Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Aktarım güvenliği kimlik doğrulamasını ve isteğe bağlı olarak veritabanları arasında değiştirilen iletilerin şifrelenmesini içerir. Veritabanı yansıtma ve Always On kullanılabilirlik grupları için kimlik doğrulaması ve şifreleme, veritabanı yansıtma uç noktasında yapılandırılır. Veritabanı yansıtma uç noktalarına giriş için bkz. Veritabanı Yansıtma Uç Noktası (SQL Server).
Bu Konuda:
Kimlik doğrulama
Kimlik doğrulaması, kullanıcının iddia edilen kişi olduğunu doğrulama işlemidir. Veritabanı yansıtma uç noktaları arasındaki bağlantılar için kimlik doğrulaması gerekir. Partner veya tanıktan gelen bağlantı istekleri, eğer varsa, kimlik doğrulamasına tabi tutulmalıdır.
Veritabanı yansıtma veya Always On kullanılabilirlik grupları için sunucu örneği tarafından kullanılan kimlik doğrulaması türü, veritabanı yansıtma uç noktasının özelliğidir. Veritabanı yansıtma uç noktaları için iki tür aktarım güvenliği sağlanır: Windows Kimlik Doğrulaması (Güvenlik Desteği Sağlayıcısı Arabirimi (SSPI)) ve sertifika tabanlı kimlik doğrulaması.
Windows Kimlik Doğrulaması
Windows Kimlik Doğrulaması altında, her sunucu örneği işlemin çalıştığı Windows kullanıcı hesabının Windows kimlik bilgilerini kullanarak diğer tarafta oturum açar. Windows Kimlik Doğrulaması, aşağıdaki gibi oturum açma hesaplarının el ile yapılandırılması gerektirebilir:
SQL Server örnekleri aynı etki alanı hesabı altında hizmet olarak çalıştırılıyorsa ek yapılandırma gerekmez.
SQL Server örnekleri farklı etki alanı hesapları altında (aynı veya güvenilen etki alanlarında) hizmet olarak çalıştırılırsa, her hesabın oturum açma işlemi diğer sunucu örneklerinin her birinde ana sunucuda oluşturulmalıdır ve bu oturum açma bilgilerine uç noktada BAĞLAN izinleri verilmelidir.
SQL Server örnekleri Ağ Hizmeti hesabı olarak çalıştırılırsa, her ana bilgisayar hesabının (DomainName\ComputerName$) oturum açma bilgileri diğer sunucuların her birinde ana bilgisayarda oluşturulmalıdır ve bu oturum açma işlemine uç noktada CONNECT izinleri verilmelidir. Bunun nedeni, Ağ Hizmeti hesabı altında çalışan bir sunucu örneğinin ana bilgisayarın etki alanı hesabını kullanarak kimlik doğrulamasından kaynaklanır.
Uyarı
Windows Kimlik Doğrulaması kullanarak veritabanı yansıtma oturumu ayarlama örneği için bkz . Örnek: Windows Kimlik Doğrulaması Kullanarak Veritabanı Yansıtmayı Ayarlama (Transact-SQL).
Sertifikalar
Sunucu örneklerinin güvenilen etki alanlarında olmaması veya SQL Server'ın yerel hizmet olarak çalışması gibi bazı durumlarda Windows Kimlik Doğrulaması kullanılamaz. Böyle durumlarda, bağlantı isteklerinin kimliğini doğrulamak için kullanıcı kimlik bilgileri yerine sertifikalar gerekir. Her sunucu örneğinin yansıtma uç noktası kendi yerel olarak oluşturulmuş sertifikasıyla yapılandırılmalıdır.
Sertifika oluşturulduğunda şifreleme yöntemi oluşturulur. Daha fazla bilgi için bkz. Veritabanı Yansıtma Uç Noktasının Giden Bağlantılar için Sertifikaları Kullanmasına İzin Verme (Transact-SQL). Kullandığınız sertifikaları dikkatle yönetin.
Sunucu örneği, bağlantı kurarken kimliğini oluşturmak için kendi sertifikasının özel anahtarını kullanır. Bağlantı isteğini alan sunucu örneği, gönderenin kimliğini doğrulamak için gönderenin sertifikasının ortak anahtarını kullanır. Örneğin, Server_A ve Server_B iki sunucu örneğini göz önünde bulundurun. Server_A, Server_B bir bağlantı isteği göndermeden önce bağlantı üst bilgisini şifrelemek için özel anahtarını kullanır. Server_B, bağlantı üst bilgisinin şifresini çözmek için Server_A sertifikasının ortak anahtarını kullanır. Şifresi çözülen üst bilgi doğruysa, Server_B üst bilginin Server_A tarafından şifrelendiğini ve bağlantının kimliğinin doğrulandığını bilir. Şifresi çözülen başlık yanlışsa, Server_B bağlantı isteğinin sahte olduğunu bilir ve bağlantıyı reddeder.
Veri Şifrelemesi
Varsayılan olarak, veritabanı yansıtma uç noktası, yansıtma bağlantıları üzerinden gönderilen verilerin şifrelenmesini gerektirir. Bu durumda uç nokta yalnızca şifreleme kullanan uç noktalara bağlanabilir. Ağınızın güvenli olduğunu garanti etmediğiniz sürece, veritabanı yansıtma bağlantılarınız için şifrelemeye ihtiyacınız olmasını öneririz. Ancak, şifrelemeyi devre dışı bırakabilir veya desteklenmesini sağlayabilirsiniz, ancak gerekli değildir. Şifreleme devre dışı bırakılırsa veriler hiçbir zaman şifrelenmez ve uç nokta şifreleme gerektiren bir uç noktaya bağlanamaz. Şifreleme destekleniyorsa veriler yalnızca karşı uç nokta şifrelemeyi destekliyorsa veya gerektiriyorsa şifrelenir.
Uyarı
SQL Server Management Studio tarafından oluşturulan yansıtma uç noktaları, şifreleme gerekli veya devre dışı bırakılmış olarak oluşturulur. Şifreleme ayarını DESTEKLİ olarak değiştirmek için ALTER ENDPOINT Transact-SQL deyimini kullanın. Daha fazla bilgi için bkz. ALTER ENDPOINT (Transact-SQL).
İsteğe bağlı olarak, CREATE ENDPOINT deyiminde veya ALTER ENDPOINT deyiminde ALGORITMA seçeneği için aşağıdaki değerlerden birini belirterek uç nokta tarafından kullanılabilecek şifreleme algoritmalarını denetleyebilirsiniz:
| ALGORITMA değeri | Açıklama |
|---|---|
| RC4 | Uç noktanın RC4 algoritmasını kullanması gerektiğini belirtir. Varsayılan değer budur. **Uyarı** RC4 algoritması kullanım dışıdır. Bu özellik, SQL Server'ın gelecek bir sürümünde kaldırılacaktır. Bu özelliği yeni geliştirme çalışmalarında kullanmaktan kaçının ve şu anda bu özelliği kullanan uygulamaları değiştirmeyi planlayın. AES kullanmanızı öneririz. |
| Gelişmiş Şifreleme Standardı (AES) | Uç noktanın AES algoritmasını kullanması gerektiğini belirtir. |
| AES RC4 | İki uç noktanın, AES algoritmasını tercih eden bu uç noktayla bir şifreleme algoritması için anlaşma yapacağı belirtir. |
| RC4 AES | İki uç noktanın, RC4 algoritmasını tercih eden bu uç noktayla bir şifreleme algoritması için anlaşmaya varacağını belirtir. |
Bağlantı uç noktaları her iki algoritmayı da ancak farklı sıralarda belirtiyorsa, bağlantıyı kabul eden uç nokta kazanır.
Uyarı
RC4 algoritması yalnızca geriye dönük uyumluluk için desteklenir. Yeni malzemeler yalnızca veritabanı uyumluluk düzeyi 90 veya 100 olduğunda RC4 veya RC4_128 kullanılarak şifrelenebilir. (Önerilmez.) Bunun yerine AES algoritmalarından biri gibi daha yeni bir algoritma kullanın. SQL Server 2012 (11.x) ve üzeri sürümlerde RC4 veya RC4_128 kullanılarak şifrelenen malzemenin şifresi herhangi bir uyumluluk düzeyinde çözülebilir.
AES'den çok daha hızlı olsa da RC4 görece zayıf bir algoritmadır, AES ise nispeten güçlü bir algoritmadır. Bu nedenle, AES algoritmasını kullanmanızı öneririz.
Şifrelemeyi belirtmek için Transact-SQL söz dizimi hakkında bilgi için bkz. CREATE ENDPOINT (Transact-SQL).
İlgili Görevler
Veritabanı yansıtma uç noktası için aktarım güvenliğini yapılandırmak için
Windows Kimlik Doğrulaması için Veritabanı Yansıtma Uç Noktası Oluşturma (Transact-SQL)
Windows Kimlik Doğrulaması için Veritabanı Yansıtma Uç Noktası Oluşturma (Transact-SQL)
Ayrıca Bkz.
Şifreleme Algoritması Seçme
ALTER ENDPOINT (Transact-SQL)
UÇ NOKTASINI SİL (Transact-SQL)
SQL Server Veritabanı Altyapısı ve Azure SQL Veritabanı için Güvenlik Merkezi
Veritabanını Başka Bir Sunucu Örneğinde Kullanılabilir Hale Getirirken Meta Verileri Yönetme (SQL Server)
Veritabanı Yansıtma Uç Noktası (SQL Server)
sys.database_mirroring_endpoints (Transact-SQL)
sys.dm_db_mirroring_connections (Transact-SQL)
Veritabanı Yansıtma Yapılandırması (SQL Server) sorunlarını giderme
Always On Kullanılabilirlik Grupları Yapılandırmasının Sorunlarını Giderme (SQL Server)