Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a:
SQL Server 2016 (13.x) SQL Server 2017 (14.x) SQL Server 2019 (15.x)
Importante
SQL Server Distributed Replay no está disponible con SQL Server 2022 (16.x) y versiones posteriores.
Antes de instalar y usar la característica Distributed Replay de Microsoft SQL Server, revise la información de seguridad importante de este artículo. En este artículo se describen los pasos de configuración de seguridad posteriores a la instalación necesarios para poder usar Distributed Replay. En este artículo también se describen consideraciones importantes sobre la protección de datos y los pasos de eliminación importantes.
Cuentas de usuario y servicio
En la tabla siguiente se describen las cuentas que se utilizan para Distributed Replay. Después de la instalación de Distributed Replay, debe asignar las entidades de seguridad que se ejecutarán como cuentas de servicio del controlador y del cliente. Por tanto, se recomienda configurar las cuentas de usuario de dominio correspondientes antes de instalar las características de Distributed Replay.
| Cuenta de usuario | Requisitos |
|---|---|
| Cuenta de servicio de controlador de Distributed Replay de SQL Server 1 | Puede ser una cuenta de usuario de dominio o una cuenta de usuario local. Si usa una cuenta de usuario local, la herramienta de administración, controlador, y el cliente deben estar ejecutándose en el mismo equipo. |
| Cuenta de servicio de cliente de Distributed Replay de SQL Server 1 | Puede ser una cuenta de usuario de dominio o una cuenta de usuario local. Si usa una cuenta de usuario local, el controlador, el cliente, y el destino SQL Server deben ejecutarse en el mismo equipo. |
| Cuenta de usuario interactivo que se usa para ejecutar la herramienta de administración de Distributed Replay | Puede ser una cuenta de usuario local o de usuario de dominio. Para utilizar una cuenta de usuario local, la herramienta de administración y el controlador se deben estar ejecutando en el mismo equipo. |
1 No agregue esta cuenta al grupo administradores local en Windows.
Importante
Al configurar distributed Replay Controller, puede especificar una o varias cuentas de usuario para ejecutar los servicios cliente de Distributed Replay, de la siguiente lista de cuentas admitidas:
- Cuenta de usuario de dominio
- Cuenta de usuario local creada por el usuario
- Administrador
- Cuenta virtual y MSA (cuenta de servicio administrada)
- Network Services, servicios locales y sistema
No se aceptan cuentas de grupo (locales o de dominio) y otras cuentas integradas (como Todos).
Para establecer las cuentas de servicio o las contraseñas después de instalar Distributed Replay, puede usar la herramienta Servicios de Windows. Para cambiar las cuentas de servicio asociadas a los servicios de Distributed Replay Controller o Client , siga estos pasos:
Realice una de las operaciones siguientes, en función del sistema operativo:
- Seleccione Inicio, escriba services.msc en el cuadro Buscar y presione Entrar.
- Seleccione Iniciar, seleccione Ejecutar, escriba services.msc y presione Entrar.
En el cuadro de diálogo Servicios, haga clic con el botón derecho en el servicio que quiera configurar y, después, seleccione Propiedades.
En la pestaña Iniciar sesión, seleccione Esta cuenta.
Configure la cuenta de usuario que desea utilizar.
Permisos de archivos y carpetas
Una vez especificadas las cuentas de servicio, debe conceder los permisos de archivo y carpeta necesarios a esas cuentas de servicio. Configure los permisos de carpetas y archivos según la tabla siguiente:
| Cuenta | Permisos de carpeta |
|---|---|
| Cuenta de servicio SQL Server Distributed Replay Controller |
<Controller_Installation_Path>\DReplayController (lectura, escritura, eliminación)DReplayServer.xml archivo (lectura, escritura) |
| Cuenta de servicio del cliente de SQL Server Distributed Replay |
<Client_Installation_Path>\DReplayClient (lectura, escritura, eliminación)DReplayClient.xml archivo (lectura, escritura)Los directorios de trabajo y resultado, como se especifica en el archivo de configuración del cliente mediante los elementos WorkingDirectory y ResultDirectory , respectivamente. (Lectura, escritura) |
Permisos DCOM
DCOM se usa para la comunicación de llamada a procedimiento remoto (RPC) entre el controlador y la herramienta de administración, y entre el controlador y todos los clientes. Debe configurar permisos DCOM tanto a nivel de equipo como específicos de la aplicación en el controlador después de instalar las características de Distributed Replay.
Para configurar los permisos DCOM del controlador, siga estos pasos.
Abra
dcomcnfg.exe, el complemento Servicios de componentes: use esta herramienta para configurar permisos DCOM.- En el equipo del controlador, seleccione Inicio.
- Escriba
dcomcnfg.exeen el cuadro Buscar . - Presione ENTRAR.
Configure los permisos DCOM para todo el equipo: conceda los permisos correspondientes DCOM a todos los equipos para cada cuenta que aparece en la tabla siguiente. Para más información sobre cómo establecer permisos a todos los equipos, consulte Lista de comprobación: administrar aplicaciones DCOM.
Configure los permisos DCOM específicos de la aplicación: concede los permisos DCOM específicos de la aplicación correspondiente para cada cuenta que se muestra en la tabla siguiente. El nombre de la aplicación DCOM para el servicio de controlador es
DReplayController. Para más información sobre cómo establecer permisos específicos de la aplicación, consulte Lista de comprobación: administrar aplicaciones DCOM.
En la tabla siguiente se describen los permisos DCOM necesarios para la cuenta de usuario interactivo de herramienta de administración y las cuentas de servicio de cliente:
| Característica | Cuenta | Permisos DCOM necesarios en el controlador |
|---|---|---|
| Herramienta de administración de Distributed Replay | Cuenta de usuario interactivo | Acceso local Acceso remoto Inicio local Inicio remoto Activación local Activación remota |
| Cliente de Distributed Replay | Cuenta de servicio del cliente de SQL Server Distributed Replay | Acceso local Acceso remoto Inicio local Inicio remoto Activación local Activación remota |
Importante
Para protegerse frente a consultas malintencionadas o ataques de denegación de servicio, asegúrese de que utiliza solo un usuario de confianza para la cuenta de servicio del cliente. Esta cuenta puede conectarse y reproducir cargas de trabajo en la instancia de destino de SQL Server.
Permisos de SQL Server
Las cuentas del servicio de cliente SQL Server Distributed Replay se usan para conectarse a la instancia de destino de la carga de trabajo de SQL Server. Solo se admite el modo de autenticación de Windows para estas conexiones.
Después de instalar el servicio SQL Server Distributed Replay Client en un conjunto de equipos, se debe conceder al rol de servidor sysadmin en la instancia de SQL Server, la entidad de seguridad que se ha usado para las cuentas de servicio en las que se quiere reproducir la carga de trabajo de seguimiento. Este paso no se realiza automáticamente durante la instalación de Distributed Replay.
Protección de los datos
En el entorno distributed Replay, a las siguientes cuentas de usuario se les concede acceso completo a la instancia de servidor de destino de SQL Server, los datos de seguimiento de entrada y los archivos de seguimiento de resultados:
La cuenta de usuario interactivo que se usa para ejecutar la herramienta de administración.
La cuenta de servicio del controlador.
La cuenta de servicio del cliente.
Miembros del grupo local de Administradores en el controlador.
Miembros del grupo local de Administradores en el cliente.
Importante
Estas cuentas tienen acceso total a cualquier información personal o confidencial contenida en los archivos de datos de seguimiento, intermedios, de distribución o de SQL Server usados por Distributed Replay.
Tome las siguientes precauciones de seguridad:
Almacene la información de seguimiento de entrada, resultados de seguimiento de salida y los archivos de base de datos en una ubicación que use el sistema de archivos NTFS, y aplique las listas de control de acceso (ACL) adecuadas. Si es necesario, cifre los datos almacenados en el equipo con SQL Server. Las ACL no se aplican a los archivos de seguimiento y no hay enmascaramiento ni ofuscación de datos. Debe eliminar estos archivos rápidamente después de su uso.
Aplique las ACL adecuadas y la directiva de retención a todos los archivos intermedios y de envío que Distributed Replay genera.
Use seguridad de la capa de transporte (TLS) para ayudar a proteger el transporte de red.
Pasos de eliminación importantes
Solo use Distributed Replay en un entorno de prueba. Una vez completada la prueba y antes de usar esos equipos para una tarea diferente, asegúrese de realizar los pasos siguientes:
Desinstale las características de Distributed Replay y quite archivos de configuración relacionados del controlador y todos los clientes.
Elimine cualquier archivo de seguimiento, intermedio, de distribución y de base de datos de SQL Server que se haya utilizado para realizar pruebas. Los archivos intermedios y de distribución se almacenan en el directorio de trabajo del controlador y el cliente, respectivamente.