我们有一个托pipe公司异地托pipe的生产SQL服务器,我们在我们自己的networking中有一个登台环境。 我们希望能够设置一个SQL作业,从临时服务器上的表中复制内容以便定期启动,我认为我们需要设置一个链接的服务器连接来执行此操作。 我需要什么让托pipe公司做,让我们设置这个? 我们有RDP访问生产服务器,我只需要知道什么networking和安全configuration需要从托pipe公司的angular度来看,所以我可以要求他们这样做。
链接的服务器不是最好的select。
- 它打开SQL Server远程T-SQL执行,这是一个非常严重的安全漏洞
- 它需要基于SQL密码的身份validation,因为涉及不同的域
- 它在面对缺陷性的时候不会提供冗余
- 作为协议的TDS不是为了速度而devise的
更好的select是使用Service Broker :
- SSB在不允许任意T-SQL命令的专用端口上运行,如链接服务器
- SSB支持跨不同域的基于证书的身份validation
- 邮件碎片化和交付公平性确保了对错误/慢速连接的平稳操作
- SSB使用高速吞吐量协议,用于数据库镜像中使用的速率协议。
如果你坚持链接服务器,那么你必须:
- 使SQL Server能够在公共因特网上收听
- 启用服务器并打开防火墙上的SQL侦听端口(默认TCP 1433)。 如果服务器在非默认端口上侦听,则必须启动SQL Browser服务并在防火墙上打开端口1434 UDP,并允许sqlservr.exe打开防火墙上的任意端口。
- 您必须启用SQL身份validation才能允许使用基于SQL的密码。
- 要保护stream量,应确保使用SSL,请参阅如何使用Microsoftpipe理控制台和如何启用通道encryption 为SQL Server实例启用SSL encryption 。
- 检查,重新检查并重新检查[sa]login是否有绝对100%信任的人知道的防弹密码。 您的TDS端口在互联网上将受到来自一百万台自动机器人的暴力攻击。