كيفية تكوين الأمان ل SQL Server تسجيل الشحن

ملخص

توفر هذه المقالة معلومات حول كيفية تكوين الأمان لسجل الشحن. هناك العديد من المشكلات في الاعتبار عند قيامك بتكوين الأمان لسجل SQL Server الشحن التي تتراوح من حساب بدء التشغيل ل SQL Server لمشاركة أذونات مشاركة شبكة الاتصال حيث توجد النسخ الاحتياطية سجل المعاملات. يتم وصف هذه المشكلات في هذه المقالة.

حساب بدء التشغيل لخادم SQL وخدمات عميل SQL Server على سجل الشحن ملقمات

حساب المجال

إذا قمت بوضع ملقم SQL في مجال، توصي Microsoft باستخدام حساب مجال لبدء تشغيل خدمات SQL Server. يجب استخدام حساب مجال إذا كنت ستطبعها لتكوين خادم SQL لتشغيل Windows Clustering خادم ظاهري. يوفر حساب مجال صالح الحد الأدنى من الصيانة في حالة تغيير كلمة المرور. ومع ذلك، قد لا تكون قادراً على بدء تشغيل SQL ضمن حساب مجال إذا كان ملقم SQL موجود على ملقم في مجموعة عمل.

حساب الشبكة المحلية

يمكنك استخدام SQL Server لبدء تشغيل تحت حساب شبكة اتصال تم إنشاؤه محلياً. في الحالة فيها الوصول إلى شبكة الاتصال التي تتطلبها عملية SQL Server، وهو يحدث إذا قمت بتكوين SQL Server لاستخدام سجل الشحن، يمكنك استخدام أمان التمريري الشبكة. مع الأمان التمريري، يجب أن يكون لديك كافة أجهزة الكمبيوتر التي سيتم الوصول إليها من قبل SQL Server نفس حساب شبكة الاتصال باستخدام نفس كلمة المرور والأذونات المناسبة المكونة محلياً. بالإضافة إلى ذلك، عندما يطلب عملية SQL Server الموارد من الكمبيوتر الثاني، يتم تجاوز أمان الشبكة التقليدية في حالة وجود نفس الحساب (الذي طلب خدمة SQL Server يتم تشغيلها) باستخدام نفس كلمة المرور. تم تكوين الحساب على الكمبيوتر الثاني طويلة مع أذونات كافية لتنفيذ المهمة التي طلبت استدعاء ملقم SQL لن تنجح المهمة.

حساب النظام المحلي

يمكنك أيضا تكوين SQL Server لبدء تشغيل تحت حساب "النظام المحلي". قد يؤدي تعديل كلمة مرور حساب LocalSystem فشل بعض الخدمات الحاسمة بالنسبة لاستقرار النظام. هذا الحساب محلي على الكمبيوتر حيث يتواجد، وهذا يعني أن سياق الأمان الذي يستخدم خدمات SQL Server المحلية. كما هو مذكور في المقطع "حساب الشبكة المحلية"، لا يمكنك استخدام أمان التمريري الشبكة عند بدء تشغيل SQL Server تحت حساب النظام المحلي لكلمات المرور الخاصة حساب "النظام المحلي" على أجهزة كمبيوتر مختلفة مختلفة. البدء من SQL Server تحت هذا الحساب عند طلب الوصول إلى موارد شبكة الاتصال الأكثر احتمالاً سيؤدي إلى إنجاز المهام غير الناجحة.

لمزيد من المعلومات حول حقوق الحد الأدنى المطلوب لحساب شبكة اتصال لبدء وتشغيل خدمات SQL Server وعميل SQL Server بنجاح، عرض الموضوع التالي في "كتب SQL Server عبر إنترنت":

فهم نموذج أمان ملقم SQL

لفهم الآثار الأمنية تماما، من المهم فهم نموذج أمان Microsoft تنفيذه في SQL Server 2000. عندما تقوم بإنشاء حساب لتسجيل دخول، فإنه يضاف إلى الجدول syslogins في قاعدة البيانات الرئيسية . لكل قاعدة بيانات تسجيل الدخول هذا إضافة حديثا يتم توفير الوصول إلى، تتم إضافتها إلى الجدول sysusers في قاعدة البيانات. يتم التعيين بين جدول syslogins و sysusers في حقل معرف الأمان.

إذا تم نقل قاعدة بيانات مستخدم إلى ملقم آخر، يتم ترحيلها قيم معرف الأمان من الخادم السابق. فواصل أما أمان قاعدة البيانات عندما لا يتم إنشاء عمليات تسجيل الدخول على خادم الثاني بنفس قيم SID أو إذا كان مكون الأمان بشكل صحيح بسبب قيم SID غير متطابقة.

للحصول على معلومات إضافية، انقر فوق رقم المقال التالي لعرضه في "قاعدة معارف Microsoft":

240872 INF: كيفية حل إذن مشاكل عند نقل قاعدة بيانات

تكوين سجل الشحن

متطلبات الأمان

مشاركة النسخ الاحتياطي

تكوين مشاركة شبكة الاتصال الذي تم تكوينه للاحتفاظ بالنسخ الاحتياطية سجل المعاملات أن يكون لديك أذونات القراءة/تغيير الحساب ضمن أي ملقم SQL بدء خدمات (على ملقم تم تكوينه من أجل سجل الشحن).


يجب أن يتم تكوين مشاركة شبكة الاتصال الذي تم تكوينه للاحتفاظ بالنسخ الاحتياطية سجل المعاملات أن يكون لديك أذونات القراءة/تغيير الحساب ضمن أي ملقم SQL بدء الخدمات على ملقم تكوين لسجل الشحن،. يتم الوصول إلى هذه المشاركة بمهمة "نسخ" على ملقم ثانوي لنسخ النسخ الاحتياطية سجل المعاملة إلى مجلد محلي على كل ملقم. ثم تحميل وظيفة تحميل هذه النسخ الاحتياطية من المجلد المحلي.


عبر مجال تسجيل الشحن

إذا تم وضع أجهزة الكمبيوتر التي تستخدم SQL Server في بيئة متعددة المجالات، توصي Microsoft بإعداد علاقات الثقة ثنائية الاتجاه بين كافة المجالات المتضمنة في سجل الشحن. ومع ذلك، إذا كان لا يمكنك تأسيس علاقات الثقة بين المجالات، يمكنك استخدام شبكة المرور الأمن لسجل الشحن. راجع القسم من هذه المقالة تتناول خيار بدء التشغيل حساب LocalSystem شبكة للخدمات المرتبطة SQL Server.


تحديد وضع المصادقة للاتصال بخادم مراقبة

يمكنك تحديد مصادقة Windows أو مصادقة SQL (بواسطة ملقمات الأساسية والثانوية) للاتصال بخادم مراقبة وتحديث الجداول جهاز العرض. يمكنك تحديد هذا أما أثناء إعداد إعداد سجل الشحن أو بعد إعداد سجل الشحن ويعمل. بشكل افتراضي، يستخدم SQL Server مصادقة Windows; ومع ذلك، إذا حددت مصادقة SQL، يتم إنشاء تسجيل دخول SQL log_shipping_monitor_probe جديدة على الابتدائية والثانوية، ومراقبة ملقمات إذا كان غير موجود. إذا قمت بتحديد مصادقة SQL لهذا الغرض، تكوين SQL Server لاستخدام خيار مصادقة SQL و Windows .


تكوين الأمان على الملقم الثانوي لقواعد البيانات الاحتياطية

إذا قمت بتكوين قاعدة البيانات الثانوية في وضع الاستعداد، يمكنك الوصول إلى قاعدة البيانات هذه في حالة القراءة فقط. استعادة قاعدة البيانات الثانوية في هذا الوضع، هذا يوفر وسيلة لتشغيل تقارير دون اتصال، ثم إلغاء تحميل بعض الأعمال من نظام الإنتاج. ومع ذلك، لقاعدة البيانات الاحتياطية لدعم وظائف القراءة فقط، قد تضطر لتطبيق نفس إعدادات التأمين على ملقم ثانوي. لأن قاعدة البيانات في وضع الاستعداد، لا يمكنك إجراء أية تعديلات حتى لأغراض تكوين الأمان. في هذه الحالة، يجب عليك إنشاء كافة تسجيلات دخول SQL Server بنفس قيم SID على ملقم ثانوي. تحتفظ عمليات تسجيل دخول Windows تلقائياً الدول الجزرية الصغيرة النامية نفسها لأن Windows المعرف الفريد العمومي الفريد، حتى عند استخدام عدة مجالات.


للحصول على معلومات إضافية حول كيفية إنشاء تسجيلات دخول SQL مع SID نفسها على ملقمات مختلفة، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
303722 "طريقة لمنح حق الوصول" إلى تسجيلات دخول SQL على الاستعداد قاعدة البيانات عند "ضيف" المستخدم معطل

تكوين الأمان عند القيام بتغيير دور

يتضمن إجراء تغيير دور الشحن سجل ترقية ملقم ثانوي ليتولى منصب الأساسي. يمكنك القيام بذلك مع أو بدون الخادم الأساسي يجري على الإنترنت. وكجزء من تغيير دور، هناك أربعة من الإجراءات المخزنة التي يتم تنفيذها. أحد هذه الإجراءات المخزنة sp_resolve_logins، يساعد على تصحيح القيم SID لتسجيلات الدخول التي توجد في قاعدة البيانات الاحتياطية قبل أن يتاح لاستخدامه كقاعدة البيانات الأساسية.

وكجزء من هذا الإجراء المخزن، يتم تحميل ملف.bcp من جدول syslogins من الملقم الأساسي السابقة إلى جدول مؤقت. ثم يتم مقارنة كل تسجيل الدخول الموجودة في هذا الجدول المؤقت الجدول syslogins في قاعدة البيانات الرئيسية من ملقم ثانوي وجدول sysusers قاعدة البيانات الثانوية. لكل تسجيل دخول في الجدول المؤقت الذي قام تسجيل دخول بنفس الاسم في جدول syslogins و SID نفسها كتلك الموجودة في الجدول sysusers قاعدة البيانات الثانوية، تصحيح SID (في قاعدة البيانات الثانوية) باستخدام sp_change_users_login لمطابقة واحدة في الجدول syslogins.

تكوين الأمان باستخدام هذا الإجراء المخزن يتطلب ما يلي:

  • يجب إنشاء تسجيلات دخول SQL مسبقاً على ملقم ثانوي. للقيام بذلك، استخدام المهمة نقل DTS تسجيلات الدخول (الذي هو موضح في الموضوع "كتب SQL Server عبر إنترنت"، "كيف لإعداد وتنفيذ سجل الشحن تغيير الدور".
  • عليك توفير ملف.bcp من جدول syslogins من الملقم الأساسي. يجب أن يكون هذا الملف الحالي لأنه قد يؤدي أحد ملفات قديمة في sp_resolve_logins فشل إصلاح عمليات تسجيل الدخول.
يجب تحقيق الشروط الثلاثة التالية قبل sp_resolve_logins فعلياً إصلاح عمليات تسجيل الدخول في قاعدة البيانات الثانوية:

  1. يجب أن تطابق اسم تسجيل الدخول من ملف.bcp من جدول syslogins الاسم في جدول syslogins من الملقم الأساسي.
  2. يجب أن تطابق قيمة SID بين تسجيل الدخول الملف.bcp والجدول sysusers في قاعدة البيانات الثانوية
  3. يجب أن تكون قيمة SID من قاعدة البيانات الثانوي مختلفاً عن القيمة SID في الجدول syslogins في قاعدة البيانات الرئيسية على ملقم ثانوي.
إذا قمت بإنشاء تسجيلات دخول SQL Server كما هو موضح في Q303722، فإنه لم يكن لتشغيل هذا الإجراء المخزن لكافة تسجيلات الدخول هي تكون موجودة بنفس القيمة SID في الجدول syslogins (في قاعدة البيانات الرئيسية على ملقم ثانوي) وجدول sysusers (في قاعدة البيانات الثانوية).

الأسئلة المتداولة

السؤال: سجل الشحن نشر تغييرات متعلقة بالأمان إلى ملقم ثانوي تلقائياً؟

جواب: نعم. لأن كافة التغييرات على جداول النظام عمليات تسجيل، هذه تنتشر من خلال ملقم ثانوي (أو خوادم) تلقائياً.

السؤال: أن لديك تسجيلات الدخول اثنين على ملقم ثانوي مع SID نفسها؟ أنا في حاجة إلى ذلك لأنني باستخدام نفس الكمبيوتر SQL Server للحفاظ على عدة قواعد بيانات الاستعداد من عدة ملقمات.

الجواب: لا. نموذج أمان SQL Server لا يسمح بوجود اثنين من تسجيلات الدخول مع SID نفسها. إذا كان هناك تعارض على SID أثناء استخدام سجل الشحن مع ملقمات متعددة، الطريقة الوحيدة لتصحيح هذا الإسقاط تعارض تسجيل الدخول على الخادم الأساسي، ثم إنشاء بواسطة SID غير موجود على ملقم ثانوي.
للحصول على معلومات إضافية حول سجل الشحن تغيير دور، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

314515 INF: أسئلة-SQL Server 2000-سجل الشحن
خصائص

رقم الموضوع: 321247 - آخر مراجعة: 15‏/01‏/2017 - المراجعة: 1

تعليقات