วิธีการกำหนดค่าการรักษาความปลอดภัยสำหรับ SQL Server ล็อกจัดส่ง

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 321247 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

บทความนี้แสดงข้อมูลเกี่ยวกับวิธีการกำหนดค่าการรักษาความปลอดภัยสำหรับการบันทึกการจัดส่ง มีการตัดสินค้าจากคลังหลายควรพิจารณาเมื่อคุณกำลังกำหนดค่าการรักษาความปลอดภัยสำหรับการล็อก SQL Server ที่ช่วงนั้นในการจัดส่งสินค้าจากบัญชีเริ่มต้นสำหรับเซิร์ฟเวอร์ SQL ที่ใช้ร่วมกันสำหรับเครือข่ายใช้ร่วมกันซึ่งอยู่ที่การสำรองข้อมูลล็อกธุรกรรม ปัญหาเหล่านี้จะอธิบายไว้ในบทความนี้

บัญชีเริ่มต้นสำหรับ SQL Server และการบริการบริษัทตัวแทนของ SQL Server ในแฟ้มบันทึกที่เซิร์ฟเวอร์การจัดส่ง

บัญชีโดเมน

ถ้าคุณได้จัดวาง SQL Server ในโดเมน Microsoft แนะนำให้ คุณใช้บัญชีโดเมนเริ่มการทำงานของบริการ SQL Server คุณต้องใช้บัญชีโดเมนถ้าคุณกำลังกำหนดค่าเซิร์ฟเวอร์ SQL ที่เรียกใช้เป็นเซิร์ฟเวอร์เสมือนภายใต้ Windows Clustering บัญชีโดเมนมีประโยชน์ของการบำรุงรักษาที่น้อยที่สุดในกรณีของการเปลี่ยนแปลงรหัสผ่าน อย่างไรก็ตาม คุณอาจไม่สามารถเริ่ม SQL ภายใต้บัญชีโดเมนถ้ามีการให้ SQL Server ที่อยู่บนเซิร์ฟเวอร์ที่อยู่ในเวิร์กกรุ๊ป

บัญชี เครือ ข่าย ท้อง ถิ่น

คุณ สามารถ ใช้ SQL Server เพื่อ เริ่ม การ ทำ งาน ภาย ใต้ บัญชี ผู้ ใช้ สร้าง ขึ้น ภาย ใน เครือ ข่าย ได้ ในกรณีที่เมื่อมีการเข้าถึงเครือข่ายที่ต้องการกระบวนการของ sql server ซึ่งเป็นกรณีนี้ถ้าคุณได้กำหนดค่า SQL Server ให้ใช้การบันทึกการจัดส่ง คุณสามารถใช้การรักษาความปลอดภัย pass-through เครือข่ายได้ มีความปลอดภัย pass-through เครื่องจักรทั้งหมดที่จะสามารถเข้าถึง โดย SQL Server ต้องมีบัญชีเครือข่ายเดียวกันกับรหัสผ่านเดียวกันและสิทธิ์ที่เหมาะสม การกำหนดค่าภายใน นอกจากนี้ เมื่อกระบวนการของ sql server ร้องขอทรัพยากรจากคอมพิวเตอร์เครื่องที่สอง ความปลอดภัยของเครือข่ายแบบมี bypassed ถ้าบัญชีผู้ใช้เดียวกัน (ภายใต้บริการ SQL Server ที่กำลังร้องขอจะเริ่มต้น) ที่มีอยู่ ด้วยรหัสผ่านเดียวกัน ตามที่มีการกำหนดค่าระยะเวลาบัญชีบนคอมพิวเตอร์เครื่องที่สอง มีสิทธิ์เพียงพอสำหรับการดำเนินงานที่ร้องขอ โดยการเรียกใช้ SQL Server งานจะเสร็จเรียบร้อยแล้ว

บัญชีระบบเฉพาะที่

นอกจากนี้คุณสามารถกำหนดค่า SQL Server เพื่อเริ่มการทำงานภายใต้บัญชี Local System การปรับเปลี่ยนรหัสผ่านสำหรับบัญชี LocalSystem อาจส่งผลในล้มเหลวของบริการบางอย่างที่สำคัญสำหรับความเสถียรของระบบ บัญชีผู้ใช้นี้อยู่ภายในเครื่องคอมพิวเตอร์ที่มันอยู่ ซึ่งหมายความ ว่า บริบทการรักษาความปลอดภัยที่ใช้บริการ SQL Server เฉพาะที่ ตามที่ระบุในส่วนบัญชีเครือข่ายท้องถิ่น คุณไม่สามารถใช้การรักษาความปลอดภัย pass-through เครือข่ายเมื่อคุณเริ่ม SQL Server ภายใต้บัญชี LocalSystem เนื่องจากรหัสผ่านสำหรับบัญชี LocalSystem บนคอมพิวเตอร์เครื่องอื่นแตกต่างกัน เริ่มต้นของ SQL Server ภายใต้บัญชีผู้ใช้นี้เมื่อจำเป็นต้องมีการเข้าถึงทรัพยากรของเครือข่ายจะเป็นไปได้มากที่สุดทำงานที่เสร็จสมบูรณ์ไม่สำเร็จ

สำหรับข้อมูลเกี่ยวกับสิทธิ์ที่จำเป็นต้องน้อยที่สุดสำหรับบัญชีเครือข่ายในการเริ่ม และรันบริการ SQL Server และ SQL Server Agent เสร็จเรียบร้อยแล้ว ดูหัวข้อต่อไปนี้ใน SQL Server หนังสือออนไลน์:
การตั้งค่าบัญชีบริการของ Windows

การทำความเข้าใจเกี่ยวกับรูปแบบการรักษาความปลอดภัยของ SQL Server

เพื่อให้เข้าใจเกี่ยวข้องด้านการรักษาความปลอดภัยอย่างสมบูรณ์ คุณจำเป็นเพื่อให้เข้าใจรูปแบบการรักษาความปลอดภัยที่ Microsoft นำมาใช้ใน SQL Server 2000 เมื่อคุณทำสร้างล็อกอิน ถูกเพิ่มเข้าไปยังตาราง syslogins ในนั้นวางแผนหลักdatabase. สำหรับฐานแต่ละข้อมูลที่ล็อกอินเพิ่มเข้าไปใหม่นี้จะทำให้เกิดการเรียกใช้การเข้าถึง จะถูกเพิ่มเข้าไปยังตาราง sysusers ในฐานข้อมูลนั้น แมประหว่างตาราง syslogins sysusers ตารางที่อยู่ในฟิลด์ SID

ถ้าฐานข้อมูลผู้ใช้ถูกย้ายไปยังเซิร์ฟเวอร์อื่น ค่า SID จะถูกนำไปจากเซิร์ฟเวอร์ก่อนหน้านี้ ความปลอดภัยอย่างใดอย่างหนึ่งฐานข้อมูลแบ่ง เมื่อไม่มีสร้างล็อกอินของเซิร์ฟเวอร์ที่สอง มีค่า SID เดียวกัน หรือ ถ้ามีการรักษาความปลอดภัยได้มีการกำหนดค่าไม่ถูกต้องเนื่องจากความ mismatching ค่า SID

สำหรับข้อมูลเพิ่มเติม โปรดคลิกหมายเลขบทความต่อไปนี้ เพื่อดูบทความในฐานความรู้ของ Microsoft::
240872INF: วิธีการที่แก้ไขปัญหาการอนุญาตเมื่อฐานข้อมูลถูกย้าย

การกำหนดค่าแฟ้มบันทึกการจัดส่ง

ข้อกำหนดด้านความปลอดภัย

สำรองข้อมูลที่ใช้ร่วมกัน

การกำหนดค่าการแชร์เครือข่ายที่มีการกำหนดค่าการเก็บธุรกรรมการสำรองข้อมูลแฟ้มบันทึกต้องมีสิทธิ์ในการอ่าน/การเปลี่ยนแปลงสำหรับบัญชีผู้ใช้ภายใต้ SQL Server ที่มีการเริ่มต้นบริการ (บนเซิร์ฟเวอร์รองที่มีการกำหนดค่าสำหรับการจัดส่งบันทึก)

ส่วนแบ่งของเครือข่ายที่มีการกำหนดค่าการสำรองข้อมูลล็อกธุรกรรม การจัดเก็บ ควรมีการกำหนดค่าเพื่อให้การอ่าน/การเปลี่ยนแปลงสิทธิ์สำหรับบัญชีผู้ใช้ภายใต้ SQL Server ที่มีการเริ่มต้นบริการ บนเซิร์ฟเวอร์รองรับการกำหนดค่าสำหรับการจัดส่งบันทึก ใช้ร่วมกันนี้มีการเข้าถึงงานคัดลอกที่อยู่บนเซิร์ฟเวอร์รองเพื่อคัดลอกการสำรองข้อมูลการล็อกธุรกรรมไปยังโฟลเดอร์ภายในเครื่องบนเซิร์ฟเวอร์รองที่เกี่ยวข้อง งานโหลดแล้วโหลดข้อมูลสำรองเหล่านี้จากโฟลเดอร์ที่เฉพาะ

ไขว้การจัดส่งบันทึกโดเมน

หากคอมพิวเตอร์ที่รัน SQL Server จะวางไว้ในสภาพแวดล้อมแบบ multi-domain, Microsoft แนะนำว่า คุณได้ตั้งค่า trusts แบบสองทิศทางระหว่างโดเมนทั้งหมดที่เกี่ยวข้องในการบันทึกการจัดส่ง อย่างไรก็ตาม ถ้าคุณไม่สามารถสร้าง trusts ระหว่างโดเมน คุณสามารถใช้การรักษาความปลอดภัย pass-through เครือข่ายสำหรับการบันทึกการจัดส่ง ให้อ้างอิงไปยังส่วนของบทความนี้กล่าวถึง LocalSystem เครือข่ายบัญชีเริ่มต้นตัวสำหรับการบริการที่เกี่ยวข้องกับ SQL Server

เลือกโหมดการพิสูจน์ตัวจริงของการเชื่อมต่อไปยังเซิร์ฟเวอร์การตรวจสอบ

คุณสามารถเลือกการรับรองความถูกต้องของ Windows หรือการรับรองความถูกต้องของ SQL (โดยเซิร์ฟเวอร์หลัก และรอง) เพื่อเชื่อมต่อกับเซิร์ฟเวอร์การตรวจสอบ และปรับปรุงตารางจอภาพ คุณ สามารถ เลือก นี้ อย่าง ใด อย่าง หนึ่ง ใน ขณะ ที่ การ ตั้ง ค่า การ จัด ส่ง บันทึก หรือ หลัง จาก ที่ คุณ ได้ ตั้ง ค่า การ บันทึก การ จัด ส่ง และ จะ ทำ งาน ได้ โดยค่าเริ่มต้น SQL Server ใช้การรับรองความถูกต้องของ Windows อย่างไรก็ ตาม ถ้าคุณเลือกการพิสูจน์ตัวจริงของ SQL ล็อกอินของ SQL ใหม่log_shipping_monitor_probeถูกสร้างขึ้นบนหลัก สำรอง และเซิร์ฟเวอร์การตรวจสอบว่าหนึ่งไม่มีอยู่ ถ้าคุณเลือกการรับรองความถูกต้องของ SQL เพื่อวัตถุประสงค์นี้ กำหนดค่า SQL Server ให้ใช้การตรวจสอบ sql และ Windowsตัวเลือก

กำหนดค่าความปลอดภัยบนเซิร์ฟเวอร์รองสำหรับฐานข้อมูลสแตนด์บาย

ถ้าคุณกำหนดค่าฐานข้อมูลรองในโหมดสแตนด์บาย คุณสามารถเข้าถึงฐานข้อมูลนี้ในสถานะแบบอ่านอย่างเดียว โดยการคืนค่าฐานข้อมูลรองในโหมดนี้ ซึ่งสามารถจัดหมายความว่าการตามที่ต้องการรันรายงานแบบออฟไลน์ งบ offloading บางประการที่ทำงานจากระบบการผลิต อย่างไรก็ตาม สำหรับฐานข้อมูลการสแตนด์บายเพื่อสนับสนุนการทำงานแบบอ่านอย่างเดียว คุณอาจต้องใช้การตั้งค่าการรักษาความปลอดภัยเดียวกันบนเซิร์ฟเวอร์รอง เนื่องจากฐานข้อมูลอยู่ในสถานะสแตนด์บาย คุณไม่สามารถทำการปรับเปลี่ยนใด ๆ สำหรับวัตถุประสงค์ของการกำหนดค่าการรักษาความปลอดภัยยิ่ง ในกรณีนี้ คุณต้องสร้างล็อกอินของ SQL Server ทั้งหมด ด้วยค่า SID ที่เหมือนกันบนเซิร์ฟเวอร์รอง ล็อกอินของ windows คงไว้ SIDs ที่เดียวกันโดยอัตโนมัติได้เนื่องจาก GUID ที่ Windows จะไม่ซ้ำกัน แม้ว่าจะใช้โดเมนหลาย

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสร้างล็อกอินของ SQL ด้วย SID เดียวกันบนเซิร์ฟเวอร์อื่น คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
303722วิธีการที่ให้การเข้าถึงการล็อกอินของ SQL ในแบบสแตนด์บายฐานข้อมูลเมื่อ "guest" ปิดใช้ผู้ใช้มีงาน

กำหนดค่าความปลอดภัยเมื่อทำการเปลี่ยนแปลงบทบาท

ขั้นตอนเกี่ยวกับการเปลี่ยนแปลงหน้าที่การบันทึกการจัดส่งเกี่ยวข้องกับเนื่องเซิร์ฟเวอร์รองเพื่อนำทางเป็นหลัก คุณสามารถทำเช่นนี้ด้วย หรือไม่ มีเซิร์ฟเวอร์หลักที่มีการแบบออนไลน์ เป็นส่วนหนึ่งของการเปลี่ยนแปลงบทบาท มีกระบวนการจัดเก็บไว้ถึง 4 ที่ดำเนินการ ขั้นตอนเหล่านี้จัดเก็บไว้ อย่างใดอย่างหนึ่งsp_resolve_loginsช่วยให้แก้ไขค่า SID สำหรับล็อกอินที่อยู่ในฐานข้อมูลการสแตนด์บายเพียงก่อนที่จะทำได้สำหรับการใช้เป็นฐานข้อมูลหลัก

เป็นส่วนหนึ่งของกระบวนงานที่เก็บไว้นี้ แฟ้ม.bcp ของตาราง syslogins จากเซิร์ฟเวอร์หลักที่เดิมถูกโหลดลงในตารางชั่วคราว เข้าสู่ระบบแต่ละที่อยู่ในตารางนี้ชั่วคราวแล้วเปรียบเทียบกับตาราง syslogins ในนั้นวางแผนหลักฐานข้อมูลของเซิร์ฟเวอร์รองและตาราง sysusers ของฐานข้อมูลรอง สำหรับแต่ละล็อกอินในตารางชั่วคราวที่มีการล็อกอิน ด้วยชื่อเดียวกันในตาราง syslogins และ SID เดียวกันเป็นหนึ่งในตาราง sysusers ของฐานข้อมูลรอง SID ถูกแก้ไข (ในฐานข้อมูลรอง) โดยใช้sp_change_users_loginเมื่อต้องการจับคู่อยู่ในตาราง syslogins

การกำหนดค่าความปลอดภัยการใช้กระบวนงานที่เก็บไว้นี้ต้องต่อไปนี้:
  • ล็อกอินของ sql ต้องสร้างขึ้นบนเซิร์ฟเวอร์รองเรียบร้อยแล้ว เมื่อต้องการทำเช่นนั้น ใช้งานการถ่ายโอน DTS ล็อกอิน (ซึ่งได้อธิบายไว้ในหัวข้อของ SQL Server หนังสือออนไลน์ "วิธีการตั้งค่า และทำการบันทึกการเปลี่ยนแปลงบทบาทในการจัดส่ง
  • คุณต้องใส่แฟ้ม.bcp ของตาราง syslogins จากเซิร์ฟเวอร์หลัก แฟ้มนี้ต้องเป็นปัจจุบันได้เนื่องจากแฟ้มล้าสมัยอาจส่งผลsp_resolve_loginsความล้มเหลวในการแก้ไขการล็อกอิน
คุณต้องตรงกับเงื่อนไขสามแบบต่อไปนี้ก่อนsp_resolve_loginsจริง ๆ แล้วสามารถแก้ไขการล็อกอินในฐานข้อมูลรอง:
  1. ชื่อของการเข้าสู่ระบบจากแฟ้ม.bcp ของตาราง syslogins ต้องตรงกับชื่อในตาราง syslogins จากเซิร์ฟเวอร์หลัก
  2. ค่า SID ต้องตรงกันระหว่างการเข้าสู่ระบบในแฟ้ม.bcp และ sysusers ตารางในฐานข้อมูลรอง
  3. ค่า SID จากฐานข้อมูลรองต้องแตกต่างจากค่า SID ที่อยู่ในตาราง syslogins ในนั้นวางแผนหลักฐานข้อมูลบนเซิร์ฟเวอร์รอง
ถ้าคุณทำสร้างล็อกอินของ SQL Server ตามที่อธิบายไว้ใน Q303722 ไม่มีการเรียกใช้กระบวนงานที่เก็บไว้นี้ได้เนื่องจากล็อกอินทั้งหมดมีอยู่แล้วมีอยู่ในค่า SID เดียวในตาราง syslogins (ในวางแผนหลักฐานข้อมูลบนเซิร์ฟเวอร์รอง) และตาราง sysusers (ในฐานข้อมูลรอง)

คำถามที่ถามบ่อย

คำถาม: ไม่บันทึกการจัดส่งแพร่กระจายเกี่ยวข้องกับการรักษาความปลอดภัยการเปลี่ยนแปลงไปยังเซิร์ฟเวอร์การสำรองโดยอัตโนมัติหรือไม่

คำตอบ: ใช่ เนื่องจากการเปลี่ยนแปลงตารางระบบทั้งหมดบันทึกล็อกการดำเนินงาน เหล่านี้จะแพร่กระจายผ่านเซิร์ฟเวอร์รอง (หรือเซิร์ฟเวอร์) โดยอัตโนมัติ

คำถาม: สามารถคุณมีการล็อกอินที่สองบนเซิร์ฟเวอร์รอง ด้วย SID ที่เหมือนกันหรือไม่ ฉันต้องนี้เนื่องจากที่ฉันใช้คอมพิวเตอร์เครื่องเดียวกันของ SQL Server เพื่อรักษาฐานข้อมูลการสแตนด์บายหลายจากเซิร์ฟเวอร์หลายตัว

คำตอบ: หมายเลข รุ่นการรักษาความปลอดภัยของ sql Server ไม่ได้อนุญาตให้มีการล็อกอินที่สอง มี SID ที่เหมือนกัน ถ้าไม่มีข้อขัดแย้งบน SID ขณะกำลังบันทึกการจัดส่งกับเซิร์ฟเวอร์หลายตัวที่ใช้ วิธีเดียวในการแก้ไขนี้คือการ ปล่อยเข้าสู่ระบบที่ขัดแย้งกันในเซิร์ฟเวอร์หลัก แล้วสร้าง ด้วย SID ที่ไม่มีอยู่บนเซิร์ฟเวอร์รอง
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการบันทึกการเปลี่ยนแปลงบทบาทในการจัดส่ง คลิกหมายเลขบทความด้านล่างนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
314515INF: บ่อยเกี่ยวกับการจัดส่งบันทึกคำถาม - SQL Server 2000-

คุณสมบัติ

หมายเลขบทความ (Article ID): 321247 - รีวิวครั้งสุดท้าย: 19 ตุลาคม 2553 - Revision: 1.0
ใช้กับ
  • Microsoft SQL Server 2000 Standard Edition
  • Microsoft SQL Server 2000 64-bit Edition
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Developer Edition
  • Microsoft SQL 2005 Server Enterprise
  • Microsoft SQL 2005 Server Workgroup
Keywords: 
kbhowtomaster kbmt KB321247 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:321247

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com