Makale numarası: 321247 - Son Gözden Geçirme: 21 Aralık 2005 Çarşamba - Gözden geçirme: 3.5

SQL güvenliği yapılandırmak için sunucu oturum nasıl sevkiyat

İngilizce ve Türkçe'yi yan yana görüntülemeBuraya tıklayarak İngilizce ve Türkçe'yi yan yana görüntüleyebilirsiniz.
Otomatik TercümeOtomatik tercüme makalelerin ne olduğunu açıklayan yazıyı okumak için buraya tıklayın
Bu makalenin geçerli olduğu ürünleri görün.
Sistem İpucuBu makale, kullandığınızdan farklı bir işletim sistemine yöneliktir. Sizinle ilgili olmayabilecek makale içeriği devre dışı bırakıldı.

Bu Sayfada

Hepsini aç | Hepsini kapa

Özet

Bu makalede, günlük dağıtımı için güvenliğinin nasıl yapılandırılacağı hakkında bilgi sağlar. Bu aralık için SQL Server'ın paylaşım izinleri, işlem günlüğü yedeklerini bulunduğu ağ paylaşımının <a1>Başlangıç</a1> hesabından SQL Server günlüğü için güvenlik yapılandırırken dikkate alınması gereken birkaç sorun vardır. Bu sorunlar bu makalede anlatılmaktadır.

Üste

SQL Server ve SQL Server aracısı Hizmetleri için başlangıç hesap sunucuları sevkiyat günlüğü hakkında

Etki alanı hesabı

SQL Server'ı bir etki alanında koyduysanız, Microsoft SQL Server hizmetlerini başlatmak için bir etki alanı hesabı kullanmanızı önerir. SQL Server'ı Windows Kümeleme altında bir sanal sunucusu olarak çalışacak şekilde yapılandırmak için kullanacaksanız, bir etki alanı hesabı kullanmanız gerekir. Bir etki alanı hesabı parola değişikliklerini, çok az bakım yararı sağlar. Ancak, SQL Server bir çalışma grubunda bir sunucuda bulunuyorsa, bir etki alanı hesabı altında SQL başlatmak mümkün olmayabilir.

Yerel ağ hesabı

Ağ yerel olarak oluşturulmuş bir hesap altında başlatmak için SQL Server'ı kullanabilirsiniz. Durum, ağ erişimi SQL Server günlük dağıtımını kullanacak biçimde yapılandırdıysanız, servis talebi bir SQL Server işlemin gerekli olduğu ağ doğrudan güvenlik kullanabilirsiniz. Doğrudan güvenliğinde, SQL Server tarafından erişilen tüm makinelerde aynı ağ hesabı aynı parolayı ve yerel olarak yapılandırılmış, uygun izinlere sahip olması gerekir. Ayrıca, SQL Server işleminin ikinci bilgisayardan kaynakları istediğinde, aynı parolayla (altında istekte bulunan SQL Server hizmet başlatıldı) aynı hesabı varsa, geleneksel bir ağ güvenliği atlanır. Ikinci bir bilgisayar hesabında uzun SQL Server'ı çağıran istenen görevi gerçekleştirmek için yeterli izinlere sahip gibi görev başarılı olacaktır.

Yerel Sistem hesabı

SQL Server'ı yerel sistem hesabı altında başlatmak için de yapılandırabilirsiniz. LocalSystem hesabının parolasını değiştirmek için sistem kararlılık kritik bazı hizmetler başarısızlığın neden olabilir. Bu, SQL Server hizmetlerini kullanan bir güvenlik içeriği yerel oldu?u anlam?na gelir yer aldığı bilgisayara yerel hesabıdır. Parolaları farklı bilgisayarlarda LocalSystem hesabının farklı olduğundan, LocalSystem hesabı altında SQL Server başlatıldığında yerel ağ hesabı bölümünde belirtildiği gibi ağ doğrudan güvenlik kullanamazsınız. Ağ kaynak erişimi gerekli olduğunda SQL Server'ın bu hesabın altında başlangıç büyük olasılıkla başarısız görevlerin tamamlanmasında neden olur.

Başarıyla başlatmak ve SQL Server ve SQL Server Agent hizmetlerini çalıştırmak bir ağ hesabı için en az gerekli hakları hakkında daha fazla bilgi için SQL Server Books Online'da aşağıdaki konuya bakın:
Setting up Windows Service Accounts (http://msdn.microsoft.com/en-us/library/aa176564.aspx)
Üste

SQL Server güvenlik modeli anlama

Tam güvenlik uygulamalarını anlamak için <a0></a0>, Microsoft SQL Server 2000'de uygulanan güvenlik modeline anlamak önemlidir. Bir oturum oluşturduğunuzda <a0>MASTER</a0> veritabanındaki syslogins tabloya eklenir. Bu yeni eklenen oturum açma erişimi sağlanan her veritabanı bu veritabanındaki sysusers tablosunda eklenir. Sysusers tablosunda syslogins tablosu arasındaki eşleme üzerinde SID alanıdır.

Bir kullanıcı veritabanını farklı bir sunucuya taşınırsa, SID değerlerini önceki sunucudan taşınan. Her iki veritabanı güvenlik oturumları ikinci sunucuda aynı SID değerleri ile birlikte oluşturulur veya güvenlik SID değerleri mismatching nedeniyle hatalı yapılandırılırsa, keser.

Ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
240872  (http://support.microsoft.com/kb/240872/EN-US/ ) INF: nasıl veritabanı taşındı, izin sorunlarını çözümleme
Üste

Log sevkiyat yapılandırması

Güvenlik Gereksinimleri

Yedekleme Paylaştır

Işlem günlüğü yedeklerini hesabının altında hangi SQL Server hizmetlerini (günlük dağıtımı için yapılandırılmış ikincil sunucuda) başlatıyorsanız, okuma/değiştirme izinlerine sahip olmanız tutmak için yapılandırılmış bir ağ paylaşımına yapılandırın.

Işlem günlüğü yedeklerini tutmak için yapılandırılmış bir ağ paylaşımına hesabının altında hangi SQL Server günlük dağıtımı için yapılandırılmış ikincil sunucudaki hizmetler başlatılıyor okuma/değiştirme iznine sahip için yapılandırılmalıdır. Bu paylaşımın, ikincil sunucuda işlem günlüğü yedeklerini, ilgili ikincil sunucuda bir yerel klasöre kopyalamak için kopyalama işlemi tarafından erişilebilir. Yükleme işlemi, bu yedeklerin sonra yerel klasörden yükler.

Çapraz etki alanı log sevkiyat

Microsoft SQL Server çalıştıran bilgisayarlar, bir çok etki alanı ortamında yerleştirilir, günlük dağıtımı, söz konusu olan tüm etki alanları arasındaki çift taraflı güvenlerin ayarlamanızı önerir. Ancak, etki alanları arasında güven kuramazsa, ağ doğrudan güvenlik günlük dağıtımı için kullanabilirsiniz. SQL Server ile ilgili hizmetler LocalSystem ağ hesabının başlangıç seçeneği açıklanır, bu makalenin bölümüne bakın.

Kimlik doğrulama modu için bağlantı izleme sunucusu seçme

Monitör sunucuya bağlanma ve monitör tablolarını güncelleştirmek için (birincil ve ikincil sunucuları tarafından) veya Windows kimlik doğrulaması, hem de SQL kimlik doğrulaması seçebilirsiniz. Bu ayarı, günlük dağıtımını yukarı ya da yukarı günlük dağıtımını ayarladınız, işlevsel sonra seçebilirsiniz. Varsayılan olarak, SQL Server, Windows kimlik doğrulamasını kullanır; ancak, SQL kimlik doğrulaması'nı seçerseniz, yeni bir SQL oturum açma log_shipping_monitor_probe birincil üzerinde ikincil oluşturulur ve monitör sunucuları, mevcut değil. SQL kimlik doğrulaması, bu amaç için seçerseniz, SQL Server'ı SQL ve Windows kimlik doğrulaması seçeneğini kullanacak biçimde yapılandırın.

Üste

Bekleme veritabanları için ikincil bir sunucu üzerinde güvenlik yapılandırması

Bekleme modunda ikincil veritabanını yapılandırırsanız, bu veritabanı salt okunur durumda erişebilirsiniz. Bu mod, ikincil veritabanı geri yükleyerek bu tarafından böylece üretim sistemindeki çalışmanın bazı yük boşaltma çevrimdışı raporlarını çalıştırmak bir yol sağlar. Ancak, salt okunur işlevlerini desteklemek yedek veritabanı için ikincil bir sunucu üzerinde aynı güvenlik ayarlarını uygulamak gerekebilir. Veritabanı, bekleme durumunda olduğundan, güvenlik yapılandırma amacıyla bile herhangi bir değişiklik yapılamıyor. Bu durumda, ikincil sunucuda aynı SID değerleri tüm SQL Server oturumu oluşturmak gerekir. Birden çok etki alanı kullanırken bile Windows GUID genel benzersiz olduğu için Windows oturumlarının listelendiği, otomatik olarak aynı Sıd korur.

Farklı sunucularda aynı SID ile SQL oturumları oluşturma hakkında ek bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
303722  (http://support.microsoft.com/kb/303722/EN-US/ ) Nasıl yapılır: SQL oturumları için bir bekleme veritabanı açtığınızda üzerinde "Konuk" devre kullanıcı iş dışı erişimi ver
Üste

Rolü Değiştir gerçekleştirmek için güvenlik yapılandırması

Günlük dağıtımı için rolü değiştirme yordamı, birincil Page'de ikincil bir sunucu yükseltme içerir. Çevrimiçi birincil sunucu ile veya bunu yapabilirsiniz. Rol değişikliğin bir parçası çalıştırılan en fazla dört saklı yordamlar vardır. Bu saklı yordamları sp_resolve_logins, biri yalnızca, birincil veritabanı olarak kullanıma yapılmadan önce bekleme veritabanında bulunan oturumlar için SID değerleri düzeltmek için yardımcı olur.

Bu saklı yordamın bir parçası olarak, önceki birincil sunucu syslogins tablosundan .bcp dosya geçici tabloya yüklenir. Bu geçici tabloyu varsa her oturum açma, daha sonra ikincil sunucunun <a1>MASTER</a1> veritabanındaki syslogins tablo ve ikincil veritabanındaki <a1>sysxlogins</a1> tablosunda karşılaştırılır. Bir oturum açma syslogins tablo ve aynı SID olarak <a0>sysusers</a0> tablosundaki bir ikincil veri tabanının aynı ada sahip olan geçici tablonun her oturum için bir syslogins tabloda eşleşen sp_change_users_login kullanarak SID (ikincil veritabanında) giderilmiştir.

Bu saklı yordam kullanarak bir güvenlik yapılandırması için şunlar gerekir:
  • SQL oturum açma, ikincil sunucuda önceden oluşturulması gerekir. Bunu yapmak için <a0></a0>, aktarım oturumları DTS görev kullanın (hangi SQL Server Books Online'da konusunda açıklanan "ayarlamak ve rol değişiklik günlüğü gerçekleştirmek nasıl."
  • Birincil sunucu syslogins tablosundan .bcp dosyasını sağlamanız gerekir. Güncel olmayan bir dosya içinde açılan oturumların Düzeltilecek başarısız sp_resolve_logins neden olabilir, çünkü bu dosyanın geçerli olması gerekir.
Sp_resolve_logins gerçekten ikincil veritabanında açılan oturumların giderebilen önce aşağıdaki üç koşulları karşılamalıdır:
  1. Syslogins tablonun <a1>.bcp</a1> dosyasından oturum açma adını birincil sunucudan syslogins tablo adı ile eşleşmelidir.
  2. SID değeri arasında oturum açma .bcp dosya ve ikincil veritabanının <a2>sysusers</a2> tablosundaki aynı olmalıdır
  3. Ikincil veritabanındaki SID değeri syslogins tablosunda ikincil sunucuda <a1>MASTER</a1> veritabanındaki SID değerinden farklı olmalıdır.
SQL Server oturumu Q303722'de açıklandığı gibi oluşturursanız, tüm oturumların zaten var aynı SID değeri sysusers tablosunda (ikincil) veritabanını ve (ikincil sunucuda MASTER veritabanındaki) syslogins tablodan olan çünkü bu saklı yordamı çalıştırmak yok.

Üste

Sık Sorulan Sorular

Soru: günlük dağıtımı için ikincil bir sunucu, güvenlikle ilgili değişiklikler otomatik olarak yaymak mu?

Yanıt: Evet. Sistem tabloları yapılan tüm değişiklikleri kütüğe kaydedilmiş bir işlem olduğundan, bunlar arasında ikincil sunucusunda (veya sunucularını) için otomatik olarak yayılır.

Soru:, ikincil sunucuda iki oturumu aynı SID ile sahip? SQL Server aynı bilgisayarda birden çok sunucudan gelen birden çok yedek veritabanı korumak için kullanıyorum, çünkü bu gerek DUYUYORUM.

Yanıt: Hayır SQL Server güvenlik modeli iki oturumu aynı SID ile ilgili izin vermiyor. Bir çelişki varsa SID ile birden çok sunucu günlüğü kullanılırken, birincil sunucuda çakışan oturum açmak için bu sorunu gidermek için tek yol olduğu ve ikincil sunucuda varolan bir SID ile oluşturun.
Günlüğü rolünü değiştirme hakkında ek bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
314515  (http://support.microsoft.com/kb/314515/EN-US/ ) INF: <a1>Sorular</a1>-SQL Server 2000 - günlük sevkiyat sık sorulan.
Üste
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft SQL Server 2000 Standard Edition
  • Microsoft SQL Server 2000 64-bit Edition
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Developer Edition
  • Microsoft SQL 2005 Server Enterprise
  • Microsoft SQL 2005 Server Workgroup
Üste
Anahtar Kelimeler: 
kbmt kbhowtomaster KB321247 KbMttr
Üste
Otomatik TercümeOtomatik Tercüme
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:321247  (http://support.microsoft.com/kb/321247/en-us/ )
Üste