Configuring the Windows Firewall to Allow SQL Server Access
Zapora systemu pomaga zapobiec nieupoważnionemu dostępowi do zasobów komputera.Jeśli Zapora jest włączona, ale nie jest poprawnie skonfigurowany, próbuje połączyć się z SQL Server może być wtedy blokowana.
Aby uzyskać dostęp do wystąpienie SQL Server za pośrednictwem zapory należy skonfigurować zaporę na komputerze, na którym jest uruchomiony SQL Server Aby zezwolić na dostęp. Zapora jest składnikiem Microsoft System Windows. Można także zainstalować zaporę innej firmy.W tym temacie opisano, jak skonfigurować zaporę systemu Windows, ale podstawowe zasady są stosowane do innych programów zapory.
Uwaga
Ten temat zawiera omówienie konfiguracja zapory i podsumowuje informacje przydatne dla SQL Server Administrator. Aby uzyskać więcej informacji na temat zapory oraz zapory autorytatywny informacji zobacz dokumentację zapory, takie jak Zapora systemu Windows z zabezpieczeniami zaawansowanymi i protokołu IPsec and Zapora systemu Windows z zabezpieczeniami zaawansowanymi — Przewodnik po zawartości.
Użytkownicy zaznajomieni z Zapora systemu Windows element w Panelu sterowania, a w Zaporze systemu Windows z przystawki Advanced Security Microsoft Management Console (MMC) i którzy wiedzieć, które chcą konfigurować ustawienia zapory może przechodzić bezpośrednio do tematów z poniższej listy:
W tym temacie.
Ten temat zawiera następujące sekcje:
Podstawowe informacje o zaporze
Domyślne ustawienia zapory
Programy, aby skonfigurować zaporę
Porty używane przez aparat bazy danych
Porty używane przez usługi Analysis Services
Porty używane przez usług raportowania
Porty używane przez integracja Services
Dodatkowe usługi i porty
Interakcja z innych reguł zapory
Omówienie profilów zapory
Dodatkowe ustawienia zapory za pomocą zapory systemu Windows element w Panelu sterowania
Używanie zapory systemu Windows z przystawki zabezpieczenia zaawansowane
Rozwiązywanie problemów z ustawienia zapory
Podstawowe informacje o zaporze
Zapory pracować kontrolę pakiety przychodzące i porównywanie ich z zestaw reguł.Jeżeli zasady zezwalają na pakiet, Zapora przekazuje pakiet do protokół TCP/IP w celu dodatkowego przetwarzania.Jeśli reguły nie zezwalają na pakiet, Zapora odrzuca pakiet i jeśli rejestrowanie jest włączone, powoduje utworzenie zapisu w pliku rejestrowania zapory.
Na liście dozwolonego ruchu w sieci została wpisana w jednym z następujących sposobów:
Przy komputerze, na którym Zapora jest włączona inicjuje komunikację, Zapora tworzy wpis na liście, aby odpowiedzi jest dozwolone.Przychodzące odpowiedzi jest uważana za żądanie ruchu sieciowego i nie trzeba skonfigurować to.
Administrator konfiguruje wyjątki zapory.Dzięki temu dostęp do określonych programów uruchomionych na komputerze lub dostęp do określonego połączenia portów na tym komputerze.W takim przypadek komputer akceptuje niepożądany ruch przychodzący, gdy działają jako serwer, odbiornik lub elementu równorzędnego.Jest to typ konfiguracja, które muszą zostać ukończone, aby połączyć się z SQL Server.
Wybieranie strategii zapory jest bardziej złożony niż decydującego tylko w przypadku danego portu powinien być otwarty lub zamknięty.Podczas projektowania strategii zapory w przedsiębiorstwie, należy się upewnić, że wziąć pod uwagę wszystkie reguły i opcje konfiguracja dostępne dla użytkownika.W tym temacie nie sprawdzić wszystkie opcje zapory to możliwe.Firma Microsoft zaleca, aby przejrzeć następujące dokumenty:
Zapora systemu Windows z Podręcznik projektowania zaawansowane zabezpieczenia
Domyślne ustawienia zapory
Pierwszym krokiem w planowaniu konfiguracja zapory jest ustalenie bieżący stan zapory systemu operacyjnego.Jeśli system operacyjny został uaktualniony ze starszej wersja, wcześniejszych ustawień zapory mogą mieć zostały zachowane.Ponadto ustawienia zapory może zostały zmienione przez innego administratora lub zasady grupy w danej domenie.Jednak ustawienia domyślne są następujące:
Windows Server 2008
Zapora jest włączona i blokuje połączenia zdalnego.
Windows Server 2003
Zapora jest wyłączona.Administratorzy powinni rozważyć włączenie zapory.
Windows Vista
Zapora jest włączona i blokuje połączenia zdalnego.
W systemie Windows XP Z dodatkiem usługa Pack 2 lub nowszy
Zapora jest włączona i blokuje połączenia zdalnego.
Okno XP Z dodatkiem usługa Pack 1 lub starszym
Zapora jest wyłączona i powinna być włączona.
Uwaga
Włączanie zapory wpływają na inne programy, które dostęp do tego komputera, na przykład plików i drukowania udostępniania i zdalnych połączeń pulpitu.Administratorzy powinni zapoznać się z wszystkich aplikacji, które są uruchomione na komputerze przed dostosowanie ustawień zapory.
Programy, aby skonfigurować zaporę
Istnieją trzy sposoby skonfigurowania ustawień Zapory systemu Windows.
Apletu Zapora systemu Windows w Panelu sterowania
The Windows Firewall element can be opened from Control Panel.
.gif "Important note")
Important Note:Zmiany wprowadzone w Zapora systemu Windows element w Panelu sterowania dotyczą tylko bieżącego profilu.Nie należy używać urządzeń przenośnych, na przykład laptop, Zapora systemu Windows element w Panelu sterowania, jak profil mogą ulec zmianie, gdy jest podłączony w różnych konfiguracja.Następnie uprzednio skonfigurowany profil nie będą obowiązywać.Aby uzyskać więcej informacji na temat profili zobacz Wprowadzenie do korzystania z zapory systemu Windows z zabezpieczeniami zaawansowanymi w systemie Windows Vista i Windows Server 2008.
Element Zapora systemu Windows w Panelu sterowania umożliwia skonfigurowanie podstawowych opcji.Należą do nich:
Włączanie Zapora systemu Windows element w Panelu sterowania lub wyłączyć
Włączanie i wyłączanie reguły
Udzielanie wyjątki dla portów i programów
Ustawianie pewne ograniczenia zakres
The Windows Firewall element in Control Panel is most appropriate for users who are not experienced in firewall konfiguracja, and who are configuring basic firewall options for computers that are not mobile.Można również otworzyć Zapora systemu Windows element w Panelu sterowania z run polecenie przy użyciu następującej procedury:
Aby otworzyć element Zapora systemu Windows
Na Rozpocznij menu kliknijUruchamianie, a następnie wprowadź firewall.cpl.
Click OK.
Microsoft Management Console (MMC)
Zapora systemu Windows przy użyciu przystawki konsoli MMC zaawansowanych zabezpieczeń pozwala skonfigurować bardziej zaawansowane ustawienia zapory.Ta przystawka jest dostępna tylko w przypadku Microsoft Vista i Windows Server 2008; jednak przedstawia większość opcji zapory w sposób łatwy w użyciu i przedstawia wszystkie profile zapory. Aby uzyskać więcej informacji zobacz Używanie zapory systemu Windows z przystawki zabezpieczenia zaawansowane w dalszej części tego tematu.
polecenia netsh
The netsh.exe narzędzie can be used by an administrator to configure and monitor Windows-based computers at a wiersz polecenia or using a partia file**.** Za pomocą polecenia netsh , narzędzie, można nakazać, polecenia kontekstu, wprowadź do odpowiedniego oprogramowania pomocniczego, a osoba udzielająca pomocy następnie powoduje wykonanie polecenia.Pomocnika jest plikiem biblioteki łączy dynamicznych (.dll), który rozszerza funkcjonalność polecenia netsh narzędzie dostarczając konfiguracja, monitorowania i pomocy technicznej dla jednego lub więcej usług, narzędzi lub protokołów.All operating systems that support SQL Server have a firewall helper.Microsoft Windows Vista and Windows Server 2008 also have an advanced firewall helper called advfirewall.Szczegółowe informacje o użyciu polecenia netsh nie są omawiane w tym temacie.Jednak wielu z opisanych opcji konfiguracja mogą być skonfigurowane przy użyciu polecenia netsh.Na przykład uruchom następujący skrypt w wiersz polecenia, aby otworzyć TCP port 1433:
netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENTPrzykład podobne za pomocą zapory systemu Windows dla pomocnika z zabezpieczeniami zaawansowanymi:
netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAINDla skryptów skonfigurować SQL Server za pomocą polecenia netsh, zobacz Jak używać skryptu do programowego otwierania portów dla programu SQL Server na komputerach z systemem Windows XP Z dodatkiem usługa Pack.Aby uzyskać więcej informacji na temat polecenia netsh, można skorzystać z następujących łączy:
Porty używane przez program SQL Server
W poniższych tabelach może pomóc zidentyfikować porty używane przez SQL Server.
Porty używane przez aparat bazy danych
W poniższej tabela przedstawiono porty, które są często używane przez Database Engine.
Scenariusz |
Port |
Komentarze |
|---|---|---|
SQL Server wystąpienie domyślne systemem za pośrednictwem protokołu TCP |
TCP port 1433 |
Jest to najbardziej typowych portów, dozwolone przez zaporę.Dotyczy to rutynowe połączeń z domyślnej instalacji Database Engine, lub wystąpienie nazwane jest jedynym wystąpieniem uruchomionych na komputerze. (Nazwanych wystąpień mają specjalne uwagi.Zobacz Porty dynamiczne w dalszej części tego tematu.) |
SQL Server nazwanych wystąpień w konfiguracja domyślnej |
TCP port jest określane w czasie dynamiczny port Database Engine zostanie uruchomiony. |
Zobacz opis poniżej w sekcji Porty dynamiczne.UDP port 1434 może być wymagane w przypadku SQL Server Usługa przeglądarki podczas korzystania z nazwy wystąpienia. |
SQL Server o nazwie wystąpienia, kiedy są skonfigurowane do używania portu środka |
Numer portu, skonfigurowany przez administratora. |
Zobacz opis poniżej w sekcji Porty dynamiczne. |
Dedykowanego połączenia administracyjnego |
Port TCP 1434 dla wystąpienie domyślne.Inne porty są używane dla nazwanych wystąpień.Sprawdź numer portu dziennik błędów. |
Domyślnie połączenia zdalne z dedykowany administrator połączenia (DAC) nie są włączone.Aby włączyć zdalne DAC, należy użyć zestaw reguł obszar powierzchni konfiguracja.Aby uzyskać więcej informacji zobaczUnderstanding Surface Area Configuration. |
SQL Server Usługa przeglądarki |
UDP port 1434 |
The SQL Server Browser usługa listens for incoming connections to a wystąpienie nazwane and provides the klient the TCP port number that corresponds to that wystąpienie nazwane. Zwykle SQL Server Usługa Przeglądarka jest uruchamiana za każdym razem, gdy o nazwie wystąpienia Database Engine są używane. The SQL Server Browser usługa does not have to be started if the klient is configured to connect to the specific port of the named wystąpienie. |
SQL Server wystąpienie przez punkt końcowy HTTP. |
Można określić podczas tworzenia punkt końcowy HTTP.Wartością domyślną jest port TCP 80 dla ruchu CLEAR_PORT i 443 dla ruchu SSL_PORT. |
Używane do adresu URL za pośrednictwem połączenia HTTP. |
SQL Server wystąpienie domyślne przez punkt końcowy protokołu HTTPS. |
TCP port 443 |
Używane dla połączenie HTTPS za pomocą adresu URL.HTTPS jest połączenie HTTP, który korzysta z warstwą bezpiecznych gniazd (SSL). |
Service Broker |
TCP port 4022.Aby sprawdzić, port COM używany, wykonaj następującą kwerendę: SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'SERVICE_BROKER' |
There is no default port for SQL Server Service Broker, but this is the conventional configuration used in Books Online examples. |
Dublowanie bazy danych |
Administrator wybranego portu.Aby określić port, należy wykonać następujące kwerendy: SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'DATABASE_MIRRORING' |
Nie ma żadnych domyślnego portu dla dublowanie, jednak Books online przykłady używania portu TCP 7022 bazy danych.Jest bardzo ważne uniknąć przerywania punkt w użyciu końcowy dublowanie, szczególnie w trybie wysokiego bezpieczeństwa z automatyczna praca awaryjna.Konfiguracja zapory należy unikać kworum na złamanie.Aby uzyskać więcej informacji zobaczSpecifying a Server Network Address (Database Mirroring). |
Replikacja |
Połączeń replikacja SQL Server za pomocą typowej regularne Database Engine porty (port TCP 1433 dla wystąpienie domyślne itp.) synchronizacja w sieci Web i FTP/UNC dostępu dla replikacja migawka wymagają dodatkowych portów ma być otwarty na zaporze.Do przesyłania danych i schematu z jednej lokalizacji do innej, replikacja można użyć FTP (TCP port 21) lub synchronizacji za pośrednictwem protokołu HTTP (TCP port 80) lub udostępnianie plików i drukarek (port TCP 137,138 lub 139). |
Do synchronizacji za pośrednictwem protokołu HTTP, replikacja używa Internetowych usług informacyjnych punkt końcowy (dla których można konfigurować, ale jest domyślnie z portu 80 portów), ale procesu usług IIS, który łączy się z zaplecza SQL Server za pomocą standardowych portów (1433 dla domyślnego wystąpienie. Podczas synchronizacja w sieci Web przy użyciu protokołu FTP jest FTP transfer między internetowych usług informacyjnych oraz SQL Server Wydawca nie między subskrybent i internetowych usług informacyjnych. Aby uzyskać więcej informacji zobacz Konfigurowanie programu Microsoft Internet Security and Acceleration Server na czas replikacja Microsoft SQL Server 2000 za pośrednictwem Internetu. |
Transact-SQL Debuger |
TCP port 135 Zobacz Uwagi specjalne dotyczące dla portu 135 The IPsec exception might also be required. |
Jeśli przy użyciu Visual Studio, na Visual Studio komputer-host, należy także dodać Devenv.exe do listy wyjątków i otwartych port 135 protokołu TCP. Jeśli przy użyciu Management Studio, na Management Studio komputer-host, należy także dodać ssms.exe do listy wyjątków i otwartych port 135 protokołu TCP.Aby uzyskać więcej informacji zobaczConfiguring and Starting the Transact-SQL Debugger. |
Instrukcje krok po kroku dotyczące konfigurowania zapory systemu Windows dla Database Engine, zobacz How to: Configure a Windows Firewall for Database Engine Access.
Porty dynamiczne
Domyślnie nazwę instancji (w tym SQL Server Express) korzysta z portów dynamicznych. Oznacza to, co czas, Database Engine zostanie uruchomiony, identyfikuje dostępnego portu i zastosowania, że numer portu. Jeśli wystąpienie nazwane jest tylko wystąpienia Database Engine zainstalowany, to prawdopodobnie użyje TCP port 1433. Jeśli inne wystąpienia Database Engine są zainstalowane, to prawdopodobnie użyje innego portu TCP. Ponieważ wybrano portu może się zmieniać co czas, Database Engine jest uruchomiony, trudno jest skonfigurować zaporę, aby umożliwić dostęp do poprawny numer portu. Jeżeli używana jest zapora, firma Microsoft zaleca ponowne konfigurowanie Database Engine Aby użyć tego samego numeru portu za każdym razem. Jest to port stały lub portu statycznego.Aby uzyskać więcej informacji zobaczConfiguring a Fixed Port.
Alternatywa dla konfigurowania wystąpienie nazwane do nasłuchiwania jest utworzenie wyjątku w zaporze dla stałych port SQL Server Program, taki jak Sqlservr.exe (w przypadku Database Engine). Może to być wygodne, ale numer portu nie będą wyświetlane w Port lokalny kolumnaReguły przychodzące strona podczas korzystania z przystawki MMC zaawansowane zabezpieczenia Zapora systemu Windows To może być trudniejszy do inspekcji które porty są otwarte.Kolejne zagadnienie to, że dodatek usługa pack lub aktualizacji zbiorczej można zmienić ścieżka do SQL Server plik wykonywalny, który będzie unieważnić reguły zapory.
Uwaga
Poniższa procedura wykorzystuje Zapora systemu Windows element w Panelu sterowania.Zapora systemu Windows z zaawansowanymi zabezpieczeniami przystawki można konfigurować bardziej złożonych reguł.Dotyczy to także skonfigurowanie wyjątku usługa, które mogą być przydatne do zapewnienia zabezpieczeń szczegółowo.Zobacz Używanie zapory systemu Windows z przystawki zabezpieczenia zaawansowane poniżej.
W celu dodania wyjątku dla programu do zapory, używając element Zapora systemu Windows w Panelu sterowania.
Na Wyjątki Karta Zapora systemu Windows element w Panelu sterowania, kliknij przycisk Dodawanie programu.
Przejdź do lokalizacji programu SQL Server Czy chcesz zezwolić za pośrednictwem zapory, na przykład C:\Program Files\Microsoft SQL Server\MSSQL10. <instance_name>\MSSQL\Binn, select Sqlservr.exe, a następnie kliknij przycisk Otwórz.
Click OK.
Aby uzyskać więcej informacji o punktach końcowych zobacz Network Protocols and TDS Endpoints i Endpoints Catalog Views (Transact-SQL).
Porty używane przez usługi Analysis Services
W poniższej tabela przedstawiono porty, które są często używane przez Analysis Services.
Funkcja |
Port |
Komentarze |
|---|---|---|
Analysis Services |
Port TCP 2383 dla wystąpienie domyślne |
Standardowy port dla domyślnego wystąpienie Analysis Services. |
SQL Server Usługa przeglądarki |
Port TCP 2382 wymagany tylko dla Analysis Services wystąpienie nazwane |
Żądania połączenia klient dla nazwanego wystąpienie programu Analysis Services który nie zostanie określony numer portu są kierowane do portu 2382 port, na którym SQL Server Wykrywa przeglądarki. SQL Server Przeglądarka następnie przekierowuje żądanie do portu, który korzysta z nazwanego wystąpienie. |
Analysis Services skonfigurowane do użytku przez usługi IIS/HTTP (Usługa ® tabela przestawna używa protokołu HTTP lub HTTPS) |
TCP port 80 |
Używane do adresu URL za pośrednictwem połączenia HTTP. |
Analysis Services skonfigurowane do użytku przez usługi IIS/HTTPS (Usługa ® tabela przestawna używa protokołu HTTP lub HTTPS) |
TCP port 443 |
Używane dla połączenie HTTPS za pomocą adresu URL.HTTPS jest połączenie HTTP, który korzysta z warstwą bezpiecznych gniazd (SSL). |
Jeśli użytkownik uzyskuje dostęp do Analysis Services za pomocą usług IIS i w Internecie należy otworzyć port, na którym nasłuchuje usług IIS i określić ten port w ciąg połączenia klient. W takim przypadek musi być otwarty do bezpośredniego dostępu do nie portów Analysis Services. Domyślnym portem 2382 2389 i portu, należy ograniczyć wraz z innych portów, które nie są wymagane.
Instrukcje krok po kroku dotyczące konfigurowania zapory systemu Windows dla Analysis Services, zobacz How to: Configure Windows Firewall for Analysis Services Access.
Porty używane przez usług raportowania
W poniższej tabela przedstawiono porty, które są często używane przez Reporting Services.
Funkcja |
Port |
Komentarze |
|---|---|---|
Reporting Services Usługi sieci Web |
TCP port 80 |
Używane do połączenia HTTP Reporting Services za pomocą adresu URL. Firma Microsoft zaleca, aby użyć wstępnie skonfigurowanych reguł Usługi sieci Web (HTTP).Aby uzyskać więcej informacji, zobacz temat Interakcja z innych reguł zapory sekcji poniżej. |
Reporting Services skonfigurowany do użycia przy użyciu protokołu HTTPS |
TCP port 443 |
Używane dla połączenie HTTPS za pomocą adresu URL.HTTPS jest połączenie HTTP, który korzysta z warstwą bezpiecznych gniazd (SSL).Firma Microsoft zaleca, aby użyć wstępnie skonfigurowanych reguł Zabezpieczenia usługi sieci Web (HTTPS).Aby uzyskać więcej informacji, zobacz temat Interakcja z innych reguł zapory sekcji poniżej. |
Kiedy Reporting Services łączy się z wystąpienie Database Engine lub Analysis Services, należy otworzyć również porty odpowiednie dla tych usług. Aby uzyskać instrukcje krok po kroku konfigurowania zapory systemu Windows dla Reporting Services, How to: Configure a Firewall for Report Server Access.
Porty używane przez integracja Services
W poniższej tabela przedstawiono porty, które są używane przez Integration Services Usługa.
Funkcja |
Port |
Komentarze |
|---|---|---|
Microsoft zdalnego wywołania procedury (MS RPC) Używane przez Integration Services środowiska wykonawczego. |
TCP port 135 Zobacz Uwagi specjalne dotyczące dla portu 135 |
The Integration Services usługa uses DCOM on port 135. Menedżer sterowania usługami używa portu 135 do wykonywania zadań, takich jak uruchamianie i zatrzymywanie Integration Services Usługa i przekazywania kontroli żądań uruchomionych usług. Nie można zmienić numer portu. Ten port tylko musi być otwarty, jeśli łączysz się do wystąpienie zdalnego Integration Services z usług Management Studio ani niestandardowych aplikacji. |
Aby uzyskać instrukcje krok po kroku konfigurowania zapory systemu Windows dla Integration Services, zobacz Configuring a Windows Firewall for Integration Services Access i How to: Configure a Windows Firewall for Integration Services.
Dodatkowe usługi i porty
Następująca tabela zawiera listę portów i usług, które SQL Server może być zależna od.
Scenariusz |
Port |
Komentarze |
|---|---|---|
Instrumentacja zarządzania Windows Aby uzyskać więcej informacji na temat usługi WMI Zobacz Dostawca WMI dla konfiguracja zarządzania pojęcia |
Usługa WMI jest uruchamiany jako część hosta usług udostępnionych z portów przypisanych przez model DCOM.Usługa WMI może korzystać z port 135 protokołu TCP. Zobacz Uwagi specjalne dotyczące dla portu 135 |
SQL Server Menedżer konfiguracja używa usługi WMI, wyświetlania i zarządzania usługami.Firma Microsoft zaleca korzystanie z grupy reguł wstępnie skonfigurowane Instrumentacja zarządzania Windows (WMI).Aby uzyskać więcej informacji, zobacz temat Interakcja z innych reguł zapory sekcji poniżej. |
Microsoft Koordynator transakcja rozproszona (MS DTC) |
TCP port 135 Zobacz Uwagi specjalne dotyczące dla portu 135 |
Jeśli aplikacja używa transakcje rozproszone, trzeba skonfigurować zaporę, aby umożliwić Microsoft Przepływ między osobne wystąpienia usługi MS DTC oraz między menedżerami usługi MS DTC i zasoby takie jak rozproszonych ruchu Transaction Coordinator (MS DTC) SQL Server. Firma Microsoft zaleca użycie wstępnie skonfigurowane Koordynator transakcja rozproszona grupy reguł. Po jednym udostępnionym MS DTC jest skonfigurowany dla całego klastra w grupie oddzielnych zasób należy dodać sqlservr.exe jako wyjątek zapory. |
Po kliknięciu przycisku Przeglądaj na Management Studio używa protokołu UDP, aby połączyć się z SQL Server Usługa przeglądarki. Aby uzyskać więcej informacji zobaczUsługa Przeglądarka SQL Server. |
UDP port 1434 |
Protokół UDP jest protokołem bezpołączeniowym. Zapora ma wartość, która nosi nazwę Właściwość UnicastResponsesToMulticastBroadcastDisabled interfejs INetFwProfile które steruje zachowaniem zapory w odniesieniu do odpowiedzi emisji pojedynczej na żądania protokołu UDP emisji (lub multiemisji).Ma on dwie zachowań:
|
Ruch IPsec |
UDP port 500 i UDP port 4500 |
Jeśli zasady domena wymaga komunikacji sieciowej, należy wykonać za pomocą protokołu IPsec, należy także dodać do listy wyjątków UDP port 4500 i UDP port 500.Protokół IPsec jest jedną z opcji przy użyciu Kreator nowej reguły przychodzące w przystawki Zapora systemu WindowsAby uzyskać więcej informacji zobacz Używanie zapory systemu Windows z przystawki zabezpieczenia zaawansowane poniżej. |
Przy użyciu uwierzytelnianie systemu Windows z zaufanej domeny |
Aby zezwolić na żądania uwierzytelnianie muszą być skonfigurowane zapory. |
Aby uzyskać więcej informacji zobacz Jak skonfigurować zaporę dla domen i relacji zaufania. |
SQL Server i usługa klastrowania w systemie Windows |
klastrowanie wymaga dodatkowych portów, które nie są bezpośrednio związane z SQL Server. |
Aby uzyskać więcej informacji zobacz Włączanie sieci do użytku klastra. |
Obszary nazw adresów URL zarezerwowane w interfejsie API serwera HTTP (HTTP.sys) |
Prawdopodobnie TCP port 80, ale mogą być konfigurowane do innych portów.Aby uzyskać ogólne informacje Zobacz Konfigurowanie protokołu HTTP i HTTPS. |
Dla SQL Server Zobacz szczegółowe informacje na temat punktu końcowego HTTP.sys przy użyciu HttpCfg.exe, rezerwowanie Rezerwowanie obszarów nazw adresów URL przy użyciu HTTP.sys. |
Uwagi specjalne dotyczące dla portu 135
Podczas korzystania z wywoływania RPC z protokołem TCP/IP lub protokołu UDP/IP jako transportu, porty przychodzące są często dynamicznie przypisywane do usług systemowych zgodnie z wymaganiami; używane są porty TCP/IP i UDP/IP, które są większe niż 1024.Te są często określane określane jako „ losowych portów RPC. „ W takich przypadkach klienci RPC, które są oparte na mapowania punktów końcowych RPC sprawdzić ich portów dynamicznych, które zostały przypisane do serwera. Dla niektórych usług opartych na protokole RPC można skonfigurować określony port zamiast od tego, co pozwala przypisać dynamicznie RPC.Można również ograniczyć zakres portów, które dynamicznie przypisuje niewielki zakres, niezależnie od usługa RPC.Ponieważ wiele usług jest używany port 135 jest często zaatakowany przez złośliwych użytkowników.Podczas otwierania portu 135, należy rozważyć ograniczenie zakres reguły zapory.
Aby uzyskać więcej informacji o porcie 135 zobacz następujące informacje:
Interakcja z innych reguł zapory
Zapora systemu Windows używa zasady i reguły grup do ustalenia jego konfiguracja.Każda reguła lub grupy reguł jest zazwyczaj skojarzony z określonego programu lub usługi, a ten program lub usługa może zmodyfikować lub usunąć reguły bez wiedza użytkownika.Na przykład grupy reguł Usługi sieci Web (HTTP) and Usługi sieci Web (HTTPS) są skojarzone z usługami IIS.Włączenie tych zasad spowoduje otwarcie portów 80 i 443, a SQL Server Funkcje, które są zależne od na portach 80 i 443 będzie działać, jeśli te zasady są włączone. Jednak administratorzy konfigurowania Internetowych usług informacyjnych może zmodyfikować lub wyłącz te reguły.Dlatego w przypadku korzystania z portu 80 lub portu 443 dla SQL Server, należy utworzyć swoje własne reguły lub grupy regułę, która przechowuje konfiguracja żądany port, niezależnie od innych reguł internetowych usług informacyjnych.
Zapora systemu Windows przy użyciu przystawki konsoli MMC zabezpieczeń zaawansowane umożliwia żadnego ruchu, że odpowiedniki stosowane w każdym pozwala reguły.Dlatego jeśli istnieją dwie reguły, że zarówno stosują się do portu 80 (z różnymi parametrami), ruchu, który odpowiada każdej regule mogą.Tak jedna reguła zezwala na ruch na porcie 80 z podsieci lokalnej, jedną regułę zezwala na ruch sieciowy z dowolnego adresu efekt netto jest, że cały ruch na porcie 80 jest dozwolone niezależnie od urządzenie źródłowe.Aby efektywnie zarządzać dostępem do SQL Server, Administratorzy powinni sprawdzić okresowo wszystkich reguł zapory włączone na serwerze.
Omówienie profilów zapory
Profile zapory są omówione w Wprowadzenie do korzystania z zapory systemu Windows z zabezpieczeniami zaawansowanymi w systemie Windows Vista i Windows Server 2008 w sekcji Zaporę hosta korzystającego z lokalizacji sieciowej.Podsumowując, Windows Vista i Windows Server 2008 zidentyfikowanie i pamiętać o każdej z sieci, z którym łączą się z łącznością, połączenia i kategorii.
Istnieją trzy typy lokalizacji sieciowej w Zaporze systemu Windows z zabezpieczeniami zaawansowanymi:
domena.System Windows może uwierzytelnić dostęp do kontrolera domena dla domena, do której komputer jest przyłączony.
Publiczne.Innych niż sieci domena, wszystkie sieci są początkowo określane jako publicznego.Sieci, które reprezentują bezpośrednie połączenia z Internetem lub znajdują się w miejscach publicznych, takich jak porty lotnicze i kawiarni należy pozostawić publicznych.
Prywatne.Sieć, określone przez użytkownika lub aplikacji jako prywatny.Tylko zaufanych sieciach powinny być określone jako sieci prywatne.Użytkownicy prawdopodobnie będą chcieli identyfikacji sieci domowej lub małej firmy jako prywatny.
Administrator może utworzyć profil dla każdego typu lokalizacji sieciowej, z każdego profilu zawierającego zasady innej zapory.Tylko jeden profil jest stosowany w dowolnym momencie.Profil kolejność jest stosowana w następujący sposób:
Jeśli wszystkie interfejsy są uwierzytelniane na kontrolerze domena dla domena, której członkiem jest komputer, na profil domena jest stosowane.
Jeśli wszystkie interfejsy albo są uwierzytelniane na kontrolerze domena lub jest podłączony do sieci, które należą do lokalizacji w sieci prywatnej, stosowany jest profilu prywatnego.
W przeciwnym razie profil publiczny jest stosowana.
Za pomocą zapory systemu Windows Advanced Security przystawki do przeglądania i konfigurowania wszystkich profilów zapory.The Windows Firewall element in Control Panel only configures the current profile.
Dodatkowe ustawienia zapory za pomocą zapory systemu Windows element w Panelu sterowania
Wyjątki, które dodajesz do zapory mogą ograniczać otwarcia portu do połączenia przychodzące z określonych komputerów lub podsieci lokalnej.To ograniczenie zakres portu, otwierając można zmniejszyć, ile komputer jest narażony na złośliwych użytkowników i jest zalecane.
Uwaga
Za pomocą Zapora systemu Windows element w Panelu sterowania konfiguruje tylko bieżący profil zapory.
Aby zmienić zakres wyjątek zapory, używając element Zapora systemu Windows w Panelu sterowania
W Zapora systemu Windows element w Panelu sterowania, wybierz program lub port na Wyjątki karcie, a następnie kliknij przycisk Właściwości or Edytowanie.
W Edytowanie programu or Edytowanie portu okno dialogowe kliknijZmiana zakres.
Wybierz jedną z następujących opcji:
Każdy komputer (łącznie z tymi w Internecie)
Nie zaleca.Pozwoli to wszystkim komputerom, które można rozwiązać tego komputera do łączenia się z określonego programu lub portu.To ustawienie może być konieczne, aby zezwolić na informacje, które mają być przedstawiane użytkownikom anonimowym w Internecie, ale zwiększa poziom narażenia na złośliwych użytkowników.Poziom narażenia można go zwiększyć, jeśli to ustawienie włączone i pozwolić również na przechodzenie translacji adresów sieciowych (NAT), takie jak opcję Zezwalaj na przechodzenie krawędzi.
Moja sieć (podsieć) tylko
Jest to bezpieczniejsze ustawienie niż Każdy komputer.Tylko komputery w podsieci lokalnej sieci można połączyć program lub port.
Lista niestandardowa:
Tylko komputery, które mają adresy IP liście mogą się łączyć.Może to być bezpieczniejsze ustawienie niż Moja sieć (podsieć) tylko, jednak komputerów klienckich przy użyciu protokołu DHCP od czasu do czasu może zmienić swojego adresu IP.Następnie zamierzonego komputer nie będzie mógł się łączyć.Inny komputer, które nie były przeznaczone do autoryzacji, może zaakceptować wymienione na liście adres IP i mieć możliwość nawiązania połączenia.The Custom list option might be appropriate for listing other servers which are configured to use a fixed IP address; however, IP addresses might be spoofed by an intruder.Ograniczaniu reguły zapory są tylko jako silne jako infrastruktury sieci.
Używanie zapory systemu Windows z przystawki zabezpieczenia zaawansowane
Na komputerach z systemem Vista lub Windows Server 2008, dodatkowych ustawień zaawansowanych można konfigurować za pomocą zapory systemu Windows przy użyciu przystawki konsoli MMC zaawansowanych zabezpieczeń. Przystawka zawiera Kreatora reguł i udostępnia dodatkowe ustawienia, które nie są dostępne w Zapora systemu Windows element w Panelu sterowania.Te ustawienia są następujące:
Ustawienia szyfrowanie
Ograniczenia usługi
Ograniczanie połączeń dla komputerów według nazw
Ograniczanie połączeń do określonych użytkowników lub profilów
Przechodzenie krawędzi, umożliwiając ruchu pominąć routery translacji adresów sieciowych (NAT)
Konfigurowanie reguł wychodzących
Konfigurowanie zasad zabezpieczeń
Wymaganie zabezpieczeń IPsec dla połączeń przychodzących
Aby utworzyć nową regułę zapory za pomocą Kreatora nowej reguły
W menu Start kliknij przycisk Uruchamianie, wpisz WF.msc, a następnie kliknij przycisk OK.
W Zapora systemu Windows z zabezpieczeniami zaawansowanymi , w okienku po lewej stronie, kliknij prawym przyciskiemReguły przychodzące, a następnie kliknij przycisk Nowa reguła.
Zakończenie Kreator nowej reguły przychodzące przy użyciu żądane ustawienia.
Rozwiązywanie problemów z ustawienia zapory
Następujące narzędzia i techniki może być przydatne w rozwiązywaniu problemów zapory:
Stan portu skuteczne jest sumę wszystkich reguł odnoszących się do portu.Podczas próby zablokowania dostępu za pośrednictwem portu, może to być przydatne przejrzeć wszystkie reguły zacytowana numer portu.W tym celu należy używać zapory systemu Windows przy użyciu przystawki konsoli MMC zabezpieczeń Zaawansowane i sortowanie regułach przychodzących i wychodzących według numerów portów.
Przejrzyj te porty, które są aktywne na komputerze, na którym SQL Server jest uruchomiony. Ten proces recenzowania obejmuje sprawdzanie TCP/IP, które porty są nasłuchiwanie i również sprawdzania stanu portów.
Aby sprawdzić, które porty nasłuchują, należy użyć polecenie netstat , narzędzie wiersza polecenia.Oprócz wyświetlania aktywne połączenia protokołu TCP, polecenie netstat , narzędzie wyświetla także różne statystyki IP i informacji.
Do listy, na których nasłuchują portów TCP/IP
Otwórz okno wiersz polecenia.
W wiersz polecenia wpisz: polecenie netstat - n -.
The -n switch instructs netstat to numerically display the address and port number of active TCP connections.The -a switch instructs netstat to display the TCP and UDP ports on which the computer is listening.
The PortQry utility can be used to report the status of TCP/IP ports as listening, not listening, or filtered.(Z filtrowanym stan, port może być lub nie może być nasłuchuje; ten stan wskazuje, że narzędzie nie otrzymał odpowiedzi od portu). The PortQry jest dostępny do pobrania , narzędzieCentrum pobierania firmy Microsoft.
Dodatkowe tematy dotyczące rozwiązywania problemów Zobacz: