Pendahuluan
Artikel ini menyediakan informasi tentang pembaruan yang dirilis Microsoft untuk mengaktifkan dukungan TLS 1,2 untuk SQL Server 2017 pada Windows, SQL Server 2016, SQL Server 2008, SQL Server 2008 R2, SQL Server 2012, dan SQL Server 2014. Artikel ini juga mencantumkan penyedia klien yang didukung. SQL Server 2016, SQL Server 2017, dan SQL Server 2019 mendukung TLS 1,2 tanpa perlu pembaruan.
Beberapa kerentanan yang diketahui telah dilaporkan terhadap SSL dan versi keamanan lapisan Transport (TLS) yang lebih lama. Kami menyarankan agar Anda memutakhirkan ke TLS 1,2 untuk komunikasi yang aman.
Penting tidak ada kerentanan umum yang dilaporkan untuk penerapan Microsoft TDS. Ini adalah protokol komunikasi yang digunakan antara klien SQL Server dan SQL Server Database Engine. Implementasi Microsoft Schannel TLS 1,0 (mengenai kerentanan yang diketahui yang telah dilaporkan ke Microsoft pada tanggal publikasi artikel ini) diringkas dalam implementasi schannel dari tls 1,0 dalam pembaruan status keamanan Windows: 24 November 2015.
Cara mengetahui apakah Anda memerlukan pembaruan ini
Gunakan tabel berikut untuk menentukan apakah versi SQL Server Anda saat ini sudah memiliki dukungan untuk TLS 1,2 atau apakah Anda harus mengunduh pembaruan untuk mengaktifkan dukungan TLS 1,2. Gunakan tautan unduhan dalam tabel untuk mendapatkan pembaruan server yang berlaku untuk lingkungan Anda.
Catatan Build yang lebih baru dari yang tercantum dalam tabel ini juga mendukung TLS 1,2.
|
Rilis SQL Server |
Build/rilis awal yang didukung TLS 1,2 |
Pembaruan saat ini dengan dukungan TLS 1,2 |
Informasi tambahan |
|---|---|---|---|
|
SQL Server 2014 SP1 CU |
12.0.4439.1 SP1 CU5 |
KB3130926-pembaruan kumulatif 5 untuk SQL Server 2014 SP1 Catatan: KB3130926 sekarang akan menginstal Cu terakhir yang dihasilkan untuk 2014 SP1 (CU13- KB4019099 ), yang menyertakan dukungan TLS 1,2 serta semua hotfix yang dirilis hingga saat ini. Jika diperlukan, CU5 tersedia di Katalog Windows Update. Catatan: Dukungan TLS 1,2 juga tersedia di 2014 SP2 dan 2014 SP3. |
KB3052404 -Fix: Anda tidak bisa menggunakan Transport Layer Security protocol versi 1,2 untuk menyambungkan ke server yang menjalankan sql server 2014 atau sql server 2012 |
|
SQL Server 2014 SP1 GDR |
12.0.4219.0 SP1 GDR TLS 1,2 memperbarui |
Dukungan TLS 1,2 untuk 2014 SP1 GDR tersedia dalam pembaruan GDR kumulatif terbaru – KB4019091. Catatan: Dukungan TLS 1,2 juga tersedia di 2014 SP2 dan 2014 SP3. |
|
|
SQL Server 2014 RTM CU |
12.0.2564.0 RTM CU12 |
KB3130923-pembaruan kumulatif 12 untuk SQL Server 2014 Catatan: KB3130923 sekarang akan menginstal Cu terakhir yang dirilis untuk 2014 RTM (CU14- KB3158271 ), yang menyertakan dukungan TLS 1,2 serta semua hotfix yang dirilis hingga saat ini. Jika diperlukan, CU12 tersedia di Katalog pembaruan Windows. Catatan: Dukungan TLS 1,2 juga tersedia di 2014 SP2 dan 2014 SP3. |
KB3052404 -Fix: Anda tidak bisa menggunakan Transport Layer Security protocol versi 1,2 untuk menyambungkan ke server yang menjalankan sql server 2014 atau sql server 2012 |
|
SQL Server 2014 RTM GDR |
12.0.2271.0 RTM GDR TLS 1,2 memperbarui |
Dukungan TLS untuk SQL 2014 RTM saat ini hanya tersedia dengan menginstal 2014 SP2 dan 2014 SP3 . |
|
|
SQL Server 2012 SP3 GDR |
11.0.6216.27 SP3 GDR TLS 1,2 pembaruan |
Dukungan TLS 1,2 untuk 2012 SP3 GDR tersedia dalam pembaruan GDR kumulatif terbaru – KB4057115. Catatan: Dukungan TLS 1,2 juga tersedia di 2012 SP4. |
|
|
SQL Server 2012 SP3 CU |
11.0.6518.0 SP1 CU3 |
KB3123299-pembaruan kumulatif 1 untuk SQL Server 2012 SP3 Catatan: KB3123299 sekarang akan menginstal Cu terakhir yang dirilis untuk 2012 SP3 (CU10- KB4025925, yang menyertakan dukungan TLS 1,2 serta semua hotfix yang dirilis untuk tanggal). Jika diperlukan, CU1 tersedia di Katalog pembaruan Windows. Catatan: Dukungan TLS 1,2 juga tersedia di 2012 SP4. |
KB3052404 -Fix: Anda tidak bisa menggunakan Transport Layer Security protocol versi 1,2 untuk menyambungkan ke server yang menjalankan sql server 2014 atau sql server 2012 |
|
SQL Server 2012 SP2 GDR |
11.0.5352.0 SP2 GDR TLS 1,2 memperbarui |
Dukungan TLS 1,2 untuk 2012 SP2 GDR tersedia dalam pembaruan GDR kumulatif terbaru – KB3194719. |
|
|
SQL Server 2012 SP2 CU |
11.0.5644.2 SP2 CU10 |
KB3120313-pembaruan kumulatif 10 untuk SQL Server 2012 SP2. Catatan: KB3120313 sekarang akan menginstal Cu terakhir yang dirilis untuk 2012 SP2 (CU16- KB3205054, yang menyertakan dukungan TLS 1,2 serta semua hotfix yang dirilis untuk tanggal). Jika diperlukan, CU1 tersedia di Katalog pembaruan Windows. Catatan: Dukungan TLS 1,2 juga tersedia di 2012 SP3 dan 2012 SP4. |
KB3052404 -Fix: Anda tidak bisa menggunakan Transport Layer Security protocol versi 1,2 untuk menyambungkan ke server yang menjalankan sql server 2014 atau sql server 2012 |
|
SQL Server 2008 R2 SP3 (x86/x64 saja) |
10.50.6542.0 SP3 TLS 1,2 pembaruan |
Dukungan TLS 1,2 tersedia dalam pembaruan kumulatif terbaru untuk SQL Server 2008 R2 SP3 – KB4057113. |
|
|
SQL Server 2008 R2 SP2 R2 (IA-64 saja) |
10.50.4047.0 Pembaruan SP2 TLS 1,2 |
Server SQL Server 2008 R2 SP2 GDR (ia-64) TLS 1,2 diperbarui |
|
|
SQL Server 2008 R2 SP2 CU (IA-64 saja) |
10.50.4344.0 Pembaruan SP2 TLS 1,2 |
Server SQL Server 2008 R2 SP2 GDR (ia-64) TLS 1,2 diperbarui |
|
|
SQL Server 2008 SP4 (x86/x64 saja) |
10.0.6547.0 SP4 TLS 1,2 memperbarui |
Dukungan TLS 1,2 tersedia dalam pembaruan kumulatif terbaru untuk SQL Server 2008 SP4 – KB4057114 . (x86/x64 saja) |
|
|
SQL Server 2008 SP3 GDR (IA-64 saja) |
10.0.5545.0 SP3 TLS 1,2 pembaruan |
||
|
SQL Server 2008 SP3 CU (IA-64 saja) |
10.0.5896.0 SP3 TLS 1,2 pembaruan |
Unduhan komponen klien
Gunakan tabel berikut untuk mengunduh komponen klien dan pembaruan driver yang berlaku untuk lingkungan Anda.
|
Komponen klien/driver |
Pembaruan dengan dukungan TLS 1,2 |
|
SQL Server Native client 10,0 untuk SQL Server 2008/2008 R2 (x86/x64/IA64) |
|
|
SQL Server Native client 11,0 untuk SQL Server 2012/2014 (x86/x64) |
Perbaikan tambahan yang diperlukan untuk SQL Server untuk menggunakan TLS 1,2
Anda harus menginstal pembatalan hotfix .NET berikut ini untuk mengaktifkan fitur SQL Server seperti email database dan komponen SSIS tertentu yang menggunakan titik akhir .NET yang memerlukan dukungan TLS 1,2 seperti tugas layanan web untuk menggunakan TLS 1,2.
|
Sistem Operasi |
Versi .NET Framework |
Pembaruan dengan dukungan TLS 1,2 |
|---|---|---|
|
Windows 7 Paket Layanan 1, Windows 2008 R2 Paket Layanan 1 |
3,5.1 |
Dukungan untuk TLS v 1.2 yang disertakan dalam .NET Framework versi 3.5.1 |
|
Windows 8 RTM, Windows 2012 RTM |
3,5 |
Dukungan untuk TLS v 1.2 yang disertakan dalam .NET Framework versi 3,5 |
|
Windows 8,1, Windows 2012 R2 SP1 |
3,5 SP1 |
Pertanyaan umum
Apakah TLS 1,1 didukung pada SQL Server 2016 dan versi yang lebih baru?
Ya. SQL Server 2016, SQL Server 2017 pada Windows, dan SQL Server 2019 pada versi Windows berkapal dengan TLS 1,0 ke TLS 1,2 dukungan. Anda harus menonaktifkan TLS 1,0 dan 1,1 jika Anda ingin menggunakan hanya TLS 1,2 untuk komunikasi klien-server.
Apakah koneksi izin 2019 SQL Server menggunakan TLS 1,0 atau 1,1, atau hanya 1,2?
SQL Server 2019 memiliki tingkat dukungan yang sama seperti SQL Server 2016 dan SQL Server 2017, dan SQL Server 2019 mendukung versi TLS yang lebih lama. SQL Server 2019 RTM dikirim dengan dukungan TLS 1,2 dan tidak ada pembaruan/perbaikan tambahan yang diperlukan untuk mengaktifkan dukungan TLS 1,2.
TDS terpengaruh oleh kerentanan yang diketahui?
Tidak ada kerentanan yang diketahui telah dilaporkan untuk penerapan Microsoft TDS. Karena beberapa penerapan standar-organisasi yang mengamanatkan penggunaan TLS 1,2 untuk saluran komunikasi terenkripsi, Microsoft merilis dukungan untuk TLS 1,2 untuk basis penginstalan SQL Server yang tersebar luas.
Bagaimana pembaruan TLS 1,2 didistribusikan kepada pelanggan?
Artikel ini menyediakan tautan unduhan untuk pembaruan server dan klien yang sesuai yang mendukung TLS 1,2.
Akankah SQL Server 2005 didukung untuk TLS 1,2?
Dukungan TLS 1,2 hanya ditawarkan untuk SQL Server 2008 dan versi yang lebih baru.
Apakah pelanggan yang tidak menggunakan SSL/TLS yang terpengaruh jika SSL 3,0 dan TLS 1,0 dinonaktifkan di server?
Ya. SQL Server mengenkripsi nama pengguna dan kata sandi selama login bahkan jika saluran komunikasi yang aman tidak digunakan. Pembaruan ini diperlukan untuk semua contoh SQL Server yang tidak menggunakan komunikasi aman dan yang memiliki semua protokol lain kecuali TLS 1,2 dinonaktifkan di server.
Versi Windows Server mana yang mendukung TLS 1,2?
Windows Server 2008 R2 dan versi yang lebih baru mendukung TLS 1,2.
Apa pengaturan registri yang benar untuk mengaktifkan TLS 1,2 untuk komunikasi SQL Server? Pengaturan registri yang benar adalah sebagai berikut:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
Pengaturan ini diperlukan untuk server dan komputer klien. Pengaturan DisabledByDefault dan diaktifkan diperlukan untuk dibuat di klien Windows 7 dan Server Windows Server 2008 R2. Pada Windows 8 dan versi sistem operasi klien atau server Windows Server 2012 dan versi yang lebih baru dari sistem operasi server, TLS 1,2 harus sudah diaktifkan. Jika Anda menerapkan kebijakan penyebaran untuk Windows Registry yang perlu independen dari rilis OS, maka sebaiknya tambahkan kunci registri yang disebutkan tersebut ke kebijakan.
Masalah yang diketahui
Masalah 1
ISQL Server Management Studio (SSMS), server laporan, dan manajer laporan tidak tersambung ke mesin database setelah Anda menerapkan perbaikan untuk SQL Server 2008, 2008 R2, 2012, atau 2014. Server laporan dan manajer laporan gagal dan mengembalikan pesan kesalahan berikut:
Server laporan tidak dapat membuka koneksi ke database server laporan. Koneksi ke database diperlukan untuk semua permintaan dan pemrosesan. (rsReportServerDatabaseUnavailable)
Masalah ini terjadi karena SSMS, manajer laporan, dan manajer konfigurasi Layanan pelaporan menggunakan ADO.NET, dan dukungan ADO.NET untuk TLS 1,2 hanya tersedia dalam .NET Framework 4,6. Untuk versi .NET Framework yang lebih lama, Anda harus menerapkan pembaruan Windows sehingga ADO.NET bisa mendukung komunikasi TLS 1,2 untuk klien. Pembaruan Windows yang mengaktifkan dukungan TLS 1,2 di versi .NET Framework tercantum dalam tabel di bagian "cara mengetahui apakah Anda memerlukan pembaruan ini".
Masalah 2
Manajer konfigurasi Layanan pelaporan melaporkan pesan kesalahan berikut ini bahkan setelah penyedia klien diperbarui ke versi yang mendukung TLS 1,2:
Tidak dapat tersambung ke server: koneksi berhasil ditetapkan ke server, namun terjadi kesalahan selama Handshake pra-masuk.
Untuk mengatasi masalah ini, buat kunci registri berikut pada sistem yang menghosting manajer konfigurasi Layanan pelaporan: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2 \ klien: "diaktifkan" = DWORD: 00000001
Masalah 3
Titik akhir terenkripsi komunikasi yang menggunakan TLS 1,2 gagal saat Anda menggunakan komunikasi terenkripsi untuk grup ketersediaan atau pencerminan database atau pialang layanan di SQL Server. Pesan kesalahan yang menyerupai berikut ini dicatat dalam log kesalahan SQL:
Berjabat tangan koneksi gagal. Panggilan OS gagal: (80090331) 0x80090331 (klien dan server tidak dapat berkomunikasi, karena mereka tidak memiliki algoritma umum.). 56 negara bagian.
Untuk informasi selengkapnya tentang masalah ini, lihat memperbaiki: komunikasi titik akhir terenkripsi dengan TLS 1,2 gagal ketika Anda menggunakan SQL Server.
Masalah 4
Berbagai kesalahan terjadi ketika Anda mencoba menginstal SQL Server 2012 atau SQL Server 2014 di server yang memiliki TLS 1,2 diaktifkan.
Untuk informasi selengkapnya, lihat memperbaiki: kesalahan ketika Anda menginstal SQL server 2012 atau SQL server 2014 di server yang memiliki TLS 1,2 diaktifkan.
Masalah 5
Koneksi terenkripsi dengan pencerminan database atau grup ketersediaan tidak berfungsi saat Anda menggunakan sertifikat setelah Anda menonaktifkan semua protokol lain selain TLS 1,2. Pesan kesalahan yang menyerupai berikut ini dicatat dalam log kesalahan SQL Server:
Koneksi terenkripsi dengan pencerminan database atau grup ketersediaan tidak berfungsi saat Anda menggunakan sertifikat setelah Anda menonaktifkan semua protokol lain selain TLS 1,2. Anda mungkin melihat salah satu dari gejala berikut ini:
Gejala 1:
Pesan kesalahan yang menyerupai berikut ini dicatat dalam log kesalahan SQL Server:
Berjabat tangan koneksi gagal. Panggilan OS gagal: (80090331) 0x80090331 (klien dan server tidak dapat berkomunikasi, karena mereka tidak memiliki algoritma umum.). 58 negara bagian. '
Gejala 2:
Pesan kesalahan yang menyerupai berikut ini dicatat dalam log kejadian Windows:
Nama log: sistem
Sumber: Schannel
Tanggal: <tanggal>
ID Kejadian: 36888
Kategori tugas: tidak ada
Tingkat: kesalahan
Kata kunci:
Pengguna: sistem
Komputer:------------
Deskripsi:
Peringatan fatal dihasilkan dan dikirim ke titik akhir jarak jauh. Ini mungkin mengakibatkan penghentian koneksi. Kode kesalahan fatal yang ditentukan protokol TLS adalah 40. Status kesalahan Windows SChannel adalah 1205.
Nama log: sistem
Sumber: Schannel
Tanggal: <tanggal>
ID Kejadian: 36874
Kategori tugas: tidak ada
Tingkat: kesalahan
Kata kunci:
Pengguna: sistem
Komputer:-----------
Deskripsi:
Permintaan koneksi TLS 1,2 diterima dari aplikasi klien jarak jauh, namun tidak satu pun dari rangkaian penyandian yang didukung oleh aplikasi klien yang didukung oleh server. Permintaan koneksi SSL gagal.
Masalah ini terjadi karena grup ketersediaan dan pencerminan database memerlukan sertifikat yang tidak menggunakan algoritma hash panjang tetap, seperti MD5. Hash panjang tetap algoritma tidak didukung di TLS 1,2.
Untuk informasi selengkapnya, lihat memperbaiki: komunikasi menggunakan ALGORITMA MD5 hash gagal jika SQL Server menggunakan TLS 1,2.
Masalah 6
Versi mesin database SQL Server berikut ini dipengaruhi oleh masalah penghentian Layanan terputus-putus yang dilaporkan dalam artikel Basis Pengetahuan 3146034. Untuk pelanggan yang melindungi diri dari masalah penghentian layanan, kami menyarankan agar mereka menginstal pembaruan TLS 1,2 untuk Microsoft SQL Server yang disebutkan dalam artikel ini jika versi SQL Server mereka dicantumkan dalam tabel berikut.
|
Rilis SQL Server |
Versi yang terpengaruh |
|
SQL Server 2008 R2 SP3 (x86 dan x64) |
10.50.6537.0 |
|
SQL Server 2008 R2 SP2 R2 (IA-64 saja) |
10.50.4046.0 |
|
SQL Server 2008 R2 SP2 (IA-64 saja) |
10.50.4343.0 |
|
SQL Server 2008 SP4 (x86 dan x64) |
10.0.6543.0 |
|
SQL Server 2008 SP3 GDR (IA-64 saja) |
10.0.5544.0 |
|
SQL Server 2008 SP3 (IA-64 saja) |
10.0.5894.0 |
Masalah 7
Email database tidak berfungsi dengan TLS 1,2. Email database gagal dengan kesalahan berikut:
Microsoft. SqlServer. Management. SqlIMail. server. Common. BaseException:
Informasi konfigurasi email tidak dapat dibaca dari database. Tidak dapat memulai sesi email.
Untuk informasi tambahan, lihat bagian bertajuk perbaikan tambahan yang diperlukan untuk SQL Server untuk menggunakan TLS 1,2 di artikel ini.
Kesalahan umum yang mungkin Anda alami saat pembaruan TLS 1,2 tidak ditemukan di klien atau server
Masalah 1
Manajer konfigurasi pusat sistem (SCCM) tidak dapat tersambung ke SQL Server setelah protokol TLS 1,2 diaktifkan di SQL Server. Dalam situasi ini, Anda menerima pesan kesalahan berikut:
Penyedia TCP: koneksi yang sudah ada dipaksa tertutup oleh host jarak jauh
Masalah ini dapat terjadi ketika SCCM menggunakan driver SQL Server Native client yang tidak memiliki perbaikan. Untuk mengatasi masalah ini, Unduh dan instal perbaikan klien asli yang tercantum di bagian mengunduh komponen klien di artikel ini. Misalnya: Microsoft® SQL Server® 2012 Native client-QFE.
Anda dapat menemukan SCCM driver mana yang digunakan untuk menyambungkan ke SQL Server dengan menampilkan log SCCM, seperti dalam contoh berikut:
[SQL Server Native Client 11.0]TCP Provider: An existing connection was forcibly closed by the remote host.~~ $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>
*** [08001][10054][Microsoft][SQL Server Native Client 11.0]Client unable to establish connection $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>
*** Failed to connect to the SQL Server, connection type: SMS ACCESS. $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>
INFO: SQL Connection failed. Connection: SMS ACCESS, Type: Secure $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>Native Client 11.0]TCP Provider: An existing connection was forcibly closed by the remote host.~~ $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>
*** [08001][10054][Microsoft][SQL Server Native Client 11.0]Client unable to establish connection $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>
*** Failed to connect to the SQL Server, connection type: SMS ACCESS. $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>
INFO: SQL Connection failed. Connection: SMS ACCESS, Type: Secure $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>