Configurar o IIS 7 para sincronização da Web

Aplica-se:SQL Server

Os procedimentos neste artigo orientam você pelo processo de configuração manual dos Serviços de Informações da Internet (IIS) versão 7 e superior para uso com a sincronização da Web para replicação de mesclagem.

A configuração do IIS 7 ou mais recente é a primeira das três etapas necessárias para habilitar a sincronização da Web.

Para obter uma visão geral de todo o processo de configuração, consulte Configurar Sincronização da Web.

Verifique se seu aplicativo usa apenas o .NET Framework 2.0 ou versões posteriores e se as versões anteriores do .NET Framework não estão instaladas no servidor IIS. Versões anteriores do .NET Framework podem causar erros, como:

The format of a message during Web synchronization was invalid. Ensure that replication components are properly configured at the Web server.

Para usar a sincronização da Web, é necessário configurar o IIS concluindo as etapas a seguir. Cada etapa é descrita em detalhes neste artigo.

1. Instale e configure o Ouvinte de Replicação do SQL Server no computador que está executando o IIS.

2. Configure o TLS (Transport Layer Security), anteriormente conhecido como SSL (Secure Sockets Layer). O TSL é necessário para a comunicação entre o IIS e todos os assinantes.

3. Configure a autenticação IIS.

4. Configure uma conta e defina as permissões para o SQL Server Replication Listener.

Instalar o Ouvinte de Replicação do SQL Server

Há suporte para sincronização da Web no IIS, a partir da versão 5.0. O Assistente para Configurar Sincronização da Web das versões 5 e 6 do IIS não está disponível com o IIS versão 7.0 e superior.

Instalar e configurar o Ouvinte de Replicação do SQL Server

1. Instale a replicação do SQL Server no computador com IIS.

2. Crie um novo diretório de arquivos para replisapi.dll no computador que está executando o IIS. Você pode criar o diretório onde quiser, mas recomendamos criá-lo no diretório <disco>:\Inetpub. Por exemplo, crie o diretório <drive>:\Inetpub\SQLReplication\.

3. Copie replisapi.dll da <unidade> do diretório :\Arquivos de Programas\Microsoft SQL Server\nnn\COM\ para o diretório de arquivos que você criou na etapa 1.

4. Registre replisapi.dll:

   1. Selecione Iniciar, e depois selecione Executar. Na caixa Abrir , insira o cmd e selecione OK.

   2. No diretório criado na etapa 1, execute o comando a seguir:

      regsvr32 replisapi.dll
      

5. Crie um novo site para replicação ou use um site existente. Esse site será acessado pelos componentes de replicação durante a sincronização. Os procedimentos neste artigo pressupõem o Site Padrão. Para obter mais informações sobre como criar sites, consulte a documentação do IIS

6. Crie um diretório virtual em IIS. O diretório virtual deve ser criado no site criado na etapa 4 e deve ser mapeado para o diretório que foi criado na etapa 1. Seja o mais restritivo possível ao atribuir permissões a esse diretório. Você deve selecionar pelo menos as permissões de Leitura e Execução .

   1. No Gerenciador dos Serviços de Informações da Internet (IIS), no painel Conexões , clique com o botão direito em Site Padrãoe selecione Adicionar Diretório virtual.

   2. Para Alias, insira SQLReplication.

   3. Para Caminho Físico, insira< a unidade>:\Inetpub\SQLReplication\ e selecione OK.

7. Configure o IIS para habilitar a execução de replisapi.dll.

   1. No Gerenciador dos Serviços de Informações da Internet (IIS), selecione Site Padrão.

   2. No painel central, clique em Mapeamentos do Manipulador.

   3. No painel Ações , selecione Adicionar Mapeamento de Módulo.

   4. Para Caminho de Solicitação, insira replisapi.dll.

   5. Na lista suspensa Módulo , selecione IsapiModule.

   6. Para Executável, insira <drive>:\Inetpub\SQLReplication\replisapi.dll.

   7. Para Nome, insira Replisapi.

   8. Selecione o botão Restrições de Solicitação , selecione a guia Acesso e, em seguida, selecione Executar.

   9. Selecione OK para fechar a caixa de diálogo Restrições de Solicitação e selecione OK novamente para fechar a caixa de diálogo Adicionar Mapeamento de Módulo . Quando for solicitado que você permita a extensão ISAPI, selecione Sim para adicionar a extensão.

   10. Verifique se Replisapi.dll está listado sob os mapeamentos do manipulador Habilitados. Se estiver na lista Desabilitado, clique com o botão direito do mouse na entrada Replisapi e selecione Editar Permissões de Funcionalidade. Marque a caixa Executar e selecione OK.

Configurar a autenticação do IIS

Quando os computadores assinantes se conectam ao IIS, o IIS deve autenticar os assinantes para que eles possam acessar recursos e processos. A autenticação pode ser aplicada para o site da Web inteiro ou para o diretório virtual que você criou.

Recomendamos o uso da Autenticação Básica com TSL. O TSL é necessário, independentemente do tipo de autenticação usado.

Configurando a autenticação do IIS

1. No Gerenciador dos Serviços de Informações da Internet (IIS), selecione Site Padrão.
2. No painel do meio, clique duas vezes em Autenticação.
3. Clique com o botão direito do mouse em Autenticação Anônima e escolha Desabilitar.
4. Clique com o botão direito do mouse em Autenticação Básica e escolha Habilitar.

Configurar camada de soquetes seguros

Para configurar o TSL, especifique um certificado a ser usado pelo computador que está executando o IIS. A sincronização da Web para replicação de mesclagem suporta o uso de certificados de servidor, mas não de certificados de cliente. Para configurar o IIS para implantação, você deve obter primeiro um certificado de uma CA (autoridade de certificação). Para obter mais informações sobre certificados, consulte a documentação do IIS.

Depois de instalar o certificado, você deve associar o certificado ao site da Web que é usado pela sincronização da Web. Para desenvolvimento e testes, você pode especificar um certificado autoassinado. O IIS 7 pode criar um certificado para você e registrá-lo em seu computador.

A diferença entre a implantação para produção e os procedimentos apresentados aqui é que, em testes de produção e pré-produção, você usaria um certificado emitido por uma AC em vez de um certificado autoassinado.

Para configurar o TLS, execute as seguintes etapas:

1. Configure o site para exigir o TSL e ignorar certificados do cliente.
2. Obtenha um certificado de uma CA ou crie um certificado autoassinado.
3. Associe o certificado ao site de replicação.

Exigir segurança SSL para um site

1. No Gerenciador dos Serviços de Informações da Internet (IIS), expanda o nó do servidor local e selecione o Site Padrão (ou seu site de sincronização da Web se ele for diferente do site padrão).

2. No painel do meio, clique duas vezes em Configurações de SSL.

3. Marque a opção Exigir SSL . Em Certificados de cliente, verifique se o botão Ignorar está selecionado.

Criar um certificado autoassinado para fins de teste

1. No Gerenciador dos Serviços de Informações da Internet (IIS), selecione o nó do servidor local e, no painel central, clique duas vezes em Certificados do Servidor.

2. No painel Ações , selecione Criar Self-Signed Certificado.

3. Na caixa de diálogo Criar certificado Self-Signed , insira um nome para o certificado e selecione OK.

Associar um certificado a um site

1. No painel Conexões , selecione o Site Padrão (ou seu site de sincronização da Web, se ele for diferente do site padrão).

2. No painel Ações , selecione Associações e, em seguida, selecione Adicionar. A caixa de diálogo Adicionar Associação do Site é exibida.

3. Na lista suspensa Tipo , selecione https. Deixe as configurações padrão de Endereço IP e Porta.

4. Na lista suspensa do certificado SSL , selecione o certificado criado em "Para criar um certificado autoassinado para teste", selecione OK e selecione Fechar.

Testar o certificado

1. No Gerenciador dos Serviços de Informações da Internet (IIS), selecione Site Padrão.

2. No painel Ações , selecione Procurar *:443(https).

3. O Internet Explorer é aberto e exibe uma mensagem informando que "Há um problema com o certificado de segurança deste site". Esse aviso informa que o certificado associado não é emitido por uma AC reconhecida e pode não ser confiável. Esse é um aviso esperado, portanto, selecione Continuar para este site (não recomendado).

4. Se for solicitado que você se conecte ao localhost, insira um nome de usuário e uma senha para continuar. Você deve ver a página padrão do site.

Definir permissões para o Ouvinte de Replicação do SQL Server

Quando um computador assinante se conecta ao computador que está executando o IIS, o assinante é autenticado usando o tipo de autenticação especificado quando o IIS foi configurado. Depois de autenticar o assinante, o IIS verifica se o assinante está autorizado a chamar a replicação do SQL Server. Você controla os usuários que podem invocar a replicação do SQL Server definindo as permissões para replisapi.dll. É necessário configurar corretamente as permissões para impedir acesso não autorizado à replicação do SQL Server.

Para configurar as permissões mínimas para a conta sob a qual o SQL Server Replication Listener é executado, realize o procedimento a seguir. As etapas no procedimento a seguir se aplicam ao Windows Server 2008 executando o IIS 7.0.

Além de realizar as etapas a seguir, certifique-se de que os logons necessários estão na lista de acesso à publicação (PAL). Para obter mais informações sobre a PAL, consulte Secure the Publisher (Proteger o publicador).

A conta usada para o Ouvinte de Replicação do SQL Server deve ter permissões conforme descrito na seção "Conectar-se ao Publicador ou Distribuidor", no artigo Segurança do Agente de Mesclagem.

Em resumo, a conta deve:

• Seja um membro da lista de acesso à publicação (PAL).
• Ser mapeada para um logon associado a um usuário no banco de dados de publicação.
• Ser mapeada para um logon associado a um usuário no banco de dados de distribuição.
• Ter permissões de Leitura no compartilhamento de instantâneos.

Configurar a conta e as permissões

1. Crie uma conta local no computador que está executando o IIS:

   1. Abra o Server Manager. No menu Iniciar, clique com o botão direito do mouse em Computador e selecione Gerenciar.

   2. No Server Manager, expanda Configuraçãoe, em seguida, expanda Usuários Locais e Grupos.

   3. Clique com o botão direito em Usuários e escolha Novo Usuário.

   4. Digite um nome de usuário e uma senha forte. Limpe O usuário deve alterar a senha no próximo logon.

   5. Selecione Criar e, em seguida, selecione Fechar.

2. Adicione a conta ao grupo IIS_IUSRS:

   1. No Gerenciador do Servidor, expanda Configuração, expanda Usuários e Grupos Locais e selecione Grupos.

   2. Clique com o botão direito do mouse em IIS_IUSRS e, em seguida, clique em Adicionar ao Grupo.

   3. Na caixa de diálogo Propriedades do IIS_IUSRS , selecione Adicionar.

   4. Na caixa de diálogo Selecionar Usuários, Computadores ou Grupos , adicione a conta criada na etapa 1.

   5. Verifique se Deste local exibe o nome do computador local (não um domínio). Se esse campo não exibir o nome do computador local, selecione Locais. Na caixa de diálogo Locais , selecione o computador local e selecione OK.

   6. Na caixa de diálogo Selecionar Usuários e na caixa de diálogo Propriedades do IIS_IUSRS , selecione OK.

3. Conceda as permissões mínimas de conta na pasta que contém replisapi.dll:

   1. No Windows Explorer, clique com o botão direito do mouse na pasta que você criou para replisapi.dlle selecione Propriedades.

   2. Na guia Segurança , selecione Editar.

   3. Na caixa de diálogo Permissões para <nome de> pasta, selecione Adicionar para adicionar a conta que você criou na etapa 1.

   4. Verifique se Deste local exibe o nome do computador local (não um domínio). Se esse campo não exibir o nome do computador local, selecione Locais. Na caixa de diálogo Locais , selecione o computador local e selecione OK.

   5. Verifique se a conta tem permissão apenas para Ler, Ler e Executar e Listar Conteúdo da Pasta.

   6. Selecione todos os usuários ou grupos que não exigem acesso ao diretório, selecione Remover e, em seguida, selecione OK.

4. Crie um pool de aplicativos no Gerenciador dos Serviços de Informação de Internet (IIS):

   1. No Gerenciador dos Serviços de Informações da Internet (IIS), no painel Conexões, expanda o nó do servidor local.

   2. Clique com o botão direito do mouse em Pools de Aplicativos e selecione Adicionar Pool de Aplicativos.

   3. Insira um nome para o pool de aplicativos, deixe os valores padrão para os campos restantes e selecione OK.

   Se você prevê que terá mais de dois clientes simultâneos de sincronização, talvez queira criar um web garden. Para obter mais informações, consulte Criando um Web Garden.

5. Associe a conta com o pool de aplicativos:

   1. No Gerenciador dos Serviços de Informações da Internet (IIS), expanda o nó do servidor local e selecione Pools de Aplicativos.

   2. Clique com o botão direito do mouse no pool de aplicativos que você criou e selecione Definir Padrões do Pool de Aplicativos.

   3. Na caixa de diálogo Padrões do Pool de Aplicativos , role para baixo até a seção Modelo de Processo e selecione o campo Identidade .

   4. Selecione o botão de reticências no lado direito da linha Identidade.

   5. Selecione o botão de opção Conta Personalizada e, em seguida, selecione Definir.

   6. Nos campos Nome de Usuário e Senha , insira a conta e a senha que foram criadas na etapa 1 e selecione OK.

   7. Selecione OK para fechar a caixa de diálogo Identidade do Pool de Aplicativos e selecione OK novamente para fechar a caixa de diálogo Padrões do Pool de Aplicativos .

6. Associe o pool de aplicativos ao site de replicação:

   1. No Gerenciador dos Serviços de Informações da Internet (IIS), expanda o nó do servidor local e selecione o Site Padrão (ou seu site de sincronização da Web se ele for diferente do site padrão).

   2. No painel Ações , em Gerenciar Site, selecione Configurações Avançadas.

   3. Na caixa de diálogo Configurações Avançadas, selecione o botão de reticências à direita de Pool de Aplicativos.

   4. Na lista suspensa Pool de aplicativos, selecione o pool de aplicativos que você criou na etapa 4 e selecione OK.

   5. Selecione OK novamente para fechar Configurações Avançadas.

Teste a conexão com replisapi.dll

Execute a sincronização da Web em modo de diagnóstico para testar a conexão com o computador que está executando o IIS e verificar se o certificado TLS/SSL está instalado adequadamente. Para executar a sincronização da Web em modo diagnóstico, você deve ser um administrador no computador que executa o IIS.

1. Certifique-se de que as configurações de rede local (LAN) no Assinante estão corretas:

   1. No Internet Explorer, no menu Ferramentas , selecione Opções da Internet.

   2. Na guia Conexões , selecione Configurações de LAN.

   3. Se um servidor proxy não for usado na LAN, desmarque Detectar Automaticamente as Configurações e Usar um servidor proxy para a LAN.

   4. Se um servidor proxy for usado, selecione Usar um servidor proxy para sua LAN e Ignorar o servidor proxy para endereços locais, e selecione OK.

2. No Assinante, no Internet Explorer, conecte-se ao servidor em modo de diagnóstico adicionando ?diag ao endereço para o replisapi.dll. Por exemplo: https://<server.domain.com>/directory/replisapi.dll?diag.

   No exemplo anterior, <server.domain.com> deve ser substituído pelo nome exato Emitido para listado na seção Certificados do Servidor no Gerenciador do IIS.

3. Se o certificado especificado para o IIS não for reconhecido pelo sistema operacional Windows, a caixa de diálogo Alerta de Segurança será exibida. Esse alerta pode ocorrer porque o certificado é um certificado de teste ou o certificado foi emitido por uma AC (autoridade de certificação) que o Windows não reconhece.

   Se essa caixa de diálogo não aparecer, verifique se o certificado do servidor que você está acessando foi adicionado ao repositório de certificados no Assinante como um certificado confiável. Para obter mais informações sobre exportação de certificados, consulte a documentação do IIS.

   1. Na caixa de diálogo Alerta de Segurança , selecione Exibir Certificado.

   2. Na caixa de diálogo Certificado , na guia Geral , selecione Instalar Certificado.

   3. Conclua o Assistente para Importação de Certificados, aceitando os padrões.

   4. Na caixa de diálogo Aviso de Segurança , selecione Sim.

   5. Na caixa de diálogo de confirmação do Assistente de Importação de Certificado, selecione OK.

   6. Feche a caixa de diálogo Certificado .

   7. Na caixa de diálogo Alerta de Segurança , selecione Sim.

   Os certificados serão instalados para os usuários. Esse processo deve ser executado para cada usuário que sincronizará com o IIS.

4. Na caixa de diálogo Conectar ao <ServerName>, especifique o logon e a senha que o Agente de Mesclagem usará para se conectar ao IIS. Essas credenciais também serão especificadas no Assistente para Nova Assinatura.

5. Na janela do Internet Explorer chamada informações de diagnóstico do SQL Websync, verifique se o valor em cada coluna Status na página é SUCCESS.

6. Certifique-se de que o certificado está instalado corretamente no Assinante:

   1. Feche e depois reabra o Internet Explorer.

   2. Conecte ao servidor em modo diagnóstico. Se o certificado estiver instalado corretamente, a caixa de diálogo Alerta de Segurança não será exibida. Se a caixa de diálogo for exibida, o Agente de Mesclagem falhará ao tentar se conectar ao computador que está executando o IIS. Você deve verificar se o certificado do servidor que você está acessando foi adicionado ao repositório de certificados no Assinante como um certificado confiável. Para obter mais informações sobre exportação de certificados, consulte a documentação do IIS.

Conteúdo relacionado

• Sincronização da Web para Replicação de Mesclagem
• Configurar a Sincronização da Web