Sicurezza del server di pubblicazioneSecure the Publisher

Gli agenti di replica seguenti si connettono al server di pubblicazione:The following replication agents connect to the Publisher:

  • Agente di lettura logLog Reader Agent

  • agente snapshotSnapshot Agent

  • Agente di lettura codaQueue Reader Agent

  • Agente di mergeMerge Agent

    È importante specificare un account di accesso appropriato per questi agenti, attenendosi al principio di concedere i diritti minimi necessari e proteggere l'archiviazione di tutte le password.We recommend that you provide an appropriate login for these agents, follow the principle of granting the minimal rights that are required, and protect the storage of all passwords. Per informazioni sulle autorizzazioni necessarie per ogni agente, vedere Replication Agent Security Model.For information about the permissions that are required for each agent, see Replication Agent Security Model.

    Oltre a gestire gli account di accesso e le password in modo appropriato, è importante comprendere il ruolo dell'elenco di accesso alla pubblicazione.Besides appropriately managing logins and passwords, you should understand the role of the publication access list (PAL). Questo elenco viene utilizzato per consentire agli account di accedere ai dati di pubblicazione, limitando nel contempo l'accesso ad hoc al database nel server di pubblicazione.The PAL is used to enable logins to access to publication data while restricting ad hoc access to the database at the Publisher.

Elenco di accesso alla pubblicazionePublication Access List

L'elenco di accesso alla pubblicazione costituisce il principale sistema di protezione delle pubblicazioni nel server di pubblicazione.The PAL is the primary mechanism for securing publications at the Publisher. che funziona in maniera analoga a un elenco di controllo di accesso MicrosoftMicrosoft .The PAL functions similarly to a MicrosoftMicrosoft Windows access control list. Quando si crea una pubblicazione, la replica crea un elenco di accesso alla pubblicazione per la pubblicazione creata.When you create a publication, replication creates a PAL for the publication. Tale elenco può essere configurato per contenere l'elenco degli account di accesso e dei gruppi autorizzati ad accedere alla pubblicazione.The PAL can be configured to contain a list of logins and groups that are granted access to the publication. Quando un agente si connette al server di pubblicazione o al server di distribuzione e richiede l'accesso a una pubblicazione, i dati di autenticazione dell'elenco di accesso alla pubblicazione vengono confrontati con l'account di accesso al server di pubblicazione specificato dall'agente.When an agent connects to the Publisher or Distributor and requests access to a publication, the authentication information in the PAL is compared to the Publisher login that the agent provides. Ciò garantisce un maggior livello di sicurezza del server di pubblicazione, impedendo che gli account di accesso del server di pubblicazione e del server di distribuzione vengano utilizzati da uno strumento client per apportare modifiche direttamente nel server di pubblicazione.This process provides additional security for the Publisher by preventing the Publisher and Distributor login from being used by a client tool to perform modifications on the Publisher directly.

Nota

La replica crea un ruolo sul server di pubblicazione per ogni pubblicazione, in modo da applicare l'appartenenza all'elenco di accesso alla pubblicazione.Replication creates a role on the Publisher for each publication to enforce PAL membership. Il nome del ruolo ha il formato Msmerge_<IDPubblicazione> per la replica di tipo merge e MSReplPAL_<IDDatabasePubblicazione>_<IDPubblicazione> per la replica transazionale e snapshot.The role has a name in the form Msmerge_<PublicationID> for merge replication and MSReplPAL_<PublicationDatabaseID>_<PublicationID> for transactional and snapshot replication.

Per impostazione predefinita, nell'elenco di accesso alla pubblicazione sono inclusi gli account di accesso seguenti: i membri del ruolo predefinito del server sysadmin al momento della creazione della pubblicazione e l'account di accesso utilizzato per creare la pubblicazione.By default, the following logins are included in the PAL: the members of the sysadmin fixed server role at the time the publication is created and the login that is used to create the publication. Per impostazione predefinita, tutti gli account di accesso membri del ruolo predefinito del server sysadmin o del ruolo predefinito del database db_owner nel database di pubblicazione possono sottoscrivere una pubblicazione, senza necessità di essere aggiunti esplicitamente all'elenco di accesso alla pubblicazione.By default, all logins that are members of the sysadmin fixed server role or the db_owner fixed database role on the publication database can subscribe to a publication without being explicitly added to the PAL.

Quando si utilizza l'elenco di accesso alla pubblicazione, tenere presenti le indicazioni seguenti:When you are using the PAL, consider the following guidelines:

  • Prima di aggiungere l'account di accesso di SQL ServerSQL Server all'elenco di accesso alla pubblicazione, è necessario associarlo a un utente di database nel database di pubblicazione.You must associate the SQL ServerSQL Server login with a database user in the publication database before adding the login to the PAL.

  • Attenersi al principio dei privilegi minimi, concedendo agli account nell'elenco di accesso alla pubblicazione solo le autorizzazioni necessarie per eseguire le attività di replica.Follow the principle of least privilege by allowing logins in the PAL only the permissions the logins must have to perform replication tasks. Non aggiungere gli account di accesso a ruoli predefiniti del database o del server che non sono necessari per la replica.Do not add the logins to any fixed database roles or server roles that are not required for replication. Per ulteriori informazioni sulle autorizzazioni necessarie, vedere Replication Agent Security Model e Replication Security Best Practices.For more information about the permissions that are required, see Replication Agent Security Model and Replication Security Best Practices.

  • Se si usano un server di distribuzione remoto, gli account nell'elenco di accesso alla pubblicazione devono essere disponibili sia nel server di pubblicazione che nel server di distribuzione.If a remote Distributor is used, accounts in the PAL must be available at both the Publisher and the Distributor. L'account deve essere un account di dominio o un account locale definito in entrambi i server.The account must be either a domain account or a local account that is defined at both servers. Le password associate a entrambi gli account di accesso devono essere identiche.The passwords associated with both logins must be the same.

  • Se l'elenco di accesso alla pubblicazione contiene account di Windows e il dominio utilizza Active Directory, l'account con cui viene eseguito SQL ServerSQL Server deve disporre dell'autorizzazione di lettura da Active Directory.If the PAL contains Windows accounts and the domain uses Active Directory, the account under which SQL ServerSQL Server runs must have permissions to read from Active Directory. In caso di problemi con gli account di Windows, assicurarsi che l'account utilizzato per l'esecuzione di SQL ServerSQL Server disponga di autorizzazioni sufficienti.If you experience issues with Windows accounts, make sure that the account under which SQL ServerSQL Server runs has sufficient permissions. Per ulteriori informazioni, vedere la documentazione di Windows.For more information, see the Windows documentation.

    Per gestire l'elenco di accesso alla pubblicazione, vedere Gestire gli account nell'elenco di accesso alla pubblicazione.To manage the PAL, see Manage Logins in the Publication Access List.

agente snapshotSnapshot Agent

Per ogni pubblicazione esiste un solo agente snapshot.There is one Snapshot Agent for each publication. Per altre informazioni, vedere Create a Publication.For more information, see Create a Publication.

Recapito snapshot FTPFTP Snapshot Delivery

Se si specifica che gli snapshot devono essere resi disponibili tramite una condivisione FTP anziché una condivisione UNC, quando si configura l'accesso FTP è necessario specificare un account di accesso e una password.If you specify that snapshots should be made available through an FTP share rather than a UNC share, you must specify a login and password when configuring FTP access. Per altre informazioni, vedere Recapitare uno snapshot tramite FTP.For more information, see Deliver a Snapshot Through FTP.

Agente di lettura logLog Reader Agent

Per ogni database pubblicato per la replica transazionale, esiste un solo agente di lettura log.There is one Log Reader Agent for each database published for transactional replication. Per altre informazioni, vedere Create a Publication.For more information, see Create a Publication.

Agente di lettura codaQueue Reader Agent

Per tutti i server di pubblicazione e le pubblicazioni (che consentono le sottoscrizioni ad aggiornamento in coda) associate a uno specifico database di distribuzione esiste un solo agente di lettura coda.There is one Queue Reader Agent for all Publishers and publications (that allow queued updating subscriptions) associated with a given Distributor. Per altre informazioni, vedere Abilitare le sottoscrizioni aggiornabili per le pubblicazioni transazionali.For more information, see Enable Updating Subscriptions for Transactional Publications.

Vedere ancheSee Also

Abilitare connessioni crittografate al motore di database (Gestione configurazione SQL Server) Enable Encrypted Connections to the Database Engine (SQL Server Configuration Manager)
Replication Security Best Practices Replication Security Best Practices
Sicurezza e protezione (replica)Security and Protection (Replication)