如何設定安全性的 SQL Server 記錄傳送

文章翻譯 文章翻譯
文章編號: 321247 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

本文提供有關如何設定記錄傳送的安全性資訊。沒有您要設定 SQL Server 記錄傳送該範圍從共用交易記錄檔備份的所在位置的網路共用的權限的 SQL Server 啟動帳戶的安全性時要考慮的幾個問題。本文將說明這些問題。

SQL Server 和 SQL Server 代理程式 」 服務的記錄傳送伺服器的啟動帳戶

網域帳戶

如果您在網域中放置 SQL Server,Microsoft 建議您使用網域帳戶來啟動 SQL Server 服務。如果您要設定成下 Windows 叢集的虛擬伺服器執行的 SQL Server,您必須使用網域帳戶。網域帳戶提供最少的維護密碼變更的情況下的好處。但是,您可能無法在網域帳戶下啟動 SQL,如果 SQL Server 位於工作群組中的伺服器上。

本機網路帳戶

您可以使用 SQL Server 在本機建立網路帳戶下啟動。在此情況下地方是這種情況,如果您已設定 SQL Server 使用記錄傳送,一個 SQL Server 處理程序所需的網路存取權可以使用網路通過安全性。以通過查詢安全性將由 SQL Server 存取的所有機器必須都有相同的網路帳戶,具有相同的密碼和本機上設定的適當限。此外,當 SQL Server 處理序要求的資源從第二部電腦,傳統網路安全性會略過如果相同的帳戶 (在其下要求 SQL Server 服務已啟動) 已存在相同的密碼。如長第二部電腦上的帳戶的設定擁有足夠的權限執行要求的呼叫 SQL Server 的工作,工作將會成功。

本機系統帳戶

您也可以設定 SQL Server,以在本機系統帳戶下啟動。修改的 LocalSystem 帳戶密碼可能會導致某些重要系統穩定性的服務失敗。這個帳戶是本機電腦所在位置表示正在本機 SQL Server 服務會使用安全性內容。如本機網路帳戶一節中所述,您無法使用網路通過安全性,因為不同電腦上的 LocalSystem 帳戶的密碼不同,在 LocalSystem 帳戶下啟動 SQL Server 時。啟動 SQL Server 的以此帳戶需要網路存取資源時將最可能的結果中不成功完成的工作。

最小必要的權限,才能順利啟動並執行 SQL Server 和 SQL Server 代理程式 」 服務的網路帳號有關檢視下列主題 SQL Server 線上叢書 》:
Setting up Windows Service Accounts

瞭解 SQL Server 安全性模型

若要完全了解安全性含意,務必瞭解 SQL Server 2000 中實作 Microsoft 安全性模型。在您建立的登入,會加入到 syslogins 表格 主要 資料庫中。此新加入的登入提供存取每一個資料庫會新增至該資料庫中的 sysusers 資料表。syslogins 資料表與 sysusers 資料表之間對應是 [SID] 欄位上。

如果使用者資料庫移至不同的伺服器,SID 值是執行從先前的伺服器。當第二個伺服器上的登入,不會建立與相同的 SID 值,或安全性的設定正確因為的不符 SID 值,就會中斷任一個資料庫的安全性。

如需詳細資訊按一下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
240872INF: 如何移動資料庫時解決使用權限問題

記錄傳送組態

安全性需求

備份共用

設定網路共用的設定為 [保留交易記錄檔備份下哪一個 SQL Server 就開始,已設定為記錄傳送次要伺服器) 上的服務帳戶的讀取/變更權限。

網路共用的設定為 [保留交易記錄檔備份應設定為擁有讀取/變更權限的帳戶上設定記錄出貨的次要伺服器的服務在哪一個 SQL Server 下開始。由複製作業,將交易記錄檔備份複製到本機資料夾各自的次要伺服器上的次要伺服器上存取此共用。載入工作然後會從本機資料夾載入這些備份。

跨網域記錄運送

如果執行 SQL Server 的電腦都放在多網域環境,Microsoft 建議您設定記錄傳送涉及的所有網域之間的雙向信任。不過,如果您無法建立網域間信任,您可以使用網路通過安全性記錄傳送。請參考本文討論 SQL Server 相關服務 [LocalSystem 網路帳戶啟動選項的一節。

選取要連接到監視伺服器的驗證模式

您可以選取 Windows 驗證] 或 [SQL 驗證 (由主要和次要伺服器) 連線到監視伺服器,並更新監視器資料表。您可以選取這其中同時設定記錄傳送向上或您設定記錄傳送後正常運作。預設情況下,SQL Server 會使用 Windows 驗證 ; 不過,如果您選取 [SQL 驗證會在主要次要上, 建立新的 SQL 登入 log_shipping_monitor_probe,監視器伺服器如果有一個不存在。如果您為此目的選取 SQL 驗證,設定 SQL Server 使用 [SQL] 和 [Windows 驗證] 選項。

待命資料庫的次要伺服器上的安全性設定

如果您設定次要資料庫處於待命模式時,您可以存取此資料庫處於唯讀狀態。還原次要資料庫在此模式下,這可以提供一種方法所要執行離線藉此將卸載一些工作,從生產系統的報表。但是,以支援唯讀功能待命資料庫,您可能必須在次要伺服器上套用相同的安全性設定。因為資料庫處於待命狀態,您甚至無法進行任何修改的設定安全性目的。在這種情況下,您必須使用相同的 SID 值,在次要伺服器上建立所有的 SQL Server 登入。因為 Windows GUID 是全域唯一的即使使用多個網域,Windows 登入自動保留相同的 SID。

如需有關如何建立具有相同的 SID,在不同伺服器上的 SQL 登入的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
303722如何停用 「 來賓 」 使用者時,授與存取權待命資料庫的 SQL 登入

執行角色變更時的安全性設定

記錄傳送角色變更程序牽涉到升級為主要接管次要伺服器。具有或沒有正在線上的主要伺服器可以這樣做。角色變更的一部份有四個預存程序會執行。這些預存程序,sp_resolve_logins,有助於更正它進行可供使用與主要資料庫之前,位於待命資料庫的登入的 SID 值。

這個預存程序的一部分 syslogins 資料表從先前的主要伺服器的.bcp 檔案載入到暫存資料表中。存在於此暫存資料表的每個登入然後被與次要伺服器的 主要 資料庫中的 [syslogins] 資料表和 sysusers 資料表的次要資料庫。已登入具有相同名稱在 syslogins 資料表和相同的 SID 與次要資料庫的 sysusers 資料表中一個暫存資料表中每個登入,SID 藉由使用 sp_change_users_login 來符合一個 syslogins 資料表中的次要資料庫中) 中修正。

使用此預存程序的安全性組態需要下列項目:
  • 次要伺服器上必須已建立 SQL 登入。如果要執行這項操作,使用 [傳送登入 DTS 工作 (其中說明 SQL Server 線上叢書 》 主題中 < 如何設定及執行記錄傳送角色變更 >。
  • 您必須提供 syslogins 資料表從主要伺服器的.bcp 檔。這個檔案必須是目前的因為已過時的檔案,可能會導致 sp_resolve_logins 修正登入失敗。
您必須符合下列三個條件,才能 sp_resolve_logins 實際上可以修正次要資料庫中的登入名稱:
  1. 從 syslogins 資料表的.bcp 檔的登入名稱必須符合在 syslogins 表格從主要伺服器名稱。
  2. SID 值必須符合登入之間.bcp 檔和 sysusers 資料表中次要資料庫
  3. 從次要資料庫 SID 值必須是 SID 值 syslogins 資料表次要伺服器上的 [母片] 資料庫中不同。
如果 Q303722 所述,您可以建立 SQL Server 登入,它沒有執行此預存程序,因為所有的登入已經是以相同的 SID 值出現在次要伺服器上的 主要 資料庫) 中的 [syslogins] 資料表和 sysusers 資料表次要資料庫中) 中。

常見問題集

問題: 將做記錄傳送與安全性相關變更傳播到次要伺服器自動嗎?

答案: [是]。因為系統資料表的所有變更都都已記錄的作業,這些都會傳播到的多個次要伺服器自動。

問題: 可以您具有兩個登入次要伺服器上具有相同的 SID ??我需要如此,因為我使用相同的 SQL Server 電腦維護從多個伺服器的多個待命資料庫。

答案: [否]。SQL Server 安全性模型並不允許有兩個登入具有相同的 SID。如果有衝突 SID 上時使用記錄傳送與多個伺服器,若要更正此問題唯一的方法是卸除在主要伺服器上的衝突的登入,然後建立具有不存在於次要伺服器的 SID。
取得更多資訊有關的記錄傳送角色變更按一下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
314515INF: 常見問題-SQL Server 2000-記錄傳送

屬性

文章編號: 321247 - 上次校閱: 2005年12月21日 - 版次: 3.5
這篇文章中的資訊適用於:
  • Microsoft SQL Server 2000 Standard Edition
  • Microsoft SQL Server 2000 64-bit Edition
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Developer Edition
  • Microsoft SQL Server 2005 Enterprise Edition
  • Microsoft SQL Server 2005 Workgroup Edition
關鍵字:?
kbmt kbhowtomaster KB321247 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:321247
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com