Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
ОБЛАСТЬ ПРИМЕНЕНИЯ:
2013 2016 2019 
Subscription Edition SharePoint в Microsoft 365
TLS 1.3 — это последняя версия протокола шифрования TLS. SharePoint Server по подписке по умолчанию поддерживает TLS 1.3 при развертывании с накопительным пакетом обновления Windows Server 2022 и 2021-06 для платформа .NET Framework 3.5 и 4.8 для серверной операционной системы Майкрософт x64 (KB5003529).
Примечание.
TLS 1.3 не требует дополнительной настройки и может не поддерживать все программное обеспечение и системы. Корпорация Майкрософт рекомендует обратиться к администратору программного обеспечения и оборудования для проверка совместимости TLS 1.3.
TLS 1.3 недоступен и не поддерживается при развертывании SharePoint Server по подписке с более ранними версиями Windows Server. Корпорация Майкрософт рекомендует выполнять развертывание SharePoint Server по подписке с Windows Server 2022 или более поздней версии.
Начиная с версии 25H1, SharePoint Server по подписке использует Microsoft.Data.SqlClient для уровня подключения к базе данных.
Уровень подключения к базе данных Microsoft.Data.SqlClient поддерживает расширенные возможности безопасности, такие как табличные данные Stream (TDS) версии 8.0 и TLS версии 1.3.
Поддержка TDS 8.0
SharePoint Server по подписке поддерживает TDS 8.0, сохраняя обратную совместимость с предыдущими версиями SQL Server, которые не поддерживают TDS 8.0. TDS 8.0 в настоящее время поддерживается SQL Server 2022 г., Azure SQL Database и Управляемый экземпляр SQL Azure.
TDS 8.0 поддерживает более новые протоколы шифрования, такие как TLS 1.3, которые не поддерживаются более ранними версиями TDS, сохраняя при этом совместимость с более старыми версиями TLS.
Поддержка протокола TLS 1.3
SharePoint Server по подписке добавлена поддержка подключения к базам данных SQL с помощью шифрования подключений TLS 1.3, а также обратная совместимость с предыдущими версиями SQL Server, которые не поддерживают шифрование подключений TLS 1.3. Tls 1.3 в настоящее время поддерживается SQL Server 2022. SQL Server 2022 и подключающиеся к ней приложения под управлением Windows должны работать на Windows 11 или Windows Server 2022 (или более поздней версии), чтобы иметь возможность использовать TLS 1.3.
Параметры базы данных
Уровень подключения к базе данных имеет следующие свойства для каждой базы данных SharePoint (Microsoft.SharePoint.Administration.SPDatabase).
Encrypt (Microsoft.Data.SqlClient.SqlConnectionEncryptOption)
Необязательно. При необходимости SQL Server можно использовать шифрование подключения. Однако если шифрование не требуется SQL Server, шифрование подключения не используется. Подключение ограничено использованием TDS 7.4.
Обязательный. Шифрование подключения должно быть установлено с помощью SQL Server. Если не удается установить шифрование подключения, подключение блокируется. Подключение ограничено использованием TDS 7.4.
Строгое. Шифрование соединения должно быть установлено с помощью SQL Server, а подключение должно использовать TDS 8.0 или более поздней версии. Если не удается установить шифрование подключения с помощью TDS 8.0 или более поздней версии, подключение блокируется.
HostnameInCert (String). Указывает имя узла в сертификате сервера SSL/TLS SQL Server. Администраторы фермы SharePoint должны указать это свойство, если имя узла в сертификате не соответствует имени узла, к которому подключается SharePoint.
Поведение при обновлении фермы с помощью существующих баз данных
Базы данных, входящие в ферму SharePoint, будут настроены на использование необязательного шифрования по умолчанию. Это необходимо для обеспечения совместимости фермы SharePoint с существующими серверами SQL в ферме, если они не поддерживают более новые протоколы TDS 8.0 и TLS 1.3. Это означает, что SharePoint продолжит использовать TDS 7.4 при подключении к этим базам данных. Если для подключения к этим базам данных используется шифрование подключения, оно будет основано на TLS 1.2 или более поздней версии.
Поведение при добавлении или редактировании базы данных в ферму
Ранее параметры для всех баз данных основывались на параметрах базы данных конфигурации. Вновь созданные базы данных, добавленные в ферму, настраиваются для использования одинаковых параметров шифрования с базой данных конфигурации фермы.
С сентября 2025 г. пользователи могут выбирать разные параметры шифрования подключений для каждой базы данных, что может быть особенно полезно, если базы данных хранятся на разных серверах SQL или служат разным целям. Это поведение применимо как к базе данных контента, так и к базе данных приложения службы.
Создание базы данных контента (применимо только после 2025 г., сентябрь 2025 г.)
Чтобы создать новую базу данных контента, в PowerShell добавьте в командлет следующие необязательные параметры
New-SPContentDatabase:-DatabaseConnectionEncryption {Mandatory | Optional | Strict} -DatabaseServerCertificateHostName <String>Примечание.
DatabaseConnectionEncryption и (или) DatabaseServerCertificateHostName по умолчанию совпадают с базой данных конфигурации, если она не указана.
Чтобы создать новую базу данных контента, в центре администрирования добавьте два параметра на страницу.
Создание приложения-службы с другой базой данных шифрования (применимо только после 2025 г. за сентябрь 2025 г.)
Чтобы создать приложение службы с настраиваемой базой данных, добавьте в PowerShell следующие необязательные параметры в командлеты PowerShell:
-DatabaseConnectionEncryption {Mandatory | Optional | Strict} -DatabaseServerCertificateHostName <String>Примечание.
DatabaseConnectionEncryption и (или) DatabaseServerCertificateHostName по умолчанию совпадают с базой данных конфигурации, если она не указана.
Например:
New-SPMetadataServiceApplication -Name "MetadataServiceApp1" -ApplicationPool "AppPool1" -DatabaseName "MetadataDB1" -DatabaseConnectionEncryption "Mandatory" -DatabaseServerCertificateHostName "SQL-01.internal.contoso.com"Чтобы создать приложение-службу с настраиваемой базой данных, в центре администрирования добавьте на странице те же два параметра, что и база данных контента.
Изменение существующей базы данных, присоединенной к приложению-службе (применимо только после обновления за сентябрь 2025 г.)
Чтобы изменить базу данных, принадлежащее приложению-службе, добавьте в PowerShell следующие необязательные параметры в командлеты PowerShell:
-DatabaseConnectionEncryption {Mandatory | Optional | Strict} -DatabaseServerCertificateHostName <String>Например:
$sa = Get-SPMetadataServiceApplication -Identity "Managed Metadata Service Application" Set-SPMetadataServiceApplication -Identity $sa -DatabaseName "MetadataDB2" -DatabaseConnectionEncryption "Optional"Чтобы изменить базу данных, принадлежающую приложению-службе, в центре администрирования можно изменить параметры шифрования, нажав кнопку "Свойства".
Указание параметров шифрования во время PSConfig
Создание фермы
Чтобы создать ферму, добавьте в командлет следующие необязательные параметры
New-SPConfigurationDatabaseв PowerShell:-DatabaseConnectionEncryption {Mandatory | Optional | Strict} -DatabaseServerCertificateHostName <String>Примечание.
DatabaseConnectionEncryption является обязательным по умолчанию, если вы не указали его.
Например:
New-SPConfigurationDatabase -DatabaseName "SharePointConfigDB1" -DatabaseServer "SQL-01" -DatabaseConnectionEncryption "Mandatory" -DatabaseServerCertificateHostName "SQL-01.internal.contoso.com" -Passphrase (ConvertTo-SecureString "MyPassword" -AsPlainText -force) -FarmCredentials (Get-Credential) -LocalServerRole "Application"В PSConfig.exe добавьте следующие необязательные параметры в операцию configdb:
-dbencryption {Mandatory | Optional | Strict} -dbcerthostname <String>Примечание.
dbencryption является обязательным по умолчанию, если вы не указали его.
Например:
psconfig.exe -cmd configdb -create -database "SharePointConfigDB1" -server "SQL-01" -dbencryption "Mandatory" -dbcerthostname "SQL01.internal.contoso.com" -passphrase "the_passphrase" -user "DOMAIN\username" -password "the_password" -localserverrole "Application"В мастере настройки продуктов SharePoint (PSConfigUI.exe) укажите параметры в полях Шифрование подключения к базе данных и Имя узла сертификата сервера базы данных в форме базы данных конфигурации.
Присоединение к существующей ферме
Чтобы присоединиться к существующей ферме, необходимо указать параметры шифрования, которые использует существующая ферма, как показано ниже.
Выберите Шифрование подключения к базе данных в качестве обязательного , если база данных конфигурации имеет значение Обязательное шифрование.
Введите имя узла сертификата сервера базы данных и щелкните Получить имена баз данных.
Затем можно выбрать ферму, к которой будет присоединен второй сервер.
Кроме того, выполните следующую команду PowerShell, чтобы присоединиться к ферме:
Connect-SPConfigurationDatabase -DatabaseServer "SQL-01" -DatabaseName "SharePointConfigDB1" -DatabaseConnectionEncryption Mandatory -DatabaseServerCertificateHostName "SQL-01.internal.contoso.com" -Passphrase (ConvertTo-SecureString "****" -AsPlainText -Force) -LocalServerRole "Application"