Ievads
Šajā rakstā ir sniegta informācija par atjauninājumu Microsoft izlaiž TLS 1.2 atbalsta SQL Server Windows, SQL Server 2016, SQL Server 2008, SQL Server 2008 R2, SQL Server 2012 un SQL Server 2014 2017. Šajā rakstā tiek uzskaitīti arī tie atbalstītu klienta pakalpojumu sniedzēji.
Vairākas zināmas vājās vietas ir ziņots pret SSL un vecākām sistēmas (Transport Layer Security — TLS). Ieteicams jaunināt uz TLS 1.2 par drošu saziņu.
Svarīgi nav zināms ziņots ievainojamība Microsoft TDS ieviešanai. Tas ir komunikācijas protokols, kas tiek izmantots starp klientiem SQL Server un SQL Server datu bāzes programmu. Microsoft Schannel ieviešanu TLS 1.0 (saistībā ar zināmu ievainojamību, ko Microsoft ir ziņots publicēšanas datumā šajā rakstā) ir apkopoti TLS 1.0 Schannel ieviešanu Windows drošības atjauninājuma statuss: 2015. gada 24. novembris.
Kā uzzināt, vai jums ir nepieciešams šis atjauninājums
Izmantojiet šo tabulu, lai noteiktu, vai jūsu SQL Server versijā jau ir TLS 1.2 vai vai vēlaties lejupielādēt atjauninājumu TLS 1.2 atbalsta atbalstu. Izmantojiet lejupielādes saites tabulā iegūt servera atjauninājumus, kas attiecas uz jūsu vidē.
Piezīme. Kas ir jaunāka nekā šajā tabulā uzskaitītas arī atbalsta TLS 1.2 būvējumu.
|
SQL Server laidienu |
Sākotnējais veidot/laidiens, kas atbalsta TLS 1.2 |
Atjaunina pašreizējo TLS 1.2 atbalsts |
Papildinformācija |
|---|---|---|---|
|
SQL Server 2014 SP1 CU |
12.0.4439.1 SP1 CU5 |
KB3130926 - kumulatīvais atjauninājums 5 SQL Server 2014 SP1 Piezīme. KB3130926 tagad instalēs pēdējā CU ražo 2014 SP1 (CU13 - KB4019099 ), kas ietver TLS 1.2 atbalsts, kā arī visus labojumfailus, kas izlaists datumu. Vajadzības gadījumā ir pieejams VV5 Windows atjauninājumu kataloga. Piezīme. TLS 1.2 atbalsts ir pieejams 2014 SP2 un 2014 SP3 . |
KB3052404 - Labojums: nevar izmantot transporta slāņa drošības protokola versija 1.2 izveidot savienojumu ar serveri, kurā darbojas SQL Server 2014 vai SQL Server 2012 |
|
SQL Server 2014 SP1 GDR |
12.0.4219.0 SP1 Atjauninājuma GDR TLS 1.2 |
TLS 1.2 2014 SP1 GDR atbalsts ir pieejams jaunākais kumulatīvo GDR atjauninājumu- KB4019091 . Piezīme. TLS 1.2 atbalsts ir pieejams 2014 SP2 un 2014 SP3 . |
|
|
SQL Server 2014 RTM CU |
12.0.2564.0 RTM CU12 |
KB3130923 - SQL Server 2014 kumulatīvais atjauninājums 12 Piezīme. KB3130923 tagad instalēs pēdējā CU izlaisti 2014 RTM (CU14 - KB3158271 ), kas ietver TLS 1.2 atbalsts, kā arī visus labojumfailus, kas izlaists datumu. Ja nepieciešams, CU12 ir pieejama Windows atjauninājumu kataloga . Piezīme. TLS 1.2 atbalsts ir pieejams 2014 SP2 un 2014 SP3 . |
KB3052404 - Labojums: nevar izmantot transporta slāņa drošības protokola versija 1.2 izveidot savienojumu ar serveri, kurā darbojas SQL Server 2014 vai SQL Server 2012 |
|
SQL Server 2014 RTM GDR |
12.0.2271.0 RTM GDR TLS 1.2 atjauninājums |
SQL 2014 RTM TLS atbalstu šobrīd ir pieejams tikai instalējot 2014 SP2 un 2014 SP3. |
|
|
SQL Server 2012 SP3 GDR |
11.0.6216.27 SP3 GDR TLS 1.2 atjauninājuma |
TLS 1.2 2012 SP3 GDR atbalsts ir pieejams jaunākais kumulatīvo GDR atjauninājumu- KB4057115 . Piezīme. TLS 1.2 atbalsts ir pieejams SP4 2012. |
|
|
SQL Server 2012 SP3 CU |
11.0.6518.0 SP1 CU3 |
KB3123299 - SP3 SQL Server 2012 kumulatīvais atjauninājums 1 Piezīme. KB3123299 tagad instalēt pēdējā CU izlaists 2012 SP3 (CU10 - KB4025925 , kas ietver TLS 1.2 atbalsts, kā arī visus labojumfailus, kas izlaists datumu). Ja nepieciešams, CU1 ir pieejama Windows atjauninājumu kataloga. Piezīme. TLS 1.2 atbalsts ir pieejams SP42012. |
KB3052404 - Labojums: nevar izmantot transporta slāņa drošības protokola versija 1.2 izveidot savienojumu ar serveri, kurā darbojas SQL Server 2014 vai SQL Server 2012 |
|
SQL Server 2012 SP2 GDR |
11.0.5352.0 SP2 GDR TLS 1.2 atjauninājumu |
TLS 1.2 2012 SP2 GDR atbalsts ir pieejams jaunākais kumulatīvo GDR atjauninājumu- KB3194719 . |
|
|
SQL Server 2012 SP2 CU |
11.0.5644.2 SP2 CU10 |
KB3120313 - kumulatīvo atjauninājumu 10 SQL Server 2012 SP2. Piezīme. KB3120313 tagad instalēt pēdējā CU izlaists 2012 SP2 (CU16 - KB3205054 , kas ietver TLS 1.2 atbalsts, kā arī visus labojumfailus, kas izlaists datumu). Ja nepieciešams, CU1 ir pieejama Windows atjauninājumu kataloga. |
KB3052404 - Labojums: nevar izmantot transporta slāņa drošības protokola versija 1.2 izveidot savienojumu ar serveri, kurā darbojas SQL Server 2014 vai SQL Server 2012 |
|
SQL Server 2008 R2 SP3 (x86/x64 tikai) |
10.50.6542.0 SP3 TLS 1.2 atjaunināšana |
TLS 1.2 atbalsts ir pieejams jaunākais kumulatīvo atjauninājumu SQL Server 2008 R2 SP3- KB4057113 . |
|
|
SQL Server 2008 R2 SP2 GDR (IA-64 tikai) |
10.50.4047.0 SP2 Atjauninājumu TLS 1.2 |
||
|
SQL Server 2008 R2 SP2 CU (IA-64 tikai) |
10.50.4344.0 SP2 Atjauninājumu TLS 1.2 |
||
|
SQL Server 2008 SP4 (x86/x64 tikai) |
10.0.6547.0 SP4 TLS 1.2 atjaunināšana |
TLS 1.2 atbalsts ir pieejams jaunākais kumulatīvo atjauninājumu SQL Server 2008 SP4- KB4057114 . (x86/x64 tikai) |
|
|
SQL Server 2008 SP3 GDR (IA-64 tikai) |
10.0.5545.0 SP3 TLS 1.2 atjaunināšana |
||
|
SQL Server 2008 CU SP3 (IA-64 tikai) |
10.0.5896.0 SP3 TLS 1.2 atjaunināšana |
Klienta komponentu lejupielāde
Izmantojiet tālāk redzamo tabulu, lai lejupielādētu klienta komponentus un draiveru atjauninājumus, kas attiecas uz jūsu vidē.
|
Klienta komponents /driver |
Atjaunināšana, izmantojot TLS 1.2 atbalsts |
|
SQL Server Native Client SQL Server 2008 un SQL Server 2008 R2 (x86/x64/IA64) |
Microsoft SQL Server 2008 un SQL Server 2008 R2 Native Client |
|
SQL Server Native Client (sistēmas SQL Server 2012/2014/2016/2017) (x86/x64) |
SQL Server izmantot TLS 1.2 nepieciešams papildu labojumi
Vēlaties instalēt šo .NET labojumfailu apkopojumu iespējot SQL servera līdzekļus, piemēram, kā izmantot TLS 1.2 uzdevums tīmekļa pakalpojumu atbalsta Database Mail un dažu SSIS komponentus, kas izmanto .NET galapunktu, kas prasa TLS 1.2.
|
Operētājsistēma |
.NET framework versija |
Atjaunināšana, izmantojot TLS 1.2 atbalsts |
|---|---|---|
|
Windows 7 1. servisa pakotni, Windows 2008 R2 1. servisa pakotne |
3.5,1 |
|
|
Windows 8 RTM, Windows 2012 RTM |
3.5. |
|
|
Windows 8.1 Windows 2012 R2 SP1 |
3.5 SP1 |
.NET Framework 3.5 SP1 versijas Windows 8.1 un Windows Server 2012 R2 iekļautas TLS v 1.2 atbalsts |
bieži uzdotie jautājumi
TLS 1.1 atbalsta SQL Server 2016?
jā. SQL Server 2017 Windows versijas un SQL Server 2016 iekļauta TLS 1.0 TLS 1.2 atbalstu. Jums, ja vēlaties izmantot tikai TLS 1.2 klientservera saziņai atspējotu TLS 1.0 un 1.1.
TDS ietekmējusi zināmu ievainojamība
Nav zināms ziņots ievainojamība Microsoft TDS ieviešanai. Vairākas standarta izpildes organizācijas ir piespiedu TLS 1.2 izmantošana šifrētu kanāli, jo Microsoft izlaiž plaši SQL Server instalēšana pamata TLS 1.2 atbalsts.
Kā TLS 1.2 atjauninājumus izplatīs klientiem?
Šajā rakstā sniegts lejupielādes saites atbilstošo servera un klienta atjauninājumu atbalsta TLS 1.2.
SQL Server 2005, atbalsts tiek sniegts par TLS 1.2?
TLS 1.2 atbalsts tiek piedāvāts tikai SQL Server 2008 un jaunākās versijās.
Ja serverī ir atspējoti TLS 1.0 un SSL 3.0 vai klientiem, kuri neizmanto SSL/TLS ietekmē?
jā. SQL Server šifrē lietotājvārdu un paroli pieteikšanās laikā, pat ja drošu saziņas kanāls netiek izmantots. Šis atjauninājums ir nepieciešams visus SQL Server gadījumus, kas neizmanto drošus sakarus un kam ir visi citi protokoli, izņemot TLS 1.2 atspējota serverī.
Kurā Windows Server versijas atbalsta TLS 1.2?
Windows Server 2008 R2 un jaunākas versijas atbalsta TLS 1.2.
Kas ir pareizā reģistra iestatījumu Iespējot TLS 1.2 SQL Server saziņai? Pareizā reģistra iestatījumi ir šādi:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
Šie iestatījumi ir nepieciešama gan servera, gan klienta datoriem. DisabledByDefault un iespējots iestatījumi ir nepieciešams izveidot klientiem Windows 7 un Windows Server 2008 R2 serveriem. Windows 8 un jaunākas versijas Windows Server 2012 servera vai klienta operētājsistēmas un jaunākām operētājsistēmām, jau jābūt iespējotam TLS 1.2. Ja izvietošanas politika ir ieviešanas Windows reģistru, kas ir atkarīgs no operētājsistēmas laidienā, tad ieteicams minēto reģistra atslēgas pievienošana politiku.
Zināmās problēmas
1. problēma
ISQL Server Management Studio (SSMS) Reporting Services un atskaišu pārvaldnieks nav savienojumu ar datu bāzes programma pēc labošanas SQL Server 2008, 2008 R2 2012 vai 2014. Atskaišu servera atskaišu pārvaldnieks neizdodas un parādīt šādu ziņojumu:
Atskaišu servera savienojums ar pārskata servera datu bāzi nevar atvērt. Savienojumu ar datu bāzi ir jāveic visus pieprasījumus un apstrādi. (rsReportServerDatabaseUnavailable)
Šī problēma rodas, jo SSMS atskaišu pārvaldnieks un Reporting Services konfigurācijas pārvaldnieku izmantot ADO.NET un TLS 1.2 ADO.NET atbalsts ir pieejams tikai .NET Framework 4.6. .NET Framework versijās ir lietot Windows update, lai ADO.NET var atbalstīt TLS 1.2 sakaru klienta. Windows atjauninājumu TLS 1.2 atbalsta vecākās .NET Framework ir uzskaitītas sadaļā "Kā uzzināt, vai jums ir nepieciešams šis atjauninājums" tabulā.
2. problēma
Reporting Services konfigurācijas pārvaldnieks ziņojumi šādu kļūdas ziņojumu arī pēc klienta nodrošinātāji ir atjaunināts uz versiju, kas neatbalsta TLS 1.2:
Nevar izveidot savienojumu ar serveri: veiksmīgi tika izveidots savienojums ar serveri, bet pēc tam pirms pieteikšanās rokasspiediens, radās kļūda.
Lai novērstu šo problēmu, manuāli izveidot šo reģistra atslēgu sistēmā, kas vieso Reporting Services konfigurācijas pārvaldnieku: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client : "Iespējots" = DWORD: 00000001
3. problēma
Galapunkta šifrētu saziņu, kas izmanto TLS 1.2 neizdodas, izmantojot šifrētu sakaru pieejamības grupas un datu bāzes spoguļošana vai SQL Server pakalpojumu starpnieks. SQL kļūda žurnālā tiek reģistrēts kļūdas ziņojums, kas līdzīgs šim:
Izaicinājumrokspiediena savienojums neizdevās. OS izsaukums neizdevās: (80090331) 0x80090331 (klients un serveris nevar sazināties, jo tie nav jābūt kopējā algoritmu.). Valsts 56.
Lai iegūtu papildinformāciju par šo problēmu, skatiet FIX: galapunkts šifrētu saziņu ar TLS 1.2 neizdodas, izmantojot SQL Server.
4. problēma
Dažādas kļūdas, mēģinot instalēt SQL Server 2012 vai SQL Server 2014 serverī, kurā ir iespējota TLS 1.2.
Lai iegūtu papildinformāciju, skatiet FIX: kļūda, instalējot SQL Server 2012 vai SQL Server 2014 serverī, kurā ir iespējota TLS 1.2.
5. problēma
Šifrētu savienojumu ar datu bāzes spoguļošana vai pieejamības grupas nedarbojas, izmantojot sertifikātu atspējojot visi citi protokoli nav TLS 1.2. SQL Server kļūdu žurnālā tiek reģistrēts kļūdas ziņojums, kas līdzīgs šim:
Šifrētu savienojumu ar datu bāzes spoguļošana vai pieejamības grupas nedarbojas, izmantojot sertifikātu atspējojot visi citi protokoli nav TLS 1.2. Redzams kāds no šiem simptomiem:
1. simptoms
SQL Server kļūdu žurnālā tiek reģistrēts kļūdas ziņojums, kas līdzīgs šim:
Izaicinājumrokspiediena savienojums neizdevās. OS izsaukums neizdevās: (80090331) 0x80090331 (klients un serveris nevar sazināties, jo tie nav jābūt kopējā algoritmu.). Valsts 58. "
2. simptoms
Windows notikumu žurnālā tiek reģistrēts kļūdas ziņojums, kas līdzīgs šim:
Žurnāla nosaukums: sistēma Avots: Schannel Datums: < datums laiks > Notikuma ID: 36888 Uzdevuma Kategorija: neviens Līmenis: kļūdas Atslēgvārdi: Lietotājs: sistēma Dators:-- Apraksts: Kritisks brīdinājums tika izveidots un nosūta attālās galapunktu. Tas var izraisīt savienojuma pārtraukšanas. TLS protokolu noteikts fatālas kļūdas kods ir 40. Windows SChannel kļūdas stāvoklis ir 1205. Žurnāla nosaukums: sistēma Avots: Schannel Datums: < datums laiks > Notikuma ID: 36874 Uzdevuma Kategorija: neviens Līmenis: kļūdas Atslēgvārdi: Lietotājs: sistēma Dators:-- Apraksts: TLS 1.2 savienojuma pieprasījums tika saņemts no attālā klienta lietojumprogrammas, bet serveris nav šifra nodrošina klienta lietojumprogramma tiek atbalstīti. SSL savienojumu pieprasījums neizdevās.
Šī problēma rodas, jo pieejamības grupas un datu bāzes spoguļošana nepieciešama sertifikātu, kas neizmanto fiksēta garuma jaukšanas algoritmu, piemēram, MD5. Fiksēta garuma jaukšanas algoritmu neatbalsta TLS 1.2.
Lai iegūtu papildinformāciju, skatiet FIX: sakarus, izmantojot MD5 jaucējalgoritms neizdodas, ja to izmanto SQL Server TLS 1.2.
6. jautājums
Saraustīta pakalpojumu pārtraukšanas problēmu, kas tiek uzrādīta zināšanu bāzes rakstā 3146034ietekmē šādas SQL Server datu bāzes programmas versijas. Klientiem, lai pasargātu sevi no pakalpojuma izbeigšanu problēmu, ieteicams tās instalēt atjauninājumus TLS 1.2 Microsoft SQL Server, kas minētas šajā rakstā, ja to SQL Server versija ir norādīta šajā tabulā.
|
SQL Server laidienu |
Ietekmētā versija |
|
SQL Server 2008 R2 SP3 (x 86 un x64) |
10.50.6537.0 |
|
SQL Server 2008 R2 SP2 GDR (IA-64 tikai) |
10.50.4046.0 |
|
SQL Server 2008 R2 SP2 (IA-64 tikai) |
10.50.4343.0 |
|
SQL Server 2008 SP4 (x 86 un x64) |
10.0.6543.0 |
|
SQL Server 2008 SP3 GDR (IA-64 tikai) |
10.0.5544.0 |
|
SQL Server 2008 SP3 (IA-64 tikai) |
10.0.5894.0 |
7. jautājums
Database Mail nedarbojas ar TLS 1.2. Database Mail neizdodas šādas kļūdas:
Microsoft.SqlServer.Management.SqlIMail.Server.Common.BaseException: Pasta konfigurācijas informāciju nevarēja nolasīt no datu bāzes. Nevar startēt pasta sesiju.
Papildinformāciju skatiet sadaļā SQL Server izmantot TLS 1.2 nepieciešams papildu labojumi šajā rakstā.
Kļūdas, kas var rasties, ja klients vai serveris nav TLS 1.2 atjauninājumus
1. problēma
System Center Configuration Manager (SCCM) nevar izveidot savienojumu ar SQL Server pēc TLS 1.2 protokols ir iespējots SQL Server. Šādā gadījumā tiek parādīts šāds kļūdas ziņojums:
TCP Provider: Esošajam savienojumam attālais resursdators piespiedu kārtā pārtrauca
Šī problēma var rasties, ja SCCM izmanto SQL Server Native Client draiveri, kas nav labojumu. Lai novērstu šo problēmu, lejupielādējiet un instalējiet Native client labojums, kas ir norādītas šī raksta sadaļā klienta komponentus lejupielādes. Piemēram: https://www.microsoft.com/download/details.aspx?id=50402
Varat uzzināt, kurš draiveris SCCM izmanto, lai izveidotu savienojumu ar SQL serveri, skatot SCCM reģistru, kā redzams šajā piemērā:
[SQL Server Native Client 11.0]TCP Provider: An existing connection was forcibly closed by the remote host.~~ $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>
*** [08001][10054][Microsoft][SQL Server Native Client 11.0]Client unable to establish connection $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>
*** Failed to connect to the SQL Server, connection type: SMS ACCESS. $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>
INFO: SQL Connection failed. Connection: SMS ACCESS, Type: Secure $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>Native Client 11.0]TCP Provider: An existing connection was forcibly closed by the remote host.~~ $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>
*** [08001][10054][Microsoft][SQL Server Native Client 11.0]Client unable to establish connection $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>
*** Failed to connect to the SQL Server, connection type: SMS ACCESS. $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>
INFO: SQL Connection failed. Connection: SMS ACCESS, Type: Secure $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>
