게시자 보안 설정Secure the Publisher

게시자에 연결하는 복제 에이전트는 다음과 같습니다.The following replication agents connect to the Publisher:

  • 로그 판독기 에이전트Log Reader Agent

  • 스냅숏 에이전트Snapshot Agent

  • 큐 판독기 에이전트Queue Reader Agent

  • 병합 에이전트Merge Agent

    이러한 에이전트에 적절한 로그인을 제공하고 필요한 최소 권한만 부여하는 원칙을 따르며 모든 암호 저장소를 보호하는 것이 좋습니다.We recommend that you provide an appropriate login for these agents, follow the principle of granting the minimal rights that are required, and protect the storage of all passwords. 각 에이전트에 필요한 사용 권한에 대한 자세한 내용은 Replication Agent Security Model을 참조하십시오.For information about the permissions that are required for each agent, see Replication Agent Security Model.

    로그인과 암호를 적절하게 관리하는 것 외에도 PAL(게시 액세스 목록)의 역할을 이해해야 합니다.Besides appropriately managing logins and passwords, you should understand the role of the publication access list (PAL). PAL은 게시자에서 데이터베이스에 대한 임의 액세스를 제한하면서 로그인에 게시 데이터에 대한 액세스 권한을 설정하는 데 사용됩니다.The PAL is used to enable logins to access to publication data while restricting ad hoc access to the database at the Publisher.

게시 액세스 목록Publication Access List

PAL은 게시자의 게시 보안을 유지하는 기본 메커니즘입니다.The PAL is the primary mechanism for securing publications at the Publisher. PAL 기능은 MicrosoftMicrosoft Windows 액세스 제어 목록과 유사하게 작동합니다.The PAL functions similarly to a MicrosoftMicrosoft Windows access control list. 게시를 만들면 복제에서 게시에 대한 PAL을 만듭니다.When you create a publication, replication creates a PAL for the publication. 게시에 대한 액세스 권한이 부여된 로그인 및 그룹 목록을 포함하도록 PAL을 구성할 수 있습니다.The PAL can be configured to contain a list of logins and groups that are granted access to the publication. 에이전트가 게시자나 배포자에 연결한 다음 게시에 대한 액세스를 요청하면 PAL의 인증 정보가 에이전트에서 제공한 게시자 로그인과 비교됩니다.When an agent connects to the Publisher or Distributor and requests access to a publication, the authentication information in the PAL is compared to the Publisher login that the agent provides. 이 프로세스는 클라이언트 도구가 게시자에서 직접 수정 작업을 수행하는 데 게시자 및 배포자 로그인을 사용하지 못하도록 방지하여 게시자에 대한 보안을 강화합니다.This process provides additional security for the Publisher by preventing the Publisher and Distributor login from being used by a client tool to perform modifications on the Publisher directly.

참고

복제는 각 게시의 게시자에 PAL 멤버 자격을 적용할 역할을 만듭니다.Replication creates a role on the Publisher for each publication to enforce PAL membership. 역할 이름은 병합 복제의 경우 Msmerge_<PublicationID> 형식으로 지정되고 트랜잭션 및 스냅숏 복제의 경우 MSReplPAL_<PublicationDatabaseID>_<PublicationID> 형식으로 지정됩니다.The role has a name in the form Msmerge_<PublicationID> for merge replication and MSReplPAL_<PublicationDatabaseID>_<PublicationID> for transactional and snapshot replication.

기본적으로 PAL에는 게시 생성 시의 sysadmin 고정 서버 역할의 멤버와 게시를 만드는 데 사용된 로그인이 포함됩니다.By default, the following logins are included in the PAL: the members of the sysadmin fixed server role at the time the publication is created and the login that is used to create the publication. 기본적으로 게시 데이터베이스에서 sysadmin 고정 서버 역할이나 db_owner 고정 데이터베이스 역할의 멤버인 모든 로그인은 PAL에 명시적으로 추가하지 않아도 게시를 구독할 수 있습니다.By default, all logins that are members of the sysadmin fixed server role or the db_owner fixed database role on the publication database can subscribe to a publication without being explicitly added to the PAL.

PAL을 사용하는 경우에는 다음 지침을 유의하십시오.When you are using the PAL, consider the following guidelines:

  • PAL에 로그인을 추가하려면 먼저 게시 데이터베이스의 데이터베이스 사용자와 SQL ServerSQL Server 로그인을 연결해야 합니다.You must associate the SQL ServerSQL Server login with a database user in the publication database before adding the login to the PAL.

  • PAL의 로그인에 복제 태스크 수행에 필요한 권한만 허용하는 최소 권한 원칙을 따릅니다.Follow the principle of least privilege by allowing logins in the PAL only the permissions the logins must have to perform replication tasks. 복제 시 필요 없는 고정 데이터베이스 역할이나 서버 역할에 로그인을 추가하지 마십시오.Do not add the logins to any fixed database roles or server roles that are not required for replication. 필요한 사용 권한에 대한 자세한 내용은 Replication Agent Security ModelReplication Security Best Practices을 참조하십시오.For more information about the permissions that are required, see Replication Agent Security Model and Replication Security Best Practices.

  • 원격 배포자를 사용할 경우 PAL의 계정을 게시자와 배포자에서 모두 사용할 수 있어야 합니다.If a remote Distributor is used, accounts in the PAL must be available at both the Publisher and the Distributor. 이 계정은 두 서버 모두에 정의된 도메인 계정이나 로컬 계정이어야 합니다.The account must be either a domain account or a local account that is defined at both servers. 또한 두 로그인과 연결된 암호는 같아야 합니다.The passwords associated with both logins must be the same.

  • PAL에 Windows 계정이 포함되어 있고 도메인에서 Active Directory를 사용할 경우 SQL ServerSQL Server 를 실행하는 계정에 Active Directory에서 읽을 수 있는 권한이 있어야 합니다.If the PAL contains Windows accounts and the domain uses Active Directory, the account under which SQL ServerSQL Server runs must have permissions to read from Active Directory. Windows 계정에 문제가 발생하면 SQL ServerSQL Server 를 실행하는 계정에 충분한 사용 권한이 있는지 확인합니다.If you experience issues with Windows accounts, make sure that the account under which SQL ServerSQL Server runs has sufficient permissions. 자세한 내용은 Windows 설명서를 참조하십시오.For more information, see the Windows documentation.

    PAL을 관리하려면 게시 액세스 목록에서 로그인 관리를 참조하세요.To manage the PAL, see Manage Logins in the Publication Access List.

스냅숏 에이전트Snapshot Agent

각 게시에 하나의 스냅숏 에이전트가 있습니다.There is one Snapshot Agent for each publication. 자세한 내용은 Create a Publication을 참조하세요.For more information, see Create a Publication.

FTP 스냅숏 배달FTP Snapshot Delivery

UNC 공유가 아닌 FTP 공유를 통해서만 스냅숏을 사용할 수 있도록 지정한 경우 FTP 액세스를 구성할 때 로그인과 암호를 지정해야 합니다.If you specify that snapshots should be made available through an FTP share rather than a UNC share, you must specify a login and password when configuring FTP access. 자세한 내용은 FTP를 통해 스냅숏 배달을 참조하세요.For more information, see Deliver a Snapshot Through FTP.

로그 판독기 에이전트Log Reader Agent

트랜잭션 복제에 대해 게시된 각 데이터베이스에 하나의 로그 판독기 에이전트가 있습니다.There is one Log Reader Agent for each database published for transactional replication. 자세한 내용은 Create a Publication을 참조하세요.For more information, see Create a Publication.

큐 판독기 에이전트Queue Reader Agent

지정된 배포자와 관련된 모든 게시자와 게시(지연 업데이트 구독 허용)에 하나의 큐 판독기 에이전트가 있습니다.There is one Queue Reader Agent for all Publishers and publications (that allow queued updating subscriptions) associated with a given Distributor. 자세한 내용은 트랜잭션 게시에 대해 업데이트할 수 있는 구독 설정을 참조하세요.For more information, see Enable Updating Subscriptions for Transactional Publications.

관련 항목:See Also

데이터베이스 엔진에 암호화 연결 사용(SQL Server 구성 관리자) Enable Encrypted Connections to the Database Engine (SQL Server Configuration Manager)
Replication Security Best Practices Replication Security Best Practices
보안 및 보호(복제) Security and Protection (Replication)