引言
復制是一項重要而功能強大的技術,用於在整個企業內分布數據和存儲過程。通過 Microsoft® SQL Server® 中的復制技術可以復制數據,將數據的副本移至不同位置,並可使數據自動同步,從而使得所有副本都具有相同的數據值。復制可以在同一服務器的不同數據庫之間進行,也可以在由 LAN、WAN 或 Internet 連接的不同的服務器之間進行。
只要將 SQL Server 與 Microsoft Proxy Server 相結合,您就可在 Internet 上復制數據,且不會危及數據庫的安全。通過 Internet 執行復制的步驟包括:配置網絡拓撲、理解安全方法、配置 Proxy Server、以及為復制配置 SQL Server 7.0 版。
配置網絡拓撲
配置網絡拓撲是定義 SQL Server 與 Proxy Server 如何在一起工作的第一步。如下圖所示,Proxy Server 直接連接 Internet 與運行 SQL Server 7.0 的標識為發布服務器的內部服務器。運行 SQL Server 的內部服務器被同時配置為發布服務器和分發服務器。第二個服務器即訂閱服務器,也運行 SQL Server 7.0,並可通過 Internet 訪問;它被配置為請求訂閱服務器。
代理服務器的軟件要求為:
Microsoft Windows NT®® 4.0 版,帶 Service Pack 4
Windows NT 4.0 Option Pack
Microsoft Internet 信息服務 (IIS) 4.0 版
Proxy Server 2.0 版
運行 SQL Server 的服務器的軟件要求為:
Windows NT Server 4.0,帶 Service Pack 4
Microsoft Internet Explorer 4.01 版,帶 Service Pack 1
SQL Server 7.0
代理服務器被配置為多宿主服務器,以防止未經授權的 Internet 用戶訪問內部網絡資源。多宿主服務器有兩個網絡接口卡 (NIC),它們可提供連接同類網絡的安全手段。第一個 NIC 被稱為外部代理接口,它將 Internet 用戶與內部網絡隔離開。內部網絡可通過稱為內部代理接口的第二個 NIC 訪問代理服務器。當內部用戶獲得由 Proxy Server 授予的權限後,就可在內部代理接口和外部代理接口之間建立連接。
Proxy Server 控制著內部網絡上的哪些服務或哪些用戶可進行連接、或綁定到代理服務器上的某個端口。Internet 上的任何用戶或服務器要想訪問內部網絡上的數據或資源,首先必須建立此連接。
要與代理服務建立連接,Internet 用戶應利用外部代理接口進入代理服務器,並連接到某個端口。建立與代理服務器上某個端口的連接後,用戶只能訪問代理服務器上用戶對其擁有訪問權限的那些服務,例如文件目錄。而不能訪問內部網絡上的任何服務或資源。
要訪問內部網絡上的資源,擁有適當權限的內部用戶或服務必須通過外部代理接口連接到某個端口。在綁定過程中,代理服務器將驗證用戶身份,如果有足夠的權限,就會建立連接。
這一特殊的 Internet 配置不會影響 SQL Server 的基本安全屬性。內部網絡上擁有相應權限的用戶可以訪問運行 SQL Server 的服務器上的數據。不過,要訪問 SQL Server 和任何發布信息,Internet 用戶必須首先知道其 IP 地址,並連接到代理服務器的適當端口,然後提供有效的 SQL Server 登錄帳戶。
不要指定運行 SQL Server 的服務器或代理服務器內部子網的默認網關。外部接口的默認網關必須指向各自路由器的 IP 地址。
安全概述
安全考慮是設計和實現分布式應用的一個重要部分。由於復制可將一個服務器上數據的更改應用到該網絡上許多其它服務器,因此理解網絡安全的層次是非常重要的。
所要復制數據的不集中的特點增加了管理或限制訪問該數據的復雜程度。SQL Server 復制使用一種組合的安全機制來保護數據和應用程序中的業務邏輯。
考慮安全要求的一種方法是,將這些要求視為不同的訪問層。在添加後續層之前,每個較低的層必須能正常工作。每個後續層都依賴於前面層的正常操作。以下為需要配置的三個安全層:
Windows NT 用戶帳戶
Proxy Server 安全
SQL Server 復制帳戶安全
必須當前面插圖中的三個服務器建立相互連接之後,復制才會進行。首先,發布服務器/分發服務器必須與代理服務器建立網絡連接。其次,訂閱服務器必須與發布服務器/分發服務器建立 SQL Server 連接;最後,訂閱服務器必須與代理服務器上 FTP 服務建立網絡連接
