Dublowanie zabezpieczeń transportu bazy danych

Transport zabezpieczeń w SQL Server 2005 i nowsze wersje wymaga uwierzytelnianie i opcjonalnie szyfrowanie wiadomości wymienianych między bazami danych.

Potrzeby dublowanie bazy danych uwierzytelnianie i szyfrowanie są skonfigurowane dla punktu końcowego.Wprowadzenie do dublowanie punktów końcowych, zobacz Dublowanie końcowy bazy danych.

Uwierzytelnianie

Uwierzytelnianie jest procesem sprawdzania, czy użytkownik jest kogo się podaje się.Połączenia między dublowanie bazy danych punkty końcowe wymaga uwierzytelnianie.Żądania połączeń od partner lub świadka, jeśli takie są, musi zostać uwierzytelniony.

Typ uwierzytelnianie używanego przez wystąpienie serwera jest właściwość jego dublowanie bazy danych punktu końcowego.Dostępne są dwa typy zabezpieczeń transportu dublowanie bazy danych: Uwierzytelnianie systemu Windows i certyfikat-uwierzytelnianie na podstawie.

Uwierzytelnianie systemu Windows obsługuje dwa protokoły uwierzytelniania: NT LAN Manager (NTLM) i Kerberos.A dublowanie bazy danych punktu końcowego można skonfigurować do używania tylko jeden protokół lub do negocjacji między nimi.Domyślnie używany jest negocjacji.Wartość domyślna, NEGOCJOWANIE, powoduje, że punkt końcowy do używania protokół Windows negocjacji wybrać NTLM lub Kerberos.Jeśli określonego autoryzacja metoda (NTLM lub Kerberos) jest określony na punkt końcowy może używać tylko tej metoda.Jeśli przeciwległego punktu końcowego jest skonfigurowany do używania tylko inne metoda, punkty końcowe nie mogą łączyć się ze sobą.Aby uzyskać więcej informacji na temat tych metod, zobacz Typy uwierzytelniania końcowy.

Ostrzeżenie

Aby uzyskać informacje dotyczące tego punktu końcowego, zobacz Dublowanie końcowy bazy danych.

A dublowanie bazy danych połączenie korzysta z uwierzytelniania systemu Windows (zabezpieczenia Obsługa dostawcy interfejsu (SSPI)) lub uwierzytelnianie oparte na certyfikatach.

Uwierzytelnianie systemu Windows

Uwierzytelnianie systemu Windows każde wystąpienie serwera loguje się do drugiej stronie przy użyciu poświadczenia konta użytkownika systemu Windows, na którym uruchomiono proces systemu Windows.Z tego powodu uwierzytelniania systemu Windows wymaga, aby SQL Server usługi musi działać jako użytkownicy domena w zaufanych domenach lub jako usługi sieciowej.

Aby uwierzytelnić oba końce połączenia, uwierzytelnianie systemu Windows używa poświadczenia konta użytkownika systemu Windows, na którym są uruchomione wystąpienia programu SQL Server.Konto użytkownika każdego wystąpienie serwera musi więc niezbędne uprawnienia do logowania i wysyłanie wiadomości do wszystkich innych wystąpień serwera.

Na przykład konfigurowania dublowanie bazy danych sesja za pomocą uwierzytelniania systemu Windows, zobacz Przykład: Konfigurowanie bazy danych, dublowanie przy użyciu uwierzytelniania systemu Windows (Transact-SQL).

Certyfikaty

W niektórych sytuacjach, na przykład gdy wystąpień serwera nie są w zaufanych domenach lub gdy SQL Server działa jako usługa lokalna, uwierzytelnianie systemu Windows jest niedostępna.W takich przypadkach zamiast poświadczenia użytkownika certyfikaty są wymagane do uwierzytelniania żądań połączeń.Punkt końcowy dublowanie każdego wystąpienie serwera musi być skonfigurowany z lokalnie utworzony certyfikat.

Podczas tworzenia certyfikat, ustanawia się metoda szyfrowanie.Aby uzyskać więcej informacji, zobacz Jak Zezwalaj na bazy danych dublowania, aby używać certyfikatów dla połączeń wychodzących (Transact-SQL).Ostrożnie zarządzanie certyfikatami, używanych.

Wystąpienie serwera używa klucz prywatnego własny certyfikat, aby potwierdzić swoją tożsamość podczas konfigurowania połączenia.Wystąpienie serwera, który odbiera żądanie połączenia używa klucz publicznego certyfikat nadawcy do uwierzytelnienia tożsamości nadawcy.Na przykład Rozważmy dwa wystąpienia serwera, Server_A i Server_B.Server_A używa jego klucz prywatnego do szyfrowania nagłówka połączenia przed wysłaniem żądania połączenia do Server_B.Server_B używa klucz publicznego certyfikat przez Server_A do odszyfrowania nagłówka połączenia.Jeśli nagłówek odszyfrowane jest poprawna, Server_B wie, że nagłówek został zaszyfrowany przez Server_A i uwierzytelnione połączenie.Jeśli nagłówek odszyfrowane jest niepoprawny, Server_B wie, że żądania połączenia jest inauthentic i odmawia połączenia.

Uwaga dotycząca zabezpieczeń
Certyfikaty należy instalować tylko z zaufanych źródeł.

Nie istnieje zautomatyzowana metoda konfigurowania zabezpieczeń przy użyciu certyfikatów dublowanie bazy danych.Za pomocą Transact-SQL jest wymagane.Na przykład za pomocą certyfikat-uwierzytelnianie oparte na konfigurowanie dublowanie bazy danych sesja, zobacz Przykład: Konfigurowanie bazy danych, dublowanie przy użyciu certyfikatów (Transact-SQL).

Szyfrowanie danych

Domyślnie dublowanie bazy danych endpoint wymaga szyfrowanie danych przesyłanych za pomocą połączenia dublowanie.przypadek punktu końcowego można połączyć tylko punkty końcowe, które również korzystać z szyfrowanie.Chyba, że aby zagwarantować, że sieć jest bezpieczny, zaleca się, aby wymagać szyfrowanie dla sieci dublowanie bazy danych połączenia.Można jednak wyłączyć szyfrowanie lub był obsługiwany, ale nie jest wymagane.Jeśli szyfrowanie jest wyłączone, dane nigdy nie są szyfrowane, a punkt końcowy nie może połączyć się z punktem końcowym, która wymaga szyfrowania.Jeśli szyfrowanie jest obsługiwane, dane są szyfrowane tylko wtedy, gdy przeciwległego punktu końcowego obsługuje lub wymaga szyfrowania.

Ostrzeżenie

Dublowanie punkty końcowe utworzone przez SQL Server Management Studio są tworzone albo wymagane szyfrowanie lub wyłączone.Aby zmienić ustawienie szyfrowanie obsługiwany, używać punktu KOŃCOWEGO ALTER Transact-SQL instrukcja.Aby uzyskać więcej informacji, zobacz ZMIEŃ punkt końcowy (Transact-SQL).

Opcjonalnie można sterować algorytmy szyfrowanie, które mogą być używane przez punkt końcowy, określając jedną z następujących wartości dla opcji ALGORYTMU w instrukcja tworzenia punktu KOŃCOWEGO lub instrukcja ALTER punktu KOŃCOWEGO:

Wartość ALGORYTMU	Opis
RC4	Określa, że punkt końcowy musi używać algorytm RC4.Jest to wartość domyślna.
AES	Określa, że punkt końcowy musi używać algorytm AES.
AES RC4	Określa, że dwa punkty końcowe będzie negocjować dla algorytmu szyfrowanie z danym punktem końcowym preferowanie algorytm AES.
RC4 AES	Określa, że dwa punkty końcowe będzie negocjować dla algorytmu szyfrowanie z danym punktem końcowym preferowanie algorytm RC4.

Jeśli łączące punkty końcowe określić oba algorytmy, ale w różnych zamówień, akceptować połączenia punktu końcowego usługi wins.

Ostrzeżenie

Znacznie szybsze niż AES, RC4 jest stosunkowo słaba algorytm AES jest stosunkowo silna algorytmu.Dlatego zaleca się, aby korzystać z algorytmu AES.

Aby uzyskać informacje o Transact-SQL składnię służącą do szyfrowanie, zobacz Utwórz punkt końcowy (Transact-SQL).

Konfigurowania zabezpieczeń transportu dublowanie bazy danych wystąpienie serwera

• Jak Konfigurowanie bazy danych, dublowanie sesji (SQL Server Management Studio)

• Jak Utwórz dublowania punkt końcowy dla uwierzytelniania systemu Windows (Transact-SQL)

• Jak Zezwalaj na bazy danych dublowania, aby używać certyfikatów dla połączeń wychodzących (Transact-SQL)

Zobacz także

Odwołanie

ZMIEŃ punkt końcowy (Transact-SQL)

Usuwanie punktu KOŃCOWEGO (Transact-SQL)

sys.database_mirroring_endpoints (języka Transact-SQL)

sys.dm_db_mirroring_connections (języka Transact-SQL)

Koncepcje

Wybór algorytmu szyfrowania

Bezpieczeństwo i ochrona (aparat bazy danych)

Zarządzanie metadane podczas tworzenia bazy danych na inne wystąpienie serwera

Dublowanie końcowy bazy danych

Rozwiązywanie problemów dotyczących wdrażania dublowania bazy danych