Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
gäller för:
SQL Server
Transportsäkerhet omfattar autentisering och eventuellt kryptering av meddelanden som utbyts mellan databaserna. För databasspegling och AlwaysOn-tillgänglighetsgrupper konfigureras autentisering och kryptering på databasens speglingsslutpunkt. En introduktion till slutpunkter för databasspegling finns i Databasspeglingsslutpunkten (SQL Server).
I det här avsnittet:
Autentisering
Autentisering är en process för att verifiera att en användare är den som användaren påstår sig vara. Anslutningar mellan databasspeglingsslutpunkter kräver autentisering. Anslutningsbegäranden från en partner eller ett eventuellt vittne måste autentiseras.
Den typ av autentisering som används av en serverinstans för databasspegling eller AlwaysOn-tillgänglighetsgrupper är en egenskap för databasens speglingsslutpunkt. Två typer av transportsäkerhet är tillgängliga för databasspeglingsslutpunkter: Windows-autentisering (SSPI (Security Support Provider Interface) och certifikatbaserad autentisering.
Windows-autentisering
Under Windows-autentisering loggar varje serverinstans in på den andra sidan med Windows-autentiseringsuppgifterna för Windows-användarkontot som processen körs under. Windows-autentisering kan kräva manuell konfiguration av inloggningskonton enligt följande:
Om instanserna av SQL Server körs som tjänster under samma domänkonto krävs ingen extra konfiguration.
Om instanserna av SQL Server körs som tjänster under olika domänkonton (i samma eller betrodda domäner) måste inloggningen för varje konto skapas i original på var och en av de andra serverinstanserna och inloggningen måste beviljas CONNECT-behörigheter för slutpunkten.
Om instanserna av SQL Server körs som nätverkstjänstkonto måste inloggningen för varje värddatorkonto (DomainName\ComputerName$) skapas i huvudservern på var och en av de andra servrarna och inloggningen måste beviljas CONNECT-behörigheter på slutpunkten. Det beror på att en serverinstans som körs under nätverkstjänstkontot autentiserar med hjälp av värddatorns domänkonto.
Anmärkning
Ett exempel på hur du konfigurerar en databasspeglingssession med Windows-autentisering finns i Exempel: Konfigurera databasspegling med Windows-autentisering (Transact-SQL).
Certifikaten
I vissa situationer, till exempel när serverinstanser inte finns i betrodda domäner eller när SQL Server körs som en lokal tjänst, är Windows-autentisering inte tillgängligt. I sådana fall krävs certifikat i stället för användarautentiseringsuppgifter för att autentisera anslutningsbegäranden. Speglingsslutpunkten för varje serverinstans måste konfigureras med ett eget lokalt skapat certifikat.
Krypteringsmetoden upprättas när certifikatet skapas. Mer information finns i Tillåt att en databasspeglingsslutpunkt använder certifikat för utgående anslutningar (Transact-SQL). Hantera de certifikat som du använder noggrant.
En serverinstans använder den privata nyckeln för sitt eget certifikat för att upprätta sin identitet när du konfigurerar en anslutning. Serverinstansen som tar emot anslutningsbegäran använder den offentliga nyckeln i avsändarens certifikat för att autentisera avsändarens identitet. Överväg till exempel två serverinstanser, Server_A och Server_B. Server_A använder sin privata nyckel för att kryptera anslutningshuvudet innan en anslutningsbegäran skickas till Server_B. Server_B använder den offentliga nyckeln i Server_A certifikat för att dekryptera anslutningshuvudet. Om den dekrypterade rubriken är korrekt vet Server_B att rubriken krypterades av Server_A, och att anslutningen är autentiserad. Om det dekrypterade huvudet är felaktigt vet Server_B att anslutningsbegäran är oautentisk och nekar anslutningen.
Datakryptering
Som standard kräver en databasspeglingsslutpunkt kryptering av data som skickas via speglingsanslutningar. I det här fallet kan slutpunkten endast ansluta till slutpunkter som också använder kryptering. Om du inte kan garantera att nätverket är säkert rekommenderar vi att du behöver kryptering för databasspeglingsanslutningar. Du kan dock inaktivera kryptering eller göra den stödd, men inte obligatorisk. Om krypteringen är inaktiverad krypteras aldrig data och slutpunkten kan inte ansluta till en slutpunkt som kräver kryptering. Om kryptering stöds krypteras data endast om den motsatta slutpunkten antingen stöder eller kräver kryptering.
Anmärkning
Speglingsslutpunkter som skapats av SQL Server Management Studio skapas med kryptering som antingen krävs eller inaktiveras. Om du vill ändra krypteringsinställningen till STÖDS använder du instruktionen ALTER ENDPOINT Transact-SQL. Mer information finns i ALTER ENDPOINT (Transact-SQL).
Du kan också styra de krypteringsalgoritmer som kan användas av en slutpunkt genom att ange något av följande värden för ALGORITM-alternativet i en CREATE ENDPOINT-instruktion eller ALTER ENDPOINT-instruktion:
| ALGORITMVÄRDE | Beskrivning |
|---|---|
| RC4 | Anger att slutpunkten måste använda RC4-algoritmen. Det här är standardinställningen. **Varning** RC4-algoritmen är inaktuell. Den här funktionen tas bort i en framtida version av SQL Server. Undvik att använda den här funktionen i nytt utvecklingsarbete och planera att ändra program som för närvarande använder den här funktionen. Vi rekommenderar att du använder AES. |
| AES | Anger att slutpunkten måste använda AES-algoritmen. |
| AES RC4 | Anger att de två slutpunkterna förhandlar om en krypteringsalgoritm med den här slutpunkten som ger företräde åt AES-algoritmen. |
| RC4 AES | Anger att de två slutpunkterna förhandlar om en krypteringsalgoritm med den här slutpunkten som ger företräde åt RC4-algoritmen. |
Om anslutningsslutpunkter anger båda algoritmerna men i olika ordningar vinner slutpunkten som accepterar anslutningen.
Anmärkning
RC4-algoritmen stöds endast för bakåtkompatibilitet. Nytt material kan bara krypteras med hjälp av RC4 eller RC4_128 när databasen är på kompatibilitetsnivå 90 eller 100. (Rekommenderas inte.) Använd en nyare algoritm, till exempel en av AES-algoritmerna i stället. I SQL Server 2012 (11.x) och senare versioner kan material som krypterats med RC4 eller RC4_128 dekrypteras på valfri kompatibilitetsnivå.
Även om det är betydligt snabbare än AES är RC4 en relativt svag algoritm, medan AES är en relativt stark algoritm. Därför rekommenderar vi att du använder AES-algoritmen.
Information om Transact-SQL syntax för att ange kryptering finns i CREATE ENDPOINT (Transact-SQL).
Relaterade uppgifter
Konfigurera transportsäkerhet för en databasspeglingsslutpunkt
Skapa en databasspeglingsslutpunkt för Windows-autentisering (Transact-SQL)
Skapa en databasspeglingsslutpunkt för Windows-autentisering (Transact-SQL)
Tillåt att en databasspeglingsslutpunkt använder certifikat för utgående anslutningar (Transact-SQL)
Se även
Välj en krypteringsalgoritm
ALTER ENDPOINT (Transact-SQL)
SLÄPP SLUTPUNKT (Transact-SQL)
Säkerhetscenter för SQL Server-databasmotorn och Azure SQL Database
Hantera metadata när du gör en databas tillgänglig på en annan serverinstans (SQL Server)
Databas-speglingsslutpunkt (SQL Server)
sys.database_mirroring_endpoints (Transact-SQL)
sys.dm_db_mirroring_connections (Transact-SQL)
Felsök konfigurationen för databasspegling (SQL Server)
Felsöka Konfiguration av AlwaysOn-tillgänglighetsgrupper (SQL Server)