Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a:
SQL Server 2016 (13.x) SQL Server 2017 (14.x) SQL Server 2019 (15.x)
Importante
O SQL Server Distributed Replay não está disponível com o SQL Server 2022 (16.x) e versões posteriores.
Antes de instalar e usar o recurso Microsoft SQL Server Distributed Replay, examine as informações de segurança importantes neste artigo. Este artigo descreve as etapas de configuração de segurança pós-instalação necessárias para que você possa usar o Distributed Replay. Este artigo também descreve considerações importantes sobre proteção de dados e etapas importantes de remoção.
Contas de usuário e serviço
A tabela a seguir descreve as contas usadas no Distributed Replay. Depois da instalação do Distributed Replay, atribua as entidades de segurança com que as contas de controlador e serviço cliente serão executadas. Portanto, é recomendável configurar as contas de usuário de domínio correspondentes antes de instalar os recursos do Distributed Replay.
| Conta de utilizador | Requisitos |
|---|---|
| Conta de serviço do controlador do SQL Server Distributed Replay 1 | Pode ser uma conta de usuário de domínio ou uma conta de usuário local. Se você usar uma conta de usuário local, a ferramenta de administração, o controlador e o cliente deverão estar em execução no mesmo computador. |
| Conta de serviço do cliente do SQL Server Distributed Replay 1 | Pode ser uma conta de usuário de domínio ou uma conta de usuário local. Se você usar uma conta de usuário local, o controlador, o cliente e o SQL Server de destino deverão estar em execução no mesmo computador. |
| Conta de usuário interativa que é usada para executar a ferramenta de administração do Distributed Replay | Pode ser uma conta de usuário local ou uma conta de usuário de domínio. Para usar uma conta de usuário local, a ferramenta de administração e o controlador devem estar em execução no mesmo computador. |
1 Não adicione essa conta ao grupo de Administradores local no Windows.
Importante
Ao configurar o controlador Distributed Replay, você pode especificar uma ou mais contas de usuário para executar os serviços de cliente do Distributed Replay, na seguinte lista de contas com suporte:
- Conta de usuário do domínio
- Conta de usuário local criada pelo usuário
- Administradores
- Conta virtual e MSA (Conta de Serviço Gerenciada)
- Serviços de rede, serviços locais e sistema
Não são aceitas contas de grupo (local ou domínio) e outras contas internas (como Todos).
Para definir as contas de serviço ou suas senhas depois de instalar o Distributed Replay, você pode usar a ferramenta Serviços do Windows. Para alterar as contas de serviço associadas com serviços de controlador ou cliente do Distributed Replay, siga estas etapas:
Execute um destes procedimentos, dependendo do sistema operacional:
- Selecione Iniciar, digite services.msc na caixa Pesquisar e pressione Enter.
- Selecione Iniciar, selecione Executar, digite services.msc e pressione Enter.
Na caixa de diálogo Serviços, clique com o botão direito do mouse no serviço a ser configurado e selecione Propriedades.
Na guia Logon, selecione Esta conta.
Configure a conta de usuário a ser usada.
Permissões de arquivos e pastas
Depois que as contas de serviço forem especificadas, você deverá conceder as permissões de arquivo e pasta necessárias a essas contas de serviço. Configure permissões de arquivo e pasta de acordo com a seguinte tabela:
| Conta | Permissões de pasta |
|---|---|
| Conta de serviço do controlador do SQL Server Distributed Replay |
<Controller_Installation_Path>\DReplayController (Leitura, Gravação, Exclusão)Arquivo DReplayServer.xml (Leitura, Gravação) |
| Conta de serviço do cliente do SQL Server Distributed Replay |
<Client_Installation_Path>\DReplayClient (Leitura, Gravação, Exclusão)Arquivo DReplayClient.xml (Leitura, Gravação)Os diretórios de trabalho e resultado, conforme especificado no arquivo de configuração de cliente pelos elementos WorkingDirectory e ResultDirectory , respectivamente. (Leitura, Gravação) |
Permissões DCOM
O DCOM é usado na RPC (chamada de procedimento remoto) entre o controlador e a ferramenta de administração, e entre o controlador e todos os clientes. Você deve configurar permissões DCOM específicas do computador e do aplicativo no controlador depois que os recursos do Distributed Replay forem instalados.
Para configurar permissões do controlador DCOM, siga estas etapas:
Abra o snap-in dos Serviços de Componentes: use esta ferramenta para configurar permissões DCOM.
- No computador do controlador, selecione Iniciar.
- Digite
dcomcnfg.exena caixa Pesquisar . - Pressione Enter.
Configurar permissões DCOM em todo o computador: conceda as permissões DCOM correspondentes no computador inteiro para cada conta listada na tabela a seguir. Para obter mais informações sobre como definir permissões no computador inteiro, confira Lista de verificação: Gerenciar aplicativos DCOM.
Configurar as permissões DCOM específicas do aplicativo: conceda as permissões DCOM específicas do aplicativo correspondentes para cada conta listada na tabela a seguir. O nome do aplicativo DCOM para o serviço do controlador é
DReplayController. Para obter mais informações sobre como definir permissões específicas do aplicativo, veja Lista de verificação: Gerenciar aplicativos DCOM.
A seguinte tabela descreve quais permissões DCOM são necessárias para a conta de usuário interativa da ferramenta de administração e para as contas de serviço cliente:
| Recurso | Conta | Permissões de DCOM necessárias no controlador |
|---|---|---|
| Ferramenta de administração do Distributed Replay | A conta de usuário interativa | Acesso local Acesso remoto Inicialização local Inicialização remota Ativação local Ativação remota |
| Cliente de Reprodução Distribuída | Conta de serviço do cliente do SQL Server Distributed Replay | Acesso local Acesso remoto Inicialização local Inicialização remota Ativação local Ativação remota |
Importante
Para ajudar a proteger contra consultas mal-intencionadas ou ataques de negação de serviço, verifique se está usando apenas uma conta de usuário de confiança para a conta de serviço do cliente. Essa conta pode se conectar e reproduzir cargas de trabalho na instância de destino do SQL Server.
Permissões do SQL Server
As contas de serviço de cliente do SQL Server Distributed Replay são usadas na conexão à instância de destino da carga de trabalho do SQL Server. Apenas o modo de Autenticação do Windows tem suporte para essas conexões.
Depois de instalar o serviço de cliente do SQL Server Distributed Replay em um conjunto de computadores, a entidade de segurança usada para essas contas de serviço deve receber a função de servidor sysadmin na instância do SQL Server na qual você pretende reproduzir a carga de trabalho de rastreamento. Esta etapa não é executada automaticamente durante a Instalação do Distributed Replay.
Proteção de dados
No ambiente Distributed Replay, as seguintes contas de usuário recebem acesso total à instância do servidor de destino do SQL Server, aos dados de rastreamento de entrada e aos arquivos de rastreamento de resultados:
A conta de usuário interativa que é usada para executar a ferramenta de administração.
A conta de serviço do controlador.
A conta de serviço do cliente.
Membros do grupo Administradores local no controlador.
Membros do grupo Administradores local nos clientes.
Importante
Essas contas têm acesso total a dados pessoais ou informações confidenciais contidas nos arquivos de dados de rastreamento, intermediário, despacho ou arquivos de dados do SQL Server que foram usados pelo Distributed Replay.
Tome as seguintes precauções de segurança:
Armazene os dados de rastreamento de entrada, os resultados de rastreamento de saída e os arquivos de banco de dados em um local que use o NTFS (sistema de arquivos NTFS) e aplique as ACLs (listas de controle de acesso) apropriadas. Se necessário, criptografe os dados armazenados no computador do SQL Server. As ACLs não são aplicadas aos arquivos de rastreamento e não há mascaramento ou ofuscação de dados. Você deve excluir estes arquivos rapidamente após usá-los.
Aplique as ACLs apropriadas e a política de retenção a todos os arquivos intermediários e de expedição gerados pelo Distributed Replay.
Use o TLS (Transport Layer Security) para ajudar a proteger o transporte de rede.
Etapas de remoção importantes
Use Somente Distributed Replay em um ambiente de teste. Depois que o teste for concluído e antes de usar esses computadores para uma tarefa diferente, certifique-se de executar as seguintes etapas:
Desinstale recursos do Distributed Replay e remova os arquivos de configuração relacionados do controlador e de todos os clientes.
Exclua qualquer arquivo de rastreamento, intermediário, de distribuição e de banco de dados do SQL Server que tenham sido usados em testes. Os arquivos intermediários e de distribuição são armazenados no diretório de trabalho no controlador e no cliente, respectivamente.