Datenbank) vorhanden sind.

Häufig gestellte Fragen

Frage : kann Protokollversand weitergeben sicherheitsbezogene Änderungen an einem sekundären Server automatisch?

Antwort : Ja. Da alle Änderungen an den Systemtabellen protokollierte Vorgänge sind, werden diese durch den sekundären Server (oder Server) automatisch übermittelt.

Frage : können Sie haben zwei Anmeldungen auf dem sekundären Server mit der gleichen SID? Ich brauche diese da ich dieselben SQL Server-Computer verwenden, bin um mehrere standby Datenbanken von mehreren Servern zu verwalten.

Antwort : Nein SQL Server-Sicherheitsmodell lässt nicht zu zwei Anmeldungen mit der gleichen SID haben. Liegt ein Konflikt auf SID beim Protokollversand mit mehreren Servern verwenden, die einzige Möglichkeit zum Beheben dieses Fehlers besteht, die in Konflikt stehende Anmeldung auf dem primären Server zu löschen und es mit einer SID zu erstellen, die nicht auf dem sekundären Server vorhanden ist.
Weitere Informationen zu Protokollversand-Rollenänderung finden folgendem Artikel der Microsoft Knowledge Base:
314515INF: Häufig gestellte Fragen - SQL Server 2000 - Protokollversand

Eigenschaften

Artikel-ID: 321247 - Geändert am: Mittwoch, 21. Dezember 2005 - Version: 3.5
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft SQL Server 2000 Standard Edition
  • Microsoft SQL Server 2000 64-Bit Edition
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Developer Edition
  • Microsoft SQL Server 2005 Enterprise Edition
  • Microsoft SQL Server 2005 Workgroup Edition
Keywords: 
kbmt kbhowtomaster KB321247 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 321247
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com