Condividi tramite

Configure a multi-homed computer for SQL Server access

  • Articolo

Si applica a:SQL Server - solo Windows

When a server must provide a connection to two or more networks or network subnets, a typical scenario uses a multi-homed computer. Questo computer si trova frequentemente in una rete perimetrale (anche nota come DMZ, zona demilitarizzata o sottorete schermata). Questo articolo descrive come configurare SQL Server e Windows Firewall con sicurezza avanzata per fornire le connessioni di rete a un'istanza di SQL Server in un ambiente multihomed.

Nota

A multi-homed computer has multiple network adapters or has been configured to use multiple IP addresses for a single network adapter. A dual-homed computer has two network adapters or has been configured to use two IP addresses for a single network adapter.

Prerequisiti

Before you continue in this article, you should be familiar with the information provided in the article Configure the Windows Firewall to allow SQL Server access. Questo articolo contiene informazioni di base sul funzionamento dei componenti di SQL Server con il firewall.

Presupposti per l'esecuzione di questo esempio:

  • There are two network adapters installed in the computer. Uno o più degli adattatori di rete possono essere wireless. È possibile simulare la presenza di due schede di rete tramite l'indirizzo IP di una scheda di rete e utilizzando l'indirizzo IP di loopback (127.0.0.1) come seconda scheda di rete.

  • Sebbene per semplicità in questo esempio vengano utilizzati indirizzi IPv4, è possibile eseguire le stesse procedure tramite indirizzi IPv6.

    Nota

    Gli indirizzi IPv4 sono costituiti da una serie di quattro numeri nota come ottetto. Ogni numero è minore di 255 ed è separato da un punto, ad esempio 127.0.0.1. Gli indirizzi IPv6 sono costituiti da una serie di otto numeri esadecimali separati da due punti, ad esempio fe80:4898:23:3:49a6:f5c1:2452:b994.

  • Le regole del firewall possono consentire l'accesso tramite una porta specifica, ad esempio la porta 1433, Oppure le regole del firewall potrebbero consentire l'accesso al programma del Motore di Database di Microsoft SQL Server (sqlservr.exe). Nessuno dei due metodi è migliore dell'altro. Poiché un server in una rete perimetrale è più vulnerabile agli attacchi rispetto ai server presenti in una rete Intranet, in questo articolo si presuppone che l'utente voglia esercitare un controllo più accurato e che selezioni personalmente le porte da aprire. For that reason, this article assumes that you'll configure SQL Server to listen on a fixed port. For more information about the ports that SQL Server uses, see Configure the Windows Firewall to allow SQL Server access.

  • Questo esempio configura l'accesso al motore di database tramite la porta TCP 1433. È possibile configurare le altre porte usate dai doversi componenti di SQL Server tramite gli stessi passaggi generali.

Di seguito vengono elencati i passaggi generali dell'esempio:

  • Determinare gli indirizzi IP nel computer.

  • Configurare SQL Server per l'ascolto su una porta TCP specifica.

  • Configurare Windows Firewall con sicurezza avanzata.

Optional procedures

Se gli indirizzi IP disponibili nel computer e usati da SQL Server sono noti, è possibile ignorare queste procedure.

Determine the IP addresses available on the computer

  1. On the computer on which SQL Server is installed, select Start, select Run, type cmd and then select OK.

  2. Nella finestra del prompt dei comandi digitare ipconfig , quindi premere INVIO per elencare gli indirizzi IP disponibili nel computer.

    Quando si usa il comando ipconfig , talvolta vengono elencate molte possibili connessioni, incluse quelle disattivate. Il comando ipconfig consente di elencare indirizzi sia IPv4 che IPv6.

  3. Annotare gli indirizzi IPv4 e gli indirizzi IPv6 utilizzati. Le altre informazioni presenti nell'elenco, ad esempio gli indirizzi temporanei, le subnet mask e i gateway predefiniti, rappresentano informazioni importanti per la configurazione di una rete TCP/IP, But this information isn't used in this example.

Determine the IP addresses and ports used by SQL Server

  1. Select Start, point to All Programs, point to Microsoft SQL Server, point to Configuration Tools, and then select SQL Server Configuration Manager.

  2. In SQL Server Configuration Manager, in the console pane, expand SQL Server Network Configuration, expand Protocols for <instance name>, and then double-click TCP/IP.

  3. Nella scheda Indirizzi TCP/IP della finestra di dialogo Proprietà TCP/IP vengono visualizzati vari indirizzi IP nel formato IP1, IP2e IPAll. Uno di tali indirizzi corrisponde all'indirizzo IP della scheda loopback, ovvero 127.0.0.1. Ulteriori indirizzi IP vengono visualizzati per ogni indirizzo IP configurato nel computer.

  4. For any IP address if the TCP Dynamic Ports dialog box contains 0, this indicates that the Database Engine is listening on dynamic ports. Poiché in questo esempio vengono utilizzate porte fisse e non porte dinamiche, che potrebbero subire modifiche in caso di riavvio, Therefore if the TCP Dynamic Ports dialog box contains 0, delete the 0.

  5. Annotare la porta TCP elencata per ogni indirizzo IP da configurare. Ai fini di questo esempio, si presuppone che entrambi gli indirizzi IP siano in attesa sulla porta predefinita 1433.

  6. If you don't want SQL Server to use some of the available ports, on the Protocol tab, change the Listen All value to No; and on the IP Addresses tab, change the Active value to No for the IP addresses that you don't want to use.

Configure Windows Firewall with Advanced Security

Dopo avere stabilito gli indirizzi IP usati dal computer e le porte usate da SQL Server, è possibile creare regole del firewall e quindi configurarle per indirizzi IP specifici.

Creare una regola del firewall

  1. On the computer on which SQL Server is installed, connect as an administrator..

  2. Select Start, select Run, type wf.msc, and select OK.

  3. In the User Account Control dialog box, select Continue to use the Administrator credentials to open the Windows Firewall with Advanced Security snap-in.

  4. Nella pagina Panoramica confermare che Windows Firewall è abilitato.

  5. In the left pane, select Inbound Rules.

  6. Right-click Inbound Rules, and then select New Rule to open the New Inbound Rule Wizard.

  7. Potresti creare una regola per il programma SQL Server. However, because this example uses a fixed port, select Port, and then select Next.

  8. Nella pagina Protocolli e porte selezionare TCP.

  9. Selezionare Porte locali specifiche. Type the port numbers separated by commas, and then select Next. In this example, you'll configure the default port; therefore, enter 1433.

  10. Nella pagina Azione esaminare le opzioni. In this example, you aren't using the firewall to force secure connections. Therefore, select Allow the connection, and then select Next.

    Nell'ambiente potrebbe essere necessario utilizzare connessioni protette. Se si seleziona una delle opzioni relative alle connessioni protette, potrebbe essere necessario configurare un certificato e l'opzione Forza crittografia . For more information about secure connections, see Configure SQL Server Database Engine for encrypting connections and Configure SQL Server Database Engine for encrypting connections.

  11. Nella pagina Profilo, seleziona uno o più profili per la regola. If you're unfamiliar with firewall profiles, select the Learn more about profiles link in the firewall program.

    • If the computer is a server and is available only when it's connected to a domain, select Domain, and then select Next.

    • If the computer is a mobile computer (for example a laptop), it's likely to use multiple profiles when it connects to different networks. In un computer di questo tipo è possibile configurare funzionalità di accesso diverse per profili distinti. È possibile ad esempio consentire l'accesso quando il computer utilizza il profilo Dominio, ma non consentirlo quando utilizza il profilo Pubblico.

  12. On the Name page, provide a name and description for the rule, and then select Finish.

  13. Ripetere questa procedura per creare un'altra regola per ogni indirizzo IP usato da SQL Server.

Dopo avere creato uno o più regole, per configurare ogni indirizzo IP nel computer in modo che utilizzi una regola effettuare le operazioni seguenti.

Configure the firewall rule for a specific IP addresses

  1. On the Inbound Rules page of the Windows Firewall with Advanced Security, right-click the rule that you just created, and then select Properties.

  2. Nella finestra di dialogo Proprietà delle Regole, selezionare la scheda Ambito.

  3. In the Local IP address area, select These IP addresses, and then select Add.

  4. Nella finestra di dialogo Indirizzo IP, selezionare Questo indirizzo IP o subnet, e quindi digitare uno degli indirizzi IP da configurare.

  5. Seleziona OK.

  6. In the Remote IP address area, select These IP addresses, and then select Add.

  7. Usare la finestra di dialogo Indirizzo IP per configurare la connettività per l'indirizzo IP selezionato nel computer. È possibile abilitare connessioni da indirizzi IP, intervalli di indirizzi IP e subnet intere specificati o da computer specifici. Per configurare correttamente questa opzione, è necessario conoscere in modo approfondito la rete. Per informazioni sulla rete, contattare il relativo amministratore.

  8. To close the IP Address dialog box, select OK; and then select OK to close the Rule Properties dialog box.

  9. Per configurare gli altri indirizzi IP in un computer con più interfacce di rete, ripetere questa procedura utilizzando un altro indirizzo IP e un'altra regola.

Contenuto correlato