Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
platí pro:
SQL Server
Zabezpečení přenosu zahrnuje ověřování a volitelně šifrování zpráv vyměňovaných mezi databázemi. Pro zrcadlení databáze a skupiny dostupnosti AlwaysOn se na koncovém bodu zrcadlení databáze konfiguruje ověřování a šifrování. Úvod ke koncovým bodům zrcadlení databáze najdete v tématu Koncový bod zrcadlení databáze (SQL Server).
V tomto tématu:
Autentizace
Ověřování je proces ověření, že uživatel je ten, kdo má být uživatelem. Připojení mezi koncovými body pro zrcadlení databáze vyžadují autentizaci. Žádosti o připojení od partnera nebo svědka, pokud nějaký existuje, musí být ověřeny.
Typ ověřování používaný instancí serveru pro zrcadlení databáze nebo skupiny dostupnosti AlwaysOn je vlastnost koncového bodu zrcadlení databáze. Pro koncové body zrcadlení databáze jsou k dispozici dva typy zabezpečení transportu: Ověřování systému Windows (Security Support Provider Interface, SSPI) a ověřování na základě certifikátů.
Ověřování systému Windows
V části Ověřování systému Windows se každá instance serveru přihlásí na druhou stranu pomocí přihlašovacích údajů systému Windows uživatelského účtu systému Windows, pod kterým je proces spuštěný. Ověřování systému Windows může vyžadovat ruční konfiguraci přihlašovacích účtů následujícím způsobem:
Pokud instance SQL Serveru běží jako služby ve stejném účtu domény, nevyžaduje se žádná další konfigurace.
Pokud instance SQL Serveru běží jako služby v různých doménových účtech (ve stejných nebo důvěryhodných doménách), musí být přihlašovací jméno každého účtu vytvořené v hlavním serveru na každé z ostatních instancí serveru a toto přihlášení musí mít udělená oprávnění CONNECT v koncovém bodu.
Pokud instance SYSTÉMU SQL Server běží jako účet síťové služby, musí být přihlašovací jméno každého účtu hostitelského počítače (DomainName\ComputerName$) vytvořené v hlavním serveru na každém z ostatních serverů a toto přihlášení musí mít udělená oprávnění CONNECT v koncovém bodu. Důvodem je to, že instance serveru spuštěná pod účtem síťové služby se ověřuje pomocí účtu domény hostitelského počítače.
Poznámka:
Pro příklad nastavení relace zrcadlení databáze pomocí ověřování systému Windows si přečtěte Příklad: Nastavení zrcadlení databáze pomocí ověřování systému Windows (Transact-SQL).
Certifikáty
V některých situacích, například když instance serveru nejsou v důvěryhodných doménách nebo když SQL Server běží jako místní služba, není ověřování systému Windows k dispozici. V takových případech se místo přihlašovacích údajů uživatele vyžadují certifikáty k ověření požadavků na připojení. Koncový bod zrcadlení každé instance serveru musí být nakonfigurovaný s vlastním místně vytvořeným certifikátem.
Metoda šifrování se vytvoří při vytvoření certifikátu. Další informace najdete v tématu Povolit koncovému bodu zrcadlení databáze používat certifikáty pro odchozí připojení (Transact-SQL). Pečlivě spravujte používané certifikáty.
Instance serveru používá privátní klíč vlastního certifikátu k navázání identity při nastavování připojení. Instance serveru, která obdrží žádost o připojení, používá veřejný klíč certifikátu odesílatele k ověření identity odesílatele. Představte si například dvě instance serveru, Server_A a Server_B. Server_A použije privátní klíč k šifrování hlavičky připojení před odesláním žádosti o připojení do Server_B. Server_B používá veřejný klíč certifikátu Server_A k dešifrování hlavičky připojení. Pokud je dešifrovaná hlavička správná, Server_B ví, že hlavička byla zašifrována Server_A a že se připojení ověřuje. Pokud je dešifrovaná hlavička nesprávná, Server_B ví, že požadavek na připojení je neověrný a odmítne připojení.
Šifrování dat
Koncový bod zrcadlení databáze ve výchozím nastavení vyžaduje šifrování dat odesílaných přes připojení zrcadlení. V tomto případě se koncový bod může připojit jenom ke koncovým bodům, které používají také šifrování. Doporučujeme, abyste pro připojení ke zrcadlení databází vyžadovali šifrování, pokud nezaručíte, že je vaše síť zabezpečená. Šifrování ale můžete zakázat nebo ho podporovat, ale není to nutné. Pokud je šifrování zakázané, data se nikdy nešifrují a koncový bod se nemůže připojit ke koncovému bodu, který vyžaduje šifrování. Pokud je šifrování podporované, data se šifrují jenom v případě, že opačný koncový bod podporuje nebo vyžaduje šifrování.
Poznámka:
Koncové body pro zrcadlení, které vytváří SQL Server Management Studio, jsou vytvořeny s šifrováním buď požadovaným, nebo zakázaným. Pokud chcete změnit nastavení šifrování na PODPOROVANÉ, použijte příkaz ALTER ENDPOINT Transact-SQL. Další informace naleznete v tématu ALTER ENDPOINT (Transact-SQL).
Volitelně můžete řídit šifrovací algoritmy, které může koncový bod používat, zadáním jedné z následujících hodnot pro možnost ALGORITHM v příkazu CREATE ENDPOINT nebo příkazu ALTER ENDPOINT:
| Hodnota ALGORITMU | Popis |
|---|---|
| RC4 | Určuje, že koncový bod musí používat algoritmus RC4. Toto je výchozí hodnota. **Varování** Algoritmus RC4 je zastaralý. Tato funkce bude odebrána v budoucí verzi SQL Serveru. Nepoužívejte tuto funkci v nové vývojové práci a naplánujte úpravu aplikací, které tuto funkci aktuálně používají. Doporučujeme používat AES. |
| AES | Určuje, že koncový bod musí používat algoritmus AES. |
| AES RC4 | Určuje, že dva koncové body budou vyjednávat o šifrovacím algoritmu, přičemž tento koncový bod preferuje algoritmus AES. |
| RC4 AES | Určuje, že dva koncové body budou vyjednávat o šifrovacím algoritmu, přičemž tento koncový bod upřednostňuje algoritmus RC4. |
Pokud koncové body specifikují oba algoritmy, ale v jiném pořadí, koncový bod, který připojení přijímá, vyhrává.
Poznámka:
Algoritmus RC4 je podporován pouze pro zpětnou kompatibilitu. Nový materiál lze šifrovat pouze pomocí RC4 nebo RC4_128, pokud je databáze v kompatibilitě 90 nebo 100. (Nedoporučuje se.) Místo toho použijte novější algoritmus, například jeden z algoritmů AES. V SQL Serveru 2012 (11.x) a vyšších verzích je možné materiál šifrovaný pomocí RC4 nebo RC4_128 dešifrovat v libovolné úrovni kompatibility.
I když je AES výrazně rychlejší než AES, RC4 je relativně slabý algoritmus, zatímco AES je relativně silný algoritmus. Proto doporučujeme použít algoritmus AES.
Informace o syntaxi Transact-SQL pro určení šifrování najdete v tématu CREATE ENDPOINT (Transact-SQL).
Související úkoly
Konfigurace zabezpečení přenosu pro koncový bod zrcadlení databáze
Vytvoření koncového bodu zrcadlení databáze pro ověřování systému Windows (Transact-SQL)
Založení sekce zrcadlení databáze přes ověřování Windows (SQL Server Management Studio)
Vytvoření koncového bodu zrcadlení databáze pro ověřování systému Windows (Transact-SQL)
Povolit koncovému bodu zrcadlení databáze používat certifikáty pro odchozí připojení (Transact-SQL)
Viz také
Volba šifrovacího algoritmu
ALTER ENDPOINT (Transact-SQL)
ODSTRANIT KONCOVÝ BOD (Transact-SQL)
Security Center pro databázový stroj SQL Serveru a službu Azure SQL Database
spravovat metadata při zpřístupnění databáze v jiné instanci serveru (SQL Server)
Koncový bod zrcadlení databáze (SQL Server)
sys.dm_db_mirroring_connections (Transact-SQL)
Řešení problémů s konfigurací zrcadlení databáze (SQL Server)
řešení potíží s konfigurací skupin dostupnosti AlwaysOn (SQL Server)