regsvr32 replisapi.dll
Рисунок 45 – Регистрация файла replisapi.dll
Далее нужно
создать новый веб-сайт для репликации
или воспользоваться уже существующим. Во время синхронизации
компоненты репликации будут обращаться
к этому веб-сайту. В процедурах,
описываемых далее, будет использоваться
веб-сайт по умолчанию.
Нужно создать
виртуальный каталог в службах IIS. Виртуальный
каталог должен быть создан на выбранном
для репликации сайте и сопоставлен с
каталогом, созданным в самом начале. Разрешения
для этого каталога должны быть максимально
ограничены. Необходимо выбрать как минимум
разрешения Чтение и Выполнение. Создание
виртуального каталога (рисунок 46):
- в диспетчере служб IIS на панели Подключения нужно щелкнуть правой
кнопкой мыши Веб-сайт по умолчанию и выбрать Добавить виртуальный каталог;
- в поле Псевдоним ввести SQLReplication;
- в поле Физический путь ввести <drive>:\inetpub\SQLReplication\, затем нажмите
кнопку ОК.
Рисунок 47 – Добавление виртуального
каталога
Далее нужно
установить в настройках служб IIS разрешение
выполнять файл replisapi.dll:
- в диспетчере служб IIS выбрать Веб-сайт по умолчанию;
- на
центральной панели выбрать Сопоставления обработчика;
- на
панели Действия выбрать Добавить
сопоставление модуля;
- в поле Путь запроса ввести replisapi.dll;
- в раскрывающемся
списке Модуль выбрать IsapiModule;
- в поле Исполняемый файл ввести <drive>:\inetpub\SQLReplication\replisapi.dll;
- в поле Имя ввести Replisapi;
Рисунок 48 – Добавление сопоставления
модуля
- нажать кнопку Ограничения
запроса, перейти
на вкладку Доступ и выбрать Выполнение (рисунок
49);
Рисунок 49 – Ограничения доступа
- нажать кнопку ОК, чтобы закрыть
диалоговое окно Ограничения
запроса, а затем повторно нажать кнопку ОК, чтобы закрыть диалоговое окно Добавить сопоставление модуля. При запросе
на разрешение расширений ISAPI нажать Да, чтобы добавить расширение;
- убедиться, что файл replisapi.dll включен в список Включены сопоставлений
обработчика (рисунок 50). Если он находится в списке Выключены, щелкнуть правой кнопкой
мыши Replisapi и выбрать Изменить разрешения функции. Установить флажок Выполнить, а затем нажать кнопку ОК.
Рисунок 50 – Проверка списка сопоставления
обработчиков
3.3 Настройка проверки подлинности
служб IIS
При подключении компьютеров подписчиков
к серверу IIS службы IIS должны проверить
подлинность подключаемых подписчиков
перед предоставлением им доступа к
ресурсам и процессам. Проверка подлинности
может выполняться для всего веб-сайта
или для созданного виртуального каталога.
Рекомендуется использовать процедуру
обычной проверки подлинности в
сочетании с протоколом SSL. Протокол
SSL должен использоваться вне зависимости
от типа применяемой проверки подлинности.
Настройка проверки подлинности служб
IIS (рисунок 51):
- в диспетчере служб IIS выбрать Веб-сайт по умолчанию;
- на средней панели дважды щелкнуть Проверка подлинности;
- щелкнуть правой кнопкой мыши «Анонимная проверка подлинности» и выбрать «Выключить»;
- щелкнуть правой кнопкой мыши «Обычная проверка подлинности» и выбрать «Включить».
Рисунок 51 – Проверка подлинности
3.4 Установка разрешений для средства
прослушивания репликации SQL Server
При подключении
компьютера подписчика к компьютеру, на
котором запущены службы IIS, проверка подлинности
подписчика производится с помощью типа
проверки подлинности, заданного при настройке
служб IIS. После проверки подлинности подписчика
службы IIS проверяют, обладает ли подписчик
правами для использования репликации
SQL Server. Задание разрешений для файла replisapi.dll
позволяет определить пользователей,
имеющих возможность использования репликации
SQL Server. Правильная настройка разрешений необходима
для предотвращения несанкционированного
доступа к репликации SQL Server.
Чтобы установить
минимальные разрешения для учетной записи,
под которой может запускаться средство
прослушивания репликации SQL Server, необходимо
выполнить следующую процедуру. Шаги, описанные
в следующей процедуре, применимы к Microsoft
Windows Server 2008, на котором запущены службы
IIS 7.
Помимо выполнения
следующих шагов, нужно убедиться в том,
что все необходимые имена входа содержатся
в списке доступа к публикации (PAL).
В нескольких
словах, учетная запись должна отвечать
следующим требованиям.
- она
должна входить в список доступа к публикации
(PAL);
- она
должна быть сопоставлена с именем входа,
связанным с пользователем
в базе данных публикации;
- она
должна быть сопоставлена с именем входа,
связанным с пользователем
в базе данных распространителя;
- она
должна иметь разрешение на чтение в хранилище
моментального снимка.
Настройка учетной
записи и разрешений (рисунок 52):
- На компьютере, на котором запущены службы
IIS, нужно создать локальную учетную
запись:
- открыть Диспетчер сервера;
- развернуть узел Конфигурация, затем узел Локальные пользователи
и группы;
- щелкнуть правой кнопкой
мыши элемент Пользователи и выбрать команду Новый пользователь…;
- ввести имя пользователя
и надежный пароль. Снять флажок «Потребовать смену пароля при следующем
входе в систему»;
- нажать кнопку Создать, затем кнопку Закрыть.
Рисунок 52 – Создание нового пользователя
- Далее нужно добавить учетную запись в группу IIS_IUSRS (рисунок 53):
- в диспетчере сервера нужно развернуть узел Настройка, затем узел Локальные пользователи и группы, выбрать элемент Группы;
- щелкнуть правой кнопкой
мыши группу IIS_IUSRS и выбрать Добавить в группу;
- в диалоговом
окне Свойства: IIS_IUSRS щелкнуть Добавить...;
- в диалоговом
окне Выбор: Пользователи, Компьютеры или
Группы добавить учетную запись, созданную на шаге 1;
- убедиться, что в поле «В следующем месте:» указано имя локального компьютера, а
не домена. Если в этом поле не отображается имя
локального компьютера, нужно нажать кнопку Расположение.... В диалоговом окне Расположение... выбрать локальный компьютер, затем нажать кнопку ОК;
- в диалоговых
окнах Выбор пользователей и Свойства: IIS_IUSRS нажать кнопку ОК.
Рисунок 53 – Добавление пользователя
в группу IIS_IUSRS
- Далее нужно предоставить учетной записи минимальные разрешения
для доступа к папке, содержащей библиотеку
replisapi.dll (рисунок 54):
- в обозревателе Windows щелкнуть правой кнопкой
мыши папку, созданную
для файла replisapi.dll, и выбрать Свойства;
- на
вкладке Безопасность нажать «Изменить»;
- в диалоговом
окне Разрешения для <имя_папки> выбрать Добавить, чтобы добавить
учетную запись, созданную в шаге 1;
- убедиться, что в поле «В следующем месте:» указано имя
локального компьютера, а не домена. Если в этом
поле не отображается имя локального компьютера,
нажмите кнопку «Расположение...». В диалоговом окне Расположение... выберите локальный компьютер, затем
нажмите кнопку ОК;
- убедиться, что для учетной
записи предоставлены только разрешения Чтение, Чтение & Выполнение и Просмотр содержимого
папок;
- выбрать пользователей
и группы, которым не требуется доступ
к этому каталогу,
и нажать Удалить, затем нажать кнопку ОК.
Рисунок 54 – Настройка разрешений
для доступа к папке
- Далее нужно создать
пул приложений в диспетчере
служб IIS (рисунок 55):
- в диспетчере служб IIS на панели Подключения разверните
узел локального
сервера;
- щелкнуть правой кнопкой Пулы приложений и выберите Добавить пул приложений;
- ввести имя пула приложений,
оставить без изменений значения по умолчанию
в остальных полях и нажать кнопку ОК.
Рисунок 55 – Создание пула приложений
- Далее нужно связать учетную запись
с этим пулом приложений (рисунок 56):
- в диспетчере служб IIS раскрыть узел локального
сервера и выбрать Пулы приложений;
- щелкнуть правой кнопкой
мыши созданный пул приложений, а затем
выбрать Определить настройки
по умолчанию для
пула приложений;
- в диалоговом
окне Значения по умолчанию пула приложений с помощью прокрутки перейти
к разделу Модель процесса, а затем выбрать поле Удостоверение;
- нажать кнопку с многоточием справа от
строки Удостоверение;
- выбрать переключатель Особая учетная запись и выбрать Установить;
- в полях Имя пользователя и Пароль ввести имя пользователя и пароль для учетной
записи, созданной на шаге 1, затем нажать кнопку ОК;
- нажать кнопку ОК, чтобы закрыть
диалоговое окно Удостоверение
пула приложений, затем повторно
нажать кнопку ОК, чтобы закрыть
диалоговое
окно Настройки по умолчанию пула приложений.
Рисунок 56 – Связывание учетной
записи с пулом приложений
- Далее нужно связать пул приложений
с веб-сайтом репликации (Рисунок
57):
- в диспетчере служб IIS развернуть узел локального сервера и выбрать Веб-сайт по
умолчанию;
- на
панели Действия под Управление веб-сайтом выбрать Дополнительные
параметры;
- в диалоговом
окне Дополнительные параметры нажать кнопку с многоточием
справа от Пула приложений;
- в раскрывающемся
списке Пул приложений выбрать пул приложений, созданный в шаге 4, затем
нажать кнопку ОК;
- повторно
нажать кнопку ОК, чтобы закрыть диалоговое окно «Дополнительные параметры».
Рисунок 57 – Связывание
пула приложений с веб-сайтом
3.5 Рекомендации по безопасности для
веб-синхронизации
Существует
множество вариантов настроек безопасности
при выполнении веб-синхронизации. Рекомендуется
следующий подход:
- издатель
и распространитель SQL Server могут работать на одном компьютере.
Такая установка является обычной для
репликации слиянием. Однако службы
IIS необходимо установить на отдельном
компьютере;
- для
шифрования соединения подписчика с компьютером,
на котором работают службы IIS, нужно использовать протокол Secure Sockets Layer
(SSL). Это необходимо для выполнения веб-синхронизации;
- лучше
всего использовать обычную проверку подлинности для соединений между подписчиком и сервером IIS. Если используется
обычная проверка
подлинности, службы IIS могут подключаться
к издателю и распространителю
от лица подписчика без делегирования
полномочий. Делегирование
требуется
при использовании встроенной проверки
подлинности;
- лучше указать, что агент
моментальных снимков должен запускаться
и подключаться под учетной записью домена Windows. (Это конфигурация
по умолчанию) Указать, что каждый агент слияния должен запускаться
под учетной
записью домена того пользователя, который
использует компьютер подписчика,
а также указать, что агент должен подключаться под этой
учетной записью;
- указать учетную запись,
используемую агентом слияния при вводе
пароля и учетной записи на странице Данные о веб-сервере мастера создания подписки или в качестве
значений параметров @internet_url и @internet_login хранимой процедуры sp_addpullsubscription_agent. Для данной учетной записи должно быть
предоставлено разрешение на чтение хранилища
моментального снимка;
- для
каждой публикации следует использовать
отдельный виртуальный
каталог на сервере IIS;
- учетная
запись, под которой запускается средство
прослушивания репликации
SQL Server (replisapi.dll),
также является учетной записью, которая
будет использоваться для соединения
с издателем и распространителем во время синхронизации. Эта учетная запись должна быть сопоставлена
с учетной записью
входа SQL на издателе и распространителе;
- для
доставки моментального снимка от издателя
на компьютер, на котором
работают службы IIS, можно использовать
протокол FTP. Моментальный
снимок всегда доставляется подписчику
с компьютера, на котором работают
службы IIS, по протоколу HTTPS;
- если
серверы топологии репликации защищены
брандмауэром, то для использования веб-синхронизации
может потребоваться открыть порты брандмауэра;
- компьютер
подписчика соединяется с компьютером,
на котором запущены
службы IIS через протокол HTTPS с использованием
SSL, обычно настроенного для использования
порта 443. Подписчики SQL Server Compact также могут
использовать соединение через протокол
HTTP, для которого обычно настраивается
использование порта 80;
- компьютер,
на котором запущены службы IIS, обычно
соединяется с издателем или распространителем
через порт 1433 (экземпляр по умолчанию). Если издатель или распространитель
является именованным экземпляром на
сервере с другим экземпляром по умолчанию,
для соединения с этим именованным
экземпляром обычно используется порт
1500;
- если
компьютер, на котором запущены службы
IIS, отделен от распространителя
брандмауэром, а для доставки моментального
снимка используется
протокол FTP, должны быть открыты порты,
необходимые для работы этого протокола.