Поделиться через

Настройка многодомного компьютера для доступа к SQL Server

  • Статья

Область применения: SQL Server — только Для Windows

Если сервер должен предоставить соединение с двумя или более сетями или подсетями, обычно используется многосетевой компьютер. Часто этот компьютер расположен в пограничной сети (также известной как DMZ, демилитаризованная зона или экранированная подсеть). В этой статье описано, как настроить SQL Server и брандмауэр Windows в режиме повышенной безопасности, чтобы разрешить сетевые подключения с экземпляром SQL Server в многосетевой среде.

Примечание.

Компьютер с несколькими сетевыми подключениями имеет несколько сетевых адаптеров или настроен для использования нескольких IP-адресов для одного сетевого адаптера. Компьютер с двойным подключением имеет два сетевых адаптера или настроен для использования двух IP-адресов через один сетевой адаптер.

Предпосылки

Прежде чем продолжить работу с этой статьей, необходимо ознакомиться с сведениями, приведенными в статье "Настройка брандмауэра Windows для разрешения доступа к SQL Server". Эта статья содержит основные сведения о работе компонентов SQL Server с брандмауэром.

В этом примере предполагается следующее.

  • На компьютере установлены два сетевых адаптера. Один или несколько сетевых адаптеров могут быть беспроводными. Можно имитировать наличие двух сетевых адаптеров, используя IP-адрес одного сетевого адаптера и IP-адрес цикла (127.0.0.1) в качестве второго сетевого адаптера.

  • Для простоты в этом примере используются адреса IPv4. Те же процедуры могут выполняться с адресами IPv6.

    Примечание.

    Адреса IPv4 представляют собой ряд четырехзначных цифр, которые называются октетами. Каждое число меньше 255 и разделяется точками, например 127.0.0.1. Адреса IPv6 представляют собой ряд из восьми шестнадцатеричных цифр, разделенных двоеточием, например fe80:4898:23:3:49a6:f5c1:2452:b994.

  • Правила брандмауэра могут разрешать доступ к конкретному порту, например к порту 1433. Также правила брандмауэра могут разрешать доступ к программе ядра СУБД SQL Server (sqlservr.exe). Эти методы мало отличаются друг от друга. Так как сервер в пограничной сети более уязвим для атак, чем серверы на интрасети, в этой статье предполагается, что вы хотите иметь более точный контроль и сами подобрать порты для открытия. По этой причине в этой статье предполагается, что SQL Server будет настроен для работы с фиксированным портом. Дополнительные сведения о портах, которые использует SQL Server, см. в разделе "Настройка брандмауэра Windows", чтобы разрешить доступ к SQL Server.

  • В примере настраивается доступ к ядру СУБД через TCP-порт 1433. Другие порты, которые используются различными компонентами SQL Server, можно настроить с помощью тех же общих шагов.

Ниже указаны необходимые общие шаги в этом примере.

  • Определение IP-адреса компьютера.

  • Настройте SQL Server для подключения через определенный TCP-порт.

  • Настройка брандмауэра Windows в режиме повышенной безопасности.

Необязательные процедуры

Если IP-адреса, доступные для компьютера и используемые SQL Server, уже известны, эти процедуры можно пропустить.

Определение IP-адресов, доступных на компьютере

  1. На компьютере, на котором установлен SQL Server, нажмите кнопку "Пуск", выберите "Запустить", введите cmd и нажмите кнопку "ОК".

  2. В командной строке введите ipconfig и нажмите клавишу ВВОД, чтобы вывести список IP-адресов, доступных на этом компьютере.

    Команда ipconfig иногда выводит большой список возможных соединений, в том числе отключенных. Команда ipconfig выводит как адреса IPv4, так и адреса IPv6.

  3. Запишите использующиеся адреса IPv4 и IPv6. Другие сведения в списке, например временные адреса, маски подсети и шлюзы по умолчанию, являются важными для настройки сети TCP/IP. Но эта информация не используется в этом примере.

Определение IP-адресов и портов, используемых SQL Server

  1. Выберите "Пуск", наведите указатель на все программы, наведите указатель на Microsoft SQL Server, наведите указатель на средства настройки и выберите диспетчер конфигурации SQL Server.

  2. В области консоли диспетчера конфигурации SQL Server разверните узел Сетевая конфигурация SQL Server, разверните узел Протоколы для <имя экземпляра>, а затем дважды щелкните TCP/IP.

  3. В диалоговом окне Свойства TCP/IP на вкладке IP-адреса появится несколько IP-адресов в формате IP1, IP2до IPAll. Одним из этих адресов является IP-адрес адаптера обратной петли, 127.0.0.1. Для каждого IP-адреса, настроенного на компьютере, появятся дополнительные IP-адреса.

  4. Для любого IP-адреса, если в диалоговом окне " Динамические порты TCP " есть 0, это означает, что ядро СУБД прослушивает динамические порты. В этом примере используются фиксированные, а не динамические порты, которые могут измениться после перезапуска компьютера. Поэтому, если диалоговое окно TCP Dynamic Ports содержит 0, удалите 0.

  5. Запишите TCP-порт, который приводится в списке для каждого настраиваемого IP-адреса. В этом примере предполагается, что оба IP-адреса прослушивают порт по умолчанию 1433.

  6. Если вы не хотите, чтобы SQL Server использовал некоторые доступные порты, на вкладке "Протокол" измените значение "Прослушивание всех" на "Нет"; на вкладке "IP-адреса" измените значение "Активный " на "Нет " для IP-адресов, которые вы не хотите использовать.

Настройка брандмауэра Windows с расширенной безопасностью

После того как стали известны IP-адреса, которые использует компьютер, и применяемые SQL Server порты, можно создать правила брандмауэра, а затем настроить их для конкретных IP-адресов.

Создание правила брандмауэра

  1. На компьютере, на котором установлен SQL Server, подключитесь от имени администратора.

  2. Нажмите кнопку "Пуск", выберите "Запустить", введите wf.msc и нажмите кнопку "ОК".

  3. В диалоговом окне "Контроль учетных записей пользователей" выберите Продолжить, чтобы использовать учетные данные администратора для открытия брандмауэра Windows с оснасткой "Расширенная безопасность".

  4. На странице Обзор подтвердите, что брандмауэр Windows включен.

  5. В левой области выберите "Правила для входящего трафика".

  6. Щелкните правой кнопкой мыши правила для входящего трафика и выберите новое правило , чтобы открыть мастер нового правила для входящего трафика.

  7. Можно создать правило для программы SQL Server. Однако, так как в этом примере используется фиксированный порт, выберите порт и нажмите кнопку "Далее".

  8. На странице Протоколы и порты выберите TCP.

  9. Выберите Указанные локальные порты. Введите номера портов, разделенные запятыми, и нажмите кнопку "Далее". В этом примере вы настроите порт по умолчанию; следовательно, введите 1433.

  10. На странице Действия просмотрите параметры. В этом примере брандмауэр не используется для принудительного обеспечения безопасных подключений. Поэтому нажмите кнопку "Разрешить подключение" и нажмите кнопку "Далее".

    В вашей среде могут потребоваться безопасные соединения. Если выбрать один из параметров безопасных соединений, можно настроить сертификат, а затем — параметр Принудительное шифрование . Дополнительные сведения о безопасных подключениях см. в статье Настройка ядра СУБД SQL Server для шифрования подключений и настройка ядра СУБД SQL Server для шифрования подключений.

  11. На странице Профиль выберите один или несколько профилей для этого правила. Если вы не знакомы с профилями брандмауэра, выберите ссылку "Дополнительные сведения о профилях " в программе брандмауэра.

    • Если компьютер является сервером и доступен только при подключении к домену, выберите "Домен" и нажмите кнопку "Далее".

    • Если компьютер является мобильным компьютером (например, ноутбуком), скорее всего, будет использоваться несколько профилей при подключении к разным сетям. Для мобильного компьютера можно настроить разные возможности доступа для разных профилей. Например, можно разрешить доступ, если компьютер использует профиль домена, и не разрешить — при использовании открытого профиля.

  12. На странице "Имя" укажите имя и описание правила, а затем нажмите кнопку "Готово".

  13. Повторите эту процедуру для создания другого правила для каждого IP-адреса, используемого SQL Server.

После создания одного или нескольких правил выполните следующие шаги, чтобы настроить каждый IP-адрес компьютера для использования правил.

Настройка правила брандмауэра для определенных IP-адресов

  1. На странице правил для входящих подключенийбрандмауэра Windows с расширенной безопасностью щелкните правой кнопкой мыши только что созданное правило и выберите пункт "Свойства".

  2. В диалоговом окне Свойства правила перейдите на вкладку Область .

  3. В области локальных IP-адресов выберите эти IP-адреса и нажмите кнопку "Добавить".

  4. В диалоговом окне IP-адрес выберите IP-адрес или подсетьи введите один из IP-адресов, которые нужно настроить.

  5. Нажмите ОК.

  6. В области удаленных IP-адресов выберите "Эти IP-адреса" и нажмите кнопку "Добавить".

  7. В диалоговом окне IP-адрес настройте обмен данными для выбранного IP-адреса компьютера. Можно включать соединения через указанные IP-адреса, диапазоны IP-адресов, целые подсети или определенные компьютеры. Чтобы правильно настроить этот параметр, необходимо хорошо понимать работу сети. Сведения о сети можно узнать у администратора сети.

  8. Чтобы закрыть диалоговое окно IP-адреса , нажмите кнопку ОК; и нажмите кнопку "ОК ", чтобы закрыть диалоговое окно "Свойства правила ".

  9. Чтобы настроить другие IP-адреса на многосетевом компьютере, повторите эту процедуру для каждого IP-адреса, используя другое правило.

Связанный контент