Ten artykuł został przetłumaczony przez maszynę. Aby wyświetlić jego treść w języku angielskim, zaznacz pole wyboru Angielski. Możesz też wyświetlić angielski tekst w okienku wyskakującym, przesuwając wskaźnik myszy nad konkretny tekst”.
Tłumaczenie
Angielski

Konfigurowanie Zapory systemu Windows do zezwalania na dostęp do programu SQL Server

Systemy zapór pomagają w uniemożliwianiu nieautoryzowanego dostępu do zasobów komputera. Jeśli zapora będzie włączona, ale nie będzie poprawnie skonfigurowana, próby nawiązania połączenia z programem SQL Server mogą być blokowane.

Aby móc uzyskiwać dostęp do wystąpienia programu SQL Server za pośrednictwem zapory, należy skonfigurować zaporę na komputerze, na którym jest uruchomiony program SQL Server, do zezwalania na dostęp. Zapora to składnik systemu Microsoft Windows. Można także zainstalować zaporę innej firmy. W tym temacie opisano sposób konfigurowania Zapory systemu Windows, ale podstawowe zasady dotyczą także wszystkich innych zapór programowych.

Uwaga Uwaga:

W tym temacie opisano ogólnie konfigurowanie zapory i podsumowano informacje przydatne dla administratora programu SQL Server. Aby uzyskać więcej informacji dotyczących zapór oraz zapoznać się z oficjalnymi danymi dotyczącymi zapór, zobacz dokumentację zapory, taką jak Zapora systemu Windows z zabezpieczeniami zaawansowanymi i protokołem IPsec i Zapora systemu Windows z zabezpieczeniami zaawansowanymi — plan zawartości.

Użytkownicy zaznajomieni z elementem Zapora systemu Windows w Panelu sterowania i przystawką programu Microsoft Management Console (MMC) Zapora systemu Windows z zabezpieczeniami zaawansowanymi oraz użytkownicy wiedzący, które ustawienia zapory należy skonfigurować, mogą przejść bezpośrednio do tematów z następującej listy:

Zasada działania zapory polega na sprawdzaniu pakietów przychodzących i porównywaniu ich z zestawem reguł. Jeśli reguły zezwalają na przesłanie pakietu, zapora przekazuje go do protokołu TCP/IP w celu dalszego przetwarzania. Jeśli reguły nie zezwalają na przesłanie pakietu, zapora odrzuca pakiet i, jeśli jest włączona funkcja rejestrowania, tworzy wpis w pliku dziennika zapory.

Lista dozwolonych elementów ruchu jest wypełniana na jeden z następujących sposobów:

  • Gdy komputer, na którym jest włączona zapora, inicjuje komunikację, zapora tworzy wpis na liście, co umożliwia otrzymanie odpowiedzi. Przychodząca odpowiedź jest traktowana jako ruch na żądanie i nie trzeba konfigurować jej obsługi.

  • Administrator konfiguruje wyjątki zapory. Umożliwia to dostęp do określonych programów uruchomionych na komputerze albo dostęp do określonych portów połączeń na komputerze. W tym przypadku komputer akceptuje ruch przychodzący, którego nie żądał, gdy pełni funkcję serwera, odbiornika lub elementu równorzędnego. Jest to typ konfiguracji, którą trzeba wykonać, aby można było nawiązać połączenie z programem SQL Server.

Wybranie strategii korzystania z zapory nie polega wyłącznie na określeniu, czy dany port ma być otwarty, czy zamknięty. Podczas projektowania strategii korzystania z zapory dla swojej organizacji należy rozważyć zastosowanie wszystkich dostępnych reguł i opcji konfiguracji. W tym temacie nie opisano wszystkich możliwych opcji zapory. Zalecane jest przejrzenie następujących dokumentów:

Wprowadzenie do Zapory systemu Windows z zabezpieczeniami zaawansowanymi

Zapora systemu Windows z zabezpieczeniami zaawansowanymi — podręcznik projektowania

Wprowadzenie do izolacji serwerów i domen

Pierwszym krokiem planowania konfiguracji zapory jest ustalenie bieżącego stanu zapory w systemie operacyjnym. Jeśli system operacyjny został uaktualniony z poprzedniej wersji, być może zostały zachowane poprzednie ustawienia zapory. Ponadto ustawienia zapory mogły zostać zmienione przez innego administratora albo zasady grupy obowiązujące w domenie. Jednak domyślne ustawienia są następujące:

  • Windows Server 2008

    Zapora jest włączona i blokuje połączenia zdalne.

  • Windows Vista

    Zapora jest włączona i blokuje połączenia zdalne.

Uwaga Uwaga:

Włączenie zapory będzie miało wpływ na inne programy uzyskujące dostęp do tego komputera, takie jak funkcja udostępniania plików i drukarek oraz połączenia pulpitu zdalnego. Przed dostosowaniem ustawień zapory administratorzy powinni przeanalizować wszystkie aplikacje uruchamiane na komputerze.

Dostępne są trzy metody konfigurowania ustawień Zapory systemu Windows.

  • Element Zapora systemu Windows w Panelu sterowania

    Element Zapora systemu Windows można otworzyć w Panelu sterowania.

    Ważna informacja Ważne:

    Zmiany wprowadzone w elemencie Zapora systemu Windows w Panelu sterowania mają wpływ tylko na bieżący profil. Na urządzeniach mobilnych, takich jak komputery przenośne, nie należy używać elementu Zapora systemu Windows w Panelu sterowania, ponieważ profil może zostać zmieniony, gdy urządzenie zostanie podłączone do sieci w innej konfiguracji. Spowoduje to, że poprzednio skonfigurowany profil nie będzie używany. Aby uzyskać więcej informacji dotyczących profilów, zobacz temat Wprowadzenie do Zapory systemu Windows z zabezpieczeniami zaawansowanymi.

    Element Zapora systemu Windows w Panelu sterowania umożliwia skonfigurowanie podstawowych opcji. Należą do nich:

    • Włączanie i wyłączanie elementu Zapora systemu Windows w Panelu sterowania.

    • Włączanie i wyłączanie reguł.

    • Tworzenie wyjątków dla portów i programów.

    • Ustawianie niektórych ograniczeń dotyczących zakresów.

    Element Zapora systemu Windows w Panelu sterowania jest najodpowiedniejszy dla użytkowników, którzy nie mają doświadczenia w konfigurowaniu zapór, i którzy konfigurują podstawowe opcje zapory na nieprzenośnym komputerze. Element Zapora systemu Windows w Panelu sterowania można też uruchomić za pomocą polecenia run, wykonując następującą procedurę:

    Aby otworzyć element Zapora systemu Windows

    1. W menu Start kliknij polecenie Uruchom, a następnie wprowadź polecenie firewall.cpl.

    2. Kliknij przycisk OK.

  • Program Microsoft Management Console (MMC)

    Przystawka programu MMC Zapora systemu Windows z zabezpieczeniami zaawansowanymi umożliwia konfigurowanie bardziej zaawansowanych ustawień zapory. Ta przystawka jest dostępna dopiero w systemach Microsoft Vista, Windows Server 2008 i nowszych, ale umożliwia łatwe używanie większości opcji zapory, a ponadto prezentuje wszystkie profile zapory. Aby uzyskać więcej informacji, zobacz sekcję Używanie przystawki Zapora systemu Windows z zabezpieczeniami zaawansowanymi w dalszej części tego tematu.

  • Narzędzie netsh

    Za pomocą narzędzia netsh.exe administrator może konfigurować i monitorować komputery z systemem Windows, używając wiersza polecenia lub pliku wsadowego. Używając narzędzia netsh, wprowadzane polecenia kontekstowe można kierować do odpowiedniego pomocnika, który wykona dane polecenie. Pomocnik to plik biblioteki dołączanej dynamicznie (DLL) rozszerzający funkcjonalność narzędzia netsh przez dostarczanie konfiguracji, monitorowania i obsługi dla co najmniej jednej usługi, narzędzia lub protokołu. Wszystkie systemy operacyjne obsługujące program SQL Server zawierają pomocnika zapory. Systemy Microsoft Windows Vista i Windows Server 2008 zawierają także zaawansowanego pomocnika zapory o nazwie advfirewall. Szczegóły używania narzędzia netsh nie zostały opisane w tym temacie. Jednak przy użyciu narzędzia netsh można skonfigurować wiele opcji konfiguracji. Na przykład uruchomienie poniższego skryptu w wierszu polecenia umożliwia otwarcie portu TCP 1433:

    netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT
    
    netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT
    

    Poniżej przedstawiono ponowny przykład obejmujący użycie pomocnika Zapory systemu Windows z zabezpieczeniami zaawansowanymi:

    netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN
    
    netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN
    

    Aby uzyskać więcej informacji dotyczących narzędzia netsh, skorzystaj z następujących łączy:

W poniższej tabeli wymieniono porty używane przez program SQL Server.

Porty używane przez aparat bazy danych

W poniższej tabeli wymieniono porty, które są często używane przez program Aparat baz danych.

Scenariusz

Port

Komentarze

Wystąpienie domyślne programu SQL Server działające z użyciem protokołu TCP

Port TCP 1433

Jest to port, na dostęp do którego zapora zezwala najczęściej. Służy on do nawiązywania rutynowych połączeń z domyślną instalacją programu Aparat baz danych albo z nazwanym wystąpieniem, które jest jedynym wystąpieniem działającym na komputerze. (Z nazwanymi wystąpieniami są związane specjalne zagadnienia. Zobacz sekcję Porty dynamiczne w dalszej części tego tematu).

Nazwane wystąpienia programu SQL Server w konfiguracji domyślnej

Port TCP to port dynamiczny określany w czasie uruchamiania programu Aparat baz danych. 

Zobacz opis poniżej w sekcji Porty dynamiczne. Gdy są używane nazwane wystąpienia, port UDP 1434 może być wymagany do działania usługi SQL Server Browser.

Nazwane wystąpienia programu SQL Server konfigurowane do używania stałego portu

Numer portu skonfigurowany przez administratora.

Zobacz opis poniżej w sekcji Porty dynamiczne.

Dedykowane połączenie administratora

Port TCP 1434 dla wystąpienia domyślnego. Inne porty są używane dla nazwanych wystąpień. Sprawdź numer portu w dzienniku błędów.

Domyślnie połączenia zdalne z dedykowanym połączeniem administratora (DAC) są wyłączone. Aby włączyć zdalne połączenie DAC, użyj aspektu Konfiguracja obszaru powierzchni. Aby uzyskać więcej informacji, zobacz temat Konfiguracja obszaru powierzchni.

Usługa SQL Server Browser

Port UDP 1434

Usługa SQL Server Browser nasłuchuje połączeń przychodzących z nazwanym wystąpieniem i dostarcza klientowi numer portu TCP odpowiadający danemu nazwanemu wystąpieniu. Normalnie usługa SQL Server Browser jest uruchamiana zawsze, gdy są używane nazwane wystąpienia programu Aparat baz danych. Usługi SQL Server Browser nie trzeba uruchamiać, jeśli klient jest skonfigurowany do nawiązywania połączenia z określonym portem nazwanego wystąpienia.

Wystąpienie domyślne programu SQL Server działające z użyciem punktu końcowego protokołu HTTP.

Można je określić podczas tworzenia punktu końcowego protokołu HTTP. Domyślnie jest to port TCP 80 dla ruchu CLEAR_PORT oraz port 443 dla ruchu SSL_PORT.

Służy do obsługi połączeń HTTP nawiązywanych za pomocą adresu URL.

Wystąpienie domyślne programu SQL Server działające z użyciem punktu końcowego protokołu HTTPS.

Port TCP 443

Służy do obsługi połączeń HTTPS nawiązywanych za pomocą adresu URL. Połączenie HTTPS to połączenie HTTP, w którym jest używany protokół SSL (Secure Sockets Layer).

Service Broker

Port TCP 4022. Aby sprawdzić, który port jest używany, wykonaj następujące zapytanie:

SELECT name, protocol_desc, port, state_desc

FROM sys.tcp_endpoints

WHERE type_desc = 'SERVICE_BROKER'

Dla programu SQL Server Service Broker nie jest używany port domyślny, ale jest to konwencjonalna konfiguracja używana w przykładach przedstawionych w dokumentacji Książki online.

Dublowanie bazy danych

Port wybrany przez administratora. Aby ustalić, który to port, wykonaj następujące zapytanie:

SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints

WHERE type_desc = 'DATABASE_MIRRORING'

Dla funkcji dublowania bazy danych nie jest używany port domyślny, ale w przykładach przedstawionych w dokumentacji Książki online jest używany port TCP 7022. Bardzo ważne jest, aby unikać przerywania działania używanego punktu końcowego dublowania, zwłaszcza w trybie wysokiego bezpieczeństwa z automatyczną pracą awaryjną. Konfiguracja zapory nie może powodować utraty kworum. Aby uzyskać więcej informacji, zobacz temat Określ adres sieciowy serwer (dublowania bazy danych).

Replikacja

W połączeniach replikacji z programem SQL Server są używane typowe porty programu Aparat baz danych (port TCP 1433 dla wystąpienia domyślnego itp.).

Synchronizacja w sieci Web oraz dostęp FTP/UNC do migawki replikacji wymagają otwarcia dodatkowych portów zapory. Aby przesłać początkowe dane i schemat z jednej lokalizacji do drugiej, funkcja replikacji używa protokołu FTP (port TCP 21), Synchronizacja przez HTTP (port TCP 80) lub Udostępnianie plików i drukarek (port TCP 137, 138 lub 139).

W przypadku protokołu Synchronizacja przez HTTP funkcja replikacji używa punktu końcowego usług IIS (porty, dla których można wykonać konfigurację; domyślnie jest to port 80), ale proces usług IIS łączy się z programem SQL Server na zapleczu za pomocą standardowych portów (1433 dla wystąpienia domyślnego).

W trakcie synchronizacji w sieci Web z użyciem protokołu FTP, transfer FTP jest wykonywany między usługami IIS i wydawcą programu SQL Server, a nie między subskrybentem i usługami IIS.

Debuger języka Transact-SQL

Port TCP 135

Zobacz Zagadnienia specjalne związane z portem 135

Może być także wymagany wyjątek IPsec.

Jeśli jest używany program Visual Studio, na komputerze obsługującym program Visual Studio należy dodać program Devenv.exe do listy wyjątków i otworzyć port TCP 135.

Jeśli jest używany program Management Studio, na komputerze obsługującym program Management Studio należy dodać program ssms.exe do listy wyjątków i otworzyć port TCP 135. Aby uzyskać więcej informacji, zobacz temat Konfigurowanie Debugger języka Transact-SQL.

Aby uzyskać instrukcje krok po kroku dotyczące konfigurowania Zapory systemu Windows dla programu Aparat baz danych, zobacz temat Konfigurowanie Zapory systemu Windows do zezwalania na dostęp do aparatu bazy danych.

Porty dynamiczne

Domyślnie nazwane wystąpienia (w tym wystąpienia programu SQL Server Express) używają portów dynamicznych. Oznacza to, że przy każdym uruchomieniu program Aparat baz danych identyfikuje dostępny port i używa tego numeru portu. Jeśli nazwane wystąpienie jest jedynym zainstalowanym wystąpieniem programu Aparat baz danych, prawdopodobnie będzie używać portu TCP 1433. Jeśli jest zainstalowane inne wystąpienie programu Aparat baz danych, prawdopodobnie będzie używać innego portu TCP. Wybrany port może być inny po każdym uruchomieniu programu Aparat baz danych, więc trudno jest skonfigurować zaporę do zezwalania na dostęp do poprawnego numeru portu. Dlatego zalecane jest, aby w przypadku używania zapory ponownie skonfigurować program Aparat baz danych, tak aby za każdym razem używał takiego samego numeru portu. Taki port jest nazywany stałym portem lub portem statycznym. Aby uzyskać więcej informacji, zobacz temat Konfigurowanie serwera do nasłuchiwania na odpowiednim porcie TCP (Menedżer konfiguracji programu SQL Server).

Alternatywą w stosunku do skonfigurowania nazwanego wystąpienia do nasłuchiwania na stałym porcie jest utworzenie wyjątku w zaporze dla programu SQL Server, na przykład sqlservr.exe (dla programu Aparat baz danych). Może to być wygodne, ale numer portu nie będzie wyświetlany w kolumnie Port lokalny na stronie Reguły ruchu przychodzącego w przystawce programu MMC Zapora systemu Windows z zabezpieczeniami zaawansowanymi. Może to utrudnić sprawdzanie, które porty są otwarte. Innym problemem jest fakt, że dodatek Service Pack lub aktualizacja zbiorcza może zmienić ścieżkę do pliku wykonywalnego programu SQL Server, co spowoduje, że reguła zapory stanie się nieprawidłowa.

Uwaga Uwaga:

W poniższych procedurach jest używany element Zapora systemu Windows w Panelu sterowania. Przystawka programu MMC Zapora systemu Windows z zabezpieczeniami zaawansowanymi umożliwia konfigurowanie bardziej złożonych reguł. Obejmuje to konfigurowanie wyjątków dla usług, co może ułatwiać oferowanie ochrony w głębi systemu. Zobacz sekcję Używanie przystawki Zapora systemu Windows z zabezpieczeniami zaawansowanymi poniżej.

Aby dodać do zapory wyjątek dla programu, używając elementu Zapora systemu Windows w Panelu sterowania

  1. Na karcie Wyjątki elementu Zapora systemu Windows w Panelu sterowania kliknij przycisk Dodaj program.

  2. Przejdź do lokalizacji wystąpienia programu SQL Server, dla którego chcesz zezwolić na ruch przez zaporę, na przykład C:\Program Files\Microsoft SQL Server\MSSQL11.<instance_name>\MSSQL\Binn, zaznacz plik sqlservr.exe, a następnie kliknij przycisk Otwórz.

  3. Kliknij przycisk OK.

Aby uzyskać więcej informacji dotyczących punktów końcowych, zobacz tematy Network Protocols and TDS Endpoints i Punkty końcowe wykazu widoki (języka Transact-SQL).

Porty używane przez usługi Analysis Services

W poniższej tabeli wymieniono porty, które są często używane przez usługi Analysis Services.

Funkcja

Port

Komentarze

Analysis Services

Port TCP 2383 dla wystąpienia domyślnego.

Standardowy port dla wystąpienia domyślnego usług Analysis Services.

Usługa SQL Server Browser

Port TCP 2382 jest wymagany tylko dla nazwanego wystąpienia usług Analysis Services.

Żądania połączeń klientów z nazwanym wystąpieniem usług Analysis Services, w których nie określono numeru portu, są kierowane do portu 2382, na którym nasłuchuje program SQL Server Browser. Następnie program SQL Server Browser przekierowuje żądania do portu używanego przez nazwane wystąpienie.

Usługi Analysis Services skonfigurowane do używania usług IIS/protokołu HTTP

(Usługa PivotTable® używa protokołu HTTP lub HTTPS)

Port TCP 80

Służy do obsługi połączeń HTTP nawiązywanych za pomocą adresu URL.

Usługi Analysis Services skonfigurowane do używania usług IIS/protokołu HTTPS

(Usługa PivotTable® używa protokołu HTTP lub HTTPS)

Port TCP 443

Służy do obsługi połączeń HTTPS nawiązywanych za pomocą adresu URL. Połączenie HTTPS to połączenie HTTP, w którym jest używany protokół SSL (Secure Sockets Layer).

Jeśli użytkownicy uzyskują dostęp do usług Analysis Services za pośrednictwem usług IIS i Internetu, należy otworzyć port, na którym nasłuchują usługi IIS, i określić ten port w parametrach połączenia klienta. W tym przypadku nie trzeba otwierać portów umożliwiających bezpośredni dostęp do usług Analysis Services. Dostęp do domyślnego portu 2389 i do portu 2382 powinien zostać ograniczy, podobnie jak dostęp do wszystkich innych portów, które nie są potrzebne.

Aby uzyskać instrukcje krok po kroku dotyczące konfigurowania Zapory systemu Windows dla usług Analysis Services, zobacz temat Skonfiguruj zaporę systemu Windows, aby umożliwić dostępu usług analiz.

Porty używane przez usługi Reporting Services

W poniższej tabeli wymieniono porty, które są często używane przez usługi Reporting Services.

Funkcja

Port

Komentarze

Usługi sieci Web usług Reporting Services

Port TCP 80

Służy do obsługi połączeń HTTP z usługami Reporting Services nawiązywanych za pomocą adresu URL. Zalecane jest, aby nie używać wstępnie skonfigurowanej reguły Usługi sieci World Wide Web (HTTP). Aby uzyskać więcej informacji, zobacz sekcję Interakcja z innymi regułami zapory poniżej.

Usługi Reporting Services skonfigurowane do używania protokołu HTTPS

Port TCP 443

Służy do obsługi połączeń HTTPS nawiązywanych za pomocą adresu URL. Połączenie HTTPS to połączenie HTTP, w którym jest używany protokół SSL (Secure Sockets Layer). Zalecane jest, aby nie używać wstępnie skonfigurowanej reguły Bezpieczne usługi sieci World Wide Web (HTTPS). Aby uzyskać więcej informacji, zobacz sekcję Interakcja z innymi regułami zapory poniżej.

Gdy usługi Reporting Services nawiązują połączenie z wystąpieniem programu Aparat baz danych lub usług Analysis Services, należy także otworzyć odpowiednie porty dla tych usług. Aby uzyskać instrukcje krok po kroku dotyczące konfigurowania Zapory systemu Windows dla usług Reporting Services, zobacz temat Skonfiguruj zaporę raport serwer dostępu.

Porty używane przez usługi Integration Services

W poniższej tabeli wymieniono porty, które są często używane przez usługę Integration Services.

Funkcja

Port

Komentarze

Zdalne wywołania procedur firmy Microsoft (MS RPC)

Używane przez środowisko uruchomieniowe usług Integration Services.

Port TCP 135

Zobacz Zagadnienia specjalne związane z portem 135

Usługa Integration Services używa modelu DCOM na porcie 135. Menedżer sterowania usługami używa portu 135 do wykonywania zadań, takich jak uruchamianie i zatrzymywanie usługi Integration Services oraz przesyłanie żądań sterowania do uruchomionej usługi. Tego numeru portu nie można zmienić.

Otwarcie tego portu jest wymagane tylko wtedy, gdy jest nawiązywane połączenie ze zdalnym wystąpieniem usługi Integration Services z programu Management Studio lub aplikacji niestandardowej.

Aby uzyskać instrukcje krok po kroku dotyczące konfigurowania Zapory systemu Windows dla usług Integration Services, zobacz tematy Konfigurowanie zapory systemu Windows dla dostępu do usługi SSIS Legacy i How to: Configure a Windows Firewall for Integration Services (Legacy SSIS Service).

Dodatkowe porty i usługi

W poniższej tabeli wymieniono porty i usługi, od których program SQL Server może być zależny.

Scenariusz

Port

Komentarze

Instrumentacja zarządzania Windows

Aby uzyskać więcej informacji dotyczących usługi WMI, zobacz temat Dostawca WMI dla konfiguracji zarządzania — pojęcia.

Usługa WMI działa jako część hosta usług udostępnionych z portami przypisywanymi przez model DCOM. Usługa WMI może używać portu TCP 135.

Zobacz Zagadnienia specjalne związane z portem 135

Menedżer konfiguracji programu SQL Server używa usługi WMI do tworzenia listy usług i zarządzania nimi. Zalecane jest, aby nie używać wstępnie skonfigurowanej grupy reguł Instrumentacja zarządzania Windows (WMI). Aby uzyskać więcej informacji, zobacz sekcję Interakcja z innymi regułami zapory poniżej.

Microsoft Distributed Transaction Coordinator (MS DTC)

Port TCP 135

Zobacz Zagadnienia specjalne związane z portem 135

Jeśli w aplikacji są używane transakcje rozproszone, może być konieczne skonfigurowanie zapory, tak aby zezwalała na przepływ ruchu usługi Microsoft Distributed Transaction Coordinator (MS DTC) między odrębnymi wystąpieniami usługi MS DTC oraz między usługą MS DTC i menedżerami zasobów, takimi jak SQL Server. Zalecane jest używanie wstępnie skonfigurowanej grupy reguł Koordynator transakcji rozproszonych.

Jeśli dla całego klastra jest skonfigurowane jedno udostępnione wystąpienie usługi MS DTC w osobnej grupie zasobów, należy dodać program sqlservr.exe jako wyjątek do zapory.

Przycisk przeglądania w programie Management Studio używa protokołu UDP do nawiązywania połączenia z usługą SQL Server Browser. Aby uzyskać więcej informacji, zobacz temat Usługa Przeglądarka SQL Server.

Port UDP 1434

UDP to protokół bezpołączeniowy.

Zapora ma ustawienie o nazwie Właściwość UnicastResponsesToMulticastBroadcastDisabled interfejsu INetFwProfile, które określa zachowanie zapory w odniesieniu do odpowiedzi emisji pojedynczej na żądanie emisji (lub multiemisji) protokołu UDP. Ta właściwość określa dwa zachowania:

  • Jeśli to ustawienie ma wartość TRUE, w ogóle nie są dozwolone odpowiedzi emisji pojedynczej na żądania emisji. Wyliczanie usług nie powiedzie się.

  • Jeśli to ustawienie ma wartość FALSE (wartość domyślna), odpowiedzi emisji pojedynczej są dozwolone przez 3 sekundy. Tego czasu nie można skonfigurować. W wyniku prób wyliczenia wystąpień programu SQL Server w obciążonych lub charakteryzujących się dużymi opóźnieniami sieciach albo w przypadku bardzo obciążonych serwerów mogą być zwracane niepełne listy, co może być mylące dla użytkowników.

Ruch protokołu IPsec

Porty UDP 500 i 4500

Jeśli zasady domeny wymagają komunikacji sieciowej za pośrednictwem protokołu IPsec, do listy wyjątków należy dodać też porty UDP 4500 i 500. Protokół IPsec to opcja dostępna w Kreatorze nowej reguły ruchu przychodzącego w przystawce Zapora systemu Windows. Aby uzyskać więcej informacji, zobacz sekcję Używanie przystawki Zapora systemu Windows z zabezpieczeniami zaawansowanymi poniżej.

Używanie uwierzytelniania systemu Windows z zaufanymi domenami

Zapory muszą być skonfigurowane do zezwalania na żądania uwierzytelniania.

Aby uzyskać więcej informacji, zobacz temat Jak skonfigurować zaporę do obsługi domen i relacji zaufania.

Program SQL Server i klastry systemu Windows

Klastrowanie wymaga dodatkowych portów, które nie są bezpośrednio związane z programem SQL Server.

Aby uzyskać więcej informacji, zobacz temat Włączanie sieci do użytku klastra.

Przestrzenie nazw adresów URL zastrzeżone w interfejsie API serwera HTTP (HTTP.SYS)

Prawdopodobnie port 80, ale można skonfigurować użycie innych portów. Aby uzyskać informacje ogólne, zobacz temat Konfigurowanie protokołów HTTP i HTTPS.

Aby uzyskać specyficzne dla programu SQL Server informacje dotyczące zastrzegania punktu końcowego HTTP.SYS przy użyciu narzędzia HttpCfg.exe, zobacz temat Reserving URL Namespaces by Using Http.sys.

Gdy są używane wywołania RPC z transportem TCP/IP lub UDP/IP, porty ruchu przychodzącego często są dynamicznie przypisywane do usług systemowych, gdy jest to wymagane; są wtedy używane porty TCP/IP i UDP/IP większe niż 1024. Często są one nieformalnie nazywane „losowymi portami wywołań RPC”. W takich przypadkach klienci wywołań RPC korzystają z mapera punktów końcowych wywołań RPC, który informuje ich, jakie porty dynamiczne zostały przypisane do serwera. Dla niektórych usług opartych na wywołaniach RPC można skonfigurować określony port, zamiast zezwalać na jego dynamiczne przypisywanie. Można także ograniczyć zakres portów przypisywanych dynamicznie przez funkcję RPC do małego, niezależnego od usługi zakresu. Port 135 jest używany do obsługi wielu usług, więc jest często atakowany przez złośliwych użytkowników. W przypadku otwierania portu 135 należy rozważyć ograniczenie zakresu reguły zapory.

Aby uzyskać więcej informacji dotyczących portu 135, zobacz następujące materiały:

Do określania konfiguracji Zapory systemu Windows są używane reguły i grupy reguł. Każda reguła lub grupa reguł jest ogólnie skojarzona z konkretnym programem lub usługą, a ten program lub usługa może modyfikować albo usuwać regułę bez informowania o tym użytkownika. Na przykład grupy reguł Usługi sieci World Wide Web (HTTP) i Bezpieczne usługi sieci World Wide Web (HTTPS) są skojarzone z usługami IIS. Włączenie tych reguł spowoduje otwarcie portów 80 i 443, a jeśli te reguły zostaną włączone, będą działać funkcje programu SQL Server używające portów 80 i 443. Jednak administratorzy konfigurujący usługi IIS mogą zmodyfikować lub wyłączyć te reguły. Dlatego jeśli na potrzeby programu SQL Server jest używany port 80 lub 443, należy utworzyć własną regułę lub grupę reguł, która będzie określać odpowiednią konfigurację portów niezależnie od innych reguł usług IIS.

Przystawka programu MMC Zapora systemu Windows z zabezpieczeniami zaawansowanymi zezwala na cały ruch zgodny z dowolną regułą zezwalania. Więc jeśli istnieją dwie reguły stosowane do portu 80 (z różnymi parametrami), będzie dozwolony ruch zgodny z dowolną regułą. Dlatego też jeśli jedna reguła zezwala na ruch za pośrednictwem portu 80 z podsieci lokalnej, a druga zezwala na ruch z dowolnego adresu, będzie dozwolony całych ruch za pośrednictwem portu 80, niezależnie od jego źródła. Aby efektywnie zarządzać dostępem do programu SQL Server, administratorzy powinni okresowo przeglądać wszystkie reguły zapory włączone na serwerze.

Profile zapory omówiono w temacie Wprowadzenie do Zapory systemu Windows z zabezpieczeniami zaawansowanymi w sekcji Zapora hosta rozpoznającego lokalizacje sieciowe. Podsumowując, począwszy od systemów Windows Vista i Windows Server 2008 systemy operacyjne identyfikują i zapamiętują każdą z sieci, z którą się łączą, w zakresie łączności, połączeń i kategorii.

W przystawce Zapora systemu Windows z zabezpieczeniami zaawansowanymi są dostępne trzy typy lokalizacji sieciowych:

  • Domena. System Windows może uwierzytelniać dostęp do kontrolera domeny w domenie, do której jest przyłączony komputer.

  • Sieć publiczna. Sieci inne niż domena; wszystkie sieci początkowo są przypisywane do kategorii Sieć publiczna. Sieci reprezentujące bezpośrednie połączenie z Internetem lub znajdujące się w lokalizacjach publicznych, takich jak lotniska i kawiarnie, należy pozostawić w kategorii sieci publicznych.

  • Sieć prywatna. Sieć identyfikowana przez użytkownika lub aplikację jako prywatna. Tylko zaufane sieci można traktować jako sieci prywatne. Użytkownicy najczęściej traktują sieci domowe lub sieci w małych firmach jako sieci prywatne.

Administrator może utworzyć profil dla każdego typu lokalizacji sieciowych, a każdy profil będzie zawierał inne zasady zapory. W danej chwili może być stosowany tylko jeden profil. Profile są stosowane w następującej kolejności:

  1. Jeśli wszystkie interfejsy są uwierzytelnione na kontrolerze domeny, do której należy dany komputer, jest stosowany profil domeny.

  2. Jeśli wszystkie interfejsy są uwierzytelnione na kontrolerze domeny albo są połączone z sieciami klasyfikowanymi jako prywatne lokalizacje sieciowe, jest stosowany profil sieci prywatnej.

  3. W przeciwnym razie jest stosowany profil sieci publicznej.

Przystawka programu MMC Zapora systemu Windows z zabezpieczeniami zaawansowanymi umożliwia wyświetlanie i konfigurowanie wszystkich profilów zapory. Element Zapora systemu Windows w Panelu sterowania umożliwia konfigurowanie wyłącznie bieżącego profilu.

Wyjątki dodawane do zapory mogą ograniczać możliwość otwierania portów dla połączeń przychodzących z określonych komputerów lub podsieci lokalnej. To ograniczenie zakresu otwierania portów może zmniejszyć stopień narażenia komputera na ataki złośliwych użytkowników, więc jego stosowanie jest zalecane.

Uwaga Uwaga:

Element Zapora systemu Windows w Panelu sterowania umożliwia skonfigurowanie wyłącznie bieżącego profilu zapory.

Aby zmienić zakres wyjątku zapory przy użyciu elementu Zapora systemu Windows w Panelu sterowania

  1. W elemencie Zapora systemu Windows w Panelu sterowania zaznacz program lub port na karcie Wyjątki, a następnie kliknij przycisk Właściwości lub Edytuj.

  2. W oknie dialogowym Edytowanie programu lub Edytowanie portu kliknij pozycję Zmień zakres.

  3. Wybierz jedną z następujących opcji:

    • Dowolny komputer (łącznie z tymi w Internecie)

      Niezalecane. Ta opcja umożliwi każdemu komputerowi znającemu adres tego komputera nawiązanie połączenia z określonym programem lub portem. Użycie tego ustawienia może być wymagane w celu prezentowania informacji anonimowym użytkownikom z Internetu, ale zwiększa ono zagrożenie atakiem złośliwych użytkowników. To zagrożenie jeszcze wzrośnie, jeśli po włączeniu tego ustawienia zostanie włączone przechodzenie translacji adresów sieciowych (NAT), na przykład za pomocą opcji Zezwalaj na przechodzenie krawędzi.

    • Tylko moja sieć (podsieć)

      To ustawienie jest o wiele bezpieczniejsze niż ustawienie Dowolny komputer. Połączenia z programem lub portem będą mogły nawiązywać tylko komputery z lokalnej podsieci.

    • Lista niestandardowa:

    Połączenia mogą nawiązywać tylko komputery mające określone adresy IP. To ustawienie może być bezpieczniejsze niż ustawienie Tylko moja sieć (podsieć), ale komputery klienckie używające protokołu DHCP mogą czasami otrzymać inny adres IP. Komputer ze zmienionym adresem, który miał mieć możliwość nawiązywania połączenia, utraci ją. Z kolei inny komputer, który nie ma autoryzacji dostępu, może otrzymać adres IP z listy, przez co będzie mógł nawiązać połączenie. Opcja Lista niestandardowa może być odpowiednia dla innych serwerów skonfigurowanych do używania stałych adresów IP. Należy jednak pamiętać, że jest możliwe, iż intruz będzie podszywał się pod serwer mający określony adres IP. Ograniczające ruch reguły zapory są tylko tak silne jak infrastruktura sieci.

Począwszy od systemów Vista i Windows Server 2008 dodatkowe zaawansowane ustawienia zapory można konfigurować przy użyciu przystawki programu MMC Zapora systemu Windows z zabezpieczeniami zaawansowanymi. Ta przystawka zawiera kreatora reguł oraz dodatkowe ustawienia, które nie są dostępne w elemencie Zapora systemu Windows w Panelu sterowania. Są to następujące ustawienia:

  • Ustawienia szyfrowania

  • Ograniczenia usług

  • Ograniczanie połączeń z komputerów wg nazw

  • Ograniczanie możliwości nawiązywania połączeń do określonych użytkowników lub profilów

  • Zezwalanie na przechodzenie krawędzi w celu obejścia routerów translacji adresów sieciowych (NAT)

  • Konfigurowanie reguł ruchu wychodzącego

  • Konfigurowanie reguł zabezpieczeń

  • Wymaganie stosowania protokołu IPsec dla połączeń przychodzących

Aby utworzyć nową regułę zapory przy użyciu Kreatora nowej reguły

  1. W menu Start kliknij polecenie Uruchom, wpisz polecenie WF.msc, a następnie kliknij przycisk OK.

  2. W lewym okienku w oknie Zapora systemu Windows z zabezpieczeniami zaawansowanymi kliknij prawym przyciskiem myszy pozycję Reguły ruchu przychodzącego, a następnie w okienku akcji kliknij pozycję Nowa reguła.

  3. Wykonaj zadania w Kreatorze nowej reguły ruchu przychodzącego, używając odpowiednich ustawień.

Poniższe narzędzia i techniki mogą być użyteczne podczas rozwiązywania problemów z zaporą:

  • Efektywny stan portu stanowi połączenie wszystkich reguł związanych z portem. Podczas próby zablokowania dostępu za pośrednictwem danego portu warto przejrzeć wszystkie reguły, w których jest wymieniony numer tego portu. W tym celu należy użyć przystawki programu MMC Zapora systemu Windows z zabezpieczeniami zaawansowanymi i posortować reguły ruchu przychodzącego oraz wychodzącego według numerów portów.

  • Warto sprawdzić, jakie porty są aktywne na komputerze, na którym jest uruchomiony program SQL Server. Ten proces przeglądu powinien obejmować sprawdzenie, które porty TCP/IP służą do nasłuchiwania, oraz weryfikację stanu portów.

    Aby sprawdzić, które porty są używane do nasłuchiwania, można użyć narzędzia wiersza polecenia netstat. Oprócz wyświetlania aktywnych połączeń TCP narzędzie netstat wyświetla także różne statystyki i informacje dotyczące protokołu IP.

    Aby wyświetlić listę portów TCP/IP używanych do nasłuchiwania

    1. Otwórz okno wiersza polecenia.

    2. W wierszu polecenia wpisz polecenie netstat -n -a.

      Przełącznik -n określa, że narzędzie netstat ma liczbowo wyświetlić adres i numer portu każdego aktywnego połączenia protokołu TCP. Przełącznik -a określa, że narzędzie netstat ma wyświetlić porty TCP i UDP, na których nasłuchuje komputer.

  • Za pomocą narzędzia PortQry można raportować stany portów TCP/IP, takie jak nasłuchiwanie, brak nasłuchiwania czy filtrowanie. (Stan „filtrowanie” oznacza, że port może, ale nie musi nasłuchiwać; ten stan wskazuje, że narzędzie nie odebrało odpowiedzi z portu). Narzędzie PortQry jest dostępne do pobrania w witrynie Centrum pobierania Microsoft.

Aby zapoznać się z dodatkowymi informacjami dotyczącymi rozwiązywania problemów, zobacz tematy:

Zawartość społeczności

Pokaż: