מבוא
מאמר זה מספק מידע אודות העדכונים ש-Microsoft משחררת כדי לאפשר תמיכה של TLS 1.2 עבור SQL Server 2017 ב-Windows, SQL server 2016, sql server 2008, SQL Server 2008 R2, SQL Server 2012 ו-SQL Server 2014. מאמר זה מפרט גם ספקי לקוח נתמכים. SQL Server 2016, SQL Server 2017 ו-SQL Server 2019 תומך ב-TLS 1.2 ללא צורך בעדכון.
מספר פגיעויות ידועות דווחו כנגד SSL וגירסאות קודמות של אבטחה בשכבת התעבורה (TLS). מומלץ לשדרג ל-TLS 1.2 לצורך תקשורת מאובטחת.
חשוב לא דווח על פגיעויות ידועות עבור היישום Microsoft TDS. זהו פרוטוקול התקשורת המשמש בין לקוחות SQL Server לבין מנגנון מסד הנתונים של SQL Server. ההטמעה של Microsoft Schannel של TLS 1.0 (לגבי הפגיעויות הידועות שדווחו למיקרוסופט מתאריך הפרסום של מאמר זה) מסוכמות בהטמעת schannel של tls 1.0 בעדכון מצב האבטחה של Windows: 24 בנובמבר 2015.
כיצד ניתן לדעת אם אתה זקוק לעדכון זה
השתמש בטבלה הבאה כדי לקבוע אם הגירסה הנוכחית של SQL Server כבר כוללת תמיכה עבור TLS 1.2 או אם עליך להוריד עדכון כדי לאפשר תמיכה של TLS 1.2. השתמש בקישורי ההורדה בטבלה כדי לקבל את עדכוני השרת החלים על הסביבה שלך.
הערה בונה מאוחר יותר מאלה המופיעים בטבלה זו תומכים גם ב-TLS 1.2.
מהדורת SQL Server |
גירסת build/מהדורה ראשונית הנתמכת ב-TLS 1.2 |
עדכונים נוכחיים באמצעות תמיכה של TLS 1.2 |
מידע נוסף |
---|---|---|---|
SQL Server 2014 SP1 CU |
12.0.4439.1 CU5 SP1 |
KB3130926-עדכון מצטבר 5 עבור SQL Server 2014 SP1https://support.microsoft.com/help/3130926 הערה KB3130926 יתקין כעת את ה-CU האחרון שהופק עבור 2014 SP1 (CU13- KB4019099 ), הכולל את התמיכה של TLS 1.2 וכן את כל התיקונים החמים שהופצו עד היום. במידת הצורך, CU5 זמין בקטלוג Windows Update. |
KB3052404 -FIX: אין באפשרותך להשתמש בפרוטוקול האבטחה של שכבת התעבורה גירסה 1.2 כדי להתחבר לשרת שבו פועל SQL server 2014 או SQL server 2012 |
GDR של SQL Server 2014 SP1 |
12.0.4219.0 עדכון GDR של GDR 1.2 של SP1 |
תמיכה ב-TLS 1.2 עבור 2014 SP1 היא זמינה בעדכון ה-GDR המצטבר האחרון – KB4019091. |
|
SQL Server 2014 RTM CU |
12.0.2564.0 RTM CU12 |
KB3130923-עדכון מצטבר 12 עבור SQL Server 2014https://support.microsoft.com/help/3130923 הערה KB3130923 יתקין כעת את ה-CU האחרון שהופצו עבור 2014 RTM (CU14- KB3158271 ), הכולל את התמיכה של TLS 1.2 וכן את כל התיקונים החמים שהופצו עד כה. במידת הצורך, CU12 זמין בקטלוג Windows Update. |
KB3052404 -FIX: אין באפשרותך להשתמש בפרוטוקול האבטחה של שכבת התעבורה גירסה 1.2 כדי להתחבר לשרת שבו פועל SQL server 2014 או SQL server 2012 |
SQL Server 2014 RTM GDR |
12.0.2271.0 עדכון GDR של RTM 1.2 |
התמיכה ב-TLS עבור SQL 2014 RTM זמינה כעת רק על-ידי התקנת 2014 SP2 ו- 2014 SP3 . |
|
GDR של SQL Server 2012 SP3 |
11.0.6216.27 העדכון העדכני של SP3 GDR 1.2 |
תמיכה ב-TLS 1.2 עבור 2012 SP3 GDR זמינה בעדכון ה-GDR המצטבר האחרון – KB4057115. הערה התמיכה של TLS 1.2 זמינה גם ב- 2012 SP4. |
|
SQL Server 2012 SP3 CU |
11.0.6518.0 CU3 SP1 |
KB3123299-עדכון מצטבר 1 עבור SQL Server 2012 SP3https://support.microsoft.com/help/3123299 הערה KB3123299 יתקין כעת את ה-CU האחרון שהופצו עבור 2012 SP3 (CU10- KB4025925, הכולל את התמיכה של TLS 1.2 וכן את כל התיקונים החמים שהופצו עד היום). במידת הצורך, CU1 זמין בקטלוג Windows Update. הערה התמיכה של TLS 1.2 זמינה גם ב- 2012 SP4. |
KB3052404 -FIX: אין באפשרותך להשתמש בפרוטוקול האבטחה של שכבת התעבורה גירסה 1.2 כדי להתחבר לשרת שבו פועל SQL server 2014 או SQL server 2012 |
GDR של SQL Server 2012 SP2 |
11.0.5352.0 עדכון GDR של GDR 1.2 |
התמיכה של TLS 1.2 עבור 2012 SP2 זמינה בעדכון ה-GDR המצטבר העדכני ביותר – KB3194719. |
|
SQL Server 2012 SP2 CU |
11.0.5644.2 CU10 SP2 |
KB3120313-עדכון מצטבר 10 עבור SQL Server 2012 SP2. הערה KB3120313 יתקין כעת את ה-CU האחרון שהופצו עבור 2012 SP2 (CU16- KB3205054, הכולל את התמיכה של TLS 1.2 וכן את כל התיקונים החמים שהופצו עד היום). במידת הצורך, CU1 זמין בקטלוג Windows Update. |
KB3052404 -FIX: אין באפשרותך להשתמש בפרוטוקול האבטחה של שכבת התעבורה גירסה 1.2 כדי להתחבר לשרת שבו פועל SQL server 2014 או SQL server 2012 |
SQL Server 2008 R2 SP3 (x86/x64 בלבד) |
10.50.6542.0 העדכון של SP3 TLS 1.2 |
התמיכה של TLS 1.2 זמינה בעדכון המצטבר העדכני ביותר של SQL Server 2008 R2 SP3 – KB4057113. |
|
GDR של SQL Server 2008 R2 SP2 (IA-64 בלבד) |
10.50.4047.0 העדכון של SP2 ב-TLS 1.2 |
||
SQL Server 2008 R2 SP2 CU (IA-64 בלבד) |
10.50.4344.0 העדכון של SP2 ב-TLS 1.2 |
||
SQL Server 2008 SP4 (x86/x64 בלבד) |
10.0.6547.0 העדכון של SP4 TLS 1.2 |
התמיכה של TLS 1.2 זמינה בעדכון המצטבר העדכני ביותר של SQL Server 2008 SP4 – KB4057114 . (x86/x64 בלבד) |
|
SQL Server 2008 SP3 GDR (IA-64 בלבד) |
10.0.5545.0 העדכון של SP3 TLS 1.2 |
||
SQL Server 2008 SP3 CU (IA-64 בלבד) |
10.0.5896.0 העדכון של SP3 TLS 1.2 |
הורדות של רכיבי לקוח
השתמש בטבלה הבאה כדי להוריד את רכיבי הלקוח ועדכוני מנהלי ההתקנים החלים על הסביבה שלך.
/Driver רכיב לקוח |
עדכונים באמצעות תמיכה ב-TLS 1.2 |
לקוח מקורי של SQL Server 10.0 עבור SQL Server 2008/2008 R2 (x86/x64/IA64) |
|
לקוח מקורי של SQL Server 11.0 עבור SQL Server 2012/2014 (x86/x64) |
לקוח מקורי של MICROSOFT SQL Server 2012-QFEhttps://www.microsoft.com/download/details.aspx?id=50402 |
תיקונים נוספים הדרושים עבור SQL Server לשימוש ב-TLS 1.2
עליך להתקין את אוספי התיקונים החמים הבאים כדי להפוך את התכונות של SQL Server לזמינות כגון דואר של מסד נתונים ורכיבי SSIS מסוימים המשתמשים בנקודות קצה של .NET שדורשים תמיכה של TLS 1.2 כגון משימת שירות האינטרנט לשימוש ב-TLS 1.2.
מערכת הפעלה |
גירסת .NET Framework |
עדכונים באמצעות תמיכה ב-TLS 1.2 |
---|---|---|
Windows 7 Service Pack 1, Windows 2008 R2 Service Pack 1 |
3.5.1 |
|
Windows 8 RTM, Windows 2012 RTM |
3.5 |
|
Windows 8.1, Windows 2012 R2 SP1 |
3.5 SP1 |
תמיכה עבור TLS v 1.2 הכלולה ב-.NET Framework גירסה 3.5 SP1 ב-Windows 8.1 ו-Windows Server 2012 R2 |
שאלות נפוצות
האם TLS 1.1 נתמך ב-SQL Server 2016 וגירסאות מתקדמות יותר?
כן. SQL Server 2016, SQL Server 2017 ב-Windows ו-SQL Server 2019 בספינת Windows גירסאות עם TLS 1.0 לתמיכה של TLS 1.2. עליך להפוך את TLS 1.0 ו-1.1 ללא זמין אם ברצונך להשתמש רק ב-TLS 1.2 עבור תקשורת של שרת הלקוח.
האם SQL Server 2019 מאפשר חיבורים באמצעות TLS 1.0 או 1.1, או רק 1.2?
SQL Server 2019 כולל את אותה רמת תמיכה כמו SQL Server 2016 ו-SQL Server 2017, ו-SQL Server 2019 תומך בגירסאות קודמות של TLS. SQL Server 2019 RTM נשלח עם תמיכת TLS 1.2 ואין צורך בעדכון/תיקון נוסף כדי לאפשר תמיכה של TLS 1.2.
האם TDS מושפע מפגיעויות ידועות?
לא דווחו פגיעויות ידועות עבור היישום Microsoft TDS. מאחר שכמה ארגונים לאכיפת התקנים משרתים את השימוש ב-TLS 1.2 עבור ערוצי תקשורת מוצפנים, Microsoft משחררת את התמיכה עבור TLS 1.2 עבור בסיס ההתקנה הנפוץ של SQL Server.
כיצד יופצו עדכוני TLS 1.2 ללקוחות?
מאמר זה מספק קישורים להורדה עבור עדכוני השרת והלקוחות המתאימים התומכים ב-TLS 1.2.
האם SQL Server 2005 נתמך עבור TLS 1.2?
התמיכה של TLS 1.2 מוצעת רק עבור SQL Server 2008 וגירסאות מתקדמות יותר.
האם לקוחות שאינם משתמשים ב-SSL/TLS מושפעים אם SSL 3.0 ו-TLS 1.0 אינם זמינים בשרת?
כן. SQL Server מצפין את שם המשתמש והסיסמה במהלך הכניסה גם אם ערוץ תקשורת מאובטח אינו נמצא בשימוש. עדכון זה נדרש עבור כל המופעים של SQL Server שאינם משתמשים בתקשורת מאובטחת והכוללים את כל הפרוטוקולים האחרים למעט TLS 1.2 לא זמין בשרת.
אילו גירסאות של Windows Server תומכות ב-TLS 1.2?
Windows Server 2008 R2 וגירסאות מתקדמות יותר תומכות ב-TLS 1.2.
מהי הגדרת הרישום הנכונה להפיכת TLS 1.2 לתקשורת של SQL Server? להלן הגדרות הרישום הנכונות:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
הגדרות אלה נדרשות עבור מחשבי שרת והן עבור מחשבי לקוח. יש ליצור את ההגדרות DisabledByDefault ומופעלות ב-Windows 7 clients ובשרתי Windows Server 2008 R2. ב-Windows 8 ובגירסאות מתקדמות יותר של מערכות ההפעלה של הלקוח או של Windows Server 2012 server וגירסאות מתקדמות יותר של מערכות ההפעלה של השרת, TLS 1.2 אמור להיות זמין כבר. אם אתה מיישם מדיניות פריסה עבור רישום Windows שצריך להיות בלתי תלוי במהדורת מערכת ההפעלה, מומלץ להוסיף את מפתחות הרישום שהוזכרו למדיניות.
בעיות ידועות
בעיה 1
ISQL Server Management Studio (SSMS), Report Server ו-Report Manager אינם מתחברים למנגנון מסד הנתונים לאחר החלת התיקון עבור SQL Server 2008, 2008 R2, 2012 או 2014. שרת הדוחות ומנהל הדוחות נכשלים ומחזירים את הודעת השגיאה הבאה:
לשרת הדוחות אין אפשרות לפתוח חיבור למסד הנתונים של שרת הדוחות. נדרש חיבור למסד הנתונים עבור כל הבקשות והעיבוד. (rsReportServerDatabaseUnavailable)
בעיה זו מתרחשת מאחר ש-SSMS, מנהל הדוחות ומנהל התצורה של שירותי הדיווח משתמשים ב-ADO.NET ותמיכה ב-ADO.NET עבור TLS 1.2 זמין רק ב-.NET Framework 4.6. עבור גירסאות קודמות של .NET framework, עליך להחיל עדכון Windows כדי ש-ADO.NET יוכל לתמוך בתקשורת TLS 1.2 עבור הלקוח. העדכונים של Windows המאפשרים תמיכה של TLS 1.2 בגירסאות קודמות של .NET framework מפורטים בטבלה בסעיף "כיצד ניתן לדעת אם אתה זקוק לעדכון זה".
בעיה 2
מנהל התצורה של שירותי דיווח מדווח על הודעת השגיאה הבאה גם לאחר עדכון ספקי הלקוחות לגירסה התומכת ב-TLS 1.2:
לא היתה אפשרות להתחבר לשרת: החיבור הוקם בהצלחה בשרת, אך לאחר מכן אירעה שגיאה במהלך לחיצת יד לפני הכניסה.
כדי לפתור בעיה זו, צור באופן ידני את מפתח הרישום הבא במערכת המארח את מנהל התצורה של שירותי הדיווח :HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2 \ לקוח: "Enabled" = dword: 00000001
בעיה 3
תקשורת נקודת הקצה המוצפנת המשתמשת ב-TLS 1.2 נכשלת כאשר אתה משתמש בתקשורת מוצפנת עבור קבוצות זמינות או באמצעות שיקוף מסד נתונים או ברוקר שירות ב-SQL Server. הודעת שגיאה הדומה להודעה הבאה נרשמת ביומן השגיאות של SQL:
לחיצת יד של חיבור נכשלה. שיחת מערכת הפעלה נכשלה: (80090331) 0x80090331 (ללקוח ולשרת אין אפשרות לקיים תקשורת, מכיוון שאין להם אלגוריתם משותף.). מדינה 56.
לקבלת מידע נוסף אודות בעיה זו, ראה פתרון: תקשורת נקודת הקצה המוצפנת עם TLS 1.2 נכשלת בעת השימוש ב-SQL Server.
בעיה 4
שגיאות שונות מתרחשות כאשר אתה מנסה להתקין את SQL Server 2012 או SQL Server 2014 בשרת שבו האפשרות TLS 1.2 הופעלה.
לקבלת מידע נוסף, ראה פתרון: שגיאה בעת התקנת Sql server 2012 או SQL server 2014 בשרת שבו הופעלו TLS 1.2.
גיליון 5
חיבור מוצפן עם שיקוף מסד נתונים או קבוצות זמינות אינו פועל בעת שימוש באישור לאחר הפיכת כל הפרוטוקולים האחרים לבלתי זמינים של TLS 1.2. הודעת שגיאה הדומה להודעה הבאה נרשמת ביומן השגיאות של SQL Server:
חיבור מוצפן עם שיקוף מסד נתונים או קבוצות זמינות אינו פועל בעת שימוש באישור לאחר הפיכת כל הפרוטוקולים האחרים לבלתי זמינים של TLS 1.2. ייתכן שתבחין באחת מהתופעות הבאות:
סימפטום 1:
הודעת שגיאה הדומה להודעה הבאה נרשמת ביומן השגיאות של SQL Server:
לחיצת יד של חיבור נכשלה. שיחת מערכת הפעלה נכשלה: (80090331) 0x80090331 (ללקוח ולשרת אין אפשרות לקיים תקשורת, מכיוון שאין להם אלגוריתם משותף.). State 58. '
סימפטום 2:
הודעת שגיאה הדומה להודעה הבאה נרשמת ביומן האירועים של Windows:
שם יומן רישום: מערכת
Source: Schannel
תאריך: <זמן של תאריך>
מזהה אירוע: 36888
קטגוריית משימה: ללא
רמה: שגיאה
מילות מפתח:
משתמש: מערכת
מחשב:------------
תיאור:
התראה מכרעת נוצרה ונשלחה לנקודת הקצה המרוחקת. פעולה זו עלולה לגרום להפסקת החיבור. קוד השגיאה הקריטי המוגדר על-ידי פרוטוקול TLS הוא 40. מצב השגיאה Windows SChannel הוא 1205.
שם יומן רישום: מערכת
Source: Schannel
תאריך: <זמן של תאריך>
מזהה אירוע: 36874
קטגוריית משימה: ללא
רמה: שגיאה
מילות מפתח:
משתמש: מערכת
מחשב:-----------
תיאור:
בקשה לחיבור TLS 1.2 התקבלה מיישום לקוח מרוחק, אך אף אחת מחבילות הצופן הנתמכות על-ידי יישום הלקוח אינה נתמכת על-ידי השרת. בקשת החיבור של SSL נכשלה.
בעיה זו מתרחשת מכיוון שקבוצות זמינות ושיקוף מסד נתונים דורשים אישור שאינו משתמש באלגוריתמים של hash באורך קבוע, כגון MD5. אלגוריתמים של גיבוב אורך קבוע אינם נתמכים ב-TLS 1.2.
לקבלת מידע נוסף, ראה פתרון: תקשורת באמצעות אלגוריתם hash של MD5 נכשל אם SQL Server משתמש ב-TLS 1.2.
בעיה 6
הגירסאות הבאות של מנגנון מסד הנתונים של SQL Server מושפעות מבעיית סיום השירות לסירוגין המדווחת במאמר 3146034של Knowledge base. כדי שהלקוחות יוכלו להגן על עצמם מבעיית סיום השירות, מומלץ להתקין את העדכונים של TLS 1.2 עבור Microsoft SQL Server המוזכרים במאמר זה אם גירסת SQL Server שלהם מופיעה בטבלה הבאה.
מהדורת SQL Server |
גירסה מושפעת |
SQL Server 2008 R2 SP3 (x86 ו-x64) |
10.50.6537.0 |
GDR של SQL Server 2008 R2 SP2 (IA-64 בלבד) |
10.50.4046.0 |
SQL Server 2008 R2 SP2 (IA-64 בלבד) |
10.50.4343.0 |
SQL Server 2008 SP4 (x86 ו-x64) |
10.0.6543.0 |
SQL Server 2008 SP3 GDR (IA-64 בלבד) |
10.0.5544.0 |
SQL Server 2008 SP3 (IA-64 בלבד) |
10.0.5894.0 |
בעיה 7
דואר של מסד נתונים אינו פועל עם TLS 1.2. דואר של מסד נתונים נכשל עם השגיאות הבאות:
Microsoft. SqlServer. Management. SqlIMail. Server. BaseException:
לא היתה אפשרות לקרוא את פרטי תצורת הדואר ממסד הנתונים. אין אפשרות להפעיל הפעלת דואר.
לקבלת מידע נוסף, עיין בסעיף שכותרתו תיקונים נוספים הדרושים עבור SQL Server כדי להשתמש ב-TLS 1.2 במאמר זה.
שגיאות נפוצות שאתה עשוי להיתקל בהן כאשר עדכוני TLS 1.2 חסרים בלקוח או בשרת
בעיה 1
מנהל התצורה של מרכז המערכת (SCCM) אינו מצליח להתחבר ל-SQL Server לאחר שפרוטוקול TLS 1.2 מופעל ב-SQL Server. במצב זה, אתה מקבל את הודעת השגיאה הבאה:
ספק TCP: המארח המרוחק נסגר בכפייה על-ידי חיבור קיים
בעיה זו עלולה להתרחש כאשר SCCM משתמש במנהל לקוח מקורי של SQL Server שאינו כולל תיקון. כדי לפתור בעיה זו, הורד והתקן את תיקון הלקוח המקורי המופיע בסעיף הורדות רכיבי הלקוח במאמר זה. לדוגמה: Microsoft® SQL Server® לקוח מקורי של 2012-QFE.
באפשרותך לגלות באיזו מנהלי התקן SCCM משתמש כדי להתחבר ל-SQL Server על-ידי הצגת יומן הרישום של SCCM, כמו בדוגמה הבאה:
[SQL Server Native Client 11.0]TCP Provider: An existing connection was forcibly closed by the remote host.~~ $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>
*** [08001][10054][Microsoft][SQL Server Native Client 11.0]Client unable to establish connection $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>
*** Failed to connect to the SQL Server, connection type: SMS ACCESS. $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>
INFO: SQL Connection failed. Connection: SMS ACCESS, Type: Secure $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>Native Client 11.0]TCP Provider: An existing connection was forcibly closed by the remote host.~~ $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>
*** [08001][10054][Microsoft][SQL Server Native Client 11.0]Client unable to establish connection $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>
*** Failed to connect to the SQL Server, connection type: SMS ACCESS. $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>
INFO: SQL Connection failed. Connection: SMS ACCESS, Type: Secure $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>