Bewährte Methoden für die ReplikationssicherheitReplication Security Best Practices

Anwendungsbereich:Applies to: JaSQL ServerSQL Server (alle unterstützten Versionen) yesSQL ServerSQL Server (all supported versions) Anwendungsbereich:Applies to: JaSQL ServerSQL Server (alle unterstützten Versionen) yesSQL ServerSQL Server (all supported versions)

Bei der Replikation werden Daten in verteilten Umgebungen verschoben, diese reichen von Intranets auf einer einzelnen Domäne bis hin zu Anwendungen, die auf Daten zwischen nicht vertrauenswürdigen Domänen und über das Internet zugreifen.Replication moves data in distributed environments ranging from intranets on a single domain to applications that access data between untrusted domains and over the Internet. Es ist wichtig, die beste Methode für die Sicherung der Replikationsverbindungen unter diesen verschiedenen Voraussetzungen zu kennen und zu verstehen.It is important to understand the best approach for securing replication connections under these different circumstances.

Folgende Informationen sind für die Replikation in sämtlichen Umgebungen relevant:The following information is relevant to replication in all environments:

  • Verschlüsseln Sie die Verbindungen zwischen Computern in einer Replikationstopologie mithilfe einer Industriestandardmethode wie Virtual Private Networks (VPN), Transport Layer Security (TLS), früher als Secure Sockets Layer (SSL) bezeichnet, oder IP Security (IPSEC).Encrypt the connections between computers in a replication topology using an industry standard method, such as Virtual Private Networks (VPN), Transport Layer Security (TLS), previously known as Secure Sockets Layer (SSL), or IP Security (IPSEC). Weitere Informationen finden Sie unter Aktivieren von verschlüsselten Verbindungen zur Datenbank-Engine (SQL Server-Konfigurations-Manager).For more information, see Enable Encrypted Connections to the Database Engine (SQL Server Configuration Manager). Informationen zum Verwenden von VPN und TLS für die Replikation von Daten über das Internet finden Sie unter Absichern der Replikation über das Internet.For information about using VPN and TLS for replicating data over the Internet, see Securing Replication Over the Internet.

    Wenn Sie TLS zum Sichern der Verbindungen zwischen Computern in einer Replikationstopologie verwenden, geben Sie den Wert 1 oder 2 für den Parameter -EncryptionLevel der einzelnen Replikations-Agents an (der Wert 2 wird empfohlen).If you use TLS to secure the connections between computers in a replication topology, specify a value of 1 or 2 for the -EncryptionLevel parameter of each replication agent (a value of 2 is recommended). Mit dem Wert 1 wird angegeben, dass eine Verschlüsselung verwendet wird. Der Agent überprüft aber nicht, ob das TLS/SSL-Serverzertifikat von einem vertrauenswürdigen Aussteller signiert wurde. Mit dem Wert 2 wird angegeben, dass das Zertifikat überprüft wurde.A value of 1 specifies that encryption is used, but the agent does not verify that the TLS/SSL server certificate is signed by a trusted issuer; a value of 2 specifies that the certificate is verified. Agentparameter können in den Agentprofilen und in der Befehlszeile angegeben werden.Agent parameters can be specified in agent profiles and on the command line. Weitere Informationen finden Sie unterFor more information, see:

  • Führen Sie jeden Replikations-Agent unter einem anderen Windows-Konto aus, und verwenden Sie die Windows-Authentifizierung für sämtliche Verbindungen des Replikations-Agents.Run each replication agent under a different Windows account, and use Windows Authentication for all replication agent connections. Weitere Informationen zum Angeben von Konten finden Sie unter Identität und Zugriffssteuerung (Replikation).For more information about specifying accounts, see Identity and access control for replication.

  • Erteilen Sie jedem Agent nur die erforderlichen Berechtigungen.Grant only the required permissions to each agent. Weitere Informationen finden Sie im Abschnitt zu den für die Agents erforderlichen Berechtigungen unter Replication Agent Security Model.For more information, see the "Permissions Required by Agents" section of Replication Agent Security Model.

  • Stellen Sie sicher, dass sich alle Konten für Merge-Agents und Verteilungs-Agents in der Veröffentlichungszugriffsliste (PAL, Publication Access List) befinden.Ensure all Merge Agent and Distribution Agent accounts are in the publication access list (PAL). Weitere Informationen finden Sie unter Schützen des Verteilers.For more information, see Secure the Publisher.

  • Befolgen Sie das Prinzip der geringsten Rechte, indem Sie den Konten in der PAL nur die Berechtigungen erteilen, die sie zur Ausführung von Replikationstasks benötigen.Follow the principle of least privilege by allowing accounts in the PAL only the permissions they need to perform replication tasks. Fügen Sie keine Anmeldungen zu festen Serverrollen hinzu, die nicht für die Replikation erforderlich sind.Do not add the logins to any fixed server roles that are not required for replication.

  • Konfigurieren Sie die Momentaufnahmefreigabe, um den Lesezugriff für alle Merge-Agents und Verteilungs-Agents zuzulassen.Configure the snapshot share to allow read access by all Merge Agents and Distribution Agents. Im Fall von Momentaufnahmen für Veröffentlichungen mit parametrisierten Filtern sollten Sie sicherstellen, dass jeder Ordner so konfiguriert wird, dass der Zugriff nur für die geeigneten Merge-Agent-Konten gewährt wird.In the case of snapshots for publications with parameterized filters, ensure that each folder is configured to allow access only to the appropriate Merge Agent accounts.

  • Konfigurieren sie die Momentaufnahmefreigabe so, dass der Schreibzugriff für den Momentaufnahme-Agent gewährt wird.Configure the snapshot share to allow write access by the Snapshot Agent.

  • Falls Sie Pullabonnements verwenden, sollten Sie anstelle eines lokalen Pfads für den Momentaufnahmeordner eine Netzwerkfreigabe verwenden.If you use pull subscriptions, use a network share rather than a local path for the snapshot folder.

Falls Ihre Replikationstopologie Computer enthält, die sich nicht in derselben Domäne oder in Domänen befinden, zwischen denen keine Vertrauensstellungen bestehen, können Sie die Windows-Authentifizierung oder die SQL ServerSQL Server -Authentifizierung für die von den Agents hergestellten Verbindungen verwenden. (Weitere Informationen zu Domänen finden Sie in der Windows-Dokumentation.)If your replication topology includes computers that are not in the same domain or are in domains that do not have trust relationships with each other, you can use Windows Authentication or SQL ServerSQL Server Authentication for the connections made by agents (For more information about domains, see the Windows documentation). Es empfiehlt sich, als bewährte Sicherheitsmethode die Windows-Authentifizierung zu verwenden.It is recommended as a security best practice that you use Windows Authentication.

  • So verwenden Sie die Windows-AuthentifizierungTo use Windows Authentication:

    • Fügen Sie ein lokales Windows-Konto (kein Domänenkonto) für jeden Agent an den passenden Knoten hinzu (verwenden Sie an jedem Knoten denselben Namen und dasselbe Kennwort).Add a local Windows account (not a domain account) for each agent at the appropriate nodes (use the same name and password at each node). Beispielsweise wird der Verteilungs-Agent für ein Pushabonnement auf dem Verteiler ausgeführt und stellt Verbindungen mit dem Verteiler und mit dem Abonnenten her.For example, the Distribution Agent for a push subscription runs at the Distributor and makes connections to the Distributor and Subscriber. Das Windows-Konto für den Verteilungs-Agent sollte dem Verteiler und dem Abonnenten hinzugefügt werden.The Windows account for the Distribution Agent should be added to the Distributor and Subscriber.

    • Stellen Sie sicher, dass ein bestimmter Agent (z. B. ein Verteilungs-Agent für ein Abonnement) auf jedem Computer unter demselben Konto ausgeführt wird.Ensure that a given agent (for example the Distribution Agent for a subscription) runs under the same account at each computer.

  • So verwenden Sie die SQL ServerSQL Server -AuthentifizierungTo use SQL ServerSQL Server Authentication:

    • Fügen Sie ein SQL ServerSQL Server -Konto für jeden Agent an den passenden Knoten hinzu (verwenden Sie an jedem Knoten denselben Namen und dasselbe Kennwort).Add a SQL ServerSQL Server account for each agent at the appropriate nodes (use the same account name and password at each node). Beispielsweise wird der Verteilungs-Agent für ein Pushabonnement auf dem Verteiler ausgeführt und stellt Verbindungen mit dem Verteiler und mit dem Abonnenten her.For example, the Distribution Agent for a push subscription runs at the Distributor and makes connections to the Distributor and Subscriber. Das SQL ServerSQL Server -Konto für den Verteilungs-Agent sollte dem Verteiler und dem Abonnenten hinzugefügt werden.The SQL ServerSQL Server account for the Distribution Agent should be added to the Distributor and Subscriber.

    • Stellen Sie sicher, dass ein bestimmter Agent (z. B. ein Verteilungs-Agent für ein Abonnement) auf jedem Computer unter demselben Konto Verbindungen herstellt.Ensure that a given agent (for example the Distribution Agent for a subscription) makes connections under the same account at each computer.

    • In Situationen, für die die SQL ServerSQL Server -Authentifizierung erforderlich ist, ist der Zugriff auf die UNC-Momentaufnahmefreigabe oft nicht verfügbar (der Zugriff kann z. B. durch eine Firewall gesperrt sein).In situations that require SQL ServerSQL Server Authentication, access to UNC snapshot shares is often not available (for example access might be blocked by a firewall). In diesem Fall können Sie die Momentaufnahme über das Dateiübertragungsprotokoll (FTP, File Transfer Protokoll) auf Abonnenten übertragen.In this case, you can transfer the snapshot to Subscribers through file transfer protocol (FTP). Weitere Informationen finden Sie unter Übertragen von Momentaufnahmen über FTP.For more information, see Transfer Snapshots Through FTP.

Weitere InformationenSee Also

Aktivieren von verschlüsselten Verbindungen zur Datenbank-Engine (SQL Server-Konfigurations-Manager) Enable Encrypted Connections to the Database Engine (SQL Server Configuration Manager)
Replikation über das Internet Replication over the Internet
Sichern des Abonnenten Secure the Subscriber
Schützen des Verteilers Secure the Distributor
Sichern des Verlegers Secure the Publisher
Anzeigen und Ändern von ReplikationssicherheitseinstellungenView and modify replication security settings