Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für:
SQL Server 2022 (16.x) und höhere Versionen von Azure SQL DatabaseAzure SQL Managed InstanceSQL SQL database in Microsoft Fabric
SQL Server (ab SQL Server 2022 (16.x)), Azure SQL-Datenbank und Azure SQL Managed Instance unterstützen Transport Layer Security (TLS) 1.3, wenn tabellarische Datenstrom (TDS) 8.0 verwendet wird.
Wichtig
Auch bei TLS 1.3-Unterstützung für TDS-Verbindungen ist noch TLS 1.2 für das Starten von SQL Server-Satellitendiensten erforderlich. Deaktivieren Sie TLS 1.2 deshalb nicht auf dem Computer.
SQL Server 2019 (15.x) und frühere Versionen unterstützen TLS 1.3 nicht.
Unterschiede zwischen TLS 1.2 und TLS 1.3
TLS 1.3 reduziert die Anzahl der Roundtrips von zwei auf einen während der Handshakephase, wodurch diese Version schneller und sicherer ist als TLS 1.2. Das Server Hello-Paket mit dem Serverzertifikat wird verschlüsselt, und eine 1-RTT-Wiederaufnahme (Round Trip Time) wird abgebrochen und basierend auf der Clientschlüsselfreigabe durch die 0-RTT-Wiederaufnahme ersetzt. Die zusätzliche Sicherheit von TLS 1.3 resultiert aus der Entfernung bestimmter Verschlüsselungsverfahren und Algorithmen.
Nachfolgend finden Sie eine Liste von Algorithmen und Verschlüsselungsverfahren, die in TLS 1.3 entfernt wurden:
- RC4-Stream-Verschlüsselungsverfahren
- RSA-Schlüsselaustausch
- SHA-1-Hashfunktion
- CBC-Modus-Verschlüsselungsverfahren (Block)
- MD5-Algorithmus
- Verschiedene nichtphemerale Diffie-Hellman-Gruppen
- Verschlüsselungsverfahren mit EXPORT-Stärke
- DES
- 3DES
Treiberunterstützung
Ermitteln Sie anhand der Unterstützungsmatrix für Treiberfeatures, welche Treiber TLS 1.3 derzeit unterstützen.
Betriebssystemunterstützung
Derzeit unterstützen die folgenden Betriebssysteme TLS 1.3:
SQL Server 2025-Unterstützung
SQL Server 2025 (17.x) führt die TLS 1.3-Unterstützung für die folgenden Features ein:
- SQL Server-Agent
- AlwaysOn-Verfügbarkeitsgruppen
- AlwaysOn-Failoverclusterinstanzen (Always On Failover Cluster Instances, FCI)
- Verknüpfte Server
- Transaktionsreplikation
- Replikation zusammenführen
- Snapshot-Replikation
- Protokollversand
- Datenbank-E-Mail
Setupbeschränkungen
Sql Server 2025-Setup schlägt fehl, wenn TLS 1.3 die einzige TLS-Version ist, die auf dem Betriebssystem aktiviert ist. Der Setupvorgang erfordert, dass TLS 1.2 während der Installation verfügbar ist. Nach Abschluss des Setups kann TLS 1.2 bei Bedarf deaktiviert werden.
Die Fehlermeldung während des Setups lautet: A connection was successfully established with the server, but then an error occurred during the login process. (provider: SSL Provider, error: 0 - No process is on the other end of the pipe.)
Zertifikatanforderungen
Bei Verwendung von TDS 8.0 mit SQL Server 2025 müssen bestimmte Zertifikatanforderungen erfüllt sein:
- Vertrauenswürdige Zertifikate: Zertifikate müssen von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt werden. Selbstsignierte Zertifikate werden standardmäßig nicht mehr mit Microsoft OLE DB-Treiber für SQL Server, Version 19, akzeptiert.
-
Zertifikatüberprüfung:
TrustServerCertificatemuss aufFalseoderNo. Der Microsoft OLE DB-Treiber für SQL Server, Version 19, überprüft die Vertrauenskette des Zertifikats und die Zertifikatüberprüfung kann nicht umgangen werden. - Anforderungen für den alternativen Namen (Subject Alternative Name, SAN): Zertifikate müssen sowohl den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) als auch den Netbios-Namen in der SAN-Liste enthalten. SQL Server Management Studio (SSMS) verwendet beim Herstellen einer Verbindung häufig Netbios-Namen, und fehlende Einträge verursachen Überprüfungsfehler.
- Planen von SAN-Einträgen: Schließen Sie während der Zertifikatausstellung alle möglichen Clientverbindungsnamen (FQDN, Netbios-Namen, Dienstaliasen) ein. Zum späteren Hinzufügen von Namen muss ein neues Zertifikat erstellt und die SQL Server-Instanz neu gestartet werden.
Weitere Informationen zur Zertifikatüberprüfung finden Sie unter Verschlüsselungs- und Zertifikatüberprüfung – OLE DB-Treiber für SQL Server.
Sichere Standardkonfigurationen in SQL Server 2025
SQL Server 2025 führt standardmäßig sichere Konfigurationen für mehrere Features ein, die jetzt TDS 8.0 mit standardmäßig aktivierter Verschlüsselung verwenden:
SQL Server-Agent: Verwendet Microsoft OLE DB-Treiber für SQL Server Version 19 mit
Encrypt=Mandatoryund erfordert gültige Serverzertifikate mitTrustServerCertificate=False. Wenn die einzige aktivierte TLS-Version TLS 1.3 ist, müssen Sie konfigurierenEncrypt=Strict(Strenge Verschlüsselung erzwingen).Always On-Verfügbarkeitsgruppen und FCIs: Verwendet standardmäßig den ODBC-Treiber für SQL Server, Version 18
Encrypt=Mandatory. Im Gegensatz zu anderen Features ermöglichenTrustServerCertificate=TrueAlwaysOn-Verfügbarkeitsgruppen und FCIs selbstsignierte Szenarien.Verknüpfte Server: Verwendet standardmäßig Microsoft OLE DB-Treiber für SQL Server, Version 19
Encrypt=Mandatory. Der Verschlüsselungsparameter muss in der Verbindungszeichenfolge angegeben werden, wenn eine andere SQL Server-Instanz verwendet wird.Protokollversand: Verwendet Microsoft OLE DB-Treiber für SQL Server, Version 19, und
Encrypt=Mandatoryerfordert gültige Serverzertifikate. Wenn Sie ein direktes Upgrade von einer niedrigeren Version durchführen, die die neuesten Sicherheitskonfigurationen nicht unterstützt, und die Verschlüsselungseinstellungen nicht ausdrücklich mit einer sichereren Option überschrieben werden, wirdTrustServerCertificate=Truefür den Protokollversand verwendet, um die Abwärtskompatibilität zu gewährleisten. Um TLS 1.3 undEncrypt=Strictmit TDS 8.0 nach dem Upgrade zu erzwingen, löschen Sie die Topologie und erstellen Sie sie mit den aktualisierten Parametern in den gespeicherten Prozeduren für den Protokollversand neu.Replikation: (Transactional, Snapshot, Merge) Verwendet Microsoft OLE DB-Treiber für SQL Server Version 19 mit
Encrypt=Mandatoryund erfordert gültige Zertifikate mitTrustServerCertificate=False.Datenbank-E-Mail: Die Standardeinstellungen sind
Encrypt=OptionalundTrustServerCertificate=True. Wenn TLS 1.3 erzwungen wird, ändern sich diese Werte inEncrypt=StrictundTrustServerCertificate=False. Standardmäßig verwendet azure SQL Managed Instance das TLS 1.3-Protokoll.PolyBase: Verwendet ODBC-Treiber für SQL Server, Version 18 mit
Encrypt=Yes(Mandatory). PolyBase ermöglichtTrustServerCertificate=Trueselbstsignierte Szenarien.SQL VSS Writer: Beim Herstellen einer Verbindung mit einer SQL Server 2025-Instanz mit
Encryption=Strictwird SQL VSS Writer TLS 1.3 und TDS 8.0 für den Teil dieser Verbindung verwenden, der nicht über das Virtual Device Interface (VDI) läuft.
Komponentenspezifische Anforderungen
SQL Server-Agent mit TLS 1.3: Sie müssen die strenge Verschlüsselung (TDS 8.0) erzwingen, wenn TLS 1.3 die einzige Version aktiviert ist. Niedrigere Verschlüsselungseinstellungen (
MandatoryoderOptional) führen zu Verbindungsfehlern.SQL Server Agent T-SQL-Aufträge: SQL Server Agent T-SQL-Aufträge, die eine Verbindung mit der lokalen Instanz herstellen, erben die SQL Server-Agent-Verschlüsselungseinstellungen.
PowerShell-Module: SQLPS.exe und das SQLPS PowerShell-Modul werden derzeit für TDS 8.0 nicht unterstützt.
Always On-Verfügbarkeitsgruppen und FCIs: Verwenden Sie zum Konfigurieren der strengen Verschlüsselung mit TDS 8.0 die
CLUSTER_CONNECTION_OPTIONS-Klausel mitEncrypt=Strictund Failover, um Einstellungen anzuwenden.