Proteger el distribuidor
Se aplica a: 
SQL Server Azure SQL Managed Instance
Al distribuidor se conectan los siguientes agentes de replicación: el Agente de registro del LOG, el Agente de instantáneas, el Agente de lectura de cola, el Agente de distribución y el Agente de mezcla. Es importante proporcionar un inicio de sesión adecuado para cada uno de estos agentes respetando el principio de conceder los derechos mínimos necesarios y proteger el almacenamiento de todas las contraseñas:
Para información sobre la administración de inicios de sesión y contraseñas, vea Manage Logins and Passwords in Replication (Administrar inicios de sesión y contraseñas en la replicación).
Para obtener información detallada acerca de los permisos exigidos para cada agente, vea Replication Agent Security Model.
Además de administrar correctamente los inicios de sesión y contraseñas, es importante conocer el rol del vínculo del servidor remoto repl_distributor y la cuenta distributor_admin .
Proteger la conexión del publicador al distribuidor
Para permitir la comunicación necesaria cuando los procedimientos almacenados administrativos se ejecutan en el publicador y actualizan información en el distribuidor, la replicación configura automáticamente el servidor remoto repl_distributor. La entrada del servidor remoto repl_distributor se utiliza para la comunicación con la base de datos de distribución, independientemente de si está incluida en la instancia del publicador (un distribuidor local) o reside en una instancia remota de SQL Server (un distribuidor remoto).
Cuando la base de datos de distribución está incluida en una instancia local, se genera una contraseña aleatoria y se configura automáticamente. Cuando la base de datos de distribución se encuentra en una instancia remota, el administrador configura una contraseña compartida durante la instalación del publicador y el distribuidor; a continuación, esta contraseña se utiliza para proporcionar autenticación del tráfico que pasa por el vínculo repl_distributor .
El distribuidor utiliza la entrada del servidor remoto repl_distributor para comprobar que el servidor que llama está configurado como un publicador en el distribuidor, valida la contraseña proporcionada por el publicador y valida que el procedimiento almacenado sea un procedimiento almacenado de replicación durante la ejecución.
La contraseña configurada para la entrada del servidor remoto repl_distributor durante la instalación está asociada a un inicio de sesión de SQL Server, distributor_admin, que se agrega al rol fijo de servidor sysadmin en el distribuidor. Los procedimientos almacenados de replicación utilizan el inicio de sesión distributor_admin al conectarse al distribuidor.
Nota:
No cambie manualmente la contraseña de distributor_admin . Use siempre el procedimiento almacenado sp_changedistributor_password o los cuadros de diálogo Propiedades del distribuidor o Actualizar contraseñas de replicación de SQL Server Management Studio, ya que los cambios de contraseña se aplican a las publicaciones locales automáticamente.
Deshabilitar el inicio de sesión de distributor_admin
Si el inicio de sesión de distributor_admin está deshabilitado en un distribuidor remoto, ya no puede hacer lo siguiente:
- Crear o eliminar publicaciones.
- Cambiar los artículos de una publicación existente.
- Ver el estado del agente mediante SQL Server Management Studio (SSMS) o el Monitor de replicación en el editor.
- Crear o eliminar suscripciones.
- Publicar testigos de seguimiento mediante el Monitor de replicación o con la ejecución de sys.sp_posttracertoken.
- Configurar un editor remoto en el distribuidor.
Por tanto, no se recomienda deshabilitar el inicio de sesión de distributor_admin en un distribuidor remoto. Aunque deshabilitar el inicio de sesión de distributor_admin en un distribuidor local puede no imponer las mismas limitaciones; todavía no es una práctica recomendada.
Seguridad de la carpeta de instantáneas
Asegúrese de que el recurso compartido de instantáneas tiene acceso de lectura a la cuenta con la que se ejecutan el Agente de mezcla (para la replicación de mezcla) o el Agente de distribución (para la replicación transaccional o de instantáneas), así como acceso de escritura a la cuenta con la que se ejecuta el Agente de instantáneas. Para obtener más información sobre la carpeta de instantáneas, vea Proteger la carpeta de instantáneas.
Contenido relacionado
- View and Modify Replication Security Settings (Ver y modificar la configuración de seguridad de la replicación)
- Habilitar conexiones cifradas en el motor de base de datos (Administrador de configuración de SQL Server)
- Procedimientos recomendados de seguridad de replicación