Konnektivitätseinstellungen für Azure SQL-Datenbank und Azure Synapse Analytics

Gilt für: Azure SQL-Datenbank Azure Synapse Analytics (nur dedizierte SQL-Pools)

In diesem Artikel werden Einstellungen vorgestellt, die die Konnektivität mit dem Server für Azure SQL-Datenbank und dem dedizierten SQL-Pool (früher „SQL DW“) in Azure Synapse Analytics steuern.

• Weitere Informationen zu den verschiedenen Komponenten, die den Netzwerkverkehr und die Verbindungsrichtlinien steuern, finden Sie unter Konnektivitätsarchitektur.
• Dieser Artikel bezieht sich nicht auf Azure SQL Managed Instance, siehe stattdessen Verbinden Sie Ihre Anwendung mit Azure SQL Managed Instance.
• Dieser Artikel gilt nicht für dedizierte SQL-Pools in Azure Synapse Analytics-Workspaces. Unter Azure Synapse Analytics: IP-Firewallregeln finden Sie Anleitungen zum Konfigurieren von IP-Firewallregeln für Azure Synapse Analytics-Arbeitsbereiche.

Netzwerk und Konnektivität

Sie können diese Einstellungen Ihres logischen Servers ändern. Ein logischer SQL-Server kann sowohl Azure SQL-Datenbanken als auch eigenständige dedizierte SQL-Pools nicht in einem Azure Synapse Analytics-Arbeitsbereich hosten.

Hinweis

Diese Einstellungen gelten für Azure SQL-Datenbank und dedizierte SQL-Pools (früher „SQL DW“), die dem Server zugeordnet sind. Diese Anweisungen gelten nicht für dedizierte SQL-Pools in einem Azure Synapse Analytics-Arbeitsbereich.

Zugriff auf öffentliches Netzwerk ändern

Es ist möglich, den Zugriff auf öffentliche Netzwerke für Ihre Azure SQL-Datenbank oder Ihren eigenständigen dedizierten SQL-Pool über das Azure-Portal, die Azure PowerShell und die Azure CLI zu ändern.

Hinweis

Diese Einstellungen treten nach dem Anwenden sofort in Kraft. Wenn Ihre Kunden die Anforderungen für die einzelnen Einstellungen nicht erfüllen, treten möglicherweise Verbindungsverluste auf.

Portal

So aktivieren Sie den Zugriff auf öffentliche Netzwerke für den logischen Server, auf dem Ihre Datenbanken gehostet werden:

1. Wechseln Sie zum Azure-Portal und wechseln Sie zu dem logischen Server in Azure.
2. Wählen Sie unter Sicherheit die Seite Netzwerk aus.
3. Wählen Sie die Registerkarte Öffentlicher Zugriff und stellen Sie dann Öffentlicher Netzwerkzugriff auf Ausgewählte Netzwerke.

Auf dieser Seite können Sie eine virtuelle Netzwerkregel hinzufügen und Firewallregeln für Ihren öffentlichen Endpunkt konfigurieren.

Wählen Sie die Registerkarte Privater Zugriff aus, um einen privaten Endpunkt zu konfigurieren.

PowerShell

Sie können den Zugriff auf öffentliche Netzwerke mithilfe von Azure PowerShell ändern.

Wichtig

Azure SQL-Datenbank unterstützt das PowerShell Azure Resource Manager-Modul weiterhin, aber alle zukünftigen Entwicklungen erfolgen für das Az.Sql-Modul. Informationen zu diesen Cmdlets finden Sie unter AzureRM.Sql. Die Argumente für die Befehle im Az-Modul und den AzureRm-Modulen sind im Wesentlichen identisch. Das folgende Skript erfordert das Azure PowerShell-Modul.

Das folgende PowerShell-Skript zeigt, wie Sie die Public Network Access-Eigenschaft auf der Serverebene mit Get und Set abrufen und festlegen können:

# Get the Public Network Access property
(Get-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group).PublicNetworkAccess

# Update Public Network Access to Disabled
$SecureString = ConvertTo-SecureString "password" -AsPlainText -Force

Set-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group -SqlAdministratorPassword $SecureString -PublicNetworkAccess "Disabled"

Azure-Befehlszeilenschnittstelle

Sie können die öffentlichen Netzwerkeinstellungen mithilfe der Azure CLI ändern.

Das folgende CLI-Skript veranschaulicht, wie Sie die Einstellung Zugriff auf ein öffentliches Netzwerk in einer Bash-Shell ändern:

# Get current setting for Public Network Access
az sql server show -n sql-server-name -g sql-server-group --query "publicNetworkAccess"

# Update setting for Public Network Access
az sql server update -n sql-server-name -g sql-server-group --set publicNetworkAccess="Disabled"

Verweigern des Zugriffs auf öffentliches Netzwerk

Die Standardeinstellung für den Öffentlichen Netzwerkzugriff ist Deaktivieren. Kunden können wahlweise entweder über öffentliche Endpunkte (mit IP-basierten Firewallregeln auf Serverebene oder VNet-basierten Firewallregeln) oder private Endpunkte (über Azure Private Link) eine Verbindung mit einer Datenbank herstellen, wie in der Übersicht über den Netzwerkzugriff beschrieben.

Wenn Zugriff auf öffentliches Netzwerk auf Deaktivieren festgelegt ist, sind nur Verbindungen über private Endpunkte zulässig. Alle Verbindungen über öffentliche Endpunkte werden mit einer Fehlermeldung wie der folgenden verweigert:

Error 47073
An instance-specific error occurred while establishing a connection to SQL Server. 
The public network interface on this server is not accessible. 
To connect to this server, use the Private Endpoint from inside your virtual network.

Wenn Zugriff auf öffentliches Netzwerk auf Deaktivieren festgelegt ist, werden Versuche, Firewallregeln hinzuzufügen, zu entfernen oder zu bearbeiten, mit einer Fehlermeldung ähnlich der folgenden verweigert:

Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled. 
To manage server or database level firewall rules, please enable the public network interface.

Stellen Sie sicher, dass Zugriff auf öffentliches Netzwerk auf Ausgewählte Netzwerke festgelegt ist, um alle Firewallregeln für Azure SQL-Datenbank und Azure Synapse Analytics hinzufügen, entfernen oder bearbeiten zu können.

TLS-Mindestversion

Die Einstellung der Mindestversion für Transport Layer Security (TLS) ermöglicht es Kunden, die TLS-Version auszuwählen, die von ihrer SQL-Datenbank-Instanz verwendet wird. Sie können die TLS-Mindestversion mithilfe des Azure-Portals, Azure PowerShell und der Azure CLI ändern.

Derzeit unterstützt Azure SQL-Datenbank TLS 1.0, 1.1, 1.2 und 1.3. Durch Festlegen einer TLS-Mindestversion wird sichergestellt, dass neuere TLS-Versionen unterstützt werden. Ein Beispiel: Wenn Sie TLS-Version 1.1 festlegen, werden nur Verbindungen mit TLS 1.1 und 1.2 akzeptiert. Verbindungen mit TLS 1.0 werden abgelehnt. Wenn Sie getestet haben, ob Ihre Anwendung Version 1.2 unterstützt, empfiehlt es sich, die TLS-Mindestversion auf 1.2 festzulegen. Diese Version enthält Fehlerbehebungen für Sicherheitsrisiken in früheren Version und ist die höchste TLS-Version, die in Azure SQL-Datenbank unterstützt wird.

Bevorstehende Einstellungsänderungen

Azure hat angekündigt, dass die Unterstützung für ältere TLS-Versionen (TLS 1.0 und 1.1) am 31. Oktober 2024 endet. Weitere Informationen finden Sie unter TLS 1.0 und TLS 1.1-Herabsetzung.

Ab November 2024 können Sie die minimale TLS-Version für Azure SQL-Datenbank- und Azure Synapse Analytics-Clientverbindungen unter TLS 1.2 nicht mehr festlegen.

Konfigurieren der minimalen TLS-Version

Sie können die minimale TLS-Version für Clientverbindungen konfigurieren, indem Sie Azure-Portal, Azure PowerShell oder Azure CLI verwenden.

Achtung

• Gemäß Standardeinstellung für die TLS-Mindestversion sind alle Versionen zugelassen. Nachdem Sie eine bestimmte Version von TLS festgelegt haben, können Sie nicht mehr zum Standardwert zurückkehren.
• Das Erzwingen eines Minimums von TLS 1.3 kann Probleme mit Verbindungen von Clients verursachen, die TLS 1.3 nicht unterstützen, da nicht alle Treiber und Betriebssysteme TLS 1.3 unterstützen.

Kunden mit Anwendungen, die ältere TLS-Versionen erfordern, wird empfohlen, die TLS-Mindestversion gemäß den Anforderungen der Anwendungen festzulegen. Wenn die Anwendungsanforderungen unbekannt sind oder Workloads ältere Treiber verwenden, die nicht mehr verwaltet werden, wird empfohlen, keine TLS-Mindestversion festzulegen.

Weitere Informationen finden Sie unter Überlegungen zu TLS für Verbindungen mit einer SQL-Datenbank.

Nachdem Sie die minimale TLS-Version festgelegt haben, können sich Kunden, die eine niedrigere TLS-Version als die minimale TLS-Version des Servers verwenden, nicht mehr authentifizieren und erhalten den folgenden Fehler:

Error 47072
Login failed with invalid TLS version

Hinweis

Die TLS-Mindestversion wird auf der Anwendungsschicht erzwungen. Tools, die versuchen, die TLS-Unterstützung auf der Protokollebene zu ermitteln, geben möglicherweise zusätzlich zur mindestens erforderlichen Version TLS-Versionen zurück, wenn sie direkt auf dem SQL Datenbank-Endpunkt des Speicherkontos ausgeführt werden.

Portal

1. Wechseln Sie zum Azure-Portal und wechseln Sie zu dem logischen Server in Azure.
2. Wählen Sie unter Sicherheit die Seite Netzwerk aus.
3. Wählen Sie die Registerkarte Konnektivität aus. Wählen Sie die TLS-Mindestversion aus, die für alle dem Server zugeordneten Datenbanken gewünscht wird und anschließend Speichern aus.

PowerShell

Sie können die TLS-Mindestversion mithilfe von Azure PowerShell ändern.

Wichtig

Azure SQL-Datenbank unterstützt das PowerShell Azure Resource Manager-Modul weiterhin, aber alle zukünftigen Entwicklungen erfolgen für das Az.Sql-Modul. Informationen zu diesen Cmdlets finden Sie unter AzureRM.Sql. Die Argumente für die Befehle im Az-Modul und den AzureRm-Modulen sind im Wesentlichen identisch. Das folgende Skript erfordert das Azure PowerShell-Modul.

Das folgende PowerShell-Skript zeigt, wie Sie die Eigenschaft TLS-Mindestversion auf der Ebene des logischen Servers mit Get können:

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
}

(Get-AzSqlServer @serverParams).MinimalTlsVersion

Um die Eigenschaft Minimale TLS-Version auf der Ebene des logischen Servers zu Set, ersetzen Sie strong_password_here_password durch Ihr Sql-Administrator-Passwort und führen Sie Folgendes aus:

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
    SqlAdministratorPassword = (ConvertTo-SecureString "strong_password_here_password" -AsPlainText -Force)
    MinimalTlsVersion = "1.2"
}
Set-AzSqlServer @serverParams

Azure-Befehlszeilenschnittstelle

Sie können die TLS-Mindesteinstellungen mithilfe der Azure CLI ändern.

Wichtig

Für alle Skripts in diesem Abschnitt ist die Azure CLI erforderlich.

Das folgende CLI-Skript veranschaulicht, wie Sie die Einstellung TLS-Mindestversion in einer Bash-Shell ändern:

# Get current setting for Minimal TLS Version
az sql server show -n sql-server-name -g sql-server-group --query "minimalTlsVersion"

# Update setting for Minimal TLS Version
az sql server update -n sql-server-name -g sql-server-group --set minimalTlsVersion="1.2"

Identifizieren von Clientverbindungen

Sie können die Azure-Portal- und SQL-Überwachungsprotokolle verwenden, um Clients zu identifizieren, die eine Verbindung mit TLS 1.0 und 1.0 herstellen.

Wechseln Sie im Azure-Portal unter Überwachung zu Metriken für Ihre Datenbankressource, und filtern Sie dann nach erfolgreichen Verbindungen und TLS-Versionen = 1.0 und 1.1:

Sie können auch sys.fn_get_audit_file direkt in Ihrer Datenbank abfragen, um die client_tls_version_name in der Überwachungsdatei anzuzeigen:

Ändern der Verbindungsrichtlinie

Eine Verbindungsrichtlinie bestimmt, wie Kunden eine Verbindung herstellen. Es wird empfohlen, die Verbindungsrichtlinie Redirect statt der Verbindungsrichtlinie Proxy zu verwenden, um die niedrigste Latenz und den höchsten Durchsatz zu erzielen.

Sie können die Verbindungsrichtlinie mithilfe des Azure-Portals, Azure PowerShell und der Azure CLI ändern.

Portal

Sie können Ihre Verbindungsrichtlinie für Ihren logischen Server mithilfe des Azure-Portals ändern.

1. Öffnen Sie das Azure-Portal. Wechseln Sie zu dem logischen Server in Azure.
2. Wählen Sie unter Sicherheit die Seite Netzwerk aus.
3. Wählen Sie die Registerkarte Konnektivität aus. Wählen Sie die gewünschte Verbindungsrichtlinie und dann Speichern aus.

PowerShell

Sie können die Verbindungsrichtlinie für Ihren logischen Server mithilfe von Azure PowerShell ändern.

Wichtig

Azure SQL-Datenbank unterstützt das PowerShell Azure Resource Manager-Modul weiterhin, aber alle zukünftigen Entwicklungen erfolgen für das Az.Sql-Modul. Informationen zu diesen Cmdlets finden Sie unter AzureRM.Sql. Die Argumente für die Befehle im Az-Modul und den AzureRm-Modulen sind im Wesentlichen identisch. Das folgende Skript erfordert das Azure PowerShell-Modul.

Das folgende PowerShell-Skript veranschaulicht, wie Sie die Verbindungsrichtlinie mithilfe von PowerShell ändern können:

# Get SQL Server ID
$sqlserverid = (Get-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group).ResourceId

# Set URI
$id = "$sqlserverid/connectionPolicies/Default"

# Get current connection policy
$resourceParams = @{
    ResourceId = $id
    ApiVersion = "2014-04-01"
    Verbose = $true
}
(Get-AzResource @resourceParams).Properties.ConnectionType

# Update connection policy
$updateParams = @{
    ResourceId = $id
    Properties = @{
        connectionType = "Proxy"
    }
    Force = $true
}
Set-AzResource @updateParams

Azure-Befehlszeilenschnittstelle

Sie können die Verbindungsrichtlinie für Ihren logischen Server mithilfe der Azure CLI ändern.

Wichtig

Für alle Skripts in diesem Abschnitt ist die Azure CLI erforderlich.

Azure CLI in einer Bash-Shell

Das folgende CLI-Skript veranschaulicht, wie Sie die Verbindungsrichtlinie in einer Bash-Shell ändern:

# Get SQL Server ID
sqlserverid=$(az sql server show -n sql-server-name -g sql-server-group --query 'id' -o tsv)

# Set URI
ids="$sqlserverid/connectionPolicies/Default"

# Get current connection policy
az resource show --ids $ids

# Update connection policy
az resource update --ids $ids --set properties.connectionType=Proxy

Azure CLI über eine Windows-Eingabeaufforderung

Das folgende CLI-Skript veranschaulicht, wie Sie die Verbindungsrichtlinie über eine Windows-Eingabeaufforderung ändern (wenn die Azure CLI installiert ist):

# Get SQL Server ID and set URI
FOR /F "tokens=*" %g IN ('az sql server show --resource-group myResourceGroup-571418053 --name server-538465606 --query "id" -o tsv') do (SET sqlserverid=%g/connectionPolicies/Default)

# Get current connection policy
az resource show --ids %sqlserverid%

# Update connection policy
az resource update --ids %sqlserverid% --set properties.connectionType=Proxy

Zugehöriger Inhalt

• Verbindungsarchitektur von Azure SQL-Datenbank und Azure Synapse Analytics
• conn-policy