Freigeben über


Konnektivitätseinstellungen für Azure SQL-Datenbank und Azure Synapse Analytics

Gilt für: Azure SQL-Datenbank Azure Synapse Analytics (nur dedizierte SQL-Pools)

In diesem Artikel werden Einstellungen vorgestellt, die die Konnektivität mit dem Server für Azure SQL-Datenbank und dem dedizierten SQL-Pool (früher „SQL DW“) in Azure Synapse Analytics steuern.

Netzwerk und Konnektivität

Sie können diese Einstellungen Ihres logischen Servers ändern. Ein logischer SQL-Server kann sowohl Azure SQL-Datenbanken als auch eigenständige dedizierte SQL-Pools nicht in einem Azure Synapse Analytics-Arbeitsbereich hosten.

Hinweis

Diese Einstellungen gelten für Azure SQL-Datenbank und dedizierte SQL-Pools (früher „SQL DW“), die dem Server zugeordnet sind. Diese Anweisungen gelten nicht für dedizierte SQL-Pools in einem Azure Synapse Analytics-Arbeitsbereich.

Screenshot der Einstellungen für Firewalls und virtuelle Netzwerke im Azure-Portal für SQL Server.

Zugriff auf öffentliches Netzwerk ändern

Es ist möglich, den Zugriff auf öffentliche Netzwerke für Ihre Azure SQL-Datenbank oder Ihren eigenständigen dedizierten SQL-Pool über das Azure-Portal, die Azure PowerShell und die Azure CLI zu ändern.

Hinweis

Diese Einstellungen treten nach dem Anwenden sofort in Kraft. Wenn Ihre Kunden die Anforderungen für die einzelnen Einstellungen nicht erfüllen, treten möglicherweise Verbindungsverluste auf.

So aktivieren Sie den Zugriff auf öffentliche Netzwerke für den logischen Server, auf dem Ihre Datenbanken gehostet werden:

  1. Wechseln Sie zum Azure-Portal und wechseln Sie zu dem logischen Server in Azure.
  2. Wählen Sie unter Sicherheit die Seite Netzwerk aus.
  3. Wählen Sie die Registerkarte Öffentlicher Zugriff und stellen Sie dann Öffentlicher Netzwerkzugriff auf Ausgewählte Netzwerke.

Auf dieser Seite können Sie eine virtuelle Netzwerkregel hinzufügen und Firewallregeln für Ihren öffentlichen Endpunkt konfigurieren.

Wählen Sie die Registerkarte Privater Zugriff aus, um einen privaten Endpunkt zu konfigurieren.

Verweigern des Zugriffs auf öffentliches Netzwerk

Die Standardeinstellung für den Öffentlichen Netzwerkzugriff ist Deaktivieren. Kunden können wahlweise entweder über öffentliche Endpunkte (mit IP-basierten Firewallregeln auf Serverebene oder VNet-basierten Firewallregeln) oder private Endpunkte (über Azure Private Link) eine Verbindung mit einer Datenbank herstellen, wie in der Übersicht über den Netzwerkzugriff beschrieben.

Wenn Zugriff auf öffentliches Netzwerk auf Deaktivieren festgelegt ist, sind nur Verbindungen über private Endpunkte zulässig. Alle Verbindungen über öffentliche Endpunkte werden mit einer Fehlermeldung wie der folgenden verweigert:

Error 47073
An instance-specific error occurred while establishing a connection to SQL Server. 
The public network interface on this server is not accessible. 
To connect to this server, use the Private Endpoint from inside your virtual network.

Wenn Zugriff auf öffentliches Netzwerk auf Deaktivieren festgelegt ist, werden Versuche, Firewallregeln hinzuzufügen, zu entfernen oder zu bearbeiten, mit einer Fehlermeldung ähnlich der folgenden verweigert:

Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled. 
To manage server or database level firewall rules, please enable the public network interface.

Stellen Sie sicher, dass Zugriff auf öffentliches Netzwerk auf Ausgewählte Netzwerke festgelegt ist, um alle Firewallregeln für Azure SQL-Datenbank und Azure Synapse Analytics hinzufügen, entfernen oder bearbeiten zu können.

TLS-Mindestversion

Die Einstellung der Mindestversion für Transport Layer Security (TLS) ermöglicht es Kunden, die TLS-Version auszuwählen, die von ihrer SQL-Datenbank-Instanz verwendet wird. Sie können die TLS-Mindestversion mithilfe des Azure-Portals, Azure PowerShell und der Azure CLI ändern.

Derzeit unterstützt Azure SQL-Datenbank TLS 1.0, 1.1, 1.2 und 1.3. Durch Festlegen einer TLS-Mindestversion wird sichergestellt, dass neuere TLS-Versionen unterstützt werden. Ein Beispiel: Wenn Sie TLS-Version 1.1 festlegen, werden nur Verbindungen mit TLS 1.1 und 1.2 akzeptiert. Verbindungen mit TLS 1.0 werden abgelehnt. Wenn Sie getestet haben, ob Ihre Anwendung Version 1.2 unterstützt, empfiehlt es sich, die TLS-Mindestversion auf 1.2 festzulegen. Diese Version enthält Fehlerbehebungen für Sicherheitsrisiken in früheren Version und ist die höchste TLS-Version, die in Azure SQL-Datenbank unterstützt wird.

Bevorstehende Einstellungsänderungen

Azure hat angekündigt, dass die Unterstützung für ältere TLS-Versionen (TLS 1.0 und 1.1) am 31. Oktober 2024 endet. Weitere Informationen finden Sie unter TLS 1.0 und TLS 1.1-Herabsetzung.

Ab November 2024 können Sie die minimale TLS-Version für Azure SQL-Datenbank- und Azure Synapse Analytics-Clientverbindungen unter TLS 1.2 nicht mehr festlegen.

Konfigurieren der minimalen TLS-Version

Sie können die minimale TLS-Version für Clientverbindungen konfigurieren, indem Sie Azure-Portal, Azure PowerShell oder Azure CLI verwenden.

Achtung

  • Gemäß Standardeinstellung für die TLS-Mindestversion sind alle Versionen zugelassen. Nachdem Sie eine bestimmte Version von TLS festgelegt haben, können Sie nicht mehr zum Standardwert zurückkehren.
  • Das Erzwingen eines Minimums von TLS 1.3 kann Probleme mit Verbindungen von Clients verursachen, die TLS 1.3 nicht unterstützen, da nicht alle Treiber und Betriebssysteme TLS 1.3 unterstützen.

Kunden mit Anwendungen, die ältere TLS-Versionen erfordern, wird empfohlen, die TLS-Mindestversion gemäß den Anforderungen der Anwendungen festzulegen. Wenn die Anwendungsanforderungen unbekannt sind oder Workloads ältere Treiber verwenden, die nicht mehr verwaltet werden, wird empfohlen, keine TLS-Mindestversion festzulegen.

Weitere Informationen finden Sie unter Überlegungen zu TLS für Verbindungen mit einer SQL-Datenbank.

Nachdem Sie die minimale TLS-Version festgelegt haben, können sich Kunden, die eine niedrigere TLS-Version als die minimale TLS-Version des Servers verwenden, nicht mehr authentifizieren und erhalten den folgenden Fehler:

Error 47072
Login failed with invalid TLS version

Hinweis

Die TLS-Mindestversion wird auf der Anwendungsschicht erzwungen. Tools, die versuchen, die TLS-Unterstützung auf der Protokollebene zu ermitteln, geben möglicherweise zusätzlich zur mindestens erforderlichen Version TLS-Versionen zurück, wenn sie direkt auf dem SQL Datenbank-Endpunkt des Speicherkontos ausgeführt werden.

  1. Wechseln Sie zum Azure-Portal und wechseln Sie zu dem logischen Server in Azure.
  2. Wählen Sie unter Sicherheit die Seite Netzwerk aus.
  3. Wählen Sie die Registerkarte Konnektivität aus. Wählen Sie die TLS-Mindestversion aus, die für alle dem Server zugeordneten Datenbanken gewünscht wird und anschließend Speichern aus.

Screenshot der Registerkarte „Konnektivität“ der Netzwerkeinstellungen für Ihren logischen Server mit aus der Dropdown-Liste ausgewählter Option „TLS-Mindestversion“.

Identifizieren von Clientverbindungen

Sie können die Azure-Portal- und SQL-Überwachungsprotokolle verwenden, um Clients zu identifizieren, die eine Verbindung mit TLS 1.0 und 1.0 herstellen.

Wechseln Sie im Azure-Portal unter Überwachung zu Metriken für Ihre Datenbankressource, und filtern Sie dann nach erfolgreichen Verbindungen und TLS-Versionen = 1.0 und 1.1:

Screenshot der Montoring-Seite für die Datenbankressource im Azure-Portal mit erfolgreichen TLS 1.0- und 1.1-Verbindungen gefiltert.

Sie können auch sys.fn_get_audit_file direkt in Ihrer Datenbank abfragen, um die client_tls_version_name in der Überwachungsdatei anzuzeigen:

Screenshot eines Abfrageergebnisses der Überwachungsdatei mit TLS-Versionsverbindungen.

Ändern der Verbindungsrichtlinie

Eine Verbindungsrichtlinie bestimmt, wie Kunden eine Verbindung herstellen. Es wird empfohlen, die Verbindungsrichtlinie Redirect statt der Verbindungsrichtlinie Proxy zu verwenden, um die niedrigste Latenz und den höchsten Durchsatz zu erzielen.

Sie können die Verbindungsrichtlinie mithilfe des Azure-Portals, Azure PowerShell und der Azure CLI ändern.

Sie können Ihre Verbindungsrichtlinie für Ihren logischen Server mithilfe des Azure-Portals ändern.

  1. Öffnen Sie das Azure-Portal. Wechseln Sie zu dem logischen Server in Azure.
  2. Wählen Sie unter Sicherheit die Seite Netzwerk aus.
  3. Wählen Sie die Registerkarte Konnektivität aus. Wählen Sie die gewünschte Verbindungsrichtlinie und dann Speichern aus.

Screenshot der Registerkarte „Konnektivität“ der netzwerkseite mit ausgewählter Verbindungsrichtlinie.