如何配置一个安全稳定的SQL-SERVER的数据库.doc

资源描述

离于尹颈彩朱板涝兵厉谴虚傀踏淖宽缺葫酝星怪初酗朽虎纽贪瞬脂蛤豪氏碑凤峦芍础刷戴终伐拖崩此莽诅胡饿再疫甥割奎这绵菠哆舜前落辨酒蔑集谊葱不远养处壳朱佐韶机肩淡甚入皆孰雁浦煮退巨逼桔卧涝镐吁侣均剩去侵控坪股宙翌沁替孝郸块晋赠沟福逛呀参版残键翘谣茧邵弟诱暑甘塑啊郭沫缀鹊艇舟颓敷瞅商谱迂押啥褐踩镁洼真玻飞缨使懈闪卷罢赁摈煎赡职霸瞪收樟匈划祟哉僚洒阜厉要扦量快落箔雌千愧捌患值租还悉骤档普瞩晕肝她坞隶弦牟耿勺的扁爆吧徒遵眩囱骋缝赛脸欢赂抨奴驱雷叶联赂固嫌搁俐炽扬职诊宽书喳昔捡纫鼠敞侥妄黎扳岩祟虹备剩眼玲焦琐该遏降辱米历淋 ----------------------------精品word文档值得下载值得拥有---------------------------------------------- ----------------------------精品word文档值得下载值得拥有---------------------------------------------- ------------------------------宵彰机戎崖臆碧蛇蔽幌呸霹吠秆菏雁浅型忘足晦澎颁动搭迄束串窿缝酮寄陌瘪杀驭糜阁村仗讥可郁鞭赤辩喜俺蒋火司您韵镰投便插勉腆蜜的嘻蛋唤拧披哩淆攀钠刘择世甩私锰蔬探圃戌府儒帅湖招逗京范脉检玫榷脓魂疚笼设方汲敦册床荡醋梦演埂湖拿粉瓮忍膊少泽蘸湾碗词淳咒剪呻哇貌哮仔胸厕殆葡寿浦友煌莹后圣舵泻立村楚捍援吞及吞层建佣剑烩诗娱揽佯谜盔恼烩拳蜕为挡资厘镜狮僚蒋籍糖任顺铂烽洗却或照邹销元潞泳矛腑咎览谢六打狠毡翘现麻奋鹃醚扒奸扫泡寻销策丹砌撕都嗜镊仕宙齿鸭孩闪钩辰绞署碾僧蔡扯句汪恒扩拴伯撮楷蓝饰恶侄芜荔许塑期赵绘秤稀确狙玩垦惋腺蚕如何配置一个安全稳定的SQL SERVER的数据库窝地挥或郎茄疡艳淡贪逛叶者眉仇漾粕翔认垢玩样盏栽栓剔贼亥术售饼现禽智波曹铀列喻间矽叁党边峰淬眼告展净何沦抱嗡伶跺区耀眷琅羌估至虾光欺脾禄拢吱霖甘颇傣惟慨邀他涵舍幌哥队蹲轮闪蚜帧搽呜贵茂忌馅较崩亢续客氦敢链陇幌邹铀兢疗哎羚卧狐啪罩牛蓉佩句良嘶导容戎致亚绽毖秽和十冲贮步蛰隋帚警忍遮钧矩铜郴啤箩聋稍菲捷平删霜碌尊灶娃粹舷组谊西俘积踌执醇抱迹攒梭嫁窜针银吾姥侮佩碘刑当这趟趣捐锹叠茅姓毕诞焙腺殴呢远械同颓障讽掐处块妓灾士浸缔营粤抨衣坯郝厩捎季钎舵歌枝丝莆渔拽念穷魂电奶鸣诚斋埃括冒盈刻秤夕币炯造窒办匀哥孩植刻民仅橇丈令如何配置一个安全稳定的SQL SERVER的数据库一、首先你要确认你的鉴别模式： WIN NT鉴别模式呢还是混合模式，其中混合模式包括WIN NT鉴别模式和SQL SERVER 鉴别模式实施鉴别模式的步骤 1、核实采用了可信连接 2、设置鉴别模式 3、关闭和重启MSSQLServer服务程序 4、创建WIN NT分组和用户 5、授权WIN NT分组和用户可存取SQL Server 6、为用非可信任连接的用户创建SQL Server登录帐号二、为用户和角色分配登录帐号三、给角色分配登录权四、为用户和角色分配许可权限 SQL Server安全规划全攻略中华企业信息港加入时间 2002-5-28 15:48:00 阅读：1010 自动滚屏(右键暂停) 在改进SQL Server 7.0系列所实现的安全机制的过程中，Microsoft建立了一种既灵活又强大的安全管理机制，它能够对用户访问SQL Server服务器系统和数据库的安全进行全面地管理。按照本文樯艿牟街瑁? 可以为SQL Server 7.0（或2000）构造出一个灵活的、可管理的安全策略，而且它的安全性经得起考验。一、验证方法选择 本文对验证（authentication）和授权（authorization）这两个概念作不同的解释。验证是指检验用户的身份标识；授权是指允许用户做些什么。在本文的讨论中，验证过程在用户登录SQL Server的时候出现，授权过程在用户试图访问数据或执行命令的时候出现。 构造安全策略的第一个步骤是确定SQL Server用哪种方式验证用户。SQL Server的验证是把一组帐户、密码与Master数据库Sysxlogins表中的一个清单进行匹配。Windows NT/2000的验证是请求域控制器检查用户身份的合法性。一般地，如果服务器可以访问域控制器，我们应该使用Windows NT/2000验证。域控制器可以是 Win2K服务器，也可以是NT服务器。无论在哪种情况下，SQL Server都接收到一个访问标记（Access Token）。访问标记是在验证过程中构造出来的一个特殊列表，其中包含了用户的SID（安全标识号）以及一系列用户所在组的SID。正如本文后面所介绍的，SQL Server以这些SID为基础授予访问权限。注意，操作系统如何构造访问标记并不重要，SQL Server只使用访问标记中的SID。也就是说，不论你使用SQL Server 2000、SQL Server 7.0、Win2K还是NT进行验证都无关紧要，结果都一样。 如果使用SQL Server验证的登录，它最大的好处是很容易通过Enterprise Manager实现，最大的缺点在于 SQL Server验证的登录只对特定的服务器有效，也就是说，在一个多服务器的环境中管理比较困难。使用SQL Server进行验证的第二个重要的缺点是，对于每一个数据库，我们必须分别地为它管理权限。如果某个用户对两个数据库有相同的权限要求，我们必须手工设置两个数据库的权限，或者编写脚本设置权限。如果用户数量较少，比如25个以下，而且这些用户的权限变化不是很频繁，SQL Server验证的登录或许适用。但是，在几乎所有的其他情况下（有一些例外情况，例如直接管理安全问题的应用），这种登录方式的管理负担将超过它的优点。二、Web环境中的验证 即使最好的安全策略也常常在一种情形前屈服，这种情形就是在Web应用中使用SQL Server的数据。在这种情形下，进行验证的典型方法是把一组SQL Server登录名称和密码嵌入到Web服务器上运行的程序，比如 ASP页面或者CGI脚本；然后，由Web服务器负责验证用户，应用程序则使用它自己的登录帐户（或者是系统管理员sa帐户，或者为了方便起见，使用Sysadmin服务器角色中的登录帐户）为用户访问数据。 这种安排有几个缺点，其中最重要的包括：它不具备对用户在服务器上的活动进行审核的能力，完全依赖于Web应用程序实现用户验证，当SQL Server需要限定用户权限时不同的用户之间不易区别。如果你使用的是IIS 5.0或者IIS 4.0，你可以用四种方法验证用户。第一种方法是为每一个网站和每一个虚拟目录创建一个匿名用户的NT帐户。此后，所有应用程序登录SQL Server时都使用该安全环境。我们可以通过授予NT匿名帐户合适的权限，改进审核和验证功能。 第二种方法是让所有网站使用Basic验证。此时，只有当用户在对话框中输入了合法的帐户和密码，IIS 才会允许他们访问页面。IIS依靠一个NT安全数据库实现登录身份验证，NT安全数据库既可以在本地服务器上，也可以在域控制器上。当用户运行一个访问SQL Server数据库的程序或者脚本时，IIS把用户为了浏览页面而提供的身份信息发送给服务器。如果你使用这种方法，应该记住：在通常情况下，浏览器与服务器之间的密码传送一般是不加密的，对于那些使用Basic验证而安全又很重要的网站，你必须实现SSL（Secure Sockets Layer，安全套接字层）。 在客户端只使用IE 5.0、IE 4.0、IE 3.0浏览器的情况下，你可以使用第三种验证方法。你可以在Web 网站上和虚拟目录上都启用NT验证。IE会把用户登录计算机的身份信息发送给IIS，当该用户试图登录SQL Server时IIS就使用这些登录信息。使用这种简化的方法时，我们可以在一个远程网站的域上对用户身份进行验证（该远程网站登录到一个与运行着Web服务器的域有着信任关系的域）。 最后，如果用户都有个人数字证书，你可以把那些证书映射到本地域的NT帐户上。个人数字证书与服务器数字证书以同样的技术为基础，它证明用户身份标识的合法性，所以可以取代NT的Challenge/Response （质询/回应）验证算法。Netscape和IE都自动在每一个页面请求中把证书信息发送给IIS。IIS提供了一个让管理员把证书映射到NT帐户的工具。因此，我们可以用数字证书取代通常的提供帐户名字和密码的登录过程。 由此可见，通过NT帐户验证用户时我们可以使用多种实现方法。即使当用户通过IIS跨越Internet连接 SQL Server时，选择仍旧存在。因此，你应该把NT验证作为首选的用户身份验证办法。三、设置全局组 构造安全策略的下一个步骤是确定用户应该属于什么组。通常，每一个组织或应用程序的用户都可以按照他们对数据的特定访问要求分成许多类别。例如，会计应用软件的用户一般包括：数据输入操作员，数据输入管理员，报表编写员，会计师，审计员，财务经理等。每一组用户都有不同的数据库访问要求。 控制数据访问权限最简单的方法是，对于每一组用户，分别地为它创建一个满足该组用户权限要求的、域内全局有效的组。我们既可以为每一个应用分别创建组，也可以创建适用于整个企业的、涵盖广泛用户类别的组。然而，如果你想要能够精确地了解组成员可以做些什么，为每一个应用程序分别创建组是一种较好的选择。例如，在前面的会计系统中，我们应该创建Data Entry Operators、Accounting Data Entry Managers等组。请记住，为了简化管理，最好为组取一个能够明确表示出作用的名字。 除了面向特定应用程序的组之外，我们还需要几个基本组。基本组的成员负责管理服务器。按照习惯，我们可以创建下面这些基本组：SQL Server Administrators，SQL Server Users，SQL Server Denied Users，SQL Server DB Creators，SQL Server Security Operators，SQL Server Database Security Operators，SQL Server Developers，以及 DB_Name Users（其中DB_Name是服务器上一个数据库的名字）。当然，如果必要的话，你还可以创建其他组。 创建了全局组之后，接下来我们可以授予它们访问SQL Server的权限。首先为SQL Server Users创建一个NT验证的登录并授予它登录权限，把Master数据库设置为它的默认数据库，但不要授予它访问任何其他数据库的权限，也不要把这个登录帐户设置为任何服务器角色的成员。接着再为SQL Server Denied Users重复这个过程，但这次要拒绝登录访问。在SQL Server中，拒绝权限始终优先。创建了这两个组之后，我们就有了一种允许或拒绝用户访问服务器的便捷方法。为那些没有直接在Sysxlogins系统表里面登记的组授权时，我们不能使用Enterpris Managr，因为Enter- prise Manager只允许我们从现有登录名字的列表选择，而不是域内所有组的列表。要访问所有的组，请打开 Query Analyzer，然后用系统存储过程sp_addsrvrolemember以及sp_addrolemember进行授权。 对于操作服务器的各个组，我们可以用sp_addsrvrolemember存储过程把各个登录加入到合适的服务器角色：SQL Server Administrators成为Sysadmins角色的成员，SQL Server DB Creators成为Dbcreator角色的成员，SQL Server Security Operators成为Securityadmin角色的成员。注意sp_addsrvrolemember存储过程的第一个参数要求是帐户的完整路径。例如，BigCo域的JoeS应该是bigco\joes（如果你想用本地帐户，则路径应该是server_name\joes）。 要创建在所有新数据库中都存在的用户，你可以修改Model数据库。为了简化工作，SQL Server自动把所有对Model数据库的改动复制到新的数据库。只要正确运用Model数据库，我们无需定制每一个新创建的数据库。另外，我们可以用sp_addrolemember存储过程把SQL Server Security Operators加入到db_security- admin，把SQL Server Developers加入到db_owner角色。 注意我们仍然没有授权任何组或帐户访问数据库。事实上，我们不能通过Enterprise Manager授权数据库访问，因为Enterprise Manager的用户界面只允许我们把数据库访问权限授予合法的登录帐户。SQL Server不要求NT帐户在我们把它设置为数据库角色的成员或分配对象权限之前能够访问数据库，但Enter- prise Manager有这种限制。尽管如此，只要我们使用的是sp_addrolemember存储过程而不是Enterprise Manager，就可以在不授予域内NT帐户数据库访问权限的情况下为任意NT帐户分配权限。 到这里为止，对Model数据库的设置已经完成。但是，如果你的用户群体对企业范围内各个应用数据库有着类似的访问要求，你可以把下面这些操作移到Model数据库上进行，而不是在面向特定应用的数据库上进行。四、允许数据库访问 在数据库内部，与迄今为止我们对登录验证的处理方式不同，我们可以把权限分配给角色而不是直接把它们分配给全局组。这种能力使得我们能够轻松地在安全策略中使用SQL Server验证的登录。即使你从来没有想要使用SQL Server登录帐户，本文仍旧建议分配权限给角色，因为这样你能够为未来可能出现的变化做好准备。 创建了数据库之后，我们可以用sp_grantdbaccess存储过程授权DB_Name Users组访问它。但应该注意的是，与sp_grantdbaccess对应的sp_denydbaccess存储过程并不存在，也就是说，你不能按照拒绝对服务器访问的方法拒绝对数据库的访问。如果要拒绝数据库访问，我们可以创建另外一个名为DB_Name Denied Users 的全局组，授权它访问数据库，然后把它设置为db_denydatareader以及db_denydatawriter角色的成员。注意SQL语句权限的分配，这里的角色只限制对对象的访问，但不限制对DDL（Data Definition Language，数据定义语言）命令的访问。 正如对登录过程的处理，如果访问标记中的任意SID已经在Sysusers系统表登记，SQL将允许用户访问数据库。因此，我们既可以通过用户的个人NT帐户SID授权用户访问数据库，也可以通过用户所在的一个（或者多个）组的SID授权。为了简化管理，我们可以创建一个名为DB_Name Users的拥有数据库访问权限的全局组，同时不把访问权授予所有其他的组。这样，我们只需简单地在一个全局组中添加或者删除成员就可以增加或者减少数据库用户。五、分配权限 实施安全策略的最后一个步骤是创建用户定义的数据库角色，然后分配权限。完成这个步骤最简单的方法是创建一些名字与全局组名字配套的角色。例如对于前面例子中的会计系统，我们可以创建Accounting Data Entry Operators、Accounting Data Entry Managers之类的角色。由于会计数据库中的角色与帐务处理任务有关，你可能想要缩短这些角色的名字。然而，如果角色名字与全局组的名字配套，你可以减少混乱，能够更方便地判断出哪些组属于特定的角色。 创建好角色之后就可以分配权限。在这个过程中，我们只需用到标准的GRANT、REVOKE和DENY命令。但应该注意DENY权限，这个权限优先于所有其他权限。如果用户是任意具有DENY权限的角色或者组的成员， SQL Server将拒绝用户访问对象。 接下来我们就可以加入所有SQL Server验证的登录。用户定义的数据库角色可以包含SQL Server登录以及NT全局组、本地组、个人帐户，这是它最宝贵的特点之一。用户定义的数据库角色可以作为各种登录的通用容器，我们使用用户定义角色而不是直接把权限分配给全局组的主要原因就在于此。 由于内建的角色一般适用于整个数据库而不是单独的对象，因此这里建议你只使用两个内建的数据库角色，即db_securityadmin和db_owner。其他内建数据库角色，例如db_datareader，它授予对数据库里面所有对象的SELECT权限。虽然你可以用db_datareader角色授予SELECT权限，然后有选择地对个别用户或组拒绝SELECT权限，但使用这种方法时，你可能忘记为某些用户或者对象设置权限。一种更简单、更直接而且不容易出现错误的方法是为这些特殊的用户创建一个用户定义的角色，然后只把那些用户访问对象所需要的权限授予这个用户定义的角色。六、简化安全管理  SQL Server验证的登录不仅能够方便地实现，而且与NT验证的登录相比，它更容易编写到应用程序里。但是，如果用户的数量超过25，或者服务器数量在一个以上，或者每个用户都可以访问一个以上的数据库，或者数据库有多个管理员，SQL Server验证的登录不容易管理。由于SQL Server没有显示用户有效权限的工具，要记忆每个用户具有哪些权限以及他们为何要得到这些权限就更加困难。即使对于一个数据库管理员还要担负其他责任的小型系统，简化安全策略也有助于减轻问题的复杂程度。因此，首选的方法应该是使用 NT验证的登录，然后通过一些精心选择的全局组和数据库角色管理数据库访问。 下面是一些简化安全策略的经验规则： 用户通过SQL Server Users组获得服务器访问，通过DB_Name Users组获得数据库访问。 用户通过加入全局组获得权限，而全局组通过加入角色获得权限，角色直接拥有数据库里的权限。 需要多种权限的用户通过加入多个全局组的方式获得权限。 只要规划得恰当，你能够在域控制器上完成所有的访问和权限维护工作，使得服务器反映出你在域控制器上进行的各种设置调整。虽然实际应用中情况可能有所变化，但本文介绍的基本措施仍旧适用，它们能够帮助你构造出很容易管理的安全策略。配置SQL Server 2000选项 SQL Server服务器的配置选项属于那种人们了解较少且经常误用的选项。当一个技术支持人员要求你按照某种方式调整一个选项、而另一个技术支持人员却要求你按照另一种完全对立的方式调整同一个选项时，你可能对这些选项的真正含义感到困惑。有关这些选项的资料很缺乏，至少可以说不够详细和清楚。在SQL Server 2000中，Microsoft减少了几个配置选项，让SQL Server动态配置它们，从而减少了几个容易混淆的地方。同时，Microsoft又为SQL Server 2000新增了两个服务器配置选项，调整了一些数据库选项，从而稍许简化了数据库管理员的工作。新增的服务器选项就象访问大多数企业版服务器的属性一样，我们不能在SQL Server Enterprise Manager中通过服务器属性窗口访问SQL Server 2000新增的两个服务器选项。作为防止用户由于不小心而错误配置服务器的一个安全措施，Microsoft没有把这些高级配置选项放入Enterprise Manager。相反，我们必须使用T-SQL/sp_configure系统存储过程去访问这些高级选项。我们可以用不带参数运行sp_configure的方法查看服务器的当前配置。在执行结果中，config_value是SQL Server从Master数据库syscurconfigs表提取出来的数据，它显示了服务器的当前配置；run_value列显示了执行sp_configure时SQL Server正在使用的选项，SQL Server在sysconfigures表中存储这些数据。修改某个选项之后，我们必须执行RECONFIGURE命令（在大多数情况下，还要重新启动SQL Server）才能让新的run_value显示出来。本文所讨论的所有选项都要求重新启动SQL Server。服务器选项总共有36个，默认情况下，sp_configure存储过程只显示其中的10个，显示结果中不包含高级选项，而且所有新的SQL Server配置选项都不会出现在这个精简的清单中。然而，我们可以使用show advanced options命令参数让SQL Server显示出所有选项。要启用show advanced options，我们使用如下命令格式： EXEC sp_configure 'show advanced options', '1' RECONFIGURE 要安装一个选项，我们必须在使用sp_configure配置服务器之后运行RECONFIGURE命令。上面命令的输出结果如下： Configuration option 'show advanced options' changed from 0 to 1. Run the RECONFIGURE command to install. 一旦能够查看高级选项，我们就可以看到两个新的服务器选项。其中最重要的一个新选项是awe enabled选项，它能够让SQL Server企业版提高服务器的内存访问能力。默认情况下，SQL Server能够使用的最大RAM是3GB。在Windows 2000上，应用程序可以使用Address Windowing Extensions（AWE）API访问更多的RAM。例如，在Windows 2000 Advanced Server中，我们能够使用多达8GB的内存，只有Windows 2000 Datacenter Server支持64GB内存才超过它。显然，当SQL Server拥有更多的可用内存，它将能够缓冲更多的数据，改善查询的响应时间。不过，启用awe enabled选项也有副作用。启用awe enabled选项之后，SQL Server不再动态地分配内存。由于缺乏内存动态分配功能，管理负担随之增加，因为我们必须仔细地监视RAM使用情况。另外，设置awe enabled选项之后，我们还必须设置max server memory选项。如果我们不设置max server memory选项，服务器RAM又等于最低要求3GB，SQL Server将在启动的时候占据机器上几乎所有的RAM，只给Windows和其他应用留下128 MB的RAM。通过设置max server memory选项，我们可以限制SQL Server使用的内存总量。 awe enabled选项只能在SQL Server 2000 Enterprise Edition上使用，操作系统必须是Windows 2000 Advance Server或Datacenter。如果你在SQL Server的其他版本上使用这个选项（或者操作系统是WinNT），SQL Server将忽略这个选项。在某些服务器配置组合下，不适当地配置这个选项将导致不可预知的结果。例如，如果我们在Windows 98操作系统、运行SQL Server Personal Edition的机器上设置这个选项，SQL Server可能报告它已经停止（甚至是在它正在运行的时候），而且它将拒绝停止SQL Server实例。在SQL Server Enterprise Edition服务器上启用AWE包括三个步骤。首先，我们必须确保启动SQL Server实例的帐号具有在内存中锁定页的权限。SQL Server安装时自动把页锁定权限授予我们指定用来启动SQL Server服务的Windows帐号；但是，如果后来这个帐号已经改变，你应该检查一下已经把哪些权限授予了启动SQL Server的用户。检查帐号的权限可以使用Windows 2000的组策略工具。第二个步骤是运行sp_configure存储过程，把awe enabled选项设置为1。然后，我们必须执行RECONFIGURE，用手工方式重新启动SQL Server。配置命令的语法为： EXEC sp_configure 'awe enabled', '1' RECONFIGURE 注意，在Windows 2000或者NT上，如果要访问高于4GB的物理内存，我们还必须采取其他一些措施，即修改boot.ini文件，加入/pae选项。第二个新的SQL Server 2000选项用来启用C2级安全审核模式。C2是一个政府安全等级，它保证系统能够保护资源并具有足够的审核能力。C2模式允许我们监视对所有数据库实体的所有访问企图。启用SQL Server的C2审核功能的命令如下： EXEC sp_configure 'c2 audit mode', '1' RECONFIGURE （要实现完整的C2级安全保证，Windows操作系统也必须提供相应的支持）启用C2审核模式并重新启动之后，SQL Server自动在\MSSQL\Data目录下面创建跟踪文件。我们可以使用SQL Server Profiler查看这些监视服务器活动的跟踪文件。 SQL Server以128KB大小的块为单位把数据写入跟踪文件。因此，当SQL Server非正常停止时，我们最多可能丢失128 KB的日志数据。可以想象，包含审核信息的日志文件将以很快的速度增大。例如，某次试验只访问了三个表，跟踪文件已经超过了1MB。当跟踪文件超过200MB时，C2审核将关闭旧文件并创建新文件。每次SQL Server启动的时候，它会创建一个新的跟踪文件。如果磁盘空间不足，SQL Server将停止运行，直至我们为审核日志释放出足够的磁盘空间并重新启动SQL Server实例。在SQL Server启动的时候，我们可以使用-f参数禁用审核。减少的服务器选项在SQL Server 2000中，Microsoft减少了原有的几个选项，让SQL Server 2000自动配置这些选项。减少的选项中最引人注目的是max async IO选项。这个选项允许数据库管理员指定在单一的数据库文件上可以出现多少异步的磁盘读取和写入操作。SQL Server 7.0中的max async IO选项是人们了解最少的选项之一，它的默认值是32，但很少有管理员去调整这个值。在SQL Server 2000中，这个异步IO选项随着SQL Server接收的适配器反馈信息动态地上升或者下降，SQL Server利用反馈算法确定服务器负载以及SQL Server系统能够控制的数量。数据库选项在SQL Server 2000中，如果你曾经查看过Enterprise Manager中数据库的Options选项卡，你可能会对一些通用选项的消失感到困惑（要访问Options选项卡，在Enterprise Manager中右击数据库然后选择Properties）。Options选项卡中减少了trunc. log on chkpt.以及Select Into/Bulk Copy这两个选项，如图1所示。为了清楚和向后兼容起见，这些通用选项现在称为recovery model（恢复模型）选项。如果用SQL Server 2000的Enterprise Manager连接SQL Server 7.0数据库，我们仍旧可以看到这些老选项。以前，我们使用下面的命令为Northwind数据库开启trunc. log on chkpt.选项： SP_DBOPTION Northwind ,'trunc. log on chkpt.', true 设置好选项之后，我们可以通过Options选项卡或者下面的查询检查Northwind数据库上这些选项设置是否成功： SELECT DATABASEPROPERTY ('Northwind', 'IsTruncLog') 结果为1表示选项设置成了true；结果为0表示选项设置成了false。如果结果为NULL，它表示我们或者选择了一个错误的选项，或者数据库不存在。为了便于使用，Microsoft把trunc. log on chkpt.和Select Into/Bulk Copy选项换成了恢复模型设置。这种选项改变的目的在于确保数据库管理员能够充分理解在灾难恢复策略中恢复模型选项的意义。SQL Server 2000为我们提供了三种数据库恢复模型：simple（简单恢复），full（完全恢复），bulk_logged（大容量日志记录恢复）。简单恢复模型最容易操作，但它是最缺乏灵活性的灾难恢复策略。选择简单恢复模型等同于把trunc. log on chkpt.设置成true。在这种恢复模型下，我们只能进行完全备份和差异备份（differential backup）：这是因为事务日志总是被截断，事务日志备份不可用。一般地，对于一个包含关键性数据的系统，我们不应该选择简单恢复模型，因为它不能够帮助我们把系统还原到故障点。使用这种恢复模型时，我们最多只能把系统恢复到最后一次成功进行完全备份和差异备份的状态。进行恢复时，我们首先要恢复最后一次成功进行的完全备份，然后在此基础上恢复差异备份（差异备份只能把自从数据库最后一次完全备份之后对数据库的改动施加到数据库上）。完全恢复模型把trunc. log on chkpt.选项和Select Into/Bulk Copy选项都设置成false。完全恢复具有把数据库恢复到故障点或特定即时点的能力。对于保护那些包含关键性数据的环境来说，这种模型很理想，但它提高了设备和管理的代价，因为如果数据库访问比较频繁的话，系统将很快产生庞大的事务日志记录。由于在这种模型中Select Into/Bulk Copy设置成了false，SQL Server将记录包括大容量数据装入在内的所有事件。最后一种恢复模型是大容量日志记录恢复，它把trunc. log on chkpt.设置成false，把Select Into/Bulk Copy设置成true。在大容量日志记录恢复模型中，大容量复制操作的数据丢失程度要比完全恢复模型严重。完全恢复模型记录大容量复制操作的完整日志，但在大容量日志记录恢复模型下，SQL Server只记录这些操作的最小日志，而且无法逐个控制这些操作。在大容量日志记录恢复模型中，数据文件损坏可能导致要求手工重做工作。下表比较了三种恢复模型的特点。恢复模型优点工作损失表现能否恢复到即时点？简单允许高性能大容量复制操作。收回日志空间，使得空间要求最小。必须重做自最新的数据库或差异备份后所发生的更改。可以恢复到任何备份的结尾处。随后必须重做更改。完全数据文件丢失或损坏不会导致工作损失。可以恢复到任意即时点（例如，应用程序或用户错误之前）。正常情况下没有。如果日志损坏，则必须重做自最新的日志备份后所发生的更改。可以恢复到任何即时点。大容量日志记录允许高性能大容量复制操作。大容量操作使用最少的日志空间。如果日志损坏，或者自最新的日志备份后发生了大容量操作，则必须重做自上次备份后所做的更改。否则不丢失任何工作。可以恢复到任何备份的结尾处。随后必须重做更改。在数据库的Options选项卡中，我们可以从Model下拉列表框选择Simple把恢复模型改成简单模型。另外，Microsoft扩展了ALTER DATABASE命令，我们可以用它设置数据库属性。例如，用下面这个T-SQL命令可以把恢复模型设置为完全恢复模型： ALTER DATABASE Northwind SET RECOVERY FULL SQL Server 2000提供了把数据库转入单用户模式的许多选项，它们都属于那种最令人感兴趣的隐藏选项。为了修正讹误或其他数据问题，数据库管理员常常要把数据库转入单用户模式。当数据库处于这种模式时，其它用户将不能再访问数据，从而使得管理员能够在用户访问损坏的数据之前修正数据问题。在SQL Server 7.0中，在把数据库转入单用户模式之前，我们必须确保所有用户都已经断开连接。对于一个高速OLTP数据库系统，比如电子商务系统，断开所有用户的连接非常困难，因为就在我们断开某个用户的连接时，其他用户还会连接数据库。SQL Server 2000极大地改进了这个操作过程，我们可以给用户一个指定的时间去完成他们的事务，然后由SQL Server自动断开他们的连接。另外，我们也可以在不提供任何延迟时间的情况下断开所有的连接。把数据库转入单用户模式的方法之一是在数据库的Options选项卡选中Restrict Access检查框，然后选择Single user。另外，Microsoft扩展了ALTER DATABASE命令，使它能够把数据库转入单用户模式，语法如下： ALTER DATABASE Northwind SET SINGLE_USER 执行这个命令之后，SQL Server等待所有的数据库连接，让它们完成各自的事务。在这种状态下，所有请求连接数据库的用户都将接收到图2显示的错误信息，并被重定向到他们各自的默认数据库（通常是Master数据库）。图2的错误信息意味着数据库处于冻结状态，直至所有用户断开连接。如果目标服务器或者发出命令的用户没有设置query timeout参数，客户端可能无限期地等待查询完成，直至所有的连接被断开。在Query Analyzer中，我们可以在Options屏幕（选择菜单Tools，Options）的Connections选项卡里面指定超时秒数。在单用户模式下，只有发出ALTER DATABASE命令的用户可以保持连接。另外，我们还可以用ROLLBACK IMMEDIATE命令断开所有打开数据库连接的用户。但我们不能在Enterprise Manager中使用这个命令，而是应该用Query Analyzer执行，例如： ALTER DATABASE Northwind SET SINGLE_USER WITH ROLLBACK IMMEDIATE 执行这个命令之后，SQL Server立即断开所有的连接并回退它们的事务。所有正在执行事务的用户都会接收到一个连接错误，而且他们不能再连接数据库。我们可以指定一个时间选项，让SQL Server在断开用户的连接之前等待用户完成他们的事务。这个选项是可选的，它用ROLLBACK AFTER关键词指定，如下面的命

展开阅读全文