veritabanı yansıtması Aktarım Katmanı Güvenliği
Aktarım Katmanı Güvenliği SQL Server 2005 ve sonraki sürümleri, kimlik doğrulamasısı gerektirir ve isteğe bağlı olarak şifreleme veritabanları arasında gönderilip alınan iletilerin.
veritabanı yansıtması için kimlik doğrulaması ve şifreleme bu son noktadaki yapılandırılmadı.Bitiş noktaları yansıtma giriş için bkz: veritabanı yansıtması Bitiş noktası.
Kimlik doğrulaması
kimlik doğrulaması, kullanıcı kullanıcı olduğunu iddia ediyorsa kim olduğunu kimlik doğrulaması işlemidir.Bitiş noktaları veritabanı yansıtması arasındaki bağlantılarda kimlik doğrulaması gerektirir.Bir ortak veya şahit, gelen bağlantı istekleri varsa, kimlik doğrulaması yapılmalıdır.
Bir sunucu örnek tarafından kullanılan kimlik doğrulaması türünü özelliğidir, veritabanı yansıtması bitiş noktası.veritabanı yansıtması için taşıma güvenliğini iki tür vardır: Windows kimlik doğrulaması ve sertifika tabanlı kimlik doğrulaması.
Windows kimlik doğrulaması iki kimlik doğrulama iletişim kuralını destekler: NT LAN Manager (NTLM) ve Kerberos. Bitiş noktası yansıtma BIR veritabanı, yalnızca birini kullanmak için yapılandırılabilir protokol veya bunlar arasında anlaşma.Varsayılan olarak, anlaşma kullanılır.Varsayılan değer, ANLAş, NTLM veya Kerberos seçmek için Windows Anlaşma Protokolü kullanmak son nokta neden olur.Bir son noktada özel yetkilendirme yöntem (NTLM veya Kerberos) belirtilmişse, yalnızca bu yöntem kullanabilirsiniz.Bitiş noktaları ters bitiş noktası, yalnızca diğer yöntem kullanmak üzere yapılandırılırsa, birbirleri ile bağlantı kuramıyor.Bu yöntemler hakkında daha fazla bilgi için bkz: Son nokta kimlik doğrulaması türleri.
Not
Bu uç noktaya yapılan hata hakkında daha fazla bilgi için bkz: veritabanı yansıtması Bitiş noktası.
A veritabanı yansıtması bağlantı veya Windows kimlik doğrulaması (Güvenlik Desteği sağlayıcı arabirim (SSPI)), hem de sertifika tabanlı kimlik doğrulaması kullanır.
Windows kimlik doğrulaması
Windows kimlik bilgileri doğrulaması, her sunucu altında örnek diğer tarafı Windows işlemin altında çalıştığı bir Windows kullanıcı hesabının kimlik bilgileri bilgilerini kullanarak oturum açtığında.Bu nedenle, Windows kimlik doğrulaması gerektiren SQL Server Hizmetler, güvenilen etki alanlarındaki etki alanı kullanıcıları ya da ağ hizmetleri çalıştırmalısınız.
Her iki ucunun bağlantı kimliğini doğrulamak için , Windows kimlik bilgileri doğrulaması, SQL Server örneklerini çalıştırdığınız Windows kullanıcı hesabının kimlik bilgileri bilgilerini kullanır.Bu nedenle, kullanıcı hesabının her sunucunun örnek oturum açın ve her diğer sunucu örnek s göndermek için gerekli olan izinlere sahip olmalıdır.
Windows kimlik doğrulaması kullanarak oturum veritabanı yansıtması oluşturma örneği için bkz: ÖRNEK: Windows kimlik doğrulaması (Transact-SQL) kullanan veritabanı yansıtması ayarlama.
Sertifikalar
Bazı durumlarda, örneğin, sunucu örnekleri güvenilen etki alanı değil veya SQL Server çalışan yerel bir hizmet olarak Windows kimlik doğrulaması kullanılamaz. Bu gibi durumlarda, kullanıcı kimlik bilgileri bilgilerini yerine bağlantı isteklerinin kimlik bilgileri doğrulaması için sertifikaları gereklidir.Her sunucuyu yansıtma son nokta kendi ile yerel olarak oluşturulan yapılandırılmalıdır sertifika.
Şifreleme yöntem kuruldu, sertifika oluşturulur.Daha fazla bilgi için bkz:Nasıl Yapılır: Veritabanı (Transact-SQL) giden bağlantılar için sertifikalar kullanmak için yansıtma izin ver.Dikkatle kullandığınız sertifikaları yönetme.
Özel BIR sunucuyu kullanan anahtar bağlantı kurma ayarlarken, kimliğini tanıtmak için kendi sertifika.Sunucu örnek, bağlantı isteğini alır, gönderenin kimliğini doğrulamak için gönderenin sertifika ortak anahtar kullanır.Örneğin, iki sunucu örnekleri, Server_A ve Server_B göz önünde bulundurun.Server_A Server_B için bir bağlantı isteği göndermeden önce bağlantı üstbilgi şifrelemek için özel anahtarını kullanır.Server_B Server_A'ın sertifika ortak anahtar, bağlantı üstbilgi şifresini çözmek için kullanır.Şifresi çözülmüş üstbilgi doğruysa, üstbilgi Server_A tarafından şifrelenmiş ve bağlantı doğrulandıktan Server_B bilir.Şifresi çözülmüş üstbilgi yanlışsa, bağlantı isteğine inauthentic ve bağlantıyı reddeder Server_B bilir.
.gif "Security note") Security Note: |
|---|
Yalnızca sertifikaları güvenilen kaynaklardan yükleyin. |
Güvenlik sertifikaları kullanarak veritabanı yansıtması'nı yapılandırmak için otomatikleştirilmiş bir yöntem yoktur.Bu alternatif Transact-SQL gereklidir. Ayarlama için sertifika tabanlı kimlik doğrulaması'nı kullanarak örnek için bir veritabanı yansıtması oturum için bkz: ÖRNEK: Sertifikalar (Transact-SQL) kullanan veritabanı yansıtması ayarlama.
Veri şifreleme
Varsayılan olarak, son nokta veritabanı yansıtması bağlantıları yansıtma üzerinden gönderilen verilerin şifrelenmesini gerektirir.Bu durumda, son nokta yalnızca şifreleme kullanan bitiş bağlanabilirler.Ağınızı güvenli olduğunu garanti sürece, bağlantıların yansıtma için veritabanınızın şifreleme gerektir öneririz.Ancak, şifrelemeyi devre dışı veya bu desteklenen, ancak gerekli değildir.Şifreleme devre dışı bırakılır, verileri hiçbir zaman şifrelenir ve son nokta için son nokta bağlanamıyor, şifreleme gerektirir.Şifreleme destekleniyorsa, yalnızca ters bitiş noktası destekler veya şifreleme gerektirir, veriler şifrelidir.
Not
Bitiş noktaları tarafından oluşturulan yansıtma SQL Server Management Studio devre dışı veya gerekli şifreleme ile oluşturulur. SUPPORTED için şifreleme ayarını değiştirmek için , ALTER son NOKTA kullanın. Transact-SQL deyim. Daha fazla bilgi için bkz:ALTER bitiş NOKTASı (Transact-SQL).
Isteğe bağlı olarak, bir son NOKTA CREATE deyim veya ALTER bitiş NOKTASı deyim belirterek ALGORITMASı seçeneğine ilişkin aşağıdaki değerlerden biri bir bitiş noktası tarafından kullanılabilen şifreleme algoritmaları denetleyebilirsiniz:
ALGORITMASı değeri |
Açıklama |
|---|---|
RC4 |
Bitiş noktası algoritması RC4'nı kullanması gerektiğini belirtir.Varsayılan değer budur. |
aes |
Bitiş noktası AES algoritması'nı kullanması gerektiğini belirtir. |
aes RC4 |
Iki bitiş noktası için bir şifreleme algoritması bu bitiş noktası, AES algoritması öncelik vererek anlaşacağı belirtir. |
RC4 aes |
Iki bitiş noktası için bir şifreleme algoritması RC4 algoritması öncelik vererek bu bitiş noktası anlaşacağı belirtir. |
Her iki algoritmaları bağlantı bitiş noktası belirtirseniz, ancak farklı olan siparişleri, bağlantı kabul etmesini bitiş noktası kazanır.
Not
AES algoritması oldukça güçlü olduğu sırada çok daha hızlı AES'den, RC4 görece zayıf bir algoritma olur.Bu nedenle, AES algoritması kullanmanızı öneririz.
Hakkında bilgi için Transact-SQL Bkz: sözdizimi, şifreleme, belirtme (Transact-SQL) son NOKTA oluşturun.
Sunucu veritabanı yansıtması için taşıma güvenliğini yapılandırmak için
See Also