Konfigurieren einer Windows-Firewall für Datenbank-Engine-Zugriff
In diesem Thema wird beschrieben, wie Sie eine Windows-Firewall für den Zugriff auf die Datenbank-Engine in SQL Server 2014 mithilfe von SQL Server-Konfigurations-Manager konfigurieren. Durch Firewallsysteme kann der nicht autorisierte Zugriff auf Computerressourcen verhindert werden. Um über eine Firewall auf eine Instanz von SQL Server-Datenbank-Engine zugreifen zu können, müssen Sie die Firewall auf dem Computer mit SQL Server entsprechend konfigurieren.
Weitere Informationen zu den Standardeinstellungen der Windows-Firewall und eine Beschreibung der TCP-Ports, die sich auf das Datenbank-Engine, Analysis Services, Reporting Services und Integration Services auswirken, finden Sie unter Konfigurieren der Windows-Firewall für den SQL Server-Zugriff. Es gibt zahlreiche verschiedene Firewallsysteme auf dem Markt. Informationen zu den für Ihr System relevanten Einstellungen finden Sie in der Firewalldokumentation.
Die wichtigsten Schritte zum Konfigurieren des Zugriffs werden im Folgenden beschrieben:
Konfigurieren Sie Datenbank-Engine für die Verwendung eines bestimmten TCP/IP-Ports. In der Standardinstanz von Datenbank-Engine wird Port 1433 verwendet. Sie können diese Einstellung jedoch ändern. Der vom Datenbank-Engine verwendete Port ist im SQL Server -Fehlerprotokoll aufgeführt. Instanzen von SQL Server Express, SQL Server Compact und benannte Instanzen von Datenbank-Engine verwenden dynamische Ports. Informationen zum Konfigurieren dieser Instanzen zum Verwenden eines bestimmten Ports finden Sie unter Konfigurieren eines Servers zur Überwachung eines bestimmten TCP-Ports (SQL Server-Konfigurations-Manager).
Konfigurieren Sie die Firewall so, dass autorisierten Benutzern oder Computern der Zugriff auf diesen Port gewährt wird.
Hinweis
Mit dem SQL Server -Browser-Dienst können Benutzer ohne Kenntnis der Portnummer Verbindungen mit Instanzen von Datenbank-Engine herstellen, die nicht den Port 1433 überwachen. Wenn Sie SQL Server -Browser verwenden möchten, müssen Sie UDP-Port 1434 öffnen. Um eine möglichst sichere Umgebung zu erzielen, lassen Sie den SQL Server -Browser-Dienst beendet, und konfigurieren Sie die Clients so, dass sie Verbindungen mithilfe der Portnummer herstellen müssen.
Hinweis
Standardmäßig wird die Windows-Firewall von Microsoft Windows aktiviert. Damit wird Port 1433 geschlossen, um zu verhindern, dass Internetcomputer Verbindungen mit einer Standardinstanz von SQL Server auf Ihrem Computer herstellen. Verbindungen zur Standardinstanz über TCP/IP sind nicht möglich, außer wenn Sie Port 1433 erneut öffnen. Die grundlegenden Schritte für die Konfiguration der Windows-Firewall werden in den folgenden Verfahren beschrieben. Weitere Informationen finden Sie in der Windows-Dokumentation.
Als Alternative zum Konfigurieren von SQL Server für das Lauschen an einem festen Port und zum Öffnen des Ports können Sie die ausführbare SQL Server -Datei (Sqlservr.exe) als Ausnahme in die Liste der blockierten Programme aufnehmen. Verwenden Sie diese Methode, wenn Sie weiterhin dynamische Ports verwenden möchten. Auf diese Weise kann nur auf eine einzige Instanz von SQL Server zugegriffen werden.
In diesem Thema
Vorbereitungen:
Konfigurieren einer Windows-Firewall für Datenbank-Engine-Zugriff mithilfe von:
Vorbereitungen
Sicherheit
Das Öffnen von Ports in der Firewall kann dazu führen, dass der Server böswilligen Angriffen ausgesetzt ist. Daher sollten Sie Ports grundsätzlich nur dann öffnen, wenn Sie sicher sind, dass Sie das Konzept von Firewallsystemen verstanden haben. Weitere Informationen finden Sie unter Security Considerations for a SQL Server Installation.
Verwenden des SQL Server-Konfigurations-Managers
Gilt für: Windows Vista, Windows 7 und Windows Server 2008
Anhand der folgenden Prozeduren wird die Windows-Firewall unter Verwendung des MMC-Snap-Ins (Microsoft Management Console) "Windows-Firewall mit erweiterter Sicherheit" konfiguriert. Von der Windows-Firewall mit erweiterter Sicherheit wird nur das aktuelle Profil konfiguriert. Weitere Informationen über die Windows-Firewall mit erweiterter Sicherheit finden Sie unter Konfigurieren der Windows-Firewall für den SQL Server-Zugriff.
So öffnen Sie einen Port in der Windows-Firewall für den TCP-Zugriff
Klicken Sie im Menü Start auf Ausführen, geben Sie WF.mscein, und klicken Sie anschließend auf OK.
Klicken Sie im linken Bereich von Windows-Firewall mit erweiterter Sicherheitmit der rechten Maustaste auf Eingehende Regeln, und klicken Sie anschließend im Aktionsbereich auf Neue Regel .
Wählen Sie im Dialogfeld Regeltyp die Option Portaus, und klicken Sie anschließend auf Weiter.
Wählen Sie im Dialogfeld Protokoll und Ports die Option TCPaus. Wählen Sie Bestimmte lokale Ports aus, und geben Sie dann die Portnummer der instance der Datenbank-Engine ein, z
1433
. B. für die Standard-instance. Klicken Sie auf Weiter.Wählen Sie im Dialogfeld Aktion die Option Verbindung zulassenaus, und klicken Sie anschließend auf Weiter.
Wählen Sie im Dialogfeld Profil beliebige Profile aus, die die Verbindungsumgebung des Computers beschreiben, wenn Sie eine Verbindung zum Datenbank-Engineherstellen möchten, und klicken Sie dann auf Weiter.
Geben Sie im Dialogfeld Name einen Namen und eine Beschreibung für diese Regel ein, und klicken Sie dann auf Fertig stellen.
So ermöglichen Sie den Zugriff auf SQL Server bei der Verwendung von dynamischen Ports
Klicken Sie im Menü Start auf Ausführen, geben Sie WF.mscein, und klicken Sie anschließend auf OK.
Klicken Sie im linken Bereich von Windows-Firewall mit erweiterter Sicherheitmit der rechten Maustaste auf Eingehende Regeln, und klicken Sie anschließend im Aktionsbereich auf Neue Regel .
Wählen Sie im Dialogfeld Regeltyp die Option Programmaus, und klicken Sie anschließend auf Weiter.
Wählen Sie im Dialogfeld Programm die Option Dieser Programmpfadaus. Klicken Sie auf Durchsuchen, navigieren Sie zum instance der SQL Server, auf die Sie über die Firewall zugreifen möchten, und klicken Sie dann auf Öffnen. Standardmäßig befindet sich SQL Server unter C:\Programme\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\Binn\Sqlservr.exe. Klicken Sie auf Weiter.
Wählen Sie im Dialogfeld Aktion die Option Verbindung zulassenaus, und klicken Sie anschließend auf Weiter.
Wählen Sie im Dialogfeld Profil beliebige Profile aus, die die Verbindungsumgebung des Computers beschreiben, wenn Sie eine Verbindung zum Datenbank-Engineherstellen möchten, und klicken Sie dann auf Weiter.
Geben Sie im Dialogfeld Name einen Namen und eine Beschreibung für diese Regel ein, und klicken Sie dann auf Fertig stellen.