Способ настройки безопасности для SQL Server доставка журналов

Переводы статьи Переводы статьи
Код статьи: 321247 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

Эта статья содержит сведения о настройке безопасности для доставки журналов. Существует несколько проблем, которые необходимо учитывать при настройке безопасности для SQL Server доставки журналов, начиная с стартовую учетную запись для SQL Server, соответствующие разрешения для доступа к сети, где хранятся резервные копии журналов транзакций. Эти проблемы описаны в этой статье.

Стартовая учетная запись службы агента SQL Server и SQL Server на серверы доставки журналов

Учетная запись домена

Если SQL Server установлен в домене, корпорация Майкрософт рекомендует использовать учетную запись домена для запуска служб SQL Server. Если вы собираетесь настроить SQL Server для выполнения как виртуальный сервер в группе кластеров Windows необходимо использовать учетную запись домена. Учетная запись домена предоставляет преимущество минимальное обслуживание, в случае возникновения изменений пароля. Тем не менее может отсутствовать возможность запустить SQL под учетной записью домена, если SQL Server работает на сервере, который является членом рабочей группы.

Учетная запись локальной сети

SQL Server можно использовать для запуска под учетной записью локально созданные сети. В ситуации, где есть доступ к сети, необходимые для процесса SQL Server, которая происходит, если настройки SQL Server на использование доставки журналов, можно использовать сетевой безопасности к серверу. Сквозной безопасности всех компьютеров, которые будут осуществляться SQL Server должен иметь одну и ту же учетную запись сетевой пароль и соответствующие разрешения, настроенные локально. Кроме того когда процесс SQL Server запрашивает ресурсы из второй компьютер, традиционные сетевой безопасности пропускается, если же (под которой запущена служба запрашивающего SQL Server) существует учетная запись с тем же паролем. Как долго учетной записи на другом компьютере настроен недостаточно разрешений для выполнения задач, запрошенный путем вызова SQL Server, задача будет выполнена успешно.

Локальная системная учетная запись.

Можно также настроить SQL Server для запуска под учетной записью локальной системы. Изменение пароля для учетной записи «Локальный компьютер» может привести к сбою некоторых служб, которые важны для стабильности системы. Эта учетная запись является локальной для компьютера, где он находится, что означает, что контекст безопасности, который используется службами SQL Server локального. Как указано в разделе учетная запись локальной сети, нельзя использовать сквозной безопасности сети при запуске SQL Server под учетной записью LocalSystem, поскольку пароли для учетной записи LocalSystem на разных компьютерах могут отличаться. Запуск SQL Server под этой учетной записью, когда необходим доступ к ресурсам сети скорее всего приведет к неудачного завершения задачи.

Сведения о минимальных прав, необходимых для сетевой учетной записи для успешного запуска и работы служб SQL Server и агент SQL Server просмотрите следующий раздел в электронной документации по SQL Server:
Настройка учетных записей служб Windows

Общие сведения о модели безопасности SQL Server

Полностью понимать последствия для безопасности, важно понять модель безопасности, реализованные Microsoft SQL Server 2000. При создании имени входа добавляется к таблице syslogins в ОБРАЗЕЦ База данных. Для каждой из баз данных, это имя входа новых предоставляется доступ к добавляется к таблице sysusers в этой базе данных. Сопоставление syslogins таблицы и таблицы sysusers находится в поле Идентификатор безопасности.

Если пользовательская база данных перемещается на другой сервер, значения SID, переносятся из предыдущего сервера. Безопасность базы данных либо разрыв имена входа на втором сервере не создаются с теми же значениями SID или неправильно настроена безопасность из-за несоответствие значения SID.

Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
240872 INF: Способы устранения проблем с разрешениями, при перемещении базы данных

Конфигурация доставки журналов

Требования К безопасности

Ресурс резервных копий

Настройте общий сетевой ресурс, который настроен для хранения резервных копий журналов транзакций, чтобы иметь разрешения на чтение и изменение учетной записи, под которой SQL Server при запуске служб (на сервере-получателе, который настроен для доставки журналов).

Общий сетевой ресурс, который настроен для хранения резервных копий журналов транзакций, должен иметь разрешения на чтение и изменение учетной записи, под которой SQL Server при запуске службы сервера-получателя для доставки журналов. Задание копирования на сервере-получателе для копирования резервных копий журналов транзакций в локальной папке на сервере-получателе, соответствующих доступ к этому общему ресурсу. Задание загрузки, затем загружает эти резервные копии из локальной папки.

CROSS домена доставки журналов

Компьютеры под управлением SQL Server, помещаются в многодоменной среде, корпорация Майкрософт рекомендует настроить двусторонние доверительные отношения между всеми доменами, задействованные в доставке журналов. Тем не менее если не удается установить доверительные отношения между доменами, сквозной безопасности сети можно использовать для доставки журналов. Обратитесь к разделу данной статьи, посвященной варианта загрузки LocalSystem сетевой учетной записи для службы, связанные с SQL Server.

Выбор режима проверки подлинности для подключения к серверу мониторинга

Проверка подлинности Windows или проверка подлинности SQL (с помощью основного и дополнительного серверов) можно выбрать для подключения к серверу мониторинга и для обновления таблиц мониторинга. Можно выбрать либо во время настройки доставки журналов или после настройки доставки журналов и функциональность. По умолчанию SQL Server использует проверку подлинности Windows; Тем не менее если выбрана проверка подлинности SQL, новое имя входа SQL log_shipping_monitor_probe создается на первичный, вторичный и наблюдение за серверами, если не существует. Если выбрана проверка подлинности SQL для этой цели, настроить SQL Server для использования Проверка подлинности Windows и SQL параметр.

Настройка безопасности на сервере-получателе для баз данных в режиме ожидания

Настройте базу данных-получатель в режиме ожидания, можно получить доступ к этой базы данных в состояние только для чтения. При восстановлении базы данных-получателя в этом режиме, это может обеспечить средств для выполнения автономных отчетов, тем самым разгрузки объем работы в рабочей системе. Однако для резервной базы данных, поддерживающие функциональные возможности, доступные только для чтения, может потребоваться установить одинаковые параметры безопасности на сервере-получателе. Поскольку база данных находится в состоянии ожидания, нельзя даже делать каких-либо изменений в целях настройки безопасности. В этом случае необходимо создать все имена входа SQL Server имеют те же значения SID на сервере-получателе. Логины Windows автоматически сохранять одинаковые идентификаторы безопасности, потому что даже при использовании нескольких доменов, глобальный уникальный идентификатор GUID Windows.

Для получения дополнительных сведений о том, как создать имена входа SQL с одинаковыми SID на разных серверах щелкните следующий номер статьи базы знаний Майкрософт:
303722Как предоставить доступ к именам входа SQL в ждущем режиме базы данных при «Гость» пользователь будет отключен

Настройка безопасности при выполнении изменения роли

Процедура смены ролей для доставки журналов включает в себя повышение роли сервера-получателя для захвата контроля над главным. Для этого с помощью или без основной сервер, находящийся в оперативном режиме. В процессе изменения роли существуют четыре хранимых процедур. Один из этих хранимых процедур sp_resolve_logins, помогает исправить значения SID для имен входа, которые находятся в резервной базы данных, просто, прежде чем он станет доступен для использования в качестве основной базы данных.

В рамках этой хранимой процедуры BCP-файла таблицы syslogins из бывший основной сервер загружен во временную таблицу. Каждое имя входа, которое присутствует в этой временной таблицы затем сравнивается с в таблице syslogins ОБРАЗЕЦ База данных сервера-получателя и таблице sysusers базы данных-получателя. Для каждого имени входа во временной таблице, имеющей учетные данные входа с тем же именем в таблице syslogins и ИД безопасности, которое в таблице sysusers базу данных-получатель SID исправлена (в базу данных-получатель) с помощью sp_change_users_login в соответствии с той, которая находится в таблице syslogins.

Настройки безопасности с помощью этой хранимой процедуры необходимо следующее:
  • Имена входа SQL, уже был создан на сервере-получателе. Для этого использовать задачу «передача имен входа служб DTS» (которая рассматривается в раздел электронной документации по SQL Server, «Как настроить и выполнить изменение роли доставки журнала».
  • Необходимо предоставить BCP-файла в таблице syslogins с основного сервера. Этот файл должен быть текущим, потому что устаревший файл может привести к sp_resolve_logins сбой исправить имена входа.
Необходимо соблюдать следующие три условия, прежде чем sp_resolve_logins Фактически можно исправить имена входа в базу данных-получатель:
  1. Имя входа из BCP-файл в таблице syslogins должно соответствовать имени в таблице syslogins с основного сервера.
  2. Значение SID должно соответствовать между именем входа BCP-файл и таблицы sysusers в базу данных-получатель
  3. Значение SID из базы данных-получателя должен отличаться от значения в таблице syslogins в SID ОБРАЗЕЦ База данных на сервере-получателе.
При создании имен входа SQL Server, как описано в Q303722, он не имеет для запуска данной хранимой процедуры, потому что все имена входа будут присутствовать с ИД безопасности (в таблице syslogins ОБРАЗЕЦ База данных на сервере-получателе) и таблицы sysusers (в базе данных-получателе).

Вопросы И ответы

Вопрос: Доставки журналов распространить изменения на сервер-получатель автоматически?

Ответ: Да. Так как все изменения в системных таблицах журнала операций, они распространяются через дополнительный сервер (или серверы) автоматически.

Вопрос: С помощью двух имен входа на сервере-получателе с ИД безопасности? Мне это потому, что я использую же компьютер SQL Server для поддержки нескольких резервных баз данных с нескольких серверов.

Ответ: Но. Модель безопасности SQL Server не допускает наличие двух имен входа с ИД безопасности. При возникновении конфликта на SID при использовании доставки журналов с несколькими серверами, единственный способ исправить это является конфликт имени входа на сервере-источнике, а затем создать его с SID, который не существует на сервере-получателе.
Для получения дополнительных сведений о Изменение роли доставки журнала щелкните следующий номер статьи базы знаний Майкрософт:
314515 INF: Часто задаваемые вопросы - SQL Server 2000 - доставки журналов

Свойства

Код статьи: 321247 - Последний отзыв: 15 июня 2011 г. - Revision: 11.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft SQL Server 2000 Standard Edition
  • Microsoft SQL Server 2000 64-bit Edition
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Developer Edition
  • Microsoft SQL Server 2005 Enterprise Edition
  • Microsoft SQL Server 2005 Workgroup Edition
Ключевые слова: 
kbhowtomaster kbmt KB321247 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:321247

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com