Proteger al suscriptor

Se aplica a: SQL Server Base de datos de Azure SQL

Los agentes de mezcla y de distribución se conectan al suscriptor. Estas conexiones pueden realizarse en el contexto de un inicio de sesión de SQL Server o de Windows. Es importante proporcionar un inicio de sesión apropiado para estos agentes, al mismo tiempo que se sigue el principio de conceder los derechos mínimos necesarios y proteger el almacenamiento de todas las contraseñas. Para obtener información acerca de los permisos necesarios para cada agente, vea Replication Agent Security Model.

Nota:

Azure SQL Managed Instance puede ser un publicador, un distribuidor y un suscriptor para la replicación transaccional y de instantáneas. Las bases de datos de Azure SQL Database solo pueden ser suscriptores de extracción para la replicación transaccional y de instantáneas. Para obtener más información, vea Replicación transaccional con Azure SQL Database y Azure SQL Managed Instance.

Agente de distribución

Hay un Agente de distribución por suscripción (un agente independiente, predeterminado para las publicaciones creadas en el Asistente para nueva publicación), o un Agente de distribución por par de base de datos de publicaciones y base de datos de suscripciones (un agente compartido). T

Para especificar la información de conexión para suscripciones de inserción, vea Create a Push Subscription (Crear una suscripción de inserción).

Para especificar la información de conexión para suscripciones de extracción, vea Create a Pull Subscription (Crear una suscripción de extracción).

Agente de mezcla

Cada suscripción de mezcla tiene su propio Agente de mezcla que conecta y actualiza el publicador y el suscriptor.

Para especificar la información de conexión para suscripciones de inserción, vea Create a Push Subscription (Crear una suscripción de inserción).

Para especificar la información de conexión para suscripciones de extracción, vea Create a Pull Subscription (Crear una suscripción de extracción).

Suscripciones de actualización inmediata

Al configurar una suscripción de actualización inmediata, se especifica una cuenta en el suscriptor con la que se realizan las conexiones al publicador. Las conexiones las utilizan los desencadenadores que se activan en el suscriptor y propagan los cambios al publicador. Hay tres opciones disponibles para el tipo de conexión:

  • Un servidor vinculado que crea la replicación; la conexión se establece con las credenciales especificadas durante la configuración.

  • Un servidor vinculado que crea la replicación; la conexión se establece con las credenciales del usuario que realiza el cambio en el suscriptor.

  • Un servidor vinculado o un servidor remoto previamente definido.

Importante

Para especificar la información de conexión, use el procedimiento almacenado sp_link_publication (Transact-SQL). También puede usar la página Inicio de sesión para suscripciones actualizables del Asistente para nueva suscripción, que llama a sp_link_publication. En ciertas condiciones, este procedimiento almacenado puede producir un error si el suscriptor ejecuta el Service Pack 1 (SP1) de SQL Server 2005 (9.x) o posterior y el publicador ejecuta una versión anterior. Si el procedimiento almacenado genera un error en este escenario, actualice el publicador a SQL Server 2005 (9.x) SP1 o posterior.

Para más información, vea Create an Updatable Subscription to a Transactional Publication (Create an Updatable Subscription to a Transactional Publication) y View and Modify Replication Security Settings (Ver y modificar la configuración de seguridad de la replicación).

Importante

La cuenta especificada para la conexión solo debe tener permiso para insertar, actualizar y eliminar datos en las vistas que crea la replicación en la base de datos de publicaciones; no debe tener ningún permiso adicional. Conceda permisos para las vistas de la base de datos de publicación designadas con el formato syncobj_<númeroHexadecimal> a la cuenta de configuró en cada suscriptor.

Suscriptores de actualización en cola

Al configurar suscripciones de actualización en cola, hay dos áreas relacionadas con la seguridad que debe tener en cuenta:

  • Solo hay un Agente de lectura de cola para cada distribuidor. Para cada distribuidor, se recomienda configurar como máximo una publicación habilitada para las suscripciones de actualización en cola.

  • El Agente de lectura de cola establece las conexiones con el distribuidor, el publicador y cada suscriptor:

    • La cuenta con la que se ejecuta el agente y establece conexiones con el distribuidor se especifica al crear el agente (si utiliza el Asistente para nueva publicación, el agente se crea al crear una publicación habilitada para suscripciones de actualización).

    • La cuenta con la que el agente establece conexiones con el publicador se especifica al configurar la distribución para un publicador. Especifique la cuenta de Windows con la que se ejecuta el agente o una cuenta de SQL Server.

    • La cuenta con la que el agente establece conexiones con el suscriptor se especifica al crear la suscripción.

    Importante

    Utilice la autenticación de SQL Server para las conexiones con los suscriptores y especifique una cuenta distinta para la conexión con cada suscriptor. Si utiliza una suscripción de extracción, la replicación establece siempre la conexión para que utilice la autenticación de Windows (en las suscripciones de extracción, la replicación no tiene acceso a los metadatos de un suscriptor que deba usar la autenticación de SQL Server). En este caso, cambie la conexión para que use la autenticación de SQL Server después de configurar la suscripción.

    Para más información, vea cómo crear una suscripción de actualización en una publicación transaccional (SQL Server Management Studio) y View and Modify Replication Security Settings (Ver y modificar la configuración de seguridad de la replicación).