Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft SQL Server permite un control específico sobre la configuración de la seguridad de sincronización web. En este tema se proporciona una lista completa de todos los componentes que se pueden incluir en una configuración de sincronización web e información sobre las conexiones realizadas entre componentes. Siempre que sea posible, utilice la autenticación de Windows.
En la ilustración siguiente se muestran todas las conexiones posibles, pero es posible que algunas conexiones no sean necesarias en una topología determinada. Por ejemplo, solo se requiere una conexión a un servidor FTP si la instantánea se entrega mediante FTP.
En las tablas siguientes se describen los componentes y las conexiones que se muestran en la ilustración.
A. Usuario de Windows en el que se ejecuta el Agente de mezcla
Durante la sincronización, el Agente de combinación (A) se inicia en el Suscriptor. El Agente de mezcla se puede iniciar desde un paso de trabajo del Agente SQL Server o desde una aplicación personalizada independiente. Si el Agente de mezcla se inicia desde un paso de trabajo del Agente SQL Server, el Agente de mezcla se ejecuta en el contexto de un usuario de Windows que especifique. Si no especifica un usuario de Windows, el Agente de mezcla se ejecuta en el contexto de la cuenta de servicio de Windows para el Agente SQL Server.
| Tipo de cuenta | Dónde se especifica la cuenta |
|---|---|
| Usuario de Windows | Transact-SQL: los parámetros @job_login y @job_password de sp_addmergepullsubscription_agent. RMO (Objetos de administración de replicación): las propiedades Login y Password de SynchronizationAgentProcessSecurity. |
| Cuenta de servicio de Windows para el Agente SQL Server | Administrador de configuración de SQL Server |
| Aplicación independiente | El Agente de mezcla se ejecuta en el contexto del usuario de Windows que ejecuta la aplicación. |
B. Conexión al suscriptor
El Agente de mezcla se conecta al suscriptor mediante la autenticación de Windows o la autenticación de SQL Server. El usuario de Windows o el inicio de sesión de SQL Server que especifique deben estar asociados a un usuario de base de datos que sea miembro del rol fijo de base de datos dbowner en la base de datos de suscripciones.
Nota:
La autenticación de Windows siempre se usa cuando se inicia el Agente de mezcla desde un trabajo del Agente SQL Server. La autenticación de Windows también se usa cuando el Agente de mezcla se inicia mediante programación a menos que se especifique explícitamente la autenticación de SQL Server.
| Tipo de autenticación | Donde se especifica la autenticación |
|---|---|
| Autenticación de Windows. | El Agente de mezcla realiza conexiones en el contexto del usuario de Windows especificado para el Agente de mezcla (A). |
| La autenticación de SQL Server solo se usa si se especifica lo siguiente: RMO: un valor de Standard para SubscriberSecurityMode. Línea de comandos del Agente de combinación: un valor de 0 para ModoDeSeguridadDelSuscriptor. |
RMO: SubscriberLogin y SubscriberPassword. Línea de comandos del Agente de mezcla: -SubscriberLogin y -SubscriberLogin. |
C. Conexión a un servidor proxy saliente
Especifique un usuario de Windows para esta conexión solo si hay un servidor proxy saliente que restrinja el acceso a la red interna del suscriptor.
| Tipo de autenticación | Donde se especifica la autenticación |
|---|---|
| Autenticación de Windows | RMO: InternetProxyLogin y InternetProxyPassword con InternetProxyServer. Línea de comandos del Agente de mezcla: -InternetProxyLogin y -InternetProxyPassword con -InternetProxyServer. |
D. Conexión a IIS
Después de conectarse al suscriptor y extraer los cambios de la base de datos de suscripciones, el Agente de mezcla realiza una solicitud HTTPS a Microsoft Internet Information Services (IIS) y carga los cambios de datos como un mensaje XML. El Agente de mezcla debe tener permisos de inicio de sesión en IIS.
| Tipo de autenticación | Donde se especifica la autenticación |
|---|---|
| La autenticación básica se usa si se especifica una de las siguientes opciones: Transact-SQL: un valor de 0 para el parámetro @internet_security_mode de sp_addmergepullsubscription_agent. RMO: un valor de Standard para InternetSecurityMode. Línea de comandos del Agente de mezcla: un valor de 0 para -InternetSecurityMode. |
Transact-SQL: los parámetros @internet_login y @internet_password de sp_addmergepullsubscription_agent. RMO: InternetLogin y InternetPassword. Línea de comandos del Agente de mezcla: -InternetLogin y -InternetPassword. |
| La autenticación integrada* se usa si se especifica una de las siguientes opciones: Transact-SQL: un valor de 1 para el parámetro @internet_security_mode de sp_addmergepullsubscription_agent. RMO: un valor de Integrated para InternetSecurityMode. Línea de comandos del Agente de mezcla: un valor de 1 para -InternetSecurityMode. |
El Agente de mezcla realiza conexiones en el contexto del usuario de Windows especificado para el Agente de mezcla (A). |
*La autenticación integrada solo se puede usar si todos los equipos están en el mismo dominio o están en varios dominios que tienen relaciones de confianza entre sí.
Nota:
La delegación es necesaria si usa la autenticación integrada. Se recomienda usar la autenticación básica y SSL para las conexiones del suscriptor a IIS.
E. Conexión al publicador
Los componentes del agente de escucha de replicación de SQL Server y del reconciliador de replicación de mezcla se hospedan en el equipo que ejecuta IIS. Estos componentes realizan las siguientes acciones:
Recoja la solicitud HTTPS que se describe en el apartado «D». Conexión a IIS".
Realice una conexión SQL a la base de datos de publicación y aplique los cambios cargados en la base de datos de publicación.
Extraiga los cambios descargados y envíe una respuesta HTTPS al Agente de mezcla.
El reconciliador de replicación de mezcla se conecta al publicador mediante la autenticación de Windows o la autenticación de SQL Server. El usuario de Windows o el inicio de sesión de SQL Server que especifique deben cumplir lo siguiente:
Formar parte de la lista de acceso a la publicación (PAL). Para obtener más información, vea Proteger el publicador.
Estar asociado a un usuario de la base de datos de publicación.
| Tipo de autenticación | Donde se especifica la autenticación |
|---|---|
| La autenticación de Windows se usa si se especifica una de las siguientes opciones: Transact-SQL: un valor de 1 para el parámetro @publisher_security_mode de sp_addmergepullsubscription_agent. RMO: un valor de Integrated para PublisherSecurityMode. Línea de comandos del Agente de mezcla: un valor de 1 para -PublisherSecurityMode. |
El Agente de mezcla realiza conexiones con el publicador en el contexto del usuario de Windows que se especifica para la conexión a IIS (D). Si el publicador e IIS están en equipos diferentes y la autenticación integrada se usa para la conexión (D), debe habilitar la delegación Kerberos en el equipo que ejecuta IIS. Para obtener más información, consulte la documentación de Windows. |
| La autenticación de SQL Server se usa si se especifica una de las siguientes opciones: Transact-SQL: un valor de 0 para el parámetro @publisher_security_mode de sp_addmergepullsubscription_agent. RMO: un valor de Standard para PublisherSecurityMode. Línea de comandos del Agente de mezcla: un valor de 0 para -PublisherSecurityMode. |
Transact-SQL: los parámetros @publisher_login y @publisher_password de sp_addmergepullsubscription_agent. RMO: PublisherLogin y PublisherPassword. Línea de comandos del Agente de mezcla: -PublisherLogin y -PublisherPassword. |
F. Conexión al distribuidor
El reconciliador de replicación de mezcla hospedado en el equipo que ejecuta IIS también realiza conexiones con el distribuidor. El reconciliador de replicación de mezcla se conecta al distribuidor mediante la autenticación de Windows o la autenticación de SQL Server. El usuario de Windows o el inicio de sesión de SQL Server que especifique deben cumplir lo siguiente:
Esté en la lista de acceso a la publicación (PAL). Para obtener más información, vea Proteger el publicador.
Estar asociado a un usuario de base de datos en la base de datos de distribución. El usuario puede ser el
Guestusuario.
El recurso de compartición de instantáneas suele estar en el Distribuidor. Para obtener más información sobre los recursos compartidos de instantáneas, consulte la sección "H. Acceso al recurso compartido de instantáneas" más adelante en este tema.
| Tipo de autenticación | Donde se especifica la autenticación |
|---|---|
| La autenticación de Windows se usa si se especifica una de las siguientes opciones: Transact-SQL: un valor de 1 para el parámetro @distributor_security_mode de sp_addmergepullsubscription_agent. RMO: un valor de Integrated para DistributorSecurityMode. Línea de comandos del Agente de mezcla: un valor de 1 para -DistributorSecurityMode. |
El Agente de mezcla realiza conexiones al Distribuidor en el contexto del usuario de Windows especificado para la conexión a IIS (D). Si el distribuidor y IIS están en equipos diferentes y la autenticación integrada se usa para la conexión (D), debe habilitar la delegación kerberos en el equipo que ejecuta IIS. Para obtener más información, consulte la documentación de Windows. |
| La autenticación de SQL Server se usa si se especifica una de las siguientes opciones: Transact-SQL: un valor de 0 para el parámetro @distributor_security_mode de sp_addmergepullsubscription_agent. RMO: un valor de Standard para DistributorSecurityMode. Línea de comandos del Agente de mezcla: un valor de 0 para -DistributorSecurityMode. |
Transact-SQL: los parámetros @distributor_login y @distributor_password de sp_addmergepullsubscription_agent. RMO: DistributorLogin y DistributorPassword Línea de comandos del Agente de mezcla: -DistributorLogin y -DistributorPassword. |
G. Conexión a un servidor FTP
Especifique un usuario de Windows para esta conexión solo si descargará archivos de instantáneas desde un servidor FTP, en lugar de desde una ubicación UNC, al equipo que ejecuta IIS antes de aplicar la instantánea al suscriptor. Para obtener más información, vea Transferir instantáneas mediante FTP.
| Tipo de autenticación | Donde se especifica la autenticación |
|---|---|
| Autenticación de Windows | Transact-SQL: los parámetros @ftp_login y @ftp_password de sp_addmergepublication. RMO: FtpLogin y FtpPassword. |
H. Acceso al compartido de instantáneas
El recurso compartido de capturas instantáneas es accedido por el reconciliador de replicación de mezcla que está alojado en el equipo que ejecuta IIS.
| Tipo de autenticación | Donde se especifica la autenticación |
|---|---|
| Autenticación de Windows | El Agente de mezcla accede al recurso compartido de instantáneas en el contexto del usuario de Windows especificado para la conexión a IIS (D). Si el recurso compartido de instantáneas e IIS están en equipos diferentes y se utiliza la autenticación integrada para la conexión (D), debe habilitar la delegación Kerberos en el equipo que ejecuta IIS. Para obtener más información, consulte la documentación de Windows. |
I. Cuenta de grupo de aplicaciones para IIS
Esta cuenta se usa para iniciar el proceso de W3wp.exe en el equipo que ejecuta IIS para Windows Server 2003 o el proceso de Dllhost.exe en Windows 2000. Estos procesos hospedan aplicaciones en el equipo que ejecuta IIS, como el Listener de Replicación de SQL Server y el Reconciliador de Replicación de Combinación. Esta cuenta debe tener permisos de lectura y ejecución en los siguientes archivos DLL de replicación en el equipo que ejecuta IIS:
Replisapi
Replrec
Replprov
Msgprox
Xmlsub
La cuenta también debe formar parte de IIS_WPG grupo. Para obtener más información, vea la sección "Establecer permisos para el agente de escucha de replicación de SQL Server" en Configurar IIS para la sincronización web.
| Tipo de cuenta | Dónde se especifica la cuenta |
|---|---|
| Cualquier usuario de Windows que tenga los permisos necesarios. | Administrador de Internet Information Services (IIS). |
Véase también
Configurar sincronización web
Agente de Fusión de Replicación