Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy:
SQL Server 2016 (13.x) SQL Server 2017 (14.x) SQL Server 2019 (15.x)
Ważne
Odtwarzanie rozproszone programu SQL Server nie jest dostępne w programie SQL Server 2022 (16.x) i nowszych wersjach.
Przed zainstalowaniem i użyciem funkcji rozproszonego odtwarzania programu Microsoft SQL Server zapoznaj się z ważnymi informacjami o zabezpieczeniach w tym artykule. W tym artykule opisano kroki konfiguracji zabezpieczeń po instalacji, które są wymagane przed użyciem rozproszonego odtwarzania. W tym artykule opisano również ważne zagadnienia dotyczące ochrony danych i ważnych kroków usuwania.
Konta użytkowników i usług
W poniższej tabeli opisano konta używane do Distributed Replay. Po instalacji rozproszonego odtwarzania należy przypisać podmioty zabezpieczeń, w których będą uruchomione konta usługowe kontrolera i klienta. Dlatego zalecamy skonfigurowanie odpowiednich kont użytkowników domeny przed zainstalowaniem funkcji rozproszonego odtwarzania.
| Konto użytkownika | Wymagania |
|---|---|
| Konto usługi kontrolera Distributed Replay programu SQL Server 1 | Może to być konto użytkownika domeny lub konto użytkownika lokalnego. Jeśli używasz konta użytkownika lokalnego, narzędzie administracyjne, kontroler i klient muszą być uruchomione na tym samym komputerze. |
| Konto usługi klienta rozproszonego odtwarzania programu SQL Server 1 | Może to być konto użytkownika domeny lub konto użytkownika lokalnego. Jeśli używasz konta użytkownika lokalnego, kontroler, klient i docelowy program SQL Server musi być uruchomiony na tym samym komputerze. |
| Interaktywne konto użytkownika używane do uruchamiania narzędzia administracyjnego rozproszonego odtwarzania | Może być użytkownikiem lokalnym lub kontem użytkownika domeny. Aby użyć konta użytkownika lokalnego, narzędzie administracyjne i kontroler muszą być uruchomione na tym samym komputerze. |
1 Nie dodawaj tego konta do lokalnej grupy Administratorzy w systemie Windows.
Ważne
Podczas konfigurowania kontrolera rozproszonego odtwarzania można określić co najmniej jedno konto użytkownika do uruchamiania usług klienta rozproszonego odtwarzania z następującej listy obsługiwanych kont:
- Konto użytkownika domeny
- Użytkownik utworzył konto użytkownika lokalnego
- administratorzy
- Konto wirtualne i konto MSA (Konto zarządzanej usługi)
- Usługi sieciowe, usługi lokalne i system
Konta grupy (lokalne lub domena) i inne wbudowane konta (takie jak Wszyscy) nie są akceptowane.
Aby ustawić konta usług lub ich hasła po zainstalowaniu rozproszonego odtwarzania, możesz użyć narzędzia Usługi systemu Windows. Aby zmienić konta usług skojarzone z kontrolerem rozproszonego odtwarzania lub usługami klienckimi, wykonaj następujące kroki:
Wykonaj jedną z następujących czynności w zależności od systemu operacyjnego:
- Wybierz Start, wpisz services.msc w polu Wyszukaj, a następnie naciśnij Enter.
- Wybierz pozycję Start, wybierz pozycję Uruchom, wpisz services.msc, a następnie naciśnij Enter.
W oknie dialogowym Usługi kliknij prawym przyciskiem myszy usługę, którą chcesz skonfigurować, a następnie wybierz polecenie Właściwości.
Na karcie Logowanie wybierz pozycję To konto.
Skonfiguruj konto użytkownika, którego chcesz użyć.
Uprawnienia do plików i folderów
Po określeniu kont usług należy przyznać niezbędne uprawnienia do plików i folderów do tych kont usług. Skonfiguruj uprawnienia do plików i folderów zgodnie z poniższą tabelą:
| Konto | Uprawnienia do folderu |
|---|---|
| Konto usługi kontrolera rozproszonego odtwarzania programu SQL Server |
<Controller_Installation_Path>\DReplayController (Odczyt, zapis, usuwanie)DReplayServer.xml plik (odczyt, zapis) |
| Konto usługi rozproszonego odtwarzania klienta programu SQL Server |
<Client_Installation_Path>\DReplayClient (Odczyt, zapis, usuwanie)DReplayClient.xml plik (odczyt, zapis)Katalogi robocze i wynikowe, określone w pliku konfiguracji klienta przez elementy WorkingDirectory i ResultDirectory, odpowiednio. (Odczyt, Zapis) |
Uprawnienia DCOM
DCOM jest używany do zdalnego wywołania procedur (RPC) między kontrolerem a narzędziem administracyjnym oraz między kontrolerem a wszystkimi klientami. Należy skonfigurować uprawnienia DCOM dla całego komputera i aplikacji na kontrolerze po zainstalowaniu funkcji rozproszonego odtwarzania.
Aby skonfigurować uprawnienia kontrolera DCOM, wykonaj następujące kroki:
Otwórz
dcomcnfg.exePrzystawkę Usługi Składników: Użyj tego narzędzia, aby skonfigurować uprawnienia DCOM.- Na komputerze kontrolera wybierz pozycję Uruchom.
- Wpisz
dcomcnfg.exew polu Wyszukaj. - Naciśnij Enter.
Konfigurowanie uprawnień dcOM dla całego komputera: Przyznaj odpowiednie uprawnienia DCOM dla każdego konta wymienionego w poniższej tabeli. Aby uzyskać więcej informacji na temat ustawiania uprawnień dla całego komputera, zobacz Lista kontrolna: Zarządzanie aplikacjami DCOM.
Skonfiguruj uprawnienia DCOM specyficzne dla aplikacji: przyznaj odpowiednie uprawnienia DCOM specyficzne dla aplikacji dla każdego konta wymienionego w poniższej tabeli. Nazwa aplikacji DCOM dla usługi kontrolera to
DReplayController. Aby uzyskać więcej informacji na temat ustawiania uprawnień specyficznych dla aplikacji, zobacz Lista kontrolna: Zarządzanie aplikacjami DCOM.
W poniższej tabeli opisano, które uprawnienia modelu DCOM są wymagane dla interaktywnego konta użytkownika narzędzia administracyjnego i kont usługi klienta:
| Funkcja | Konto | Wymagane uprawnienia DCOM na kontrolerze |
|---|---|---|
| Rozproszone narzędzie do administrowania odtwarzaniem | Interakcyjne konto użytkownika | Dostęp lokalny Dostęp zdalny Uruchamianie lokalne Zdalne uruchamianie Aktywacja lokalna Aktywacja zdalna |
| Klient rozproszonego odtwarzania | Konto usługi rozproszonego odtwarzania klienta programu SQL Server | Dostęp lokalny Dostęp zdalny Uruchamianie lokalne Zdalne uruchamianie Aktywacja lokalna Aktywacja zdalna |
Ważne
Aby chronić przed złośliwymi zapytaniami lub atakami typu "odmowa usługi", upewnij się, że używasz tylko zaufanego konta użytkownika dla konta usługi klienta. To konto może łączyć i powtarzać obciążenia względem docelowego wystąpienia programu SQL Server.
Uprawnienia programu SQL Server
Konta usługi klienta rozproszonego odtwarzania programu SQL Server są używane do nawiązywania połączenia z docelowym wystąpieniem obciążenia programu SQL Server. Tylko tryb uwierzytelniania systemu Windows jest obsługiwany dla tych połączeń.
Po zainstalowaniu usługi klienta rozproszonego odtwarzania programu SQL Server na zestawie komputerów jednostka zabezpieczeń używana dla tych kont usług musi mieć przypisaną rolę serwera sysadmin w wystąpieniu programu SQL Server, względem którego zamierzasz odtworzyć obciążenie śledzenia. Ten krok nie jest wykonywany automatycznie podczas instalacji rozproszonego odtwarzania.
Ochrona danych
W środowisku rozproszonego odtwarzania następujące konta użytkowników mają pełny dostęp do docelowego wystąpienia serwera programu SQL Server, danych śledzenia danych wejściowych i plików śledzenia wyników:
Interaktywne konto użytkownika używane do uruchamiania narzędzia administracyjnego.
Konto usługi kontrolera.
Konto usługi klienta.
Członkowie lokalnej grupy Administratorzy na serwerze kontrolera domeny.
Członkowie lokalnej grupy Administratorzy na komputerach klienckich.
Ważne
Te konta mają pełny dostęp do wszelkich danych osobowych lub poufnych informacji zawartych w plikach danych śledzenia, pośrednich, wysyłania lub plikach danych SQL Server, które były używane przy rozproszonym odtwarzaniu.
Wykonaj następujące środki ostrożności dotyczące zabezpieczeń:
Zapisz dane śledzenia danych wejściowych, wyniki śledzenia danych wyjściowych i pliki bazy danych w lokalizacji korzystającej z systemu plików NTFS (NTFS) i zastosuj odpowiednie listy kontroli dostępu (ACL). W razie potrzeby zaszyfruj dane przechowywane na komputerze z programem SQL Server. ACL-e nie są stosowane do plików śledzenia i nie ma maskowania ani zaciemniania danych. Te pliki należy usunąć szybko po użyciu.
Zastosuj odpowiednie listy ACL i zasady przechowywania do wszystkich plików pośrednich i wysyłania generowanych przez Distributed Replay.
Użyj protokołu Transport Layer Security (TLS), aby zabezpieczyć transport sieciowy.
Ważne kroki usuwania
W środowisku testowym należy używać tylko rozproszonego odtwarzania. Po zakończeniu testowania i przed użyciem tych komputerów do innego zadania upewnij się, że wykonasz następujące czynności:
Odinstaluj funkcje rozproszonego odtwarzania i usuń powiązane pliki konfiguracji z kontrolera i wszystkich klientów.
Usuń wszystkie pliki śledzenia, pośrednie, wysyłania i bazy danych programu SQL Server, które zostały użyte do testowania. Pliki pośrednie i wysyłane są przechowywane odpowiednio w katalogu roboczym na kontrolerze i kliencie.