TLS 1.2 podpora pro Microsoft SQL Server

Úvod

Tento článek obsahuje informace o aktualizacích, které společnost Microsoft vydává povolení podpory TLS 1.2 pro SQL Server 2016, SQL Server 2008, SQL Server 2008 R2, SQL Server 2012 a SQL Server 2014. Tento článek obsahuje také seznam poskytovatelů podporované klienta.

Několik známé chyby byly hlášeny proti SSL a v dřívějších verzích systému zabezpečení TLS (Transport Layer). Doporučujeme upgradovat na TLS 1.2 pro zabezpečenou komunikaci.

Důležité: Žádné známé chyby byly hlášeny pro implementaci Microsoft TDS. Toto je komunikační protokol, který se používá mezi klienty serveru SQL Server a databázový stroj SQL Server.

Implementace Microsoft Schannel TLS 1.0 (pokud jde o známé chyby, které byly společnosti Microsoft nahlášeny k datu zveřejnění tohoto článku) je uveden v Implementace zprostředkovatele Schannel TLS 1.0 v aktualizaci stavu zabezpečení systému Windows: 24 listopadu 2015 .

Jak lze zjistit, zda je nutné tuto aktualizaci

Následující tabulka slouží k určení, zda aktuální verzi serveru SQL Server již obsahuje podporu TLS 1.2 nebo zda je nutné stáhnout aktualizace pro podporu TLS 1.2. Pomocí odkazů ke stažení v tabulce server aktualizace, které jsou pro vaše prostředí.

Poznámka: Sestavení, které jsou vyšší, než jsou uvedeny v této tabulce také podporuje TLS 1.2.

Vydání serveru SQL ServerPrvní sestavení, která podporuje TLS 1.2Stáhnout odkaz pro starší sestaveníDalší informace
SQL Server 2014 SP112.0.4439.1Kumulativní aktualizace 5 pro SQL Server 2014 SP1KB 3052404 Oprava: Nelze použít protokol Transport Layer Security verze 1.2 pro připojení k serveru se systémem SQL Server 2014 nebo SQL Server 2012
SQL Server 2014 SP1 GDR12.0.4219.0Aktualizace SQL Server 2014 SP1 aktualizace GDR TLS 1.2
SQL Server 2014 RTM12.0.2564.0

Kumulativní aktualizace 12 pro SQL Server 2014KB 3052404 Oprava: Nelze použít protokol Transport Layer Security verze 1.2 pro připojení k serveru se systémem SQL Server 2014 nebo SQL Server 2012
SQL Server 2014 RTM GDR12.0.2271.0Aktualizace SQL Server 2014 RTM GDR TLS 1.2
SQL Server 2012 SP3 GDR11.0.6216.27Aktualizace SQL Server 2012 SP3 GDR TLS 1.2
SQL Server 2012 SP311.0.6518.0Kumulativní aktualizace 1 pro SQL Server 2012 SP3KB 3052404 Oprava: Nelze použít protokol Transport Layer Security verze 1.2 pro připojení k serveru se systémem SQL Server 2014 nebo SQL Server 2012
SQL Server 2012 SP2 GDR11.0.5352.0Aktualizace SQL Server 2012 SP2 GDR TLS 1.2
SQL Server 2012 SP211.0.5644.2Kumulativní aktualizace 10 pro SQL Server 2012 SP2KB 3052404 Oprava: Nelze použít protokol Transport Layer Security verze 1.2 pro připojení k serveru se systémem SQL Server 2014 nebo SQL Server 2012
SQL Server 2008 R2 s aktualizací SP310.50.6542.0Aktualizace SQL Server 2008 R2 s aktualizací SP3 TLS 1.2
SQL Server 2008 R2 s aktualizací SP2 GDR (pouze pro IA-64)10.50.4047.0Aktualizace SQL Server 2008 R2 s aktualizací SP2 GDR (IA-64) TLS 1.2
SQL Server 2008 R2 s aktualizací SP2 (pouze IA 64)10.50.4344.0Aktualizace SQL Server 2008 R2 s aktualizací SP2 (IA-64) TLS 1.2
SQL Server 2008 SP410.0.6547.0Aktualizace SQL Server 2008 SP4 TLS 1.2
SQL Server 2008 SP3 GDR (pouze pro IA-64)10.0.5545.0Aktualizace SQL Server 2008 SP3 GDR (IA-64) TLS 1.2
SQL Server 2008 SP3 (pouze IA 64)10.0.5896.0Aktualizace SQL Server 2008 SP3 (IA-64) TLS 1.2


Stažení součásti klienta

V následující tabulce použijte ke stažení součásti klienta a aktualizace ovladačů, které jsou k dispozici pro vaše prostředí.

Klientské komponenty/DriverAktualizace TLS 1.2 podpora
ADO.NET - SqlClient (rozhraní.NET Framework 4.5.2, 4.5.1, 4.5)Kumulativní oprava hotfix 3099842 pro rozhraní.NET Framework 4.5.2, 4.5.1 a 4.5 pro Windows 8.1 a Windows Server 2012 R2

Kumulativní oprava hotfix 3099844 pro rozhraní.NET Framework 4.5.2, 4.5.1 a 4.5 pro Windows 8 a Windows Server 2012

Kumulativní oprava hotfix 3099845 pro rozhraní.NET Framework 4.5.2 a rozhraní.NET Framework 4.5.1 v systému Windows 7 Service Pack 1 nebo Windows Vista a Windows Server 2008 R2, Windows Server 2008
ADO.NET - SqlClient (rozhraní.NET Framework 4.0)Kumulativní oprava hotfix 3106994 pro 4.0 rozhraní.NET Framework v systému Windows

ADO.NET - SqlClient (rozhraní.NET Framework 3.5 nebo rozhraní.NET Framework 2.0 SP2)Kumulativní oprava hotfix 3106991 pro rozhraní.NET Framework 2.0 SP2 v systému Windows Server 2008 R2 SP1 a Windows 7 s aktualizací SP1

Kumulativní oprava hotfix 3106992 pro rozhraní.NET Framework 2.0 SP2 v systému Windows Server 2012 a Windows 8

Kumulativní oprava hotfix 3106993 pro rozhraní.NET Framework 2.0 SP2 v systému Windows Server 2012 R2 a Windows 8.1

SQL Server Native Client (pro SQL Server 2008 R2)SQL Server Native Client (x86 a x64)
SQL Server Native Client (pro SQL Server 2008 R2)Nativní klient serveru SQL Server 2008 R2 (IA-64)
SQL Server Native Client (pro SQL Server 2008)Nativní klient pro SQL Server 2008 (x86 a x64)
SQL Server Native Client (pro SQL Server 2008)Nativní klient SQL Server 2008 (IA-64)
SQL Server Native Client (pro SQL Server 2012 a SQL Server 2014)Nativního klienta Microsoft SQL Server 2012 - QFE
Ovladač Microsoft ODBC pro SQL ServerOvladač Microsoft ODBC 11 pro SQL Server - Windows
JDBC 6.0Ovladače rozhraní JDBC Microsoft 6.0 (Náhled), 4.2, 4.1 a 4.0 pro SQL Server
JDBC 4.1 a JDBC 4.2Ovladače rozhraní JDBC Microsoft 6.0 (Náhled), 4.2, 4.1 a 4.0 pro SQL Server

Další opravy, které jsou potřebné pro SQL Server k použití TLS 1.2

Je nutné nainstalovat následující kumulativní oprava hotfix rozhraní .NET pro povolení funkcí serveru SQL Server jako databázi pošty a některé SSIS součásti, které používají .NET koncové body, které vyžadují protokol TLS 1.2 podpora jako úkol webové služby pomocí protokolu TLS 1.2.

Operační systémVerze rozhraní.NET FrameworkAktualizace TLS 1.2 podpora
Windows 7 Service Pack 1, Windows 2008 R2 Service Pack 13.5.1Podpora protokolu TLS v1.2 součástí rozhraní.NET Framework verze 3.5.1
Windows 8 RTM, Windows 2012 RTM3.5Podpora protokolu TLS v1.2 součástí rozhraní.NET Framework verze 3.5
Windows 8.1, Windows 2012 R2 SP13.5 SP1Podpora protokolu TLS v1.2 součástí rozhraní.NET Framework verze 3.5 SP1 na Windows 8.1 a Windows Server 2012 R2

Často kladené dotazy

Protokoly TLS 1.1 podporována na SQL Server 2016?

Ano. SQL Server 2016 verze jsou dodávány s TLS 1.0 pro podporu TLS 1.2. Je třeba zakázat TLS 1.0 a 1.1, pokud chcete použít pouze TLS 1.2 pro komunikaci klient server.

TDS ovlivněny známými chybami?

Žádné známé chyby byly hlášeny pro implementaci Microsoft TDS. Vzhledem k tomu, že použití TLS 1.2 pro šifrované komunikační kanály jsou které několik prosazování standardů organizace, společnost Microsoft vydává podporu TLS 1.2 široké základní instalace serveru SQL Server.

Jak bude TLS 1.2 aktualizace distribuována zákazníkům?

Tento článek poskytuje odkazy ke stažení pro vhodné aktualizace serveru a klienta, které podporu TLS 1.2.

Budou podporovány SQL Server 2005 pro TLS 1.2?

Podpora TLS 1.2 je nabízena pouze pro SQL Server 2008 a novější verze.

Pokud na serveru jsou zakázány protokoly SSL 3.0 a TLS 1.0, jsou zákazníci, kteří nepoužívají protokol SSL/TLS týká?

Ano. SQL Server šifruje uživatelské jméno a heslo při přihlášení, i když není používán zabezpečený komunikační kanál. Tato aktualizace je požadována pro všechny instance serveru SQL Server, který nepoužíváte zabezpečené komunikace a které mají všechny protokoly kromě TLS 1.2 na tomto serveru zakázáno.

Které verze systému Windows Server podporuje protokol TLS 1.2?

Windows Server 2008 R2 a novější verze podporují TLS 1.2.

Co je nastavení správné registru Chcete-li povolit protokol TLS 1.2 pro komunikaci se serverem SQL?

O správné nastavení registru jsou následující:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
Tato nastavení jsou vyžadovány serverem a klientskými počítači. DisabledByDefault a povoleno nastavení musí být vytvořeny v systému Windows 7 klientů a serverů systému Windows Server 2008 R2. V systému Windows 8 a novějších verzích operačních systémů klienta nebo serveru Windows Server 2012 a novější verze operačního systému serveru musí již povolena TLS 1.2. Pokud implementujete nasazení zásad pro registr systému Windows, které musí být nezávislé na verzi operačního systému, pak doporučujeme přidání klíčů registru do zásady.

Ovladače, které klient podporu TLS 1.2 pro komunikaci s databázovým strojem SQL Server?

"Klientská součást downloads" tabulce jsou uvedeny podporované klienty.

Známé problémy

Problém 1

SQL Server Management Studio (SSMS), Server sestav a správce sestav není připojit k databázový stroj po instalaci opravy pro SQL Server 2008, 2008 R2, 2012 a 2014. Server sestav a správce sestav selhat a vrátit následující chybová zpráva:

Server sestav nelze otevřít připojení k databázi serveru sestav. Připojení k databázi je vyžadován pro všechny požadavky a zpracování. (rsReportServerDatabaseUnavailable)

K tomuto problému dochází, protože SSMS, správce sestav a Reporting Services Správce konfigurace pomocí rozhraní ADO.NET a ADO.NET podpora TLS 1.2 je k dispozici pouze v 4.6 rozhraní.NET Framework. Dřívějších verzích rozhraní.NET Framework je nutné použití systému Windows update, takže ADO.NET podporuje TLS 1.2 komunikace klienta. Aktualizace systému Windows, které umožňují podporu TLS 1.2 v dřívějších verzích rozhraní .NET framework jsou uvedeny v tabulce v části "Jak lze zjistit, zda je nutné tuto aktualizaci".

Problém 2

Reporting Services Správce konfigurace sestav následující chybová zpráva i po poskytovatelů klienta byly aktualizovány na verzi, která podporuje protokol TLS 1.2:

Nelze se připojit k serveru: úspěšně vytvořit připojení k serveru, ale potom během handshake před přihlášení došlo k chybě.

Error message

Chcete-li tento problém vyřešit, ručně vytvořte následující klíč registru v systému, který je hostitelem Reporting Services Správce konfigurace:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client : "Enabled"=dword:00000001
Problém 3

Při použití šifrované komunikace pro skupiny dostupnosti nebo zrcadlení databáze nebo zprostředkovatel služeb serveru SQL Server se nezdaří komunikace šifrované koncového bodu, který používá protokol TLS 1.2. V protokolu chyb SQL Server je zaznamenána chybová zpráva podobná následující:

Připojení handshake se nezdařilo. Volání operačního systému se nezdařilo: (80090331) 0x80090331 (klient a server nemůže komunikovat, protože nepoužívají žádný společný algoritmus.). Stav 56.

Další informace o tomto problému naleznete v tématu Oprava: při použití serveru SQL Server dojde k selhání komunikace šifrované koncového bodu s TLS 1.2 .

Problém 4

Různé chyby dojít při pokusu nainstalovat SQL Server 2012 nebo SQL Server 2014 na serveru, který má povoleno TLS 1.2.

Další informace naleznete v tématu Oprava: Chyba při instalaci SQL Server 2012 nebo SQL Server 2014 na serveru, který má povoleno TLS 1.2 .

Problém 5

Šifrované spojení s zrcadlení databáze nebo dostupnost skupiny nefunguje při použití certifikátu po zakázání jiné protokoly než protokol TLS 1.2. V protokolu chyb serveru SQL Server je zaznamenána chybová zpráva podobná následující:

Šifrované spojení s zrcadlení databáze nebo dostupnost skupiny nefunguje při použití certifikátu po zakázání jiné protokoly než protokol TLS 1.2. Můžete zaznamenat některý z následujících příznaků:

Příznak 1:

V protokolu chyb serveru SQL Server je zaznamenána chybová zpráva podobná následující:
Připojení handshake se nezdařilo. Volání operačního systému se nezdařilo: (80090331) 0x80090331 (klient a server nemůže komunikovat, protože nepoužívají žádný společný algoritmus.). Stav 58. "
Příznak 2:

V protokolu událostí systému je zaznamenána chybová zpráva podobná následující:
Název protokolu: systém
Zdroj: Schannel
Datum: < datum a čas >
ID události: 36888
Kategorie úkolů: žádný
Úroveň: Chyba
Klíčová slova:
Uživatel: systém
Počítač:---
Popis:
Závažné výstrahy byla generována a odeslána do vzdáleného koncového bodu. To může mít za následek ukončení připojení. Závažná chyba kód definovaný protokol TLS je 40. Stav Chyba zprostředkovatele SChannel v systému Windows je 1205.

Název protokolu: systém
Zdroj: Schannel
Datum: < datum a čas >
ID události: 36874
Kategorie úkolů: žádný
Úroveň: Chyba
Klíčová slova:
Uživatel: systém
Počítač:---
Popis:
Byl přijat požadavek na připojení TLS 1.2 od aplikace vzdáleného klienta, ale žádná šifrovací sada podporovaná klientskou aplikací jsou podporovány serverem. Požadavek na připojení SSL se nezdařil.

K tomuto problému dochází, protože skupiny dostupnosti a zrcadlení databáze vyžadují certifikát, který nepoužívá pevné délky algoritmy hash, jako je MD5. Algoritmy hash pevné délky nepodporuje TLS 1.2.

Další informace naleznete v tématu Oprava: komunikace pomocí MD5 algoritmu hash se nezdaří, pokud SQL Server používá protokol TLS 1.2 .

Problém 6

Se týká následujících verzí serveru SQL Server databáze stroj problém ukončení občasné služby, která je uvedena v článku znalostní báze Knowledge Base 3146034 . Chránili před problém ukončení služby zákazníkům doporučujeme jejich instalaci TLS 1.2 aktualizace pro Microsoft SQL Server, které jsou zmíněny v tomto článku, pokud jejich verze serveru SQL Server je uveden v následující tabulce.

Vydání serveru SQL ServerOhrožené verze
SQL Server 2008 R2 SP3 (x 86 a x64)10.50.6537.0
SQL Server 2008 R2 s aktualizací SP2 GDR (pouze pro IA-64)10.50.4046.0
SQL Server 2008 R2 s aktualizací SP2 (pouze IA 64)10.50.4343.0
Aktualizace SP4 pro SQL Server 2008 (x 86 a x64)10.0.6543.0
SQL Server 2008 SP3 GDR (pouze pro IA-64)10.0.5544.0
SQL Server 2008 SP3 (pouze IA 64)10.0.5894.0
Problém 7

Databázi pošty nefunguje s TLS 1.2. Databázi pošty se nezdaří s následující chyby:
Microsoft.SqlServer.Management.SqlIMail.Server.Common.BaseException:
Informace o konfiguraci pošty nelze číst z databáze.
….

.. .Unable Chcete-li spustit relaci pošty.
Další informace naleznete v tomto článku v části Další opravy, které jsou potřebné pro SQL Server k použití TLS 1.2 .

Běžné chyby, které mohou nastat při TLS 1.2 aktualizace chybí na klienta nebo serveru

Problém 1

System Center Správce konfigurace (SCCM) nemůže připojit k serveru SQL Server na serveru SQL Server povolíte protokol TLS 1.2. V této situaci zobrazí následující chybová zpráva:

Zprostředkovatel TCP: Existující připojení bylo vynuceně ukončeno vzdáleným hostitelem.

Tomuto problému může dojít, když nástroj SCCM používá ovladač SQL Server Native Client, který nemá oprava. Chcete-li tento problém vyřešit, stáhněte a nainstalujte opravu nativního klienta, který je uveden v části Stažení klientské součásti tohoto článku. Příklad: https://www.microsoft.com/en-us/download/details.aspx?id=50402

Můžete zjistit, který ovladač používá nástroj SCCM pro připojení k serveru SQL Server zobrazením protokolu SCCM, jako v následujícím příkladu:

[SQL Server Native Client 11.0]TCP Provider: An existing connection was forcibly closed by the remote host.~~  $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)> *** [08001][10054][Microsoft][SQL Server Native Client 11.0]Client unable to establish connection  $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>
*** Failed to connect to the SQL Server, connection type: SMS ACCESS. $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>
INFO: SQL Connection failed. Connection: SMS ACCESS, Type: Secure $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>Native Client 11.0]TCP Provider: An existing connection was forcibly closed by the remote host.~~ $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>
*** [08001][10054][Microsoft][SQL Server Native Client 11.0]Client unable to establish connection $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>
*** Failed to connect to the SQL Server, connection type: SMS ACCESS. $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>
INFO: SQL Connection failed. Connection: SMS ACCESS, Type: Secure $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>

Vlastnosti

ID článku: 3135244 - Poslední kontrola: 23. 1. 2017 - Revize: 2

Microsoft SQL Server 2008 Developer, Microsoft SQL Server 2008 Enterprise, Microsoft SQL Server 2008 R2 Developer, Microsoft SQL Server 2008 R2 Enterprise, Microsoft SQL Server 2008 R2 Service Pack 2, Microsoft SQL Server 2008 R2 Service Pack 3, Microsoft SQL Server 2008 Service Pack 1, Microsoft SQL Server 2008 Service Pack 2, Microsoft SQL Server 2008 Service Pack 3, Microsoft SQL Server 2008 Service Pack 4, Microsoft SQL Server 2008 Standard, Microsoft SQL Server 2012 Developer, Microsoft SQL Server 2012 Enterprise, Microsoft SQL Server 2012 Enterprise Core, Microsoft SQL Server 2012 Service Pack 1, Microsoft SQL Server 2012 Service Pack 2, Microsoft SQL Server 2012 Service Pack 3, Microsoft SQL Server 2012 Standard, Microsoft SQL Server 2012 Web, Microsoft SQL Server 2014 Developer, Microsoft SQL Server 2014 Developer, Microsoft SQL Server 2014 Developer, Microsoft SQL Server 2014 Developer, Microsoft SQL Server 2014 Enterprise, Microsoft SQL Server 2014 Enterprise, Microsoft SQL Server 2014 Enterprise, Microsoft SQL Server 2014 Enterprise, Microsoft SQL Server 2014 Service Pack 1, Microsoft SQL Server 2014 Standard, Microsoft SQL Server 2014 Standard, Microsoft SQL Server 2014 Standard, Microsoft SQL Server 2014 Standard, Microsoft SQL Server 2016 Developer, Microsoft SQL Server 2016 Enterprise, Microsoft SQL Server 2016 Enterprise Core, Microsoft SQL Server 2016 Express, Microsoft SQL Server 2016 Standard, Microsoft SQL Server 2016 Web

Váš názor