Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Antes de instalar e usar o recurso Microsoft SQL Server Distributed Replay, examine as informações de segurança importantes neste tópico. Este tópico descreve as etapas de configuração de segurança pós-instalação que são necessárias antes de usar o Distributed Replay. Este tópico também descreve considerações importantes em relação à proteção de dados e às etapas importantes de remoção.
Contas de usuário e serviço
A tabela a seguir descreve as contas usadas no Distributed Replay. Depois da instalação do Distributed Replay, atribua as entidades de segurança com que as contas de controlador e serviço cliente serão executadas. Portanto, é recomendável configurar as contas de usuário de domínio correspondentes antes de instalar os recursos do Distributed Replay.
| Conta de usuário | Requisitos |
|---|---|
| Conta de serviço do controlador do SQL Server Distributed Replay | Pode ser uma conta de usuário de domínio ou uma conta de usuário local. Se você usar uma conta de usuário local, a ferramenta de administração, o controlador e o cliente deverão estar em execução no mesmo computador. ** Nota de segurança ** Recomendamos que a conta não seja membro do grupo de administradores local no Windows. |
| Conta de serviço do cliente do SQL Server Distributed Replay | Pode ser uma conta de usuário de domínio ou uma conta de usuário local. Se você usar uma conta de usuário local, o controlador, o cliente e o SQL Server de destino deverão estar em execução no mesmo computador. ** Nota de segurança ** Recomendamos que a conta não seja membro do grupo de administradores local no Windows. |
| Conta de usuário interativa que é usada para executar a ferramenta de administração do Distributed Replay | Pode ser uma conta de usuário local ou uma conta de usuário de domínio. Para usar uma conta de usuário local, a ferramenta de administração e o controlador devem estar em execução no mesmo computador. |
Importante: ao configurar o controlador Distributed Replay, você pode especificar uma ou mais contas de usuário que serão usadas para executar os serviços de cliente do Distributed Replay. Esta é a lista das contas com suporte:
Conta de usuário do domínio
Conta de usuário local criada pelo usuário
Administrador
Conta virtual e MSA (Conta de Serviço Gerenciada)
Serviços de rede, serviços locais e sistema
Contas de grupo (local ou domínio) e outras contas internas (como Todos) não são aceitas.
Para definir as contas de serviço ou suas senhas depois de instalar o Distributed Replay, você pode usar a ferramenta Serviços do Windows. Para alterar as contas de serviço associadas com serviços de controlador ou cliente do Distributed Replay, siga estas etapas:
Execute um destes procedimentos, dependendo do sistema operacional:
Clique em Iniciar, digite
services.mscna caixa Pesquisar e pressione ENTER.Clique em Iniciar, clique em Executar, digite
services.msce pressione ENTER.
Na caixa de diálogo Serviços , clique com o botão direito do mouse no serviço que você deseja configurar e clique em Propriedades.
Na guia Logon , clique em Esta conta.
Configure a conta de usuário a ser usada.
Permissões de arquivo e pasta
Depois que as contas de serviço forem especificadas, conceda as permissões necessárias de arquivo e pasta a essas contas de serviço. Configure permissões de arquivo e pasta de acordo com a seguinte tabela:
| Conta do GitHub | Permissões de pasta |
|---|---|
| Conta de serviço do controlador do SQL Server Distributed Replay |
<Controller_Installation_Path>\DReplayController (Leitura, Gravação, Exclusão)Arquivo DReplayServer.xml (Leitura, Gravação) |
| Conta de serviço do cliente do SQL Server Distributed Replay |
<Client_Installation_Path>\DReplayClient (Leitura, Gravação, Exclusão)Arquivo DReplayClient.xml (Leitura, Gravação)Os diretórios de trabalho e resultado, conforme especificado no arquivo de configuração de cliente pelos elementos WorkingDirectory e ResultDirectory , respectivamente. (Leitura, Gravação) |
Permissões DCOM
O DCOM é usado na RPC (chamada de procedimento remoto) entre o controlador e a ferramenta de administração, e entre o controlador e todos os clientes. Você deve configurar permissões DCOM em todo o computador e específicas para aplicativos no controlador após a instalação dos recursos do Distributed Replay.
Para configurar permissões do controlador DCOM, siga estas etapas:
Abrir dcomcnfg.exe, o snap-in de Serviços de Componentes: esta é a ferramenta que é usada para configurar permissões DCOM.
No computador controlador, clique em Iniciar.
Digite
dcomcnfg.exena caixa Pesquisar .Pressione ENTER.
Configurar permissões DCOM em todo o computador: conceda as permissões DCOM correspondentes no computador inteiro para cada conta listada na tabela a seguir. Para obter mais informações sobre como definir permissões no computador inteiro, confira Lista de verificação: Gerenciar aplicativos DCOM.
Configurar as permissões DCOM específicas do aplicativo: conceda as permissões DCOM específicas do aplicativo correspondentes para cada conta listada na tabela a seguir. O nome do aplicativo DCOM para o serviço do controlador é DReplayController. Para obter mais informações sobre como definir permissões específicas do aplicativo, veja Lista de verificação: Gerenciar aplicativos DCOM.
A seguinte tabela descreve quais permissões DCOM são necessárias para a conta de usuário interativa da ferramenta de administração e para as contas de serviço cliente:
| Característica | Conta do GitHub | Permissões DCOM necessárias no controlador |
|---|---|---|
| Ferramenta de administração do Distributed Replay | A conta de usuário interativa | Acesso local Acesso remoto Inicialização local Inicialização remota Ativação local Ativação remota |
| Cliente de Reprodução Distribuída | Conta de serviço do cliente do SQL Server Distributed Replay | Acesso local Acesso remoto Inicialização local Inicialização remota Ativação local Ativação remota |
Importante
Para ajudar a proteger contra consultas mal-intencionadas ou ataques de negação de serviço, verifique se está usando apenas uma conta de usuário de confiança para a conta de serviço do cliente. Essa conta poderá se conectar e reproduzir cargas de trabalho na instância de destino do SQL Server.
Permissões do SQL Server
As contas de serviço de cliente do SQL Server Distributed Replay são usadas na conexão à instância de destino da carga de trabalho do SQL Server. Apenas o modo de Autenticação do Windows tem suporte para essas conexões.
Depois de instalar o serviço de cliente do SQL Server Distributed Replay em um conjunto de computadores, a entidade de segurança usada para essas contas de serviço deve receber a função de servidor sysadmin na instância do SQL Server na qual você pretende reproduzir a carga de trabalho de rastreamento. Esta etapa não é executada automaticamente durante a Instalação do Distributed Replay.
Proteção de Dados
No ambiente do Distributed Replay, é concedido total acesso das seguintes contas de usuário à instância de servidor de destino do SQL Server, aos dados de rastreamento de entrada e aos arquivos de rastreamento de resultado:
A conta de usuário interativa que é usada para executar a ferramenta de administração.
A conta de serviço do controlador.
A conta de serviço do cliente.
Membros do grupo Administradores local no controlador.
Membros do grupo Administradores local nos clientes.
Importante
Estas contas têm total acesso a PII (informações pessoalmente identificáveis) ou a informações confidenciais que estão contidas nos arquivos de rastreamento, intermediários, de distribuição ou de dados do SQL Server que foram usados pelo Distributed Replay.
É recomendável adotar estas medidas de segurança:
Armazene os dados de rastreamento de entrada, os resultados de rastreamento de saída e os arquivos de banco de dados em um local que use o NTFS (sistema de arquivos NTFS) e aplique as ACLs (listas de controle de acesso) apropriadas. Se for necessário, criptografe os dados armazenados no computador do SQL Server. Lembre-se de que as ACLs não são aplicadas aos arquivos de rastreamento e não há mascaramento ou ofuscação de dados. Você deve excluir estes arquivos rapidamente após usá-los.
Aplique as ACLs apropriadas e a política de retenção a todos os arquivos intermediários e de distribuição gerados através do Distributed Replay.
Use a SSL (Secure Sockets Layer) para ajudar a proteger o transporte de rede.
Etapas de remoção importantes
É recomendável usar o Distributed Replay apenas em um ambiente de teste. Após concluir os testes, e antes de provisionar esses computadores para uma tarefa diferente, siga estes procedimentos:
Desinstale recursos do Distributed Replay e remova os arquivos de configuração relacionados do controlador e de todos os clientes.
Exclua qualquer arquivo de rastreamento, intermediário, de distribuição e de banco de dados do SQL Server que tenham sido usados em testes. Os arquivos intermediários e de distribuição são armazenados no diretório de trabalho no controlador e no cliente, respectivamente.
Consulte Também
Reprodução Distribuída do SQL Server
Instalar o Distributed Replay