Lors de l'utilisation des comptes de connexion SQL Server, il est d'une importance capitale que le fichier de configuration du serveur (appsettings.json) soit chiffré, car il stocke les chaînes de connexion de la base de données. Celles-ci incluent le nom de l'hôte du serveur de base de données (source de données), le nom de la base de données (catalogue initial), et les identifiants (ID utilisateur et mot de passe).
Cependant, comme le chiffrement du fichier appsettings.json nécessite d'utiliser RsaProtectedConfigurationProvider depuis .NET Framework, des permissions supplémentaires sont nécessaires pour accéder au conteneur NetFrameworkConfigurationKey utilisé par le fournisseur RSA.
Omettre d'obtenir ces permissions empêche le DevolutionsSchedulerService de démarrer et renvoie un message d'erreur si l'option Désactiver le chiffrement de la chaîne de connexion est désactivée dans la console Devolutions Server (clic droit sur une instance, puis Modifier – IIS – Désactiver le chiffrement de la chaîne de connexion).
Octroyer l'accès au conteneur NetFrameworkConfigurationKey pourrait poser un risque de sécurité, il est donc recommandé de ne pas accorder cette autorisation à Service réseau ou Service local.
Nous recommandons d'utiliser un compte dédié pour le service DevolutionsSchedulerService, et de configurer le service pour qu'il fonctionne sous celui-ci.
Puis, exécuter la commande suivante à partir d'une invite de commande avec élévation de privilèges :
"C:\Windows\Microsoft.NET\Framework64\v4.0.30319\aspnet_regiis" -pa "NetFrameworkConfigurationKey" "SchedSvcLocalAccount"
Cela devrait retourner :
Microsoft (R) ASP.NET RegIIS version 4.0.30319.0
Administration utility to install and uninstall ASP.NET on the local machine.
Copyright (C) Microsoft Corporation. All rights reserved.
Adding ACL for access to the RSA Key container...
Succeeded!
Tout comme avec les comptes de connexion, omettre d'obtenir les permissions du conteneur NetFrameworkConfigurationKey utilisé par le fournisseur RSA empêche le DevolutionsSchedulerService de démarrer, et renvoie probablement cette erreur depuis la console des services Windows.
Le compte défini sur le DevolutionsSchedulerService (appelé le compte VaultDBScheduler dans l'enquête de pré-déploiement) nécessitera l'autorisation de lecture du conteneur NetFrameworkConfigurationKey.
Pour les obtenir, exécuter la commande suivante à partir d'une invite de commande avec élévation de privilèges :
"C:\"Windows\Microsoft.NET\Framework64\v4.0.30319\aspnet_regiis" -pa "NetFrameworkConfigurationKey" "<YourDomain>\<VaultDBSchedulerAccount>"
Cela devrait retourner :
Microsoft (R) ASP.NET RegIIS version 4.0.30319.0
Administration utility to install and uninstall ASP.NET on the local machine.
Copyright (C) Microsoft Corporation. All rights reserved.
Adding ACL for access to the RSA Key container...
Succeeded!
Donnez-nous vos commentaires