Vorgehensweise: Konfigurieren einer Windows-Firewall für Datenbankmodulzugriff

Durch Firewallsysteme kann der nicht autorisierte Zugriff auf Computerressourcen verhindert werden. Um über eine Firewall auf eine Instanz von SQL Server Database Engine (Datenbankmodul) zugreifen zu können, müssen Sie die Firewall auf dem Computer mit SQL Server entsprechend konfigurieren.

Weitere Informationen zu den Standardeinstellungen der Windows-Firewall und eine Beschreibung der TCP-Ports, die sich auf Datenbankmodul, Analysis Services, Reporting Services und Integration Services auswirken, finden Sie unter Konfigurieren der Windows-Firewall für den SQL Server-Zugriff und Herstellen einer Internetverbindung mit SQL Server. Auf dem Markt sind viele verschiedene Firewallsysteme verfügbar. Informationen zu den für Ihr System relevanten Einstellungen finden Sie in der Firewalldokumentation.

Wichtiger HinweisWichtig

Das Öffnen von Ports in der Firewall kann dazu führen, dass der Server böswilligen Angriffen ausgesetzt ist. Daher sollten Sie Ports grundsätzlich nur dann öffnen, wenn Sie sicher sind, dass Sie das Konzept von Firewallsystemen verstanden haben. Weitere Informationen finden Sie unter Sicherheitsüberlegungen für eine SQL Server-Installation.

Die wichtigsten Schritte zum Konfigurieren des Zugriffs werden im Folgenden beschrieben:

  1. Konfigurieren Sie Database Engine (Datenbankmodul) für die Verwendung eines bestimmten TCP/IP-Ports. In der Standardinstanz von Database Engine (Datenbankmodul) wird Port 1433 verwendet. Sie können diese Einstellung jedoch ändern. Instanzen von SQL Server Express, SQL Server Compact 3.5 SP1 und benannte Instanzen von Database Engine (Datenbankmodul) verwenden dynamische Ports. Informationen zum Konfigurieren dieser Instanzen für die Verwendung eines bestimmten Ports finden Sie unter Vorgehensweise: Konfigurieren eines Servers zur Überwachung eines bestimmten TCP-Ports (SQL Server-Konfigurations-Manager).

  2. Konfigurieren Sie die Firewall so, dass autorisierten Benutzern oder Computern der Zugriff auf diesen Port gewährt wird.

HinweisHinweis

Mit dem SQL Server-Browser-Dienst können Benutzer ohne Kenntnis der Portnummer Verbindungen mit Instanzen von Database Engine (Datenbankmodul) herstellen, die nicht den Port 1433 überwachen. Wenn Sie den SQL Server-Browser verwenden möchten, müssen Sie UDP-Port 1434 öffnen. Lassen Sie den SQL Server-Browser-Dienst beendet, und konfigurieren Sie die Clients so, dass sie Verbindungen mithilfe der Portnummer herstellen müssen, um eine möglichst sichere Umgebung zu erzielen.

HinweisHinweis

Standardmäßig wird die Windows-Firewall von Microsoft Windows XP Service Pack 2 aktiviert. Damit wird Port 1433 geschlossen, um zu verhindern, dass Internetcomputer Verbindungen mit einer Standardinstanz von SQL Server auf Ihrem Computer herstellen. Verbindungen mit der Standardinstanz über TCP/IP sind nur möglich, wenn Sie Port 1433 wieder öffnen. Die grundlegenden Schritte zum Konfigurieren der Windows XP-Firewall werden in den folgenden Vorgehensweisen beschrieben. Weitere Informationen finden Sie in der Windows-Dokumentation.

Als Alternative zum Konfigurieren von SQL Server für die Überwachung eines festen Ports und zum Öffnen des Ports können Sie die ausführbare SQL Server-Datei (Sqlservr.exe) als Ausnahme in die Liste der blockierten Programme aufnehmen. Verwenden Sie diese Methode, wenn Sie weiterhin dynamische Ports verwenden möchten. Auf diese Weise kann nur auf eine einzige Instanz von SQL Server zugegriffen werden.

Mit den folgenden Prozeduren wird die Windows-Firewall mithilfe der Option Windows-Firewall in der Systemsteuerung konfiguriert, wobei lediglich die Firewall für das Profil am aktuellen Netzwerkspeicherort konfiguriert wird. Die Windows-Firewall kann auch mit dem MMC-Snap-In (Microsoft Management Console) "Windows-Firewall mit erweiterter Sicherheit" und dem Befehlszeilentool netsh konfiguriert werden. Weitere Informationen zu diesen Tools finden Sie unter Konfigurieren der Windows-Firewall für den SQL Server-Zugriff.

So öffnen Sie einen Port in der Windows-Firewall für den TCP-Zugriff

  1. Öffnen Sie in der Systemsteuerung Netzwerkverbindungen, klicken Sie mit der rechten Maustaste auf die aktive Verbindung, und klicken Sie dann auf Eigenschaften.

  2. Klicken Sie auf die Registerkarte Erweitert, und klicken Sie dann unter Windows-Firewall auf Einstellungen.

  3. Klicken Sie im Dialogfeld Windows-Firewall auf die Registerkarte Ausnahmen, und klicken Sie dann auf Port.

  4. Geben Sie im Dialogfeld Port hinzufügenSQL Server<Instanzname> in das Textfeld Name ein.

  5. Geben Sie im Textfeld Portnummer die Portnummer der Instanz von Database Engine (Datenbankmodul) ein, z. B. 1433 für die Standardinstanz.

  6. Prüfen Sie, ob TCP ausgewählt ist, und klicken Sie dann auf OK.

  7. Klicken Sie auf Port hinzufügen, geben Sie SQL Server-Browser in das Textfeld Name ein, geben Sie 1434 in das Textfeld Portnummer ein, wählen Sie UDP aus, und klicken Sie dann auf OK, um den Port für den Zugriff auf den SQL Server-Browser-Dienst zu öffnen.

    HinweisHinweis

    Außerdem müssen Sie für die Firewall das Kontrollkästchen Datei- und Druckerfreigabe aktivieren, um den Named Pipes-Zugriff durch die Firewall zuzulassen.

  8. Schließen Sie die Dialogfelder Windows-Firewall und Eigenschaften.

HinweisHinweis

Klicken Sie im Dialogfeld Windows-Firewall auf Programm, um zusätzliche Optionen zu erhalten, beispielsweise das Gewähren von Zugriff auf bestimmte Programme und das Einschränken des Zugriffs auf bestimmte IP-Adressen oder Netzwerksubnetze. Weitere Informationen finden Sie in der Windows-Dokumentation.

So greifen Sie durch die Windows-Firewall auf ein Programm zu

  1. Klicken Sie im Dialogfeld Windows-Firewall auf der Registerkarte Ausnahmen auf Programm.

  2. Klicken Sie auf Durchsuchen, navigieren Sie zu der Instanz von SQL Server, auf die Sie durch die Firewall hindurch zugreifen möchten, und klicken Sie dann auf Öffnen. Standardmäßig befindet sich SQL Server im Verzeichnis C:\Programme\Microsoft SQL Server\MSSQL10.MSSQLSERVER\MSSQL\Binn\Sqlservr.exe.

  3. Klicken Sie zweimal auf OK, um das Programm Windows-Firewall zu schließen.

Ein kurzes Lernprogramm zum Konfigurieren eines statischen Ports, Öffnen der Firewall und Herstellen einer Verbindung mit Database Engine (Datenbankmodul) mithilfe von SQL Server Management Studio finden Sie unter Lernprogramm: Erste Schritte mit dem Datenbankmodul.