Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los siguientes agentes de replicación se conectan al publicador:
Agente lector de logs
Agente de instantáneas
Agente de lectura de cola
Agente de mezcla
Se recomienda proporcionar un inicio de sesión adecuado para estos agentes, seguir el principio de conceder los derechos mínimos necesarios y proteger el almacenamiento de todas las contraseñas. Para obtener información sobre los permisos necesarios para cada agente, consulte Modelo de seguridad del agente de replicación.
Además de administrar adecuadamente los inicios de sesión y las contraseñas, debe comprender el rol de la lista de acceso a la publicación (PAL). La PAL se usa para permitir el acceso a los datos de publicación mediante los inicios de sesión, mientras se restringe el acceso puntual a la base de datos en el editor.
Lista de acceso a la publicación
El PAL es el mecanismo principal para asegurar publicaciones en la editorial. La PAL funciona de forma similar a una lista de control de acceso de Microsoft Windows. Al crear una publicación, la replicación crea un PAL para la publicación. El PAL se puede configurar para que contenga una lista de inicios de sesión y grupos a los que se concede acceso a la publicación. Cuando un agente se conecta al publicador o al distribuidor y solicita acceso a una publicación, la información de autenticación en la PAL se compara con el inicio de sesión del publicador que proporciona el agente. Este proceso proporciona seguridad adicional para el publicador evitando que una herramienta cliente use directamente el inicio de sesión del publicador y el distribuidor para realizar modificaciones en el publicador.
Nota:
La replicación crea un rol en el publicador para cada publicación para aplicar la pertenencia a PAL. El rol tiene un nombre en el formato Msmerge_<PublicationID> para la replicación de combinación y MSReplPAL_<PublicationDatabaseID>_<PublicationID> para la replicación transaccional y de instantáneas.
De forma predeterminada, los siguientes inicios de sesión se incluyen en la PAL: los miembros del rol fijo de servidor sysadmin en el momento en que se crea la publicación y el inicio de sesión que se usa para crear la publicación. Por defecto, todos los usuarios que son miembros del rol fijo de servidor sysadmin o del rol fijo de base de datos db_owner en la base de datos de publicación pueden suscribirse a una publicación sin necesidad de ser agregados explícitamente a la PAL.
Cuando use el PAL, tenga en cuenta los siguientes lineamientos:
Debe asociar el inicio de sesión de SQL Server con un usuario de la base de datos en la base de datos de publicación antes de agregar el inicio de sesión a la PAL.
Siga el principio de privilegios mínimos permitiendo que los inicios de sesión en la PAL solo tengan los permisos necesarios para realizar tareas de replicación. No agregue los inicios de sesión a ningún rol fijo de base de datos ni roles de servidor que no sean necesarios para la replicación. Para obtener más información sobre los permisos necesarios, consulte Replication Agent Security Model and Replication Security Best Practices.
Si se usa un distribuidor remoto, las cuentas de la PAL deben estar disponibles tanto en el publicador como en el distribuidor. La cuenta debe ser una cuenta de dominio o una cuenta local definida en ambos servidores. Las contraseñas asociadas a ambos inicios de sesión deben ser las mismas.
Si la PAL contiene cuentas de Windows y el dominio usa Active Directory, la cuenta con la que se ejecuta SQL Server debe tener permisos para leer desde Active Directory. Si experimenta problemas con las cuentas de Windows, asegúrese de que la cuenta con la que se ejecuta SQL Server tiene permisos suficientes. Para obtener más información, consulte la documentación de Windows.
Para administrar la PAL, consulte Administrar inicios de sesión en la lista de acceso a la publicación.
Agente de instantáneas
Hay un Agente de instantáneas para cada publicación. Para obtener más información, vea Crear una publicación.
Entrega de instantáneas FTP
Si especifica que las instantáneas deben estar disponibles a través de un recurso compartido FTP en lugar de un recurso compartido UNC, debe especificar un inicio de sesión y una contraseña al configurar el acceso FTP. Para obtener más información, consulte Entrega de una instantánea a través de FTP.
Agente lector de logs
Hay un Agente de lectura de registros para cada base de datos publicada para la replicación transaccional. Para obtener más información, vea Crear una publicación.
Agente de lectura de cola
Hay un agente lector de colas para todos los publicadores y publicaciones (que permiten suscripciones de actualización en cola) asociadas a un distribuidor específico. Para obtener más información, vea Habilitar suscripciones de actualización para publicaciones transaccionales.
Véase también
Habilitar conexiones cifradas en el motor de base de datos (Administrador de configuración de SQL Server)
Procedimientos recomendados de seguridad de replicación
Seguridad de replicación de SQL Server