Uvod
U ovom se članku navode informacije o ažuriranjima koje Microsoft objavljuje radi omogućivanja podrške za TLS 1,2 za SQL Server 2017 u sustavu Windows, SQL Server 2016, SQL Server 2008, SQL Server 2008 R2, SQL Server 2012 i SQL Server 2014. U ovom je članku naveden i podržani davatelji klijenata. SQL Server 2016, SQL Server 2017 i SQL Server 2019 podržavaju TLS 1,2 bez potrebe za ažuriranjem.
Prijavljeno je nekoliko poznatih ranjivosti protiv SSL-a i starijih verzija sigurnosnog sloja za transport (TLS). Preporučujemo da nadogradite na TLS 1,2 radi sigurne komunikacije.
Važno nema poznatih ranjivosti prijavljenih za implementaciju Microsoftova TDS-a. Ovo je komunikacijski protokol koji se koristi između klijenata sustava SQL Server i modula baze podataka sustava SQL Server. Implementacija programa Microsoft Schannel za TLS 1,0 (što se tiče poznatih ranjivosti prijavljenih Microsoftu u obliku datuma objave ovog članka) sažeto je u implementaciji Schannel implementacija tls 1,0 u ažuriranju sigurnosnog statusa sustava Windows: Studeni 24, 2015.
Kako saznati treba li vam ovo ažuriranje
Pomoću sljedeće tablice odredite sadrži li vaša sadašnja verzija sustava SQL Server podršku za TLS 1,2 ili morate preuzeti ažuriranje da biste omogućili podršku za TLS 1,2. Upotrijebite veze za preuzimanje u tablici da biste nabavili ažuriranja poslužitelja koja se primjenjuju na vaše okruženje.
NapomenaGrade koje su novije od onih navedenih u tablici podržavaju i TLS 1,2.
|
Izdanje sustava SQL Server |
Početno stvaranje/izdanje koje podržava TLS 1,2 |
Aktualna ažuriranja uz podršku za TLS 1,2 |
Dodatne informacije |
|---|---|---|---|
|
SQL Server 2014 SP1 CU |
12.0.4439.1 SP1 CU5 |
KB3130926-Kumulativno ažuriranje 5 za SQL Server 2014 SP1 Napomena KB3130926 će sada instalirati posljednji cu proizveden za 2014 SP1 (CU13- KB4019099 ), koji obuhvaća podršku za TLS 1,2, kao i sve hitne popravke objavljene na datum. Ako je potrebno, CU5 je dostupan u katalogu za Windows Update. Napomena Podrška za TLS 1,2 dostupna je i na servisu 2014 SP2 i 2014 SP3. |
KB3052404 -Fix: za povezivanje s poslužiteljem na kojem je pokrenut sql Server 2014 ili sql Server 2012 ne možete koristiti sigurnosnu verziju protokola za Transport Layer 1,2 |
|
SQL Server 2014 SP1 za GDR |
12.0.4219.0 Ažuriranje za GDR TLS 1,2 za SP1 |
Podrška za TLS 1,2 za 2014 SP1 GDR dostupna je u najnovijem kumulativnom GDR ažuriranju – KB4019091. Napomena Podrška za TLS 1,2 dostupna je i na servisu 2014 SP2 i 2014 SP3. |
|
|
SQL Server 2014 RTM CU |
12.0.2564.0 RTM CU12 |
KB3130923-Kumulativno ažuriranje 12 za SQL Server 2014 Napomena KB3130923 će sada instalirati posljednju cu objavljenu za 2014 RTM (CU14- KB3158271 ), što obuhvaća podršku za TLS 1,2, kao i sve hitne popravke objavljene na datum. Ako je potrebno, CU12 je dostupan u katalogu za Windows Update. Napomena Podrška za TLS 1,2 dostupna je i na servisu 2014 SP2 i 2014 SP3. |
KB3052404 -Fix: za povezivanje s poslužiteljem na kojem je pokrenut sql Server 2014 ili sql Server 2012 ne možete koristiti sigurnosnu verziju protokola za Transport Layer 1,2 |
|
SQL Server 2014 RTM GDR |
12.0.2271.0 RTM GDR TLS 1,2 Update |
Podrška za TLS za SQL 2014 RTM trenutno je dostupna samo instalacijom 2014 SP2 i 2014 SP3 . |
|
|
SQL Server 2012 SP3 GDR |
11.0.6216.27 SP3 GDR TLS 1,2 Update |
Podrška za TLS 1,2 za 2012 SP3 GDR dostupna je u najnovijem kumulativnom GDR ažuriranju – KB4057115. Napomena Podrška za TLS 1,2 dostupna je i u sustavu 2012 SP4. |
|
|
SQL Server 2012 SP3 CU |
11.0.6518.0 SP1 CU3 |
KB3123299-Kumulativno ažuriranje 1 za SQL Server 2012 SP3 Napomena KB3123299 će sada instalirati zadnji cu izdan za 2012 SP3 (CU10- KB4025925, što obuhvaća podršku za TLS 1,2, kao i sve hitne popravke objavljene na datum). Ako je potrebno, paket ažuriranja CU1 je dostupan u katalogu za Windows Update. Napomena Podrška za TLS 1,2 dostupna je i u sustavu 2012 SP4. |
KB3052404 -Fix: za povezivanje s poslužiteljem na kojem je pokrenut sql Server 2014 ili sql Server 2012 ne možete koristiti sigurnosnu verziju protokola za Transport Layer 1,2 |
|
SQL Server 2012 SP2 GDR |
11.0.5352.0 SP2 za GDR TLS 1,2 Update |
Podrška za TLS 1,2 za 2012 SP2 GDR dostupna je u najnovijem kumulativnom GDR ažuriranju – KB3194719. Podrška za TLS 1,2 dostupna je i na servisu 2012 SP3 i 2012 SP4. |
|
|
SQL Server 2012 SP2 CU |
11.0.5644.2 SP2 CU10 |
KB3120313 – Kumulativno ažuriranje 10 za SQL Server 2012 SP2. Napomena KB3120313 će sada instalirati zadnji cu izdan za 2012 SP2 (CU16- KB3205054, što obuhvaća podršku za TLS 1,2, kao i sve hitne popravke objavljene na datum). Ako je potrebno, paket ažuriranja CU1 je dostupan u katalogu za Windows Update. Napomena Podrška za TLS 1,2 dostupna je i na servisu 2012 SP3 i 2012 SP4. |
KB3052404 -Fix: za povezivanje s poslužiteljem na kojem je pokrenut sql Server 2014 ili sql Server 2012 ne možete koristiti sigurnosnu verziju protokola za Transport Layer 1,2 |
|
SQL Server 2008 R2 SP3 (samo x86/x64) |
10.50.6542.0 Ažuriranje TLS 1,2 za SP3 |
Podrška za TLS 1,2 dostupna je u najnovijem kumulativnom ažuriranju za SQL Server 2008 R2 SP3 – KB4057113. |
|
|
SQL Server 2008 R2 SP2 za GDR (samo-64) |
10.50.4047.0 Ažuriranje TLS 1,2 za SP2 |
||
|
SQL Server 2008 R2 SP2 (Only-64) |
10.50.4344.0 Ažuriranje TLS 1,2 za SP2 |
||
|
SQL Server 2008 SP4 (samo x86/x64) |
10.0.6547.0 Radi nadogradnje TLS 1,2 |
Podrška za TLS 1,2 dostupna je u najnovijem kumulativnom ažuriranju za SQL Server 2008 SP4 – KB4057114 . (samo x86/x64) |
|
|
SQL Server 2008 SP3 GDR (samo IA-64) |
10.0.5545.0 Ažuriranje TLS 1,2 za SP3 |
||
|
SQL Server 2008 SP3 CU (samo-64) |
10.0.5896.0 Ažuriranje TLS 1,2 za SP3 |
Preuzimanja klijentske komponente
Pomoću sljedeće tablice Preuzmite klijentske komponente i ažuriranja upravljačkih programa koja se primjenjuju na vaše okruženje.
|
Klijentska komponenta/upravljački program |
Ažuriranja pomoću podrške za TLS 1,2 |
|
SQL Server Native Client 10,0 za SQL Server 2008/2008 R2 (x86/x64/IA64) |
Microsoft SQL server 2008 i SQL server 2008 R2 Native Client |
|
SQL Server Native Client 11,0 za SQL Server 2012/2014 (x86/x64) |
Dodatni popravci potrebni za SQL Server za korištenje TLS 1,2
Da biste omogućili značajke sustava SQL Server kao što je pošta baze podataka i određene SSIS komponente koje koriste .NET krajnje točke, morate instalirati sljedeći servis za .NET, što je potrebno za podršku za TLS 1,2, kao što je zadatak web-servisa za korištenje TLS 1,2.
|
Operacijski sustav |
Verzija .NET Framework |
Ažuriranja pomoću podrške za TLS 1,2 |
|---|---|---|
|
Windows 7 Service Pack 1, Windows 2008 R2 servisni paket 1 |
3,5.1 |
Podrška za TLS v 1,2 uvrštena u .NET Framework, verzija 3.5.1 |
|
Windows 8 RTM, Windows 2012 RTM |
3,5 |
|
|
Windows 8,1, Windows 2012 R2 SP1 |
3,5 SP1 |
Najčešća pitanja
Je li TLS 1,1 podržan u sustavu SQL Server 2016 i novijim verzijama?
Da. SQL Server 2016, SQL Server 2017 u sustavu Windows i SQL Server 2019 u verzijama sustava Windows s programom TLS 1,0 na TLS 1,2. Ako želite koristiti samo TLS 1,2 za Client-Server Communication, morate onemogućiti TLS 1,0 i 1,1.
Dopušta li SQL Server 2019 veze pomoću TLS 1,0 ili 1,1 ili samo 1,2?
SQL Server 2019 ima jednaku razinu podrške kao i SQL Server 2016 i SQL Server 2017, a SQL Server 2019 podržava starije verzije TLS-a. SQL Server 2019 RTM isporučuje se s podrškom za TLS 1,2 i nije potrebno dodatno ažuriranje/popravak radi omogućivanja podrške za TLS 1,2.
Jesu li TDS pogođeni poznatim ranjivosti?
Nema poznatih ranjivosti prijavljenih za implementaciju Microsoft TDS-a. Budući da nekoliko ustanova za provedbu standarda podržava korištenje TLS 1,2 za šifrirane komunikacijske kanale, Microsoft objavljuje podršku za TLS 1,2 za široku instalacijsku bazu sustava SQL Server.
Na koji će se način ažuriranja TLS 1,2 distribuirati kupcima?
U ovom se članku nalaze veze za preuzimanje odgovarajućih poslužitelja i klijentskih ažuriranja koja podržavaju TLS 1,2.
Hoće li SQL Server 2005 biti podržan za TLS 1,2?
Podrška za TLS 1,2 nudi se samo za SQL Server 2008 i novije verzije.
Jesu li korisnici koji ne koriste SSL/TLS pogođeni ako su SSL 3,0 i TLS 1,0 onemogućeni na poslužitelju?
Da. SQL poslužitelj šifrira korisničko ime i lozinku tijekom prijave čak i ako se ne koristi siguran komunikacijski kanal. Ovo je ažuriranje obavezno za sve instance sustava SQL Server koje ne koriste sigurne komunikacije i imaju sve druge protokole osim TLS 1,2 onemogućenih na poslužitelju.
Koje verzije sustava Windows Server podržavaju TLS 1,2?
Windows Server 2008 R2 i novije verzije podržavaju TLS 1,2.
Koja je ispravna postavka registra za omogućivanje TLS 1,2 za komunikaciju sa sustavom SQL Server? Točne postavke registra jesu sljedeće:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
Te su postavke obavezne i za poslužitelja i klijentsko računalo. Funkcije Disabledebydefault i enabled moraju biti stvorene na poslužiteljima sustava Windows 7 i Windows Server 2008 R2. U sustavu Windows 8 i novijim verzijama klijentskih operacijskih sustava ili sustava Windows Server 2012 i novije verzije operacijskih sustava, TLS 1,2 trebao bi već biti omogućen. Ako implementirate pravilnik o implementaciji za registar sustava Windows koji mora biti neovisan o izdanju OS-a, preporučujemo da u pravilnik dodate navedene ključeve registra.
Poznati problemi
Broj 1
ISQL Server Management Studio (SSMS), poslužitelj za izveštaje i upravitelj izvješća ne povezuju se s motorom baze podataka nakon primjene popravka za SQL Server 2008, 2008 R2, 2012 ili 2014. Poslužitelj za izvješća i upravitelj izvješća nisu uspjeli i vraćaju sljedeću poruku o pogrešci:
Poslužitelj izvješća ne može otvoriti vezu s bazom podataka poslužitelja izvješća. Veza s bazom podataka potrebna je za sve zahtjeve i obrade. (Rsreportserverdatabaseu nedostupnosti)
Taj se problem pojavljuje jer su SSMS, upravitelj izvješća i upravitelj konfiguracija servisa Reporting Services ADO.NET, a Podrška za ADO.NET za TLS 1,2 dostupna je samo u sustavu .NET Framework 4,6. Za starije verzije sustava .NET Framework morate primijeniti Windows Update da bi ADO.NET mogao podržavati TLS 1,2 komunikacija za klijenta. Ažuriranja sustava Windows koja omogućuju podršku za TLS 1,2 u starijim verzijama sustava .NET Framework navedena su u tablici u odjeljku "kako saznati je li vam potrebno ovo ažuriranje".
Broj 2
Upravitelj konfiguracije servisa Reporting Services prijavljuje sljedeću poruku o pogrešci čak i nakon ažuriranja klijentskih davatelja na verziju koja podržava TLS 1,2:
Nije se moguće povezati s poslužiteljem: veza je uspješno uspostavljena na poslužitelj, no pojavila se pogreška tijekom pokušaja rukovanja prije prijave.
Da biste riješili taj problem, ručno stvorite sljedeći ključ registra u sustavu na kojem se nalazi upravitelj konfiguracije servisa Reporting Services: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1,2 \ Client: "enabled" = d ' Word: 00000001
Broj 3
Šifrirana krajnje točka komunikacija koja koristi TLS 1,2 ne uspijeva kada koristite šifrirane komunikacije za grupe dostupnosti ili zrcaljenje baze podataka ili servisni posrednik u sustavu SQL Server. U zapisniku pogreške u SQL-u bilježi se poruka o pogrešci slična sljedećoj:
Rukovanje povezivanjem nije uspjelo. Pozivanje OS-a nije uspjelo: (80090331) 0x80090331 (klijent i poslužitelj ne mogu komunicirati jer ne posjeduju zajednički algoritam.). Državna 56.
Dodatne informacije o tom problemu potražite u članku rješavanje: šifrirane krajnje točke komunikacija s TLS 1,2 ne uspijeva kada koristite SQL Server.
Broj 4
Pojavljuju se razne pogreške kada pokušate instalirati SQL Server 2012 ili SQL Server 2014 na poslužitelj s omogućenim TLS 1,2.
Dodatne informacije potražite u članku popravak: pogreška prilikom instalacije sustava SQL server 2012 ili SQL server 2014 na poslužitelj s omogućenim TLS 1,2.
Broj 5
Šifrirana veza sa zrcalnim grupama baze podataka ili dostupnosti ne funkcionira kada koristite certifikat nakon onemogućivanja svih drugih protokola osim TLS 1,2. U zapisniku pogreške sustava SQL Server zapisana je poruka o pogrešci slična sljedećoj:
Šifrirana veza sa zrcalnim grupama baze podataka ili dostupnosti ne funkcionira kada koristite certifikat nakon onemogućivanja svih drugih protokola osim TLS 1,2. Možda ćete primijetiti jedan od sljedećih simptoma:
Simptom 1:
U zapisniku pogreške sustava SQL Server zapisana je poruka o pogrešci slična sljedećoj:
Rukovanje povezivanjem nije uspjelo. Pozivanje OS-a nije uspjelo: (80090331) 0x80090331 (klijent i poslužitelj ne mogu komunicirati jer ne posjeduju zajednički algoritam.). Državna 58. '
Simptom 2:
U zapisniku događaja u sustavu Windows prijavljeni su poruka o pogrešci slična sljedećoj:
Naziv zapisnika: sustav
Izvor: Schannel
Datum: <vrijeme datuma>
ID događaja: 36888
Kategorija zadatka: none
Razina: pogreška
Ključne riječi:
Korisnik: sustav
Računalo:------------
Opis:
Generirana je smrtonosna uzbuna i poslana je na udaljenu krajnju točku. To može rezultirati prekidom veze. Kod protokola TLS definiran je fatalni kod pogreške 40. Stanje pogreške SChannel u sustavu Windows iznosi 1205.
Naziv zapisnika: sustav
Izvor: Schannel
Datum: <vrijeme datuma>
ID događaja: 36874
Kategorija zadatka: none
Razina: pogreška
Ključne riječi:
Korisnik: sustav
Računalo:-----------
Opis:
Zahtjev za vezom u programu TLS 1,2 primljen je iz udaljene klijentske aplikacije, no poslužitelj ne podržava ni jedan od apartmana za šifriranje koje podržava klijentska aplikacija. Zahtjev za SSL vezu nije uspjelo.
Taj se problem pojavljuje jer grupe za dostupnost i zrcaljenje baze podataka zahtijevaju certifikat koji ne koristi algoritme za fiksno trajanje, kao što je MD5. U TLS 1,2 nije podržan algoritam za razbijanje dugotrajne duljine.
Dodatne informacije potražite u članku Otklanjanje poteškoća: komunikacija pomoću aplikacije MD5 Hash Algorithm ne uspije ako SQL Server koristi TLS 1,2.
Broj 6
Sljedeće verzije modula baze podataka sustava SQL Server utječu na problem prekida servisa koji se prijavljuje u članku iz baze znanja 3146034. Da bi se korisnici zaštitili od problema prekida servisa, preporučujemo da u sljedećoj tablici instaliraju ažuriranja TLS 1,2 za Microsoft SQL Server koja se spominju u ovom članku.
|
Izdanje sustava SQL Server |
Pogođene verzije |
|
SQL Server 2008 R2 SP3 (x86 i x64) |
10.50.6537.0 |
|
SQL Server 2008 R2 SP2 za GDR (samo-64) |
10.50.4046.0 |
|
SQL Server 2008 R2 SP2 (Only-64) |
10.50.4343.0 |
|
SQL Server 2008 SP4 (x86 i x64) |
10.0.6543.0 |
|
SQL Server 2008 SP3 GDR (samo IA-64) |
10.0.5544.0 |
|
SQL Server 2008 SP3 (samo za samo 64) |
10.0.5894.0 |
Broj 7
Pošta baze podataka ne funkcionira s TLS 1,2. Pošta baze podataka neće uspjeti sa sljedećim pogreškama:
Microsoft. SqlServer. Management. Sqlipošta. Server. Common. Baseizuzetak:
Informacije o konfiguraciji pošte nije moguće pročitati iz baze podataka. Nije moguće pokrenuti sesiju e-pošte.
Dodatne informacije potražite u odjeljku s naslovom dodatni popravci potrebni za SQL Server za korištenje TLS 1,2 u ovom članku.
Česte pogreške koje možete doživjeti kada se u servisu TLS 1,2 ažuriranja nedostaju na klijentu ili na poslužitelju
Broj 1
Upravitelj konfiguracije sistemskog centra (SCCM) ne može se povezati sa sustavom SQL Server nakon što je u sustavu SQL Server omogućen protokol TLS 1,2. U ovoj situaciji prikazat će se sljedeća poruka o pogrešci:
TCP davatelj usluge: udaljeni host prisilno je zatvarao postojeću vezu
Taj se problem može pojaviti kada SCCM koristi upravljački program SQL Server Native Client koji nema popravak. Da biste riješili taj problem, Preuzmite i instalirajte izvornu klijentski popravak koji je naveden u odjeljku preuzimanja klijenta u ovom članku. Primjerice: Microsoft® SQL Server® 2012 Native Client-QFE.
Možete saznati koji upravljački program SCCM koristi za povezivanje sa sustavom SQL Server pregledom zapisnika SCCM, kao u sljedećem primjeru:
[SQL Server Native Client 11.0]TCP Provider: An existing connection was forcibly closed by the remote host.~~ $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>
*** [08001][10054][Microsoft][SQL Server Native Client 11.0]Client unable to establish connection $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>
*** Failed to connect to the SQL Server, connection type: SMS ACCESS. $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>
INFO: SQL Connection failed. Connection: SMS ACCESS, Type: Secure $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>Native Client 11.0]TCP Provider: An existing connection was forcibly closed by the remote host.~~ $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>
*** [08001][10054][Microsoft][SQL Server Native Client 11.0]Client unable to establish connection $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>
*** Failed to connect to the SQL Server, connection type: SMS ACCESS. $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>
INFO: SQL Connection failed. Connection: SMS ACCESS, Type: Secure $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>