Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A következőkre vonatkozik:
SQL Server
Az átviteli biztonság magában foglalja az adatbázisok között kicserélt üzenetek hitelesítését és – opcionálisan – titkosítását. Az adatbázis-tükrözés és az Always On rendelkezésre állási csoportok esetében a hitelesítés és a titkosítás az adatbázis tükrözési végpontján van konfigurálva. Az adatbázis-tükrözési végpontok bemutatása: The Database Mirroring Endpoint (SQL Server).
Ebben a témakörben:
Hitelesítés
A hitelesítés a folyamat, amely ellenőrzi, hogy a felhasználó valóban az, akinek ő mondja magát. Az adatbázis-tükrözési végpontok közötti kapcsolatok hitelesítést igényelnek. A partnertől vagy a tanúsítótól érkező kapcsolatkéréseket , ha vannak ilyenek, hitelesíteni kell.
A kiszolgálópéldányok által az adatbázis-tükrözéshez vagy az Always On rendelkezésre állási csoportokhoz használt hitelesítés típusa az adatbázis tükrözési végpontjának tulajdonsága. Kétféle átviteli biztonság érhető el az adatbázis-tükrözési végpontokhoz: a Windows-hitelesítéshez (a biztonsági támogatási szolgáltató felületéhez (SSPI)) és a tanúsítványalapú hitelesítéshez.
Windows-hitelesítés
A Windows-hitelesítés alatt minden kiszolgálópéldány bejelentkezik a másik oldalra annak a Windows-felhasználói fióknak a Windows-hitelesítő adataival, amelyen a folyamat fut. A Windows-hitelesítéshez szükség lehet a bejelentkezési fiókok manuális konfigurálásához az alábbiak szerint:
Ha az SQL Server példányai szolgáltatásokként futnak ugyanabban a tartományi fiókban, nincs szükség további konfigurációra.
Ha az SQL Server példányai szolgáltatásokként futnak különböző tartományi fiókokban (ugyanabban vagy megbízható tartományokban), az egyes fiókok bejelentkezését a főkiszolgálón kell létrehozni a többi kiszolgálópéldányon, és a bejelentkezésnek CONNECT-engedélyeket kell adni a végponton.
Ha az SQL Server-példányok hálózati szolgáltatásfiókként futnak, az egyes gazdaszámítógép-fiókok (DomainName\ComputerName$) bejelentkezését a főkiszolgálón kell létrehozni, és a bejelentkezéshez CONNECT-engedélyeket kell adni a végponton. Ennek az az oka, hogy a Hálózati szolgáltatás fiók alatt futó kiszolgálópéldány a gazdaszámítógép tartományi fiókjával hitelesíti magát.
Megjegyzés:
Az adatbázis-tükrözési munkamenet Windows-hitelesítéssel történő beállítására példa : Az adatbázis-tükrözés beállítása Windows-hitelesítéssel (Transact-SQL).
Tanúsítványok
Bizonyos esetekben, például ha a kiszolgálópéldányok nem megbízható tartományokban vannak, vagy ha az SQL Server helyi szolgáltatásként fut, a Windows-hitelesítés nem érhető el. Ilyen esetekben a felhasználói hitelesítő adatok helyett tanúsítványra van szükség a kapcsolatkérések hitelesítéséhez. Az egyes kiszolgálópéldányok tükrözési végpontját saját, helyileg létrehozott tanúsítvánnyal kell konfigurálni.
A titkosítási módszer a tanúsítvány létrehozásakor jön létre. További információért olvassa el az „Adatbázistükrözési végpont engedélyezése tanúsítványok használatára kimenő kapcsolatokhoz” című részt () (Transact-SQL). Gondosan kezelje a használt tanúsítványokat.
A kiszolgálópéldányok a saját tanúsítványuk titkos kulcsával hozzák létre identitásukat a kapcsolat beállításakor. A kapcsolatkérést fogadó kiszolgálópéldány a feladó tanúsítványának nyilvános kulcsával hitelesíti a feladó identitását. Vegyük például két kiszolgálópéldányt, Server_A és Server_B. Server_A titkos kulcsával titkosítja a kapcsolatfejlécet, mielőtt kapcsolatkérést küldene Server_B. Server_B Server_A tanúsítványának nyilvános kulcsával fejti vissza a kapcsolatfejlécet. Ha a visszafejtett fejléc helyes, Server_B tudja, hogy a fejlécet Server_A titkosította, és a kapcsolat hitelesítve van. Ha a visszafejtett fejléc helytelen, Server_B felismeri, hogy a kapcsolatkérés nem hiteles, és elutasítja a kapcsolatot.
Adattitkosítás
Az adatbázis-tükrözési végpontok alapértelmezés szerint a tükrözési kapcsolatokon keresztül küldött adatok titkosítását igénylik. Ebben az esetben a végpont csak titkosítást használó végpontokhoz tud csatlakozni. Hacsak nem tudja garantálni a hálózat biztonságossá tételét, javasoljuk, hogy az adatbázis tükrözési kapcsolataihoz titkosítást igényeljön. A titkosítást azonban letilthatja, vagy támogathatja, de nem szükséges. Ha a titkosítás le van tiltva, az adatok soha nem lesznek titkosítva, és a végpont nem tud titkosítást igénylő végponthoz csatlakozni. Ha a titkosítás támogatott, az adatok csak akkor lesznek titkosítva, ha az ellenkező végpont támogatja vagy megköveteli a titkosítást.
Megjegyzés:
Az SQL Server Management Studio által létrehozott tükrözési végpontok kötelező vagy letiltott titkosítással jönnek létre. Ha a titkosítási beállítást TÁMOGATOTT értékre szeretné módosítani, használja az ALTER ENDPOINT Transact-SQL utasítást. További információ: ALTER ENDPOINT (Transact-SQL).
A végpontok által használható titkosítási algoritmusokat szabályozhatja a CREATE ENDPOINT utasításban vagy az ALTER ENDPOINT utasításban az ALGORITMUS beállításhoz tartozó alábbi értékek egyikének megadásával:
| ALGORITMUS értéke | Leírás |
|---|---|
| RC4 | Megadja, hogy a végpontnak az RC4 algoritmust kell használnia. Ez az alapértelmezett érték. **Figyelmeztetés** Az RC4 algoritmus elavult. Ez a funkció az SQL Server egy későbbi verziójában lesz eltávolítva. Ne használja ezt a funkciót az új fejlesztési munkában, és tervezze meg a funkciót jelenleg használó alkalmazások módosítását. Javasoljuk, hogy az AES-t használja. |
| AES | Megadja, hogy a végpontnak az AES-algoritmust kell használnia. |
| AES RC4 | Megadja, hogy a két végpont egyeztetni fog egy titkosítási algoritmusról ezzel a végponttal, amely előnyben részesíti az AES-algoritmust. |
| RC4 AES | Megadja, hogy a két végpont egyeztetni fog egy titkosítási algoritmusról ezzel a végponttal, amely előnyben részesíti az RC4 algoritmust. |
Ha a végpontok összekapcsolása mindkét algoritmust megadja, de eltérő sorrendben, a kapcsolatot elfogadó végpont nyer.
Megjegyzés:
Az RC4 algoritmus csak a visszamenőleges kompatibilitás érdekében támogatott. Az új anyagok csak RC4 vagy RC4_128 használatával titkosíthatók, ha az adatbázis kompatibilitási szintje 90 vagy 100. (Nem ajánlott.) Használjon helyette egy újabb algoritmust, például az egyik AES-algoritmust. Az SQL Server 2012 (11.x) és újabb verzióiban az RC4 vagy RC4_128 használatával titkosított anyagok bármilyen kompatibilitási szinten visszafejthetők.
Bár az AES-nél lényegesen gyorsabb, az RC4 egy viszonylag gyenge algoritmus, míg az AES egy viszonylag erős algoritmus. Ezért azt javasoljuk, hogy az AES-algoritmust használja.
A titkosítás megadásához használt Transact-SQL szintaxissal kapcsolatos információkért lásd a CREATE ENDPOINT (Transact-SQL) című témakört.
Kapcsolódó tevékenységek
Adatbázistükrözési végpont átviteli biztonságának konfigurálása
Adatbázis-tükrözési végpont létrehozása Windows-hitelesítéshez (Transact-SQL)
Adatbázis-tükrözési munkamenet létrehozása Windows-hitelesítéssel (SQL Server Management Studio)
Adatbázis-tükrözési végpont létrehozása Windows-hitelesítéshez (Transact-SQL)
Az adatbázistükrözési végpontok tanúsítványainak használata kimenő kapcsolatokhoz (Transact-SQL)
Lásd még:
Titkosítási algoritmus kiválasztása
ALTER ENDPOINT (Transact-SQL)
DROP ENDPOINT (Transact-SQL)
Biztonsági Központ az SQL Server adatbázis-motorhoz és az Azure SQL-adatbázishoz
Metaadatok kezelése, amikor egy adatbázist elérhetővé tesz egy másik kiszolgálópéldányon (SQL Server)
Adatbázis-tükrözési végpont (SQL Server)
sys.database_mirroring_endpoints (Transact-SQL)
sys.dm_db_mirroring_connections (Transact-SQL)
Az SQL Server adatbázis-tükrözési konfiguráció hibaelhárítása
Hibaelhárítás az Always On rendelkezésre állási csoportok konfigurációjában (SQL Server)