СОДЕРЖАНИЕ

СОВЕТЫ
Настройка Proxy Server для поддержки репликации SQL Server 7.0 через Internet (продолжение)
   Краткий обзор безопасности
   Учетные записи пользователей Windows NT
   Учетные записи пользователей Windows NT для publisher/distributor
   Учетные записи Windows NT Proxy Server
   Учетные записи Windows NT для подписчиков (subscriber)
   Безопасность Proxy сервера
   Логин для SQL Server Replication
ССЫЛКИ НА СТАТЬИ
   Отечественные статьи
   Новые технические статьи Microsoft
ФОРУМ SQL.RU
   САМЫЕ ПОПУЛЯРНЫЕ ТОПИКИ
   ВОПРОСЫ ОСТАЛИСЬ БЕЗ ОТВЕТА

СОВЕТЫ

Настройка Proxy Server для поддержки репликации SQL Server 7.0 через Internet (продолжение)
По материалам статьи Microsoft: Configuring Proxy Server for SQL Server 7.0 Replication Over the Internet

Краткий обзор безопасности

Обеспечение безопасности – один из важнейших аспектов работы распределенного приложения. Поскольку при репликации изменения данных на одном сервере применяются на нескольких серверах из других сетей, обеспечение приемлемого уровня безопасности сети становится одной из основных задач. Обеспечение децентрализованного доступа к реплицируемым данным усложняет управление безопасностью. Репликация в SQL Server использует комбинированные механизмы защиты, которые позволяют надёжно защитить данные и бизнес-логику приложений.

Одним из способов обеспечения требований безопасности состоит в разделении требований на разные уровни доступа. Прежде, чем добавить очередной уровень доступа необходимо обеспечить правильную работу низлежащего доступа. Правильная работа уровня зависит от работы предшествующего уровня. Ниже представлен список уровней безопасности, которые необходимо настраивать:

· Windows NT user accounts
· Proxy Server security
· SQL Server replication account security

Учетные записи пользователей Windows NT

Показанные на рисунке №1 (см. предыдущий выпуск рассылки) три сервера прежде, чем репликация будет запущена, должны установить соединение друг с другом. Сначала, publisher/distributor должны обеспечить сетевое подключение к Proxy серверу. Далее, subscriber должен получить SQL Server соединение с publisher/distributor и, наконец, subscriber должен иметь сетевое подключение к ftp-службе на Proxy сервере.

Учетные записи пользователей Windows NT для publisher/distributor

Первым делом, при репликации через Internet необходимо установить соединение между publisher/distributor и Proxy сервером. Когда SQL Server запущен, сервис MSSQLServer запрашивает разрешение у Proxy Server, чтобы установить связь с портом, эксклюзивно используя внешний Proxy интерфейс. Proxy Server должен иметь возможность аутентификации учётной записи, от имени которой работает сервис MSSQLServer, и обеспечивать работу в соответствии с конфигурацией этой учетной записи.

В целях обеспечения хорошего уровня безопасности, не рекомендуется регистрироваться на консоли Windows NT сервера publisher/distributor под учётной записью MSSQLServer. Это позволит исключить работу зарегистрировавшегося пользователя через открытый Proxy интерфейс.

Proxy Server		SQL Server: Издатель
Port 1433 Windows NT account: REPL1 Service: WinSock		Windows NT account: REPL1 Service: MSSQLServer
Port 21 Windows NT account: REPL2 Service: FTP

Рисунок 2. Учётные записи publisher/distributor

Учетные записи Windows NT Proxy Server

Учетная запись MSSQLServer на publisher/distributor должна быть введена в список разрешений для WinSock сервиса Proxy сервера. Когда будет затребовано разрешение на связь с портом, MSSQLServer представляет свою учётную запись Proxy серверу для идентификации. После того, как Proxy сервер подтвердит подлинность учетной записи MSSQLServer и подключит его к порту, станет возможно прямое подключение к publisher/distributor из Internet.

Для того чтобы получить доступ к FTP-сервису на Proxy сервере, агент репликации подписчика (subscriber) предоставляет свою учётную запись для Proxy сервера, чтобы тот подтвердил её подлинность и дал разрешение на доступ к FTP. Эта учетная запись должна удовлетворять следующим условиям:

· Должна быть включена в список «FTP Site Operators».
· Должна иметь разрешение «log in locally».
· Должна иметь разрешение на операцию «Чтение» для папки, в которой расположены моментальные снимки (Snapshot).

Эта учётная запись пользователя создаётся автоматически и водиться в таблицу Mssubscriptions_Properties всякий раз, когда создаётся новая подписка.

Учетные записи Windows NT для подписчиков (subscriber)

Для организации подключения, необходимого при репликации, сервер publisher/distributor должен быть зарегистрирован на subscriber. Если не определено иначе, агенты репликации будут использовать ту же самую информацию об учётной записи, которая обычно используется при подключении publisher/distributor.

Обратите внимание: Старайтесь не использовать собственные (встроенные) учётные записи MS SQL Server для регистрации publisher/distributor. Использование не встроенных логинов позволяет лучше ограничить доступ к Публикациям, на уровне предоставления соответствующих разрешений.

Безопасность Proxy сервера

На multihomed сервере, внутреннее подключение должно быть организовано между внутренним и внешним Proxy интерфейсом до того, как пользователи из Internet получат доступ к ресурсам внутренней сети. Proxy сервер контролирует внутренних пользователей и сервисы сети, разрешая подключение только уполномоченным пользователям или сервисам.

Как отмечалось ранее, сервис MSSQLServer на publisher/distributor устанавливает подключение к Proxy серверу и связывается с портом, который предоставляет SQL Server внешнему Proxy интерфейсу. Любой пользователь Internet, который правильно укажет номер порта, IP адрес внешнего Proxy интерфейса и правильные учётные данные для входа в систему, сможет получить доступ к SQL серверу. По умолчанию, для этого подключения установлено маленькое время ожидания (4с), этого может оказаться недостаточно, для того, что бы подписчик успел пройти все необходимые стадии авторизации. Такая ситуация может возникнуть, если между Proxy сервером и subscriber велико время отклика или IP адрес подписчика транслируется из адреса внутренней сети в адрес сети Internet. Для разрешения этой проблемы, необходимо увеличить время ожидания Login time-out и Query time-out в окне Enterprise Manager Tools\Options… закладка Advanced.

Для работы репликации необходимо обеспечить доступ к FTP-сервису. Для этого используется учетная запись, используемая subscriber для подключения к SQL серверу при инициализации FTP-сервиса. По умолчанию, это та же самая учетная запись, которая используется при оформлении регистрации сервера publisher/distributor на subscriber. Однако, Вы можете переопределить эту учетную запись, введя её имя и пароль в таблице MSsubscription_Properties, что можно сделать при создании Pull-подписки. В любом случае, эта учетная запись должна удовлетворять следующим требованиям:

Заданные по умолчанию конфигурации для SQL Server включают:

Независимо от типа выбранной репликации, сначала устанавливается подключение через ODBC между subscriber и publisher. Distributor уведомляет subscriber о необходимости подключения к FTP-сервису на Proxy сервере. По запросу от distributor, subscriber инициализирует подключение к FTP-сервису, и работает с данными, находящимися в папке для размещения моментальных снимков (Snapshot).

SQL Server: Подписчик			Internet		Proxy Server
SQL Server Agent  User account: REPL3			Replication agent  (агент репликации)		Port 1433  Service: WinSock  Открыт для SQL Server
База данных подписки					Port 21 Windows NT account: REPL2 Service: FTP
Таблица: MSsubscription_Properties FTP user account: REPL2

Рисунок 3. Защита Proxy сервера

Логин для SQL Server Replication

Для Pull Subscriptions репликации требуется, чтобы publisher/distributor сервер был зарегистрирован на subscriber. Для успешной регистрации и получения доступа к издаваемой базе данных на publisher требуется, чтобы имя пользователя и пароля уже существовали на publisher/distributor. Если удаётся на subscriber зарегистрировать сервер publisher, это означает, что установлено сетевое соединение на уровне Windows NT и на уровне SQL Server. Если не удаётся зарегистрировать publisher/distributor на subscriber, проверьте каждое из этих соединений и права для каждой используемой учетной записи.

Publisher/distributor использует учетную запись, от имени которой стартует MSSQLServer, для привязки пути к WinSock Port 1433 и внешнему Proxy интерфейсу. Обязательно необходимо, чтобы учетная запись, которую Вы используете для регистрации publisher/distributor, имела достаточные права на publisher/distributor.

Учетная запись, используемая для регистрации сервера publisher/distributor на subscriber, должен быть стандартным SQL Server логином. Для лучшей безопасности, не нужно предоставлять этой учетной записи никаких специальных прав доступа на SQL сервере, кроме как на доступ к базе данных publication. Права доступа к базе данных publication можно предоставлять или через гостя, или явно добавляя пользователя к базе данных. Эта учетная запись также должна быть включена в Publication Access List (PAL) каждой публикации (publication), которой необходимо разрешить подписку на subscriber.

SQL Server: Подписчик			Internet		Proxy Server		SQL Server: Издатель
SQL Server Agent User account: REPL3			Replication agent (агент репликации)		Service: WinSock Открыт для SQL Server		User account: SQLLOGIN
База данных подписки							Публикации
Таблица: MSsubscription_Properties SQL Server user account: SQLLOGIN			SQLLOGIN				PAL
								PAL
									PAL
					Port 21 Windows NT account: REPL2 Service: >FTP
Регистрация сервера – издателя SQL Server user account: SQLLOGIN

Рисунок 4. SQL Server логин для репликации

ПРОДОЛЖЕНИЕ СЛЕДУЕТ

ССЫЛКИ НА СТАТЬИ

Отечественные статьи

Что такое генетические алгоритмы
Автор: Тимофей Струнков.
Удивительно, но простое моделирование эволюционного процесса на компьютере позволяет получить решения многих практических задач. Такие модели получили название “генетические алгоритмы” и уже широко применяются в различных областях. В следующих разделах мы последовательно расскажем вначале о биологических механизмах эволюции, а затем о способах их моделирования с помощью генетических алгоритмов... [подробнее]
НЕЙРОСЕТЕВЫЕ И ГЕНЕТИЧЕСКИЕ МОДЕЛИ И МЕТОДЫ АНАЛИЗА ДАННЫХ
Автор: Георгий И. Францкевич, Алексей А. Букаре.
В работе описываются подходы к разработке методологических и инструментальных средств анализа статистической информации о работе производственного предприятия для поддержки принятия решений в управлении объектами на основе нейронных сетей и генетических алгоритмов... [подробнее]
Думал ли Гильберт о нейронных сетях?
Автор: Тимофей Струнков.
За последние 10 лет вышло множество книг и популярных статей, описывающих как внутреннее строение нейронных сетей, так и возможности их использования в различных областях. Тем не менее даже в среде профессионалов, имеющих дело с задачами обработки данных, встречаются существенно различные мнения о возможностях нейросетевых технологий. В этом можно убедиться, заглянув, например, на любой интернетовский форум аналитиков или трейдеров... [подробнее]
Библиотека нейросетевых функций: NeuroWindows
Автор: neuroproject.ru.
NeuroWindows представляет собой динамическую библиотеку (DLL), специально разработанную для языка программирования Visual Basic. Она с успехом работает также с Access Basic, Visual C++, и другими языками, способными вызывать функции из DLL. NeuroWindows дает возможность программисту быстро и легко создавать приложения для решения сложных собственных задач, которые ранее не могли быть решены с помощью обычных технологий программирования... [подробнее]
Зачем нужны аналитические технологии
Автор: НейроПроект.
Нейронные сети в каком-то смысле являются имитациями мозга, поэтому с их помощью успешно решаются разнообразные "нечеткие" задачи - распознавание образов, речи, рукописного текста, выявление закономерностей, классификация, прогнозирование. В таких задачах, где традиционные технологии бессильны, нейронные сети часто выступают как единственная эффективная методика решения. По данным фирмы Ward Systems Group, в 1998 году программные продукты на основе нейронных сетей использовались более чем в 500 крупнейших компаниях мира из списка Fortune 1000... [подробнее]
Генетические алгоритмы
Автор: НейроПроект.
Чтобы сделать понятными принципы работы генетических алгоритмов, поясним также, как устроены механизмы генетического наследования в природе. В каждой клетке любого животного содержится вся генетическая информация этой особи. Эта информация записана в виде набора очень длинных молекул ДНК (ДезоксирибоНуклеиновая Кислота). Каждая молекула ДНК - это цепочка, состоящая из молекул нуклеотидов четырех типов, обозначаемых А, T, C и G. Собственно, информацию несет порядок следования нуклеотидов в ДНК. Таким образом, генетический код индивидуума - это просто очень длинная строка символов, где используются всего 4 буквы. В животной клетке каждая молекула ДНК окружена оболочкой - такое образование называется хромосомой... [подробнее]
Анализ качества баз данных
Автор: Владимир ЛИПАЕВ.
Для анализа свойств баз данных предлагается выделять характеристики качества системы управления базой данных и содержащейся в ней информации. Состав этих характеристик рекомендуется систематизировать на основе требований международного стандарта ISO 9126... [подробнее]
Работа с кодировкой DOS
Автор: Сергей Иванов.
Хотя в .Net и предусмотрена работа с текстовыми файлами, но перечень поддерживаемых кодировок не включает кодировку DOS (точнее говоря, как один из вариантов можно использовать кодировку операционной системы по умолчанию, но в Windows, под управлением которой работает .Net, кодировка DOS по умолчанию не устанавливается)... [подробнее]
.Net глазами дельфийца - первые впечатления.
Автор: Сергей Иванов.
При знакомстве с новым языком программирования любого программиста в первую очередь интересует семантическая основа языка, т.е. насколько его выразительные возможности позволяют реализовать привычные логические конструкции... [подробнее]

Новые технические статьи Microsoft

PRB: Cannot Use Data Transformation Services Event Handlers in Visual Basic with Execute Package Task (Q319048)
HOW TO: Enable SSL Encryption for SQL Server 2000 with Microsoft Management Console (Q316898)
HOW TO: Program the SQL Snapshot and SQL Distribution Control with Visual C# .NET (Q319649)
PRB: An INSERT May Fail with a 3624 Error Message After a Failed Attempt to Add New Table Column (Q317852)
HOWTO: Change the Network IP Addresses on a Virtual SQL Server (Q244980)
PRB: SQL Server 7.0 Service Pack Installation Fails with an Error Message When a Script File Is Run (Q264123)
INF: Upgrade to SQL Server 2000 Failover Solution Recommended for All Non-SQL Server 2000 Virtual Servers (Q274446)
HOW TO: Configure Memory for More Than 2 GB in SQL Server (Q274750)
PRB: Application Errors Occur After You Run Xmlinst.exe on Production Servers (Q278636)
HOW TO: Change the SQL Server Service Account Through Control Panel in SQL Server (Q283811)
BUG: SQL Server 2000 Virtual Server Licensing Mode May Be Changed During Setup (Q295642)
HOW TO: Manually Remove SQL Server 2000 Default, Named or Virtual Instance (Q290991)
HOWTO: Rebuild the MASTER Database on a Virtual SQL Server 2000 Instance (Q298568)
PRB: Poor Performance on a Heap (Q297861)
BUG: NOT FOR REPLICATION Clause Causes SQL Server CE Replication to Fail (Q300597)
HOW TO: Synchronize Mobile Databases by Using SQL Server CE Relay (Q314514)
HOW TO: Remove a SQL Server Service Pack (Q314823)
HOW TO: Plan SQL Server CE Security for Mobile Devices in IIS and SQL Server 2000 Windows CE Edition (Q314783)
INF: SQL Server 2000 Security Update for Service Pack 2 (Q316333)
BUG: Error Message: "Setup failed to perform the required operation on the cluster nodes" (Q318672)
INF: Index Tuning Wizard Best Practices (Q311826)
FIX: Bulk Insert with TABLOCK Hint May Result in Errors 8929 and 8965 When You Run CHECKDB (Q320434)

ФОРУМ SQL.RU: САМЫЕ ПОПУЛЯРНЫЕ ТОПИКИ

Нынче по небу правильно солнце идет
Шмат из нутрей
Как отредактировать таблицы SQL через MS ACCESS 2000 ?
Transaction Log (не могу сделать truncate)
Можно ли восстановить данные... ( ) ?
Приоритеты выполнения запросов?
Помогите с запросом (ну ОЧЕНЬ нужно)
Документирование базы в MS SQL7
Проблемы установки SQL 2000 на W2K SP1 c AD
Уменьшение размера файла лога

ФОРУМ SQL.RU: ВОПРОСЫ ОСТАЛИСЬ БЕЗ ОТВЕТА

DTS
Как узнать SPID процесса, создавшего временную таблицу?
Обращение к процедуре через ODBC
Опрос удовлетворенности пользователей веб-сервера технической поддержки Micrsos
SQL7: подмена папки l Data (для Standby server)
Прибабахи со спецсимволами
Помогите с формированием запроса!
Помогите вставить файл в MS 2К !
Блокировки
Как синхронизировать MS Access базу с MS SQL базой ?
4 комнаты
Transactional Rеplication и Merge Replication - не вставляются данные
Вопрос по 70-028.
MSSQL 6.5 проблема
Top Ten and GROUP BY
ALTER COLUMN для изменения свойства IDENTITY
Проблема с backup/restore