出荷ログ サーバーの SQL のセキュリティを構成する方法

文書翻訳 文書翻訳
文書番号: 321247
すべて展開する | すべて折りたたむ

目次

概要

ログ配布のセキュリティを構成する方法に関する情報を紹介します。SQL Server ログの SQL サーバーでトランザクション ログのバックアップの場所がネットワーク共有のアクセス許可を共有するのには、起動時のアカウントからの範囲を配布のセキュリティを構成する際に考慮すべき問題がいくつかあります。この資料ではこれらの問題を説明します。

ログ配布サーバーの SQL Server と SQL Server のエージェント サービスの起動アカウント

ドメイン アカウント

SQL Server ドメインに配置する場合は、SQL Server サービスを開始するのには、ドメイン アカウントを使用することをお勧めします。SQL 仮想サーバー] で、Windows クラスタ リングを実行するサーバーを構成する場合は、ドメイン アカウントを使用する必要があります。ドメイン アカウントのパスワードの変更を最小限のメンテナンスを提供します。ただし、SQL Server がワークグループに存在するサーバー上に存在する場合は、ドメイン アカウントで SQL を開始できない場合があります。

ローカルのネットワーク ・ アカウント

ネットワークがローカルに作成されたアカウントを使って開始するのには、SQL Server を使用できます。場合は、SQL ログ配布に使用するサーバーを構成している場合は、SQL Server の処理に必要なネットワーク アクセスがある場合ネットワーク パススルー セキュリティを使用することができます。パススルー セキュリティでは、SQL Server でアクセスするすべてのコンピューターが同じネットワーク アカウントと同じパスワードと適切なアクセス許可をローカルで構成が必要です。リソースを別のコンピューターから、SQL Server プロセスを要求すると、(の SQL Server のサービスを要求する起動アカウントと同じアカウントで同じパスワードが存在する場合はさらに、従来のネットワークのセキュリティは省略されます。2 台目のコンピューター上のアカウント長い SQL Server を呼び出すことにより、要求されたタスクを実行するのに十分なアクセス許可を構成する場合、タスクは成功になります。

ローカル システム アカウント

SQL がローカル システム アカウントで起動するサーバーを構成することもできます。LocalSystem アカウントのパスワードを変更するは、システム安定性を確保するための不可欠な一部のサービスの障害によりがあります。このアカウントは、SQL Server サービスを使用して、セキュリティ コンテキストがローカルであることを意味が存在する場合は、コンピューターに対してローカルです。別のコンピューターで LocalSystem アカウントのパスワードが異なるため、LocalSystem アカウントで SQL Server を起動すると、ローカルのネットワーク アカウントに記載したとおり、ネットワーク パススルー セキュリティを使用できません。ネットワーク リソースへのアクセスが必要な場合は、SQL Server のこのアカウントで起動タスクを正常に完了するには、可能性が高くなります。

ネットワークが正常に起動し、SQL Server と SQL Server のエージェント サービスを実行するアカウントの最小限必要な権限の詳細については、次のトピックでは、SQL Server オンライン ブックを参照してください。
Windows サービス アカウントの設定

SQL Server のセキュリティ モデルをについてください。

セキュリティへの影響を完全に理解するには、Microsoft SQL Server 2000 での実装、セキュリティ ・ モデルを理解しておくことが重要です。ログインを作成するときに、syslogins テーブルに追加されます、 マスター データベースです。この新しく追加したログインへのアクセスが提供されるデータベースごとに、そのデータベースの sysusers テーブル追加されます。Syslogins テーブル sysusers テーブルの間のマッピングは、SID] フィールドです。

ユーザー データベースを別のサーバーに移動すると、SID 値は、以前のサーバーから引き継がれます。2 台目のサーバー上のログインと同じ SID 値は作成されませんまたは、SID 値の不一致のためにセキュリティが正しく構成されている場合は、データベースのセキュリティを分割します。

詳細については、「サポート技術情報」資料を参照するには、次の文書番号をクリックしてください。
240872 INF: データベースを移動すると、アクセス許可の問題を解決する方法

ログ配布の構成

セキュリティ要件

バックアップ ・共有

読み取り/変更のアクセス許可をどの SQL Server で (ログ配布用に構成されているセカンダリ サーバー) 上のサービスを起動するアカウントには、トランザクション ログのバックアップを保持するように構成したネットワーク共有を構成します。

トランザクション ログのバックアップを保持するように構成したネットワーク共有する必要があります設定、SQL Server の下で、ログ配布用に構成するセカンダリ ・ サーバ上のサービスを起動するアカウントに読み取り/変更の権限を持っています。この共有にアクセスするには、トランザクション ログのバックアップをそれぞれセカンダリ サーバー上のローカル フォルダーにコピーするのには、セカンダリ サーバーでコピー ジョブ。読み込みジョブをローカルのフォルダーから、これらのバックアップを読み込みます。

ログ配布のドメインを通過します。

SQL Server を実行しているコンピューターをマルチ ドメイン環境に配置する場合は、ログ配布に関連するすべてのドメイン間の双方向の信頼関係をセットアップすることをお勧め。ただし、ドメイン間の信頼関係を確立できない場合、ログ配布のネットワーク パススルー セキュリティを使用できます。LocalSystem ネットワーク アカウントのスタートアップの種類 SQL Server に関連するサービスを説明するこの資料のセクションを参照してください。

監視サーバーに接続する認証モードを選択します。

[Windows 認証] または [SQL の認証 (プライマリおよびセカンダリ サーバーによって) 監視サーバーに接続し、モニター テーブルを更新する設定できます。これはログ配布のセットアップまたは設定中に、ログ配布を設定するいるし、機能して選択できます。既定では、SQL Server の Windows 認証を使用します。ただし、SQL 認証 SQL の新規ログイン] を選択した場合 log_shipping_monitor_probe いずれかが存在しない場合は、プライマリ、セカンダリ、および監視サーバーが作成されます。この目的のための SQL 認証を選択した場合、SQL を使用してサーバーを構成する、 SQL と Windows 認証 オプションです。

スタンバイ データベースのセカンダリ サーバー上のセキュリティの構成

セカンダリ データベースをスタンバイ モードに設定する場合は、このデータベースが読み取り専用の状態にアクセスできます。このモードでセカンダリ データベースを復元することによって、これがそれによって作業、本番システムからの負荷を軽減、オフラインのレポートを実行する手段を提供できます。ただし、読み取り専用の機能をサポートするスタンバイ データベースは、セカンダリ サーバーで同じセキュリティ設定を適用する必要があります。データベースをスタンバイ状態にあるため、セキュリティの構成のためにも変更をことはできません。この例では、SQL Server のすべてのログインと同じ SID 値がセカンダリ ・ サーバ上で作成する必要があります。Windows の GUID も複数のドメインを使用する場合、グローバルに一意なため Windows ログインと同じ Sid を自動的に保持します。

別のサーバーに同じ SID を SQL ログインを作成する方法の詳細については、Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
303722SQL ログインするには、スタンバイ ・ データベースとの"guest"ユーザーが無効なアクセスを許可するには、方法

ロール変更を実行する場合のセキュリティの構成

ログ配布のロール変更手順はセカンダリ サーバーをプライマリとして引き継ぐに昇格する必要があります。これは、プライマリ ・ サーバをオンライン状態にかかわらず実行できます。ロール変更の一環として、実行されるストアド ・ プロシージャを 4 つまであります。これらのストアド プロシージャの 1 つ、 サーバーに同じ、だけで、プライマリ データベースとして使用されています前に、スタンバイ データベースに存在するログインの SID 値を修正することができます。

このストアド ・ プロシージャの一部として、以前のプライマリ サーバーから syslogins テーブルの .bcp ファイルを一時的なテーブルに読み込まれます。このテンポラリ ・ テーブル内にある各ログインするには、syslogins テーブルに比較、 マスター セカンダリ サーバーとセカンダリ データベースの sysusers テーブルのデータベースです。ログインと同じ名前の syslogins テーブルとセカンダリ データベースの sysusers テーブルにある同じ SID を持つ一時テーブルでの各ログインの SID (セカンダリ データベース) を使用して修正します。 sp_change_users_login syslogins テーブルに一致するように。

このストアド プロシージャを使用して、セキュリティの構成は、以下が必要です。
  • SQL ログインは、すでにセカンダリ ・ サーバで作成しなければなりません。これを行うには、転送するログイン DTS タスクを使用して (、SQL Server Books Online のトピックで説明して「を設定してログ配布ロール変更を実行する方法」
  • プライマリ サーバーから syslogins テーブルの .bcp ファイルを指定してください。古いファイルになる可能性がありますのでこのファイルが現在でなければなりません サーバーに同じ ログインを解決できなかった。
前に次の 3 つの条件を満たす必要があります。 サーバーに同じ 実際には、ログインはセカンダリ データベースに修正できます。
  1. .Bcp ファイルの syslogins テーブルからログインの名前で、プライマリ サーバーから syslogins テーブルの名前が一致しなければなりません。
  2. SID 値間ログイン .bcp ファイル、セカンダリ データベースの sysusers テーブルと一致する必要があります。
  3. SID 値がセカンダリ データベースから異なる SID 値には、syslogins テーブルにある必要があります、 マスター セカンダリ ・ サーバ上のデータベース。
Q303722 で説明されている SQL Server のログインを作成する場合は、すべてのログインが既にいるので (syslogins テーブルと同じ SID の値がこのストアド プロシージャを実行する必要はありません。 マスター セカンダリ ・ サーバ上のデータベース) と、セカンダリ データベースで sysusers テーブル。

よく寄せられるを質問

質問: ログ配布セカンダリ ・ サーバのセキュリティ関連の変更が自動的に伝達はでしょうか。

応答-はい。システム テーブルに対するすべての変更をログに記録された操作であるため、これらをセカンダリ サーバー (またはサーバー) に自動的に反映されます。

質問: セカンダリ サーバーで同じ SID を持つ 2 つのログインを持つことができますでしょうか。SQL Server と同じコンピューター複数のサーバーからの複数のスタンバイ データベースを維持するために使用しているのでこの必要

応答。 いいえSQL Server セキュリティ モデルでは、2 種類のログインと同じ SID を持つは許可されていません。競合がある場合は、SID にログ配布を複数のサーバーを使用中に、この問題を解決する唯一の方法は、プライマリ サーバーで、競合しているログインを削除するのにはされてし、セカンダリ ・ サーバ上に存在しない SID を作成します。
ログ配布ロールの変更の詳細については、「サポート技術情報」資料を参照するには、次の文書番号をクリックしてください。
314515 INF: 質問・ SQL Server 2000年のログ配布 (Faq)

プロパティ

文書番号: 321247 - 最終更新日: 2011年7月27日 - リビジョン: 7.0
キーワード:?
kbhowtomaster kbmt KB321247 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:321247
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com