Sichern des VerlegersSecure the Publisher

GILT FÜR: jaSQL Server jaAzure SQL-Datenbank (nur verwaltete Instanz) neinAzure SQL Data Warehouse neinParallel Data WarehouseAPPLIES TO: yesSQL Server yesAzure SQL Database (Managed Instance only) noAzure SQL Data Warehouse noParallel Data Warehouse

Die folgenden Replikations-Agents stellen eine Verbindung zum Verleger her:The following replication agents connect to the Publisher:

  • Protokolllese-AgentsLog Reader Agents
  • Momentaufnahme-AgentSnapshot Agent
  • Warteschlangenlese-AgentQueue Reader Agent
  • Merge-AgentMerge Agent

Es empfiehlt sich, eine geeignete Anmeldung für diese Agents bereitzustellen, sich an den Grundsatz zu halten, dass nur so viele Rechte erteilt werden sollten, wie unbedingt erforderlich sind, und den Aufbewahrungsort für die Kennwörter zu schützen.We recommend that you provide an appropriate login for these agents, follow the principle of granting the minimal rights that are required, and protect the storage of all passwords. Informationen zu den für die einzelnen Agents erforderlichen Berechtigungen finden Sie unter Replication Agent Security Model.For information about the permissions that are required for each agent, see Replication Agent Security Model.

Neben der angemessenen Verwaltung von Anmeldungen und Kennwörtern sollten Sie auch über die Rolle der Veröffentlichungszugriffsliste (Publication Access List oder PAL) im Klaren sein.Besides appropriately managing logins and passwords, you should understand the role of the publication access list (PAL). Die PAL wird verwendet, um Anmeldungen den Zugriff auf Veröffentlichungsdaten zu ermöglichen, während gleichzeitig der Ad-hoc-Zugriff auf die Datenbank beim Verleger eingeschränkt wird.The PAL is used to enable logins to access to publication data while restricting ad hoc access to the database at the Publisher.

VeröffentlichungszugriffslistePublication Access List

Die PAL ist der primäre Mechanismus für die Sicherung von Veröffentlichungen beim Verleger.The PAL is the primary mechanism for securing publications at the Publisher. Die PAL funktioniert ähnlich wie eine MicrosoftMicrosoft Windows-Zugriffssteuerungsliste.The PAL functions similarly to a MicrosoftMicrosoft Windows access control list. Wenn Sie eine Veröffentlichung erstellen, wird von der Replikation eine PAL für diese Veröffentlichung erstellt.When you create a publication, replication creates a PAL for the publication. Die PAL kann so konfiguriert werden, dass Sie eine Liste mit Anmeldungen und Gruppen enthält, denen Zugriff auf die Veröffentlichung gewährt wird.The PAL can be configured to contain a list of logins and groups that are granted access to the publication. Wenn ein Agent eine Verbindung mit dem Verleger oder Verteiler herstellt und den Zugriff auf eine Veröffentlichung anfordert, werden die Authentifizierungsinformationen in der PAL mit der vom Agent bereitgestellten Verlegeranmeldung verglichen.When an agent connects to the Publisher or Distributor and requests access to a publication, the authentication information in the PAL is compared to the Publisher login that the agent provides. Dieser Vorgang bietet zusätzliche Sicherheit für den Verleger, da die Anmeldung bei Verleger und Verteiler vor einer Verwendung durch ein Clienttool geschützt ist, das direkt beim Verleger Änderungen ausführen könnte.This process provides additional security for the Publisher by preventing the Publisher and Distributor login from being used by a client tool to perform modifications on the Publisher directly.

Hinweis

Die Replikation erstellt auf dem Verleger eine Rolle für jede Veröffentlichung, um die PAL-Mitgliedschaft durchzusetzen.Replication creates a role on the Publisher for each publication to enforce PAL membership. Für die Mergereplikation weist die Rolle einen Namen im Format Msmerge_ <PublicationID> auf, für die Transaktionsreplikation und die Momentaufnahmenreplikation im Format MSReplPAL_ <PublicationDatabaseID> _ <PublicationID> .The role has a name in the form Msmerge_<PublicationID> for merge replication and MSReplPAL_<PublicationDatabaseID>_<PublicationID> for transactional and snapshot replication.

Folgende Anmeldungen sind in der PAL standardmäßig enthalten: die Mitglieder der festen sysadmin -Serverrolle zum Zeitpunkt der Veröffentlichungserstellung sowie die Anmeldung, die zur Veröffentlichungserstellung verwendet wurde.By default, the following logins are included in the PAL: the members of the sysadmin fixed server role at the time the publication is created and the login that is used to create the publication. Standardmäßig können sämtliche Anmeldungen, die Mitglied der festen sysadmin -Serverrolle oder der festen db_owner -Datenbankrolle in der Veröffentlichungsdatenbank sind, eine Veröffentlichung abonnieren, ohne der PAL explizit hinzugefügt worden zu sein.By default, all logins that are members of the sysadmin fixed server role or the db_owner fixed database role on the publication database can subscribe to a publication without being explicitly added to the PAL.

Wenn Sie die PAL verwenden, beachten Sie die folgenden Richtlinien:When you are using the PAL, consider the following guidelines:

  • Sie müssen einem Datenbankbenutzer in der Veröffentlichungsdatenbank die SQL ServerSQL Server -Anmeldung zuordnen, bevor Sie die Anmeldung der PAL hinzufügen.You must associate the SQL ServerSQL Server login with a database user in the publication database before adding the login to the PAL.

  • Befolgen Sie das Prinzip der geringsten Rechte, indem Sie den Anmeldungen in der PAL nur die Berechtigungen erteilen, die sie zur Ausführung von Replikationstasks benötigen.Follow the principle of least privilege by allowing logins in the PAL only the permissions the logins must have to perform replication tasks. Fügen Sie die Anmeldungen keinen festen Datenbank- oder Serverrollen hinzu, die für die Replikation nicht erforderlich sind.Do not add the logins to any fixed database roles or server roles that are not required for replication. Weitere Informationen zu den erforderlichen Berechtigungen finden Sie unter Replication Agent Security Model und Replication Security Best Practices.For more information about the permissions that are required, see Replication Agent Security Model and Replication Security Best Practices.

  • Wenn ein Remoteverteiler verwendet wird, müssen Konten in der PAL sowohl beim Verleger als auch beim Verteiler verfügbar sein.If a remote Distributor is used, accounts in the PAL must be available at both the Publisher and the Distributor. Das Konto muss entweder ein Domänenkonto oder ein lokales Konto sein, das auf beiden Servern definiert ist.The account must be either a domain account or a local account that is defined at both servers. Die den Anmeldenamen zugehörigen Kennwörter müssen übereinstimmen.The passwords associated with both logins must be the same.

  • Wenn die PAL Windows-Konten enthält und von der Domäne Active Directory verwendet wird, muss das Konto, unter dem SQL ServerSQL Server ausgeführt wird, zum Lesen aus Active Directory berechtigt sein.If the PAL contains Windows accounts and the domain uses Active Directory, the account under which SQL ServerSQL Server runs must have permissions to read from Active Directory. Wenn es hinsichtlich Windows-Konten zu Problemen kommt, stellen Sie sicher, dass das Konto, unter dem SQL ServerSQL Server ausgeführt wird, über ausreichende Berechtigungen verfügt.If you experience issues with Windows accounts, make sure that the account under which SQL ServerSQL Server runs has sufficient permissions. Weitere Informationen finden Sie in der Windows-Dokumentation.For more information, see the Windows documentation.

Informationen zum Verwalten der Veröffentlichungszugriffsliste finden Sie unter Verwalten von Anmeldungen in der Veröffentlichungszugriffsliste.To manage the PAL, see Manage Logins in the Publication Access List.

Momentaufnahme-AgentSnapshot Agent

Es gibt einen Momentaufnahme-Agent pro Veröffentlichung.There is one Snapshot Agent for each publication. Weitere Informationen finden Sie unter Create a Publication.For more information, see Create a Publication.

Momentaufnahmeübermittlung per FTPFTP Snapshot Delivery

Wenn Sie angeben, dass Momentaufnahmen über eine FTP-Freigabe verfügbar gemacht werden sollen, nicht über eine UNC-Freigabe, müssen Sie beim Konfigurieren des FTP-Zugriffs eine Anmeldung und ein Kennwort angeben.If you specify that snapshots should be made available through an FTP share rather than a UNC share, you must specify a login and password when configuring FTP access. Weitere Informationen finden Sie unter Übermitteln einer Momentaufnahme über FTP.For more information, see Deliver a Snapshot Through FTP.

Protokolllese-AgentLog Reader Agent

Es gibt einen Protokolllese-Agent für jede Datenbank, die zur Transaktionsreplikation veröffentlicht wird.There is one Log Reader Agent for each database published for transactional replication. Weitere Informationen finden Sie unter Create a Publication.For more information, see Create a Publication.

Warteschlangenlese-AgentQueue Reader Agent

Für sämtliche Verleger und Veröffentlichungen (die Abonnements mit verzögerten Updates über eine Warteschlange zulassen), die einem bestimmten Verleger zugeordnet sind, gibt es einen Warteschlangenlese-Agent.There is one Queue Reader Agent for all Publishers and publications (that allow queued updating subscriptions) associated with a given Distributor. Weitere Informationen finden Sie unter Aktivieren des Aktualisierens von Abonnements für Transaktionsveröffentlichungen.For more information, see Enable Updating Subscriptions for Transactional Publications.

Weitere InformationenSee Also

Aktivieren von verschlüsselten Verbindungen zur Datenbank-Engine (SQL Server-Konfigurations-Manager) Enable Encrypted Connections to the Database Engine (SQL Server Configuration Manager)
Replication Security Best Practices Replication Security Best Practices
Anzeigen und Ändern von ReplikationssicherheitseinstellungenView and modify replication security settings