Delen via

IIS 7 configureren voor websynchronisatie

van toepassing op:SQL Server-

De procedures in dit artikel begeleiden u bij het handmatig configureren van IIS-versie 7 (Internet Information Services) versie 7 en hoger voor gebruik met websynchronisatie voor samenvoegreplicatie.

Het configureren van IIS 7 of hoger is de eerste van de drie stappen die nodig zijn om websynchronisatie in te schakelen.

Zie Websynchronisatie configureren voor een overzicht van het volledige configuratieproces.

Zorg ervoor dat uw toepassing alleen .NET Framework 2.0 of nieuwere versies gebruikt en dat eerdere versies van .NET Framework niet op de IIS-server zijn geïnstalleerd. Eerdere versies van .NET Framework kunnen fouten veroorzaken, zoals:

The format of a message during Web synchronization was invalid. Ensure that replication components are properly configured at the Web server.

Als u websynchronisatie wilt gebruiken, moet u IIS configureren door de volgende stappen uit te voeren. Elke stap wordt uitgebreid beschreven in dit artikel.

  1. Installeer en configureer de SQL Server Replication Listener op de computer waarop IIS wordt uitgevoerd.

  2. Configureer Transport Layer Security (TLS), voorheen bekend als Secure Sockets Layer (SSL). TLS is vereist voor communicatie tussen IIS en alle abonnees.

  3. CONFIGUREER IIS-verificatie.

  4. Configureer een account en stel machtigingen in voor de SQL Server Replication Listener.

De SQL Server Replication Listener installeren

Websynchronisatie wordt ondersteund op IIS, vanaf versie 5.0. De wizard Websynchronisatie configureren van IIS versie 5 en 6 is niet beschikbaar met IIS versie 7.0 en hoger.

Opmerking

Als u het websynchronisatieonderdeel wilt gebruiken op IIS-server in SQL Server 2012 (11.x) en latere versies, moet u SQL Server installeren met replicatie. Dit omvat de gratis SQL Server Express-editie.

De SQL Server-replicatielistener installeren en configureren

  1. Installeer SQL Server-replicatie op de IIS-computer.

  2. Maak een nieuwe bestandsmap voor replisapi.dll op de computer waarop IIS wordt uitgevoerd. U kunt de map overal maken, maar we raden u aan de map aan te maken in de map <schijf>:\Inetpub. Maak bijvoorbeeld de map <drive>:\Inetpub\SQLReplication\.

  3. Kopieer replisapi.dll van het <station>:\Program Files\Microsoft SQL Server\nnn\COM\ naar de bestandsdirectory die u in stap 1 hebt gemaakt.

  4. Register replisapi.dll

    1. Selecteer Start en selecteer vervolgens Uitvoeren. Typ cmd in het vak Openen en selecteer VERVOLGENS OK.

    2. Voer in de map die u in stap 1 hebt gemaakt de volgende opdracht uit:

      regsvr32 replisapi.dll

  5. Maak een nieuwe website voor replicatie of gebruik een bestaande site. Deze website wordt tijdens de synchronisatie geopend door replicatieonderdelen. In procedures in dit artikel wordt ervan uitgegaan dat de standaardwebsite wordt gebruikt. Zie de IIS-documentatie voor meer informatie over het maken van websites

  6. Maak een virtuele map in IIS. De virtuele map moet worden gemaakt onder de website die u in stap 4 hebt gemaakt en deze toewijzen aan de map die u in stap 1 hebt gemaakt. Wees zo beperkend mogelijk wanneer u machtigingen toewijst aan deze map. U moet ten minste de rechten 'Lezen' en 'Uitvoeren' selecteren.

    1. Klik in IIS-beheer (Internet Information Services) in het deelvenster Verbindingen met de rechtermuisknop op Standaardwebsite en selecteer Vervolgens Virtuele map toevoegen.

    2. Bij Alias voert u het in SQLReplication.

    3. Voor het fysieke pad voert u <station>:\Inetpub\SQLReplication\ in, en selecteer vervolgens OK.

  7. Configureer IIS om replisapi.dll uit te voeren.

    1. Selecteer in IIS-beheer (Internet Information Services)de optie Standaardwebsite.

    2. Selecteer Handlerkoppelingen in het middelste deelvenster.

    3. Selecteer in het deelvenster Acties de optie Moduletoewijzing toevoegen.

    4. Voer voor Aanvraagpadreplisapi.dll in.

    5. Selecteer IsapiModule in de vervolgkeuzelijst Module.

    6. Voer voor Uitvoerbaar<drive>:\Inetpub\SQLReplication\replisapi.dll in.

    7. Voer voor NaamReplisapi in.

    8. Selecteer de knop Beperkingen aanvragen , selecteer het tabblad Access en selecteer vervolgens Uitvoeren.

    9. Selecteer OK om het dialoogvenster Aanvraagbeperkingen te sluiten en selecteer vervolgens nogmaals OK om het dialoogvenster Moduletoewijzing toevoegen te sluiten. Wanneer u wordt gevraagd om de ISAPI-extensie toe te staan, selecteert u Ja om de extensie toe te voegen.

    10. Controleer of Replisapi.dll staat vermeld onder de Ingeschakelde handler-koppelingen. Als deze zich in de lijst Uitgeschakeld bevindt, klikt u met de rechtermuisknop op de vermelding Replisapi en selecteert u Functiemachtigingen bewerken. Schakel het selectievakje Uitvoeren in en selecteer VERVOLGENS OK.

IIS-verificatie configureren

Wanneer abonneecomputers verbinding maken met IIS, moet IIS de abonnees verifiëren voordat ze toegang hebben tot resources en processen. Verificatie kan worden toegepast op de hele website of op de virtuele map die u hebt gemaakt.

U wordt aangeraden basisverificatie te gebruiken met TLS. TLS is vereist, ongeacht het type verificatie dat wordt gebruikt.

IIS-verificatie configureren

  1. Selecteer in IIS-beheer (Internet Information Services)de optie Standaardwebsite.
  2. Dubbelklik in het middelste deelvenster op Verificatie.
  3. Klik met de rechtermuisknop op Anonieme verificatie en kies Uitschakelen.
  4. Klik met de rechtermuisknop op Basisverificatie en kies Inschakelen.

Secure Sockets Layer configureren

Als u TLS wilt configureren, geeft u een certificaat op dat moet worden gebruikt door de computer waarop IIS wordt uitgevoerd. Websynchronisatie voor samenvoegreplicatie ondersteunt het gebruik van servercertificaten, maar niet van clientcertificaten. Als u IIS wilt configureren voor implementatie, moet u eerst een certificaat van een certificeringsinstantie (CA) verkrijgen. Zie de IIS-documentatie voor meer informatie over certificaten.

Nadat u het certificaat hebt geïnstalleerd, moet u het certificaat koppelen aan de website die wordt gebruikt door websynchronisatie. Voor ontwikkeling en testen kunt u een zelfondertekend certificaat opgeven. IIS 7 kan een certificaat voor u maken en dit registreren op uw computer.

Het verschil tussen de implementatie voor productie en de procedures die hier worden gegeven, is dat u in productie- en preproductietests een certificaat zou gebruiken dat is uitgegeven door een CA in plaats van een zelfondertekend certificaat.

Belangrijk

Een zelfondertekend certificaat wordt niet aanbevolen voor een productie-installatie. Zelfondertekende certificaten zijn niet veilig. Gebruik zelfondertekende certificaten alleen voor ontwikkeling en testen.

Voer de volgende stappen uit om TLS te configureren:

  1. Configureer de website om TLS te vereisen en de klantcertificaten te negeren.
  2. Haal een certificaat op bij een CA of maak een zelfondertekend certificaat.
  3. Bind het certificaat aan de replicatiewebsite.

SSL-beveiliging vereisen voor een website

  1. Vouw in IIS-beheer (Internet Information Services) het lokale serverknooppunt uit en selecteer vervolgens de standaardwebsite (of uw websitesynchronisatiesite als deze verschilt van de standaardwebsite).

  2. Dubbelklik in het middelste deelvenster op SSL-instellingen.

  3. Controleer de optie SSL vereisen. Controleer onder Clientcertificaten of de knop Negeren is geselecteerd.

Een zelfondertekend certificaat maken voor testen

  1. Selecteer in IIS-beheer (Internet Information Services) het lokale serverknooppunt en dubbelklik vervolgens in het middelste deelvenster op Servercertificaten.

  2. Selecteer in het deelvenster ActiesCreëer Self-Signed-certificaat.

  3. Voer in het dialoogvenster Self-Signed Certificaat maken een naam in voor het certificaat en selecteer VERVOLGENS OK.

Een certificaat binden aan een website

  1. Selecteer in het deelvenster Verbindingen de standaardwebsite (of uw websynchronisatiesite, als deze verschilt van de standaardwebsite).

  2. Selecteer Bindingen in het deelvenster Acties en selecteer vervolgens Toevoegen. Het dialoogvenster Sitebinding toevoegen wordt weergegeven.

  3. Selecteer https in de vervolgkeuzelijst Type. Laat de standaardinstellingen voor IP-adres en poort staan.

  4. Selecteer in de vervolgkeuzelijst ssl-certificaat het certificaat dat is gemaakt in 'Een zelfondertekend certificaat maken voor testen', selecteer OK en selecteer vervolgens Sluiten.

Het certificaat testen

  1. Selecteer in IIS-beheer (Internet Information Services)de optie Standaardwebsite.

  2. Selecteer in het Acties-deelvenster Bladeren *:443(https).

  3. Internet Explorer wordt geopend en er wordt een bericht weergegeven dat er een probleem is met het beveiligingscertificaat van deze website. Deze waarschuwing geeft aan dat het bijbehorende certificaat niet is uitgegeven door een erkende CA en mogelijk niet betrouwbaar is. Dit is een verwachte waarschuwing, dus selecteer Doorgaan naar deze website (niet aanbevolen).

  4. Als u wordt gevraagd verbinding te maken met localhost, voert u een gebruikersnaam en wachtwoord in om door te gaan. U ziet nu de standaardpagina voor de website.

Machtigingen instellen voor de SQL Server-replicatielistener

Wanneer een abonneecomputer verbinding maakt met de computer waarop IIS wordt uitgevoerd, wordt de abonnee geverifieerd met het type verificatie dat is opgegeven bij het configureren van IIS. Nadat IIS de abonnee heeft geverifieerd, controleert IIS of de abonnee gemachtigd is om SQL Server-replicatie aan te roepen. U beheert de gebruikers die SQL Server-replicatie kunnen aanroepen door machtigingen in te stellen voor replisapi.dll. Het correct configureren van machtigingen is nodig om onbevoegde toegang tot SQL Server-replicatie te voorkomen.

Voltooi de volgende procedure om de minimale machtigingen te configureren voor het account waaronder de SQL Server-replicatielistener wordt uitgevoerd. De stappen in de volgende procedure zijn van toepassing op Windows Server 2008 met IIS 7.0.

Naast het uitvoeren van de volgende stappen, zorg ervoor dat de vereiste aanmeldingen zich in de publicatietoegangslijst (PAL) bevinden. Zie Secure the Publisher voor meer informatie over de PAL.

Belangrijk

Het account dat in deze sectie is gemaakt, is het account dat tijdens de synchronisatie verbinding maakt met de uitgever en distributeur. Dit account moet worden toegevoegd als een SQL-aanmeldingsaccount op de distributie- en publicatieserver.

Het account dat wordt gebruikt voor de SQL Server Replication Listener moet machtigingen hebben, zoals beschreven in de sectie Verbinding maken met de uitgever of distributeur in het artikel Beveiliging van de samenvoegagent .

Kortom, het account moet:

  • Lid zijn van de publicatietoegangslijst (PAL).
  • Worden toegewezen aan een login dat gekoppeld is aan een gebruiker in de publicatiedatabase.
  • Worden toegekend aan een login die is gekoppeld aan een gebruiker in de distributiedatabase.
  • Heb leesmachtigingen voor de snapshot-share.

Het account en de machtigingen configureren

  1. Maak een lokaal account op de computer met IIS:

    1. Open Serverbeheer. Klik in het menu Start met de rechtermuisknop op Computer en selecteer Beheren.

    2. Vouw inServerbeheer configuratie uit en vouw vervolgens Lokale gebruikers en groepen uit.

    3. Klik met de rechtermuisknop op Gebruikers, en selecteer vervolgens Nieuwe gebruiker.

    4. Voer een gebruikersnaam en een sterk wachtwoord in. Wis Gebruiker moet wachtwoord bij volgende aanmelding wijzigen.

    5. Selecteer Maken en Sluiten.

  2. Voeg het account toe aan de IIS_IUSRS groep:

    1. Vouw in ServerbeheerConfiguratie uit, vouw Lokale gebruikers en groepen uit en selecteer vervolgens Groepen.

    2. Klik met de rechtermuisknop op IIS_IUSRS en selecteer Vervolgens Toevoegen aan groep.

    3. Selecteer Toevoegen in het dialoogvenster IIS_IUSRS Eigenschappen.

    4. Voeg in het dialoogvenster Gebruikers, computers of groepen selecteren het account toe dat u in stap 1 hebt gemaakt.

    5. Controleer of op deze locatie de naam van de lokale computer (geen domein) wordt weergegeven. Als in dit veld de naam van de lokale computer niet wordt weergegeven, selecteert u Locaties. Selecteer in het dialoogvenster Locaties de lokale computer en selecteer vervolgens OK.

    6. Selecteer OK in het dialoogvenster Gebruikers selecteren en het dialoogvenster IIS_IUSRS Eigenschappen.

  3. Minimale accountmachtigingen verlenen voor de map die replisapi.dllbevat:

    1. Klik in Windows Verkenner met de rechtermuisknop op de map die u hebt gemaakt voor replisapi.dllen selecteer dan Eigenschappen.

    2. Selecteer Bewerken op het tabblad Beveiliging.

    3. Selecteer < in het dialoogvenster Machtigingen voor >mapnaam om het account toe te voegen dat u in stap 1 hebt gemaakt.

    4. Controleer of op deze locatie de naam van de lokale computer (geen domein) wordt weergegeven. Als in dit veld de naam van de lokale computer niet wordt weergegeven, selecteert u Locaties. Selecteer in het dialoogvenster Locaties de lokale computer en selecteer vervolgens OK.

    5. Controleer of aan het account alleen machtigingen voor lezen, lezen en uitvoeren en inhoud van lijstmappen zijn verleend.

    6. Selecteer alle gebruikers of groepen waarvoor geen toegang tot de map is vereist, selecteer Verwijderen en selecteer vervolgens OK.

  4. Maak een groep toepassingen in IIS-beheer (Internet Information Services):

    1. Vouw in IIS-beheer (Internet Information Services) in het deelvenster Verbindingen het lokale serverknooppunt uit.

    2. Klik met de rechtermuisknop op Toepassingsgroepen en selecteer Vervolgens Groep van toepassingen toevoegen.

    3. Voer een naam in voor de groep van toepassingen, laat de standaardwaarden voor de resterende velden staan en selecteer VERVOLGENS OK.

    Als u verwacht dat er meer dan twee gelijktijdige synchronisatieclients zijn, kunt u een webtuin maken. Zie Een webtuin maken voor meer informatie.

  5. Koppel het account aan de groep van toepassingen:

    1. Vouw in IIS-beheer (Internet Information Services) het lokale serverknooppunt uit en selecteer vervolgens Toepassingsgroepen.

    2. Klik met de rechtermuisknop op de groep van toepassingen die u hebt gemaakt en selecteer Standaardinstellingen voor groep van toepassingen instellen.

    3. Schuif in het dialoogvenster Standaardinstellingen voor toepassingsgroepen omlaag naar de sectie Procesmodel en selecteer vervolgens het veld Identiteit .

    4. Selecteer de knop met het beletselteken aan de rechterkant van de rij Identiteit .

    5. Selecteer het keuzerondje Aangepast account en selecteer vervolgens Stel in.

    6. Voer in de velden Gebruikersnaam en Wachtwoord het account en wachtwoord in dat u in stap 1 hebt gemaakt en selecteer VERVOLGENS OK.

    7. Selecteer OK om het dialoogvenster Identiteit van toepassingsgroep te sluiten en selecteer vervolgens opnieuw OK om het dialoogvenster Standaardinstellingen voor de groep van toepassingen te sluiten.

  6. Koppel de groep van toepassingen aan de replicatiewebsite:

    1. Vouw in IIS-beheer (Internet Information Services) het lokale serverknooppunt uit en selecteer vervolgens de standaardwebsite (of uw websitesynchronisatiesite als deze verschilt van de standaardwebsite).

    2. Selecteer geavanceerde instellingen in het deelvenster Acties onder Website beheren.

    3. Selecteer in het dialoogvenster Geavanceerde instellingen de knop met het beletselteken rechts van de groep van toepassingen.

    4. Selecteer in de vervolgkeuzelijst Toepassingsgroep de groep van toepassingen die u in stap 4 hebt gemaakt en selecteer vervolgens OK.

    5. Selecteer opnieuw OK om Geavanceerde instellingen te sluiten.

Test de verbinding met replisapi.dll

Voer websynchronisatie uit in de diagnostische modus om de verbinding met de computer met IIS te testen en ervoor te zorgen dat het TLS/SSL-certificaat juist is geïnstalleerd. Als u websynchronisatie wilt uitvoeren in de diagnostische modus, moet u een beheerder zijn op de computer waarop IIS wordt uitgevoerd.

  1. Zorg ervoor dat de lan-instellingen (Local Area Network) bij de abonnee juist zijn:

    1. In Internet Explorer, selecteer in het menu Extra de optie Internetopties.

    2. Selecteer LAN-instellingen op het tabblad Verbindingen.

    3. Als een proxyserver niet wordt gebruikt op het LAN, schakelt u Instellingen automatisch detecteren uit en gebruikt u een proxyserver voor uw LAN.

    4. Als er een proxyserver wordt gebruikt, selecteert u Een proxyserver gebruiken voor uw LAN en de proxyserver overslaan voor lokale adressen en selecteert u VERVOLGENS OK.

  2. Bij de Abonnee, maak in Internet Explorer verbinding met de server in de diagnostische modus door ?diag aan het adres voor de replisapi.dlltoe te voegen. Voorbeeld: https://<server.domain.com>/directory/replisapi.dll?diag.

    In het vorige voorbeeld <server.domain.com> moet worden vervangen door de exacte naam Uitgegeven aan die wordt vermeld onder de sectie Servercertificaten in IIS-beheer.

  3. Als het certificaat dat u hebt opgegeven voor IIS niet wordt herkend door het Windows-besturingssysteem, wordt het dialoogvenster Beveiligingswaarschuwing weergegeven. Deze waarschuwing kan optreden omdat het certificaat een testcertificaat is of het certificaat is uitgegeven door een certificeringsinstantie (CA) die niet wordt herkend door Windows.

    Als dit dialoogvenster niet wordt weergegeven, controleert u of het certificaat voor de server waartoe u toegang hebt, is toegevoegd aan het certificaatarchief bij abonnee als vertrouwd certificaat. Zie de IIS-documentatie voor meer informatie over het exporteren van certificaten.

    1. Selecteer Certificaat weergeven in het dialoogvenster Beveiligingswaarschuwing.

    2. Selecteer Certificaat installeren op het tabblad Algemeen in het dialoogvenster Certificaat.

    3. Voltooi de wizard Certificaat importeren en accepteer de standaardwaarden.

    4. Selecteer Ja in het dialoogvenster Beveiligingswaarschuwing.

    5. Selecteer OK in het bevestigingsvenster van de wizard Certificaat importeren.

    6. Sluit het dialoogvenster Certificaat .

    7. Selecteer Ja in het dialoogvenster Beveiligingswaarschuwing.

    Certificaten worden geïnstalleerd voor gebruikers. Dit proces moet worden uitgevoerd voor elke gebruiker die wordt gesynchroniseerd met IIS.

  4. Geef in het dialoogvenster Verbinding maken met <ServerName> de aanmelding en het wachtwoord op waarmee de samenvoegagent verbinding maakt met IIS. Deze inloggegevens worden ook opgegeven in de wizard Nieuw Abonnement.

  5. Controleer in het venster Internet Explorer met de naam diagnostische gegevens van SQL Websync of de waarde in elke kolom Status op de pagina is SUCCESS.

  6. Zorg ervoor dat het certificaat correct is geïnstalleerd op de abonnee:

    1. Sluit Internet Explorer en open deze opnieuw.

    2. Maak verbinding met de server in de diagnostische modus. Als het certificaat juist is geïnstalleerd, wordt het dialoogvenster Beveiligingswaarschuwing niet weergegeven. Als het dialoogvenster wordt weergegeven, mislukt de samenvoegagent wanneer wordt geprobeerd verbinding te maken met de computer waarop IIS wordt uitgevoerd. U moet ervoor zorgen dat het certificaat voor de server waartoe u toegang hebt, als vertrouwd certificaat is toegevoegd aan het certificaatarchief bij de abonnee. Zie de IIS-documentatie voor meer informatie over het exporteren van certificaten.

Verwante inhoud