Freigeben über


Konfigurieren eines mehrfach vernetzten Computers für SQL Server-Zugriff

In einem Szenario, in dem ein Server eine Verbindung zu mindestens zwei Netzwerken oder Netzwerksubnetzen bereitstellen muss, wird normalerweise ein mehrfach vernetzter Computer verwendet. Häufig befindet sich dieser Computer in einem Umkreisnetzwerk (auch als DMZ, Demilitarized Zone oder überwachtes Subnetz bezeichnet). In diesem Thema wird beschrieben, wie SQL Server und Windows-Firewall mit erweiterter Sicherheit konfiguriert werden, um Netzwerkverbindungen zu einer SQL Server-Instanz in einer mehrfach vernetzten Umgebung bereitzustellen.

Hinweis

Ein mehrfach vernetzter Computer verfügt über mehrere Netzwerkkarten oder wurde so konfiguriert, dass mehrere IP-Adressen für eine einzelne Netzwerkkarte verwendet werden können. Ein zweifach vernetzter Computer verfügt über zwei Netzwerkkarten oder wurde so konfiguriert, dass zwei IP-Adressen für eine einzelne Netzwerkkarte verwendet werden können.

Bevor Sie mit diesem Thema fortfahren, sollten Sie mit den Informationen im Thema Konfigurieren der Windows-Firewall für den SQL Server-Zugriffvertraut sein. Dieses Thema enthält grundlegende Informationen dazu, wie SQL Server Komponenten mit der Firewall funktionieren.

Annahmen für dieses Beispiel:

  • Der Computer verfügt über zwei installierte Netzwerkkarten. Eine oder mehrere Netzwerkkarten können drahtlos sein. Sie können simulieren, dass Sie über zwei Netzwerkkarten verfügen, indem Sie die IP-Adresse für die erste und die IP-Loopbackadresse (127.0.0.1) für die zweite Netzwerkkarte verwenden.

  • Der Einfachheit halber werden in diesem Beispiel IPv4-Adressen verwendet. Die gleichen Prozeduren können jedoch auch mit IPv6-Adressen ausgeführt werden.

    Hinweis

    Bei einer IPv4-Adresse handelt es sich um eine Reihe von vierstelligen Zahlen, die als Oktett bezeichnetet wird. Jede Zahl ist kleiner als 255 und wird durch Punkte getrennt, z. B. 127.0.0.1. Eine IPv6-Adresse ist eine Reihe von acht Hexadezimalzahlen, die durch Doppelpunkte getrennt werden, z. B. fe80:4898:23:3:49a6:f5c1:2452:b994.

  • Die Firewall kann entweder den Zugriff über einen bestimmten Port (wie z. B. Port 1433) oder auf das Programm SQL Server-Datenbank-Engine (sqlservr.exe) zulassen. Beide Methoden sind gleichwertig. Da ein Server in einem Umkreisnetzwerk anfälliger für Angriffe ist als ein Server in einem Intranet, wird für dieses Thema angenommen, dass Sie den Zugriff genauer steuern und die Ports, die Sie öffnen, einzeln auswählen möchten. Aus diesem Grund wird in diesem Thema davon ausgegangen, dass Sie SQL Server konfigurieren, um an einem festen Port zu lauschen. Weitere Informationen über die Ports, die SQL Server verwendet, finden Sie unter Konfigurieren der Windows-Firewall für den SQL Server-Zugriff.

  • In diesem Beispiel wird der Zugriff auf Datenbank-Engine unter Verwendung von TCP-Port 1433 konfiguriert. Die anderen Ports, die unterschiedliche SQL Server -Komponenten sind, können mithilfe der gleichen allgemeinen Schritte konfiguriert werden.

In diesem Beispiel werden die folgenden allgemeinen Schritte beschrieben:

  • Bestimmen der IP-Adressen des Computers.

  • Konfigurieren von SQL Server , sodass auf einem bestimmten TCP-Port gelauscht wird.

  • Konfigurieren der Windows-Firewall mit erweiterter Sicherheit.

Optionale Vorgänge

Wenn Sie die verfügbaren IP-Adressen Ihres Computers bereits kennen und diese von SQL Serververwendet werden, können Sie diese Vorgänge überspringen.

So bestimmen Sie die verfügbaren IP-Adressen des Computers

  1. Klicken Sie auf dem Computer, auf dem SQL Server installiert ist, auf Start, auf Ausführen, geben Sie eincmd, und klicken Sie dann auf OK..

  2. Geben Sie im Eingabeaufforderungsfenster ipconfig, ein, und drücken Sie anschließend die EINGABETASTE, um die auf diesem Computer verfügbaren IP-Adressen aufzulisten.

    Hinweis

    Durch den ipconfig -Befehl werden manchmal zahlreiche mögliche Verbindungen aufgelistet, einschließlich getrennter Verbindungen. Der ipconfig -Befehl kann sowohl IPv4- als auch IPv6-Adressen auflisten.

  3. Notieren Sie die IPv4- und IPv6-Adressen, die verwendet werden. Die anderen Informationen in der Liste, wie z. B. temporäre Adressen, Subnetzmasken und Standardgateways sind wichtig zum Konfigurieren eines TCP/IP-Netzwerks. Diese Informationen werden in diesem Beispiel jedoch nicht verwendet.

So bestimmen Sie die IP-Adressen und die Ports zur Verwendung durch SQL Server

  1. Klicken Sie auf Start, zeigen Sie auf Alle Programme, zeigen Sie auf Microsoft SQL Server 2014, zeigen Sie auf Konfigurationstools, und klicken Sie dann auf SQL Server-Konfigurations-Manager.

  2. Erweitern Sie im Konsolenbereich des SQL Server-Konfigurations-Managers die OptionSQL Server-Netzwerkkonfiguration und Protokolle für <Instanzname>. Doppelklicken Sie anschließend auf TCP/IP.

  3. Im Dialogfeld TCP/IP-Eigenschaften auf der Registerkarte IP-Adressen werden mehrere IP-Adressen im Format IP1, IP2und bis zu IPAllangezeigt. Eine dieser Angaben ist die IP-Adresse des Loopbackadapters (127.0.0.1). Für alle IP-Adressen, die auf dem Computer konfiguriert wurden, werden zusätzliche IP-Adressen angezeigt.

  4. Wenn das Dialogfeld Dynamische TCP-Ports für eine IP-Adresse eine 0enthält, weist dies darauf hin, dass das Datenbank-Engine auf dynamischen Ports lauscht. In diesem Beispiel werden feste Ports anstatt dynamischer Ports, die sich bei einem Neustart ändern können, verwendet. Löschen Sie daher die 0, wenn das Dialogfeld Dynamische TCP-Ports eine 0enthält.

  5. Notieren Sie den TCP-Port, der für jede IP-Adresse aufgelistet ist, die Sie konfigurieren möchten. Für dieses Beispiel wird angenommen, dass beide IP-Adressen den Standardport 1433 überwachen.

  6. Wenn SQL Server einige der verfügbaren Ports nicht verwenden soll, ändern Sie auf der Registerkarte Protokoll den Wert Alle lauschen zu Nein, und ändern Sie auf der Registerkarte IP-Adressen für die IP-Adressen, die Sie nicht verwenden möchten, den Wert Aktiv zu Nein .

Windows-Firewall mit erweiterter Sicherheit konfigurieren

Nachdem Sie nun die vom Computer verwendeten IP-Adressen und die von SQL Server verwendeten Ports kennen, können Sie Firewallregeln erstellen und diese Regeln anschließend für bestimmte IP-Adressen konfigurieren.

So erstellen Sie eine Firewallregel

  1. Melden Sie sich als Administrator auf dem Computer an, auf dem SQL Server installiert ist.

  2. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ein wf.msc, und klicken Sie auf OK.

  3. Klicken Sie im Dialogfeld Benutzerkontensteuerung auf Weiter , um unter Verwendung der Administratoranmeldeinformationen das Snap-In der Windows-Firewall mit erweiterter Sicherheit zu öffnen.

  4. Bestätigen Sie auf der Seite Übersicht , dass die Windows-Firewall aktiv ist.

  5. Klicken Sie im linken Bereich auf Eingehende Regeln.

  6. Klicken Sie mit der rechten Maustaste auf Eingehende Regeln, und klicken Sie anschließend auf Neue Regel , um den Assistenten für neue eingehende Regelzu öffnen.

  7. Sie können eine Regel für das Programm SQL Server erstellen. Da in diesem Beispiel jedoch ein fester Port verwendet wird, wählen Sie Portaus, und klicken Sie anschließend auf Weiter.

  8. Wählen Sie auf der Seite Protokolle und Ports die Option TCPaus.

  9. Wählen Sie Angegebene lokale Portsaus. Geben Sie die durch Kommas getrennten Portnummern ein, und klicken Sie anschließend auf Weiter. In diesem Beispiel konfigurieren Sie den Standardport, geben Sie daher 1433 ein.

  10. Überprüfen Sie die Optionen auf der Seite Aktion . In diesem Beispiel verwenden Sie nicht die Firewall, um sichere Verbindungen zu gewährleisten. Klicken Sie daher auf Verbindung zulassenund anschließend auf Weiter.

    Hinweis

    Möglicherweise sind für die Umgebung sichere Verbindungen erforderlich. Wenn Sie eine der Optionen für sichere Verbindungen auswählen, müssen Sie möglicherweise ein Zertifikat und die Option Verschlüsselung erzwingen konfigurieren. Weitere Informationen zu sicheren Verbindungen finden Sie unter Aktivieren verschlüsselter Verbindungen mit dem Datenbank-Engine (SQL Server-Konfigurations-Manager) und Aktivieren verschlüsselter Verbindungen mit demDatenbank-Engine ( SQL Server-Konfigurations-Manager).

  11. Wählen Sie auf der Seite Profil mindestens ein Profil für die Regel aus. Wenn Sie mit Firewallprofilen nicht vertraut sind, klicken Sie im Firewallprogramm auf den Link Weitere Informationen zu Profilen .

    • Wenn der Computer ein Server und nur dann verfügbar ist, wenn er mit einer Domäne verbunden ist, wählen Sie Domäneaus, und klicken Sie anschließend auf Weiter.

    • Wenn es sich bei dem Computer um ein mobiles Gerät (z. B. um einen Laptop) handelt, verwendet er wahrscheinlich mehrere Profile, um eine Verbindung mit unterschiedlichen Netzwerken herzustellen. Bei einem mobilen Computer können Sie unterschiedliche Zugriffsmöglichkeiten für verschiedene Profile konfigurieren. Zum Beispiel können Sie einen Zugriff gewähren, wenn der Computer das Domänenprofil verwendet, und verweigern, wenn er das öffentliche Profil verwendet.

  12. Geben Sie auf der Seite Name einen Namen und eine Beschreibung für die Regel ein, und klicken Sie dann auf Fertig stellen.

  13. Wiederholen Sie diese Prozedur, um für jede IP-Adresse, die SQL Server verwendet, eine weitere Regel zu erstellen.

Nachdem Sie eine oder mehrere Regeln erstellt haben, führen Sie die folgenden Schritte aus, um jede IP-Adresse auf dem Computer zu konfigurieren und eine Regel zu verwenden.

So konfigurieren Sie die Firewallregel für eine bestimmte IP-Adresse

  1. Klicken Sie in der Windows-Firewall mit erweiterter Sicherheit auf der Seite Eingehende Regelnmit der rechten Maustaste auf die Regel, die Sie gerade erstellt haben, und klicken Sie anschließend auf Eigenschaften.

  2. Wählen Sie im Dialogfeld Regeleigenschaften die Registerkarte Bereich aus.

  3. Wählen Sie im Bereich Lokale IP-Adresse die Option Diese IP-Adressenaus, und klicken Sie dann auf Hinzufügen.

  4. Wählen Sie im Dialogfeld IP-Adresse die Option Diese IP-Adresse oder Subnetzaus, und geben Sie anschließend eine der IP-Adressen ein, die Sie konfigurieren möchten.

  5. Klicken Sie auf OK.

  6. Wählen Sie im Bereich Remote-IP-Adresse die Option Diese IP-Adressenaus, und klicken Sie anschließend auf Hinzufügen.

  7. Verwenden Sie das Dialogfeld IP-Adresse , um die Konnektivität für die ausgewählte IP-Adresse des Computers zu konfigurieren. Sie können Verbindungen zu angegebenen IP-Adressen, Bereichen von IP-Adressen, ganzen Subnetzen oder bestimmten Computern aktivieren. Um diese Option ordnungsgemäß zu konfigurieren, müssen Sie sich mit dem Netzwerk gut auskennen. Informationen über das Netzwerk erhalten Sie vom Netzwerkadministrator.

  8. Um das Dialogfeld IP-Adresse zu schließen, klicken Sie auf OK, und klicken Sie dann auf OK , um das Dialogfeld Regeleigenschaften zu schließen.

  9. Um die anderen IP-Adressen auf einem mehrfach vernetzten Computer zu konfigurieren, wiederholen Sie diesen Vorgang mit einer anderen IP-Adresse und einer anderen Regel.

Weitere Informationen

SQL Server-Browserdienst (Datenbank-Engine und SSAS)
Verbindungsaufbau mit SQL Server über einen Proxyserver (SQL Server-Konfigurations-Manager)