Az ablakok tűzfalának konfigurálása az SQL Server eléréséhez
A tűzfalrendszerek megakadályozzák a számítógépes erőforrásokhoz való jogosulatlan hozzáférést. Ha a tűzfal engedélyezve van, de helytelenül van beállítva, az SQL Server-hez való csatlakozás kísérlet blokkolva lehet.
Ha engedélyezni szeretné az SQL Server egy példányának elérését egy tűzfalon keresztül, akkor azt az SQL Server futtató számítógépen kell beállítani. A tűzfal a Microsoft Windows egyik összetevője. Ehelyett telepíthet egy másik cég tűzfalát. Ez a rész a Windows tűzfal beállításáról szól, de az általános elvek minden más tűzfalra vonatkoznak.
Ez a rész általános információkat nyújt az SQL Server rendszergazdájának a tűzfal és az érdeklődésre vonatkozó összefoglaló információk konfigurálásáról. További információkért és hivatalos tűzfal információért tekintse át a tűzfal dokumentációját, például útmutatóként a Windows tűzfalat, Advanced Security és IPsec, valamint a Windows tűzfalat a Speciális biztonsággal.
A kezelőpanel Windows Tűzfalát ismerő felhasználók, valamint a Microsoft Management Console (MMC) Windows Firewall with Advanced Security beépülő modulja, és akik képesek beállítani a tűzfal beállításait, közvetlenül az alábbi listában szereplő témákhoz érhetnek el.
A tűzfal ellenőrzi a bejövő csomagokat, hogy megfeleljenek egy sor szabálynak. Ha a szabályok lehetővé teszik a csomag átvitelét, a tűzfal továbbadja a TCP / IP protokollt további feldolgozás céljából. Ha a szabályok nem engedélyezik a csomag átvitelét, akkor a tűzfal elutasítja, és ha a naplózás engedélyezve van, létrehoz egy megfelelő bejegyzést a naplófájlban.
A megengedett forgalom listája a következő módszerek valamelyikével érhető el.
Amikor a tűzfal által védett számítógép megnyitja a kapcsolatot, a tűzfal hozzáadja a listához egy olyan elemet, amely lehetővé teszi a kapcsolódást ezen a kapcsolaton. A kapott válasz a vártnak tekintendő, és nem igényel módosítást.
A rendszergazda feladata, hogy kiválassza a tűzfalat. Ez lehetővé teszi a számítógépen futó bizonyos programokhoz való hozzáférést, illetve hozzáférést bizonyos portokhoz. Ebben az esetben a számítógép elfogadja az összes bejövő forgalmat, amely szerverként, hallgatóként vagy peerként működik. Az SQL Serverhez való csatlakozáshoz ezt a konfigurációt kell végrehajtani.
A tűzfal-stratégia kiválasztása nehezebb, és nem korlátozódik a kikötők nyitására vagy bezárására. A vállalati biztonsági stratégia kiválasztásakor figyelembe kell venni az összes rendelkezésre álló szabályt és konfigurációs beállítást. Ebben a szakaszban az összes lehetséges tűzfalbeállítás nincs figyelembe véve. Javasoljuk, hogy olvassa el az alábbi dokumentumokat.
Az első lépés a tűzfal-konfiguráció megtervezésében az operációs rendszer aktuális állapotának meghatározása. Ha az operációs rendszert egy korábbi verzióról frissítették, a régi tűzfalbeállítások megmaradtak. Ezenkívül a tűzfal beállításait egy másik rendszergazda vagy csoportos házirend módosíthatja a tartományban. Azonban a következő opciókat alkalmazza alapértelmezés szerint.
A tűzfal be van kapcsolva és blokkolja a távoli kapcsolatokat.
A tűzfal le van tiltva. A rendszergazda eldönti, hogy engedélyezi-e.
A tűzfal be van kapcsolva és blokkolja a távoli kapcsolatokat.
Windows XP Service Pack 2 (SP2) vagy újabb verzióval
A tűzfal be van kapcsolva és blokkolja a távoli kapcsolatokat.
Windows XP Service Pack 1 (SP1) vagy újabb verziója
A tűzfal ki van kapcsolva, és be kell kapcsolni.
Az SQL Server nevű példányai az alapértelmezett konfigurációban
A TCP port dinamikusan van elosztva, amikor a Database Engine indult.
Lásd a Dinamikus portok alfejezetet később ebben a szakaszban. Ha elnevezett példányokat használ, az SQL Server Browser szolgáltatásnak szüksége lehet az 1434 UDP portra.
Az SQL Server elnevezett példányai, ha rögzített port használatára vannak beállítva
A portszámot a rendszergazda állítja be.
Az 1434-es TCP port az alapértelmezett példányhoz tartozik. Más portokat használnak a megnevezett példányokhoz. Ellenőrizze a hiba naplójának portszámát.
Alapértelmezés szerint a dedikált adminisztrációs kapcsolat (DAC) távoli kapcsolata le van tiltva. A távoli kiválasztott adminisztratív kapcsolatot engedélyezheti az érintkezési zóna beállítási eszköz használatával. További információ: Az érintkezési zóna konfigurációjának megértése.
SQL Server böngésző
Az SQL Server böngésző figyeli a bejövő kapcsolatokat a megnevezett példányra, és visszaadja a megadott példánynak megfelelő TCP portszámot az ügyfélnek. Általában az SQL Server Browser szolgáltatás akkor indul el, ha az adatbázis-motor egy megnevezett példányát használja. Ha az ügyfél úgy van konfigurálva, hogy csatlakozzon egy megadott példányhoz a megadott porton, akkor az "SQL Server, böngésző" szolgáltatásnak nem kell elindulnia.
Az SQL Server olyan példánya, amely a HTTP végponton fut
Megadható HTTP végpont létrehozásakor. Az alapértelmezett TCP 80 port a CLEAR_PORT adatokhoz és a 443 port az SSL_PORT adatokhoz.
Ha a Visual Studio környezetet a kiszolgálón használja, akkor hozzá kell adnia a Devenv.exe programot a kivétel listához és nyissa meg a TCP portot 135.
Ha a kiszolgálón a Management Studio programot használja, akkor hozzá kell adnia az ssms.exe programot a kivételek listájához, és megnyílik a 135 TCP port. További információt a Transact-SQL debugger konfigurálása és futtatása című témakörben talál.
Az adatbázis-motor Windows tűzfalának konfigurálásával kapcsolatos részletes utasításokat a következő helyen talál: Hogyan konfigurálhatja a Windows tűzfalát az adatbázismotor eléréséhez?
Dinamikus portok
Alapértelmezés szerint a nevezett példányok (beleértve az SQL Server Expresset is) dinamikus portokat használnak. Ez azt jelenti, hogy minden alkalommal, amikor az Adatbázis-motor elindul, megtalálja a rendelkezésre álló portot, és elveszi. Ha a megadott példány az egyetlen telepített példány a telepített adatbázis motorban, akkor valószínűleg 1433-as TCP-portot használ. Ha az adatbázis-motor más példányai telepítve vannak, más TCP portokat használnak. Mivel a kiválasztott port bármikor megváltoztathatja, amikor az Adatbázis-motor elindul, nehéz beállítani a tűzfalat, hogy hozzáférjenek a szükséges porthoz. Ezért, ha tűzfalat használ, javasoljuk, hogy konfigurálja az Adatbázismotort, hogy ugyanazt a portot használja. Ezt a portot fix vagy statikusnak nevezik. További információ: Fix port konfigurálása.
Alternatívaként egy megadott példány konfigurálásához rögzített porton történő figyeléshez kivételt lehet létrehozni az SQL Server programhoz a tűzfalban (például az sqlservr.exe az Adatbázis motorhoz). Ez jó utat nyit meg, de a portszám nem jelenik meg a Helyi port oszlopban a Windows tűzfal fejlett biztonsági beágyazási bejövő szabályai oldalon. Ennek eredményeként nehezebbé válik a nyílt portok ellenőrzése. Egy másik dolog az, hogy amikor kumulált frissítést vagy szervizcsomagot alkalmaz, akkor az SQL Server végrehajtható fájljának elérési útja megváltozhat, ami érvénytelenné teszi a szabályt.
A következő eljárás a vezérlőpult Windows tűzfal elemével történik. A "Windows tűzfal fejlett biztonságú" beépülő modullal további tűzfalbeállításokat is beállíthat. Ezek közé tartozik a kizáró szolgáltatás létrehozása, amely hasznos lehet a mélyreható védelem biztosításában. Lásd: A Windows tűzfal használata a Fejlett biztonság beépülő modul segítségével.
A program tűzfalára vonatkozó kivételek hozzáadása a vezérlőpult Windows tűzfal elemével
A vezérlőpult Windows tűzfal elemének Kivételek lapján kattintson a Program hozzáadása gombra.
Keresse meg az SQL Server példánytárát, amelyhez engedélyezni kívánja a hozzáférést (például: C: \ Program Files \ Microsoft SQL Server \ MSSQL10.<имя_экземпляра>\ MSSQL \ Binn), válassza ki az sqlservr.exe fájlt, és kattintson a Megnyitás gombra.
Kattintson az OK gombra.
Az elemzési szolgáltatások által használt portok
Az Integration Services szolgáltatás hozzáférést biztosít a DCOM porthoz a 135-ös porton. A Service Control Manager a 135-es portot használja az Integration Services szolgáltatás elindításához és leállításához, a felügyeleti kérések továbbításához a futó szolgáltatáshoz és más feladatok elvégzéséhez. A portszám nem módosítható.
Ez az egyetlen olyan port, amelyet meg kell nyitni, amikor az Integration Services szolgáltatás távoli példányához csatlakozik a Management Studio vagy az alkalmazásprogramból.
Egyéb kikötők és szolgáltatások
A következő eszközök és módszerek hasznosak lehetnek a tűzfal problémák megoldásában.
Annak ellenőrzéséhez, hogy mely portok hallgatnak, használja a netstat parancssori eszközt. Az aktív TCP kapcsolatok mellett a netstat program különböző statisztikai és egyéb információkat is megjelenít az IP protokollról.
A TCP / IP portok hallgatásának listája
Nyissa meg a Parancssor ablakot.
A parancssorba írja be a netstat -n -a parancsot.
A hibaelhárítással kapcsolatos további információkért lásd a következő témaköröket.