Freigeben über


Configure the Windows Firewall to Allow SQL Server Access

Durch Firewallsysteme kann der nicht autorisierte Zugriff auf Computerressourcen verhindert werden. Wenn eine Firewall aktiviert, aber nicht richtig konfiguriert ist, können Versuche der Verbindungsherstellung mit SQL Server blockiert werden.

Um über eine Firewall auf eine Instanz von SQL Server zugreifen zu können, müssen Sie die Firewall auf dem Computer mit SQL Server entsprechend konfigurieren. Die Firewall ist eine Komponente von Microsoft Windows. Sie können auch eine Firewall von einem anderen Unternehmen installieren. In diesem Thema wird erläutert, wie die Windows-Firewall konfiguriert wird. Die Grundprinzipien gelten jedoch auch für andere Firewallprogramme.

Hinweis

Dieses Thema bietet eine Übersicht über die Firewallkonfiguration und fasst Informationen zusammen, die für einen SQL Server Administrator von Interesse sind. Weitere Informationen zur Firewall sowie autorisierende Informationen für diese finden Sie in der Dokumentation der Firewall, z. B. in Windows-Firewall mit erweiterter Sicherheit und IPsec.

Benutzer, die mit dem Element Windows-Firewall in der Systemsteuerung und mit dem MMC-Snap-In (Microsoft Management Console) „Windows Firewall mit erweiterter Sicherheit“ vertraut sind und wissen, welche Firewalleinstellungen sie konfigurieren möchten, können direkt zu den Themen in der folgenden Liste wechseln:

Grundlegende Firewallinformationen

Firewalls überprüfen eingehende Pakete und vergleichen diese mit einer Gruppe von Regeln. Wenn die Regeln das Paket zulassen, leitet die Firewall das Paket an das TCP/IP-Protokoll zur zusätzlichen Verarbeitung weiter. Wenn die Regeln das Paket nicht zulassen, verwirft die Firewall das Paket und erstellt, wenn die Protokollierung aktiviert ist, einen Eintrag in der Firewallprotokolldatei.

Die Liste des zugelassenen Datenverkehrs wird auf eine der folgenden Arten aufgefüllt:

  • Wenn der Computer, auf dem die Firewall aktiviert ist, die Kommunikation startet, erstellt die Firewall einen Eintrag in der Liste, sodass die Antwort zugelassen wird. Da die eingehende Antwort als angeforderter Datenverkehr betrachtet wird, müssen Sie dies nicht konfigurieren.

  • Ein Administrator konfiguriert Ausnahmen für die Firewall. Dies ermöglicht entweder den Zugriff auf angegebene Programme, die auf dem Computer ausgeführt werden, oder den Zugriff auf angegebene Verbindungsports auf dem Computer. In diesem Fall akzeptiert der Computer den unangefordert eingehenden Datenverkehr, wenn er als Server, Listener oder Peer fungiert. Dies ist der Konfigurationstyp, der abgeschlossen werden muss, um eine Verbindung mit SQL Server herzustellen.

Das Festlegen einer Firewallstrategie ist komplexer als die bloße Entscheidung, ob ein bestimmter Port geöffnet oder geschlossen werden sollte. Beim Entwickeln einer Firewallstrategie für Ihr Unternehmen sollten Sie sicherstellen, dass Sie alle Regeln und Konfigurationsoptionen berücksichtigen, die Ihnen zur Verfügung stehen. In diesem Thema werden nicht alle möglichen Firewalloptionen behandelt. Es wird empfohlen, die folgenden Dokumente zu beachten:

Erste Schritte mit der Windows-Firewall mit erweiterter Sicherheit

Windows Firewall with Advanced Security Design Guide

Introduction to Server and Domain Isolation

Standardeinstellungen der Firewall

Der erste Schritt bei der Planung der Firewallkonfiguration ist die Bestimmung des aktuellen Status der Firewall Ihres Betriebssystems. Wenn das Betriebssystem aus einer vorherigen Version aktualisiert wurde, wurden die früheren Firewalleinstellungen möglicherweise beibehalten. Außerdem kann es sein, dass die Firewalleinstellungen von einem anderen Administrator oder von einer Gruppenrichtlinie in Ihrer Domäne geändert wurden.

Hinweis

Das Einschalten der Firewall wirkt sich auf andere Programme aus, die auf diesen Computer zugreifen, wie z. B. die Datei- und Druckerfreigabe und Remotedesktopverbindungen. Administratoren sollten vor dem Anpassen der Firewalleinstellungen alle auf dem Computer ausgeführten Anwendungen berücksichtigen.

Programme zur Konfiguration der Firewall

Es gibt drei Möglichkeiten, die Einstellungen der Windows-Firewall zu konfigurieren.

  • Das Element Windows-Firewall in der Systemsteuerung

    Das Element Windows-Firewall kann in der Systemsteuerung geöffnet werden.

    Wichtig

    Änderungen, die in der Systemsteuerung am Element Windows-Firewall vorgenommenen werden, wirken sich nur auf das aktuelle Profil aus. Für mobile Geräte, wie z. B. einen Laptop, sollte das Element Windows-Firewall in der Systemsteuerung nicht verwendet werden, da sich das Profil ändern kann, wenn es in einer anderen Konfiguration angeschlossen wird. Dann ist das zuvor konfigurierte Profil nicht wirksam. Weitere Informationen zu Profilen finden Sie unter Erste Schritte mit der Windows-Firewall mit erweiterter Sicherheit.

    Das Element Windows-Firewall in der Systemsteuerung ermöglicht Ihnen die Konfiguration grundlegender Optionen. Dabei handelt es sich z. B. um:

    • Ein- oder Ausschalten des Elements Windows-Firewall in der Systemsteuerung

    • Aktivieren und Deaktivieren von Regeln

    • Gewähren von Ausnahmen für Ports und Programme

    • Festlegen einiger Bereichseinschränkungen

    Das Element Windows-Firewall in der Systemsteuerung eignet sich am besten für Benutzer, die mit der Konfiguration einer Firewall keine Erfahrung haben und grundlegende Firewalloptionen für nicht mobile Computer konfigurieren. Sie können das Windows-Firewallelement auch in Systemsteuerung über den run Befehl öffnen, indem Sie das folgende Verfahren ausführen:

    So öffnen Sie das Element „Windows-Firewall“

    1. Klicken Sie im Menü Start auf Ausführen, und geben Sie dann firewall.cplein.

    2. Klicken Sie auf OK.

  • Microsoft Management Console (MMC)

    Mithilfe des MMC-Snap-Ins „Windows-Firewall mit erweiterter Sicherheit“ können Sie erweiterte Firewalleinstellungen konfigurieren. Dieses Snap-In stellt die meisten Firewalloptionen in einer benutzerfreundlichen Form sowie alle Firewallprofile bereit. Weitere Informationen finden Sie unter Verwenden des Snap-Ins „Windows-Firewall mit erweiterter Sicherheit“ weiter unten in diesem Thema.

  • netsh

    Das toolnetsh.exe kann von einem Administrator verwendet werden, um Windows-basierte Computer an einer Eingabeaufforderung oder mithilfe einer Batchdatei** zu konfigurieren und zu überwachen.** Mithilfe des tools netsh können Sie die eingegebenen Kontextbefehle an das entsprechende Hilfsprogramm weiterleiten, und das Hilfsprogramm führt dann den Befehl aus. Ein Hilfsprogramm ist eine DLL-Datei (Dynamic Link Library), die die Funktionalität des Tools netsh erweitert, indem sie die Konfiguration, Überwachung und Unterstützung eines oder mehrerer Dienste, Hilfsprogramme oder Protokolle ermöglicht. Alle Betriebssysteme, die SQL Server unterstützen, haben ein Firewallhilfsprogramm. WindowsServer 2008 umfasst zudem ein erweitertes Firewallhilfsprogramm namens advfirewall. Die Details der Verwendung von netsh werden in diesem Thema nicht erläutert. Viele der beschriebenen Konfigurationsoptionen können jedoch mit netsh konfiguriert werden. Führen Sie beispielsweise über eine Eingabeaufforderung das folgende Skript aus, um TCP-Port 1433 zu öffnen:

    netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT  
    

    Im Folgenden finden Sie ein ähnliches Beispiel, in dem die Windows-Firewall für das Hilfsprogramm für die erweiterte Sicherheit verwendet wird:

    netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN  
    

    Weitere Informationen zu netsh finden Sie unter den folgenden Links:

Von SQL Server

Die folgenden Tabellen können Sie dabei unterstützen, die von SQL Server verwendeten Ports zu identifizieren.

Von der Datenbank-Engine verwendete Ports

In der folgenden Tabelle werden die häufig von Datenbank-Engine verwendeten Ports aufgeführt.

Szenario Port Kommentare
SQL Server Standard-instance, die über TCP ausgeführt werden TCP-Port 1433 Dies ist der häufigste für die Firewall zulässige Port. Er gilt für Routineverbindungen mit der Standardinstallation von Datenbank-Engine oder einer benannten Instanz, bei der es sich um die einzige auf dem Computer ausgeführte Instanz handelt. (Benannte Instanzen haben besondere Überlegungen. Siehe Dynamische Ports weiter unten in diesem Thema.)
SQL Server benannten Instanzen in der Standardkonfiguration Der TCP-Port ist ein dynamischer Port, der zu dem Zeitpunkt bestimmt wird, zu dem die Datenbank-Engine startet. Weitere Informationen finden Sie in den Ausführungen im Abschnitt Dynamische Ports weiter unten. Udp-Port 1434 ist möglicherweise für den SQL Server-Browserdienst erforderlich, wenn Sie benannte Instanzen verwenden.
SQL Server benannte Instanzen, wenn sie für die Verwendung eines festen Ports konfiguriert sind Die vom Administrator konfigurierte Portnummer. Weitere Informationen finden Sie in den Ausführungen im Abschnitt Dynamische Ports weiter unten.
Dedizierte Administratorverbindung TCP-Port 1434 für die Standardinstanz. Andere Ports werden für benannte Instanzen verwendet. Überprüfen Sie das Fehlerprotokoll auf die Portnummer. Standardmäßig werden Remoteverbindungen über die dedizierte Administratorverbindung (Dedicated Administrator Connection, DAC) nicht aktiviert. Zum Aktivieren der Remote-DAC verwenden Sie das Facet für die Oberflächenkonfiguration. Weitere Informationen finden Sie unter Oberflächenkonfiguration.
SQL Server Browserdienst UDP-Port 1434 Der SQL Server-Browserdienst lauscht auf eingehende Verbindungen mit einem benannten instance und stellt dem Client die TCP-Portnummer bereit, die der benannten instance entspricht. Normalerweise wird der SQL Server -Browserdienst immer dann gestartet, wenn benannte Instanzen von Datenbank-Engine verwendet werden. Der SQL Server-Browserdienst muss nicht gestartet werden, wenn der Client für die Verbindung mit dem bestimmten Port des benannten instance konfiguriert ist.
SQL Server instance über einen HTTP-Endpunkt ausgeführt. Kann angegeben werden, wenn ein HTTP-Endpunkt erstellt wird. Als Standard wird TCP-Port 80 für den CLEAR_PORT-Datenverkehr und 443 für den SSL_PORT-Datenverkehr verwendet. Wird für eine HTTP-Verbindung über eine URL verwendet
SQL Server Standard-instance, die über einen HTTPS-Endpunkt ausgeführt werden. TCP-Port 443 Wird für eine HTTPS-Verbindung über eine URL verwendet. HTTPS ist eine HTTP-Verbindung, die SSL (Secure Sockets Layer) verwendet.
Service Broker TCP-Port 4022. Führen Sie die folgende Abfrage aus, um den verwendeten Port zu überprüfen:

SELECT name, protocol_desc, port, state_desc

FROM sys.tcp_endpoints

WHERE type_desc = 'SERVICE_BROKER'
Es gibt keinen Standardport für SQL ServerService Broker, aber dies ist die herkömmliche Konfiguration, die in Beispielen der Onlinedokumentation verwendet wird.
Datenbankspiegelung Vom Administrator ausgewählter Port. Führen Sie die folgende Abfrage aus, um den Port zu bestimmen:

SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints

WHERE type_desc = 'DATABASE_MIRRORING'
Für die Datenbankspiegelung ist kein Standardport festgelegt, in Beispielen der Onlinedokumentation wird jedoch TCP-Port 7022 verwendet. Es ist sehr wichtig, eine Unterbrechung eines bereits verwendeten Spiegelungsendpunkts zu vermeiden, insbesondere im Modus für hohe Sicherheit mit automatischem Failover. Die Firewallkonfiguration muss eine Unterbrechung des Quorums vermeiden. Weitere Informationen finden Sie unter Angeben einer Servernetzwerkadresse (Datenbankspiegelung).
Replikation Replikationsverbindungen mit SQL Server verwenden die typischen regulären Ports der Datenbank-Engine (TCP-Port 1433 für die Standard-instance usw.)

Die Websynchronisierung und der FTP-/UNC-Zugriff für die Replikationsmomentaufnahme erfordern das Öffnen zusätzlicher Ports auf der Firewall. Zur Übertragung der Anfangsdaten und des Schemas zwischen unterschiedlichen Standorten kann für die Replikation FTP (TCP-Port 21), die Synchronisierung über HTTP (TCP-Port 80) oder die Dateifreigabe verwendet werden. Die Dateifreigabe verwendet die UDP-Ports 137 und 138 und den TCP-Port 139, wenn NetBIOS verwendet wird. Für die Dateifreigabe wird der TCP-Port 445 verwendet.
Für die Synchronisierung über HTTP verwendet die Replikation den IIS-Endpunkt (Ports, für die konfigurierbar sind, aber standardmäßig Port 80 sind), aber der IIS-Prozess stellt über die Standardports (1433 für die Standard-instance) eine Verbindung mit dem Back-End-SQL Server her.

Bei der Websynchronisierung mittels FTP findet die FTP-Übertragung zwischen IIS und dem SQL Server -Verleger und nicht zwischen Abonnent und IIS statt.
Transact-SQL-Debugger TCP-Port 135

Siehe Spezielle Überlegungen zu Port 135

Die IPsec -Ausnahme ist möglicherweise auch erforderlich.
Bei Verwendung von Visual Studio müssen Sie außerdem auf dem Visual Studio -Hostcomputer Devenv.exe zur Ausnahmeliste hinzufügen und den TCP-Port 135 öffnen.

Bei Verwendung von Management Studiomüssen Sie außerdem auf dem Management Studio -Hostcomputer ssms.exe zur Ausnahmeliste hinzufügen und TCP-Port 135 öffnen. Weitere Informationen finden Sie unter Konfigurieren des Transact-SQL-Debuggers.

Schritt-für-Schritt-Anweisungen zum Konfigurieren der Windows-Firewall für die Datenbank-Engine finden Sie unter Konfigurieren einer Windows-Firewall für den Datenbank-Engine-Zugriff.

Dynamische Ports

Standardmäßig verwenden benannte Instanzen (einschließlich SQL Server Express) dynamische Ports. Das bedeutet, dass jedes Mal, wenn die Datenbank-Engine gestartet wird, ein verfügbarer Port identifiziert und diese Portnummer verwendet wird. Wenn es sich bei der benannten Instanz um die einzige von Datenbank-Engine installierte Instanz handelt, wird wahrscheinlich TCP-Port 1433 verwendet. Wenn weitere Instanzen von Datenbank-Engine installiert sind, wird wahrscheinlich ein anderer TCP-Port verwendet. Da sich der ausgewählte Port bei jedem Start der Datenbank-Engine ändern kann, ist es schwierig, die Firewall so zu konfigurieren, dass der Zugriff auf die richtige Portnummer aktiviert wird. Wenn eine Firewall verwendet wird, empfiehlt es sich daher, die Datenbank-Engine so neu zu konfigurieren, dass sie jedes Mal dieselbe Portnummer verwendet. Der betreffende Port wird als fester oder statischer Port bezeichnet. Weitere Informationen finden Sie unter Konfigurieren eines Servers zur Überwachung eines bestimmten TCP-Ports (SQL Server-Konfigurations-Manager).

Eine Alternative zum Konfigurieren einer benannten Instanz für das Lauschen auf einem festen Port ist die Erstellung einer Ausnahme für ein SQL Server-Programm wie z.B. sqlservr.exe (für Datenbank-Engine) in der Firewall. Dies kann zwar zweckmäßig sein, aber die Portnummer wird nicht in der Spalte Lokaler Port auf der Seite Eingehende Regeln angezeigt, wenn Sie das MMC-Snap-In „Windows-Firewall mit erweiterter Sicherheit“ verwenden. Damit kann es schwieriger werden, zu verfolgen, welche Ports geöffnet sind. Ein weiterer Aspekt ist, dass ein Service Pack oder kumulatives Update den Pfad zur SQL Server ausführbaren Datei ändern kann, wodurch die Firewallregel ungültig wird.

Hinweis

Im folgenden Verfahren wird das Element Windows-Firewall in der Systemsteuerung verwendet. Mithilfe des MMC-Snap-Ins „Windows-Firewall mit erweiterter Sicherheit“ kann eine komplexere Regel konfiguriert werden. Dazu gehört das Konfigurieren einer Dienstausnahme, was nützlich sein kann, um einen tiefgreifenden Schutz zu ermöglichen. Siehe Verwenden des Snap-Ins „Windows-Firewall mit erweiterter Sicherheit“ weiter unten.

So fügen Sie der Firewall mithilfe des Elements „Windows-Firewall“ in der Systemsteuerung eine Programmausnahme hinzu
  1. Klicken Sie unter dem Element Windows-Firewall in der Systemsteuerung auf der Registerkarte Ausnahmen auf Programm hinzufügen.

  2. Navigieren Sie zum Speicherort der instance von SQL Server, die Sie über die Firewall zulassen möchten, z. B. C:\Programme\Microsoft SQL Server\MSSQL12.<>instance_name\MSSQL\Binn, wählen Sie sqlservr.exeaus, und klicken Sie dann auf Öffnen.

  3. Klicken Sie auf OK.

Weitere Informationen über Endpunkte finden Sie unter Konfigurieren der Datenbank-Engine zum Überwachen mehrerer TCP-Ports und Endpunkte-Katalogsichten (Transact-SQL).

Von Analysis Services verwendete Ports

In der folgenden Tabelle werden die häufig von Analysis Services verwendeten Ports aufgeführt.

Funktion Port Kommentare
Analysis Services TCP-Port 2383 für die Standardinstanz Der Standardport für die Standardinstanz von Analysis Services.
SQL Server Browserdienst TCP-Port 2382, nur für eine benannte Instanz von Analysis Services notwendig Clientverbindungsanforderungen für eine benannte instance von Analysis Services, die keine Portnummer angeben, werden an Port 2382 weitergeleitet, den Port, an dem SQL Server Browser lauscht. SQL Server -Browser leitet dann die Anforderung an den Port um, der von der benannten Instanz verwendet wird.
Analysis Services zur Verwendung durch IIS/HTTP konfiguriert

(Die PivotTable?? Der Dienst verwendet HTTP oder HTTPS.
TCP-Port 80 Wird für eine HTTP-Verbindung über eine URL verwendet
Analysis Services zur Verwendung durch IIS/HTTPS konfiguriert

(Die PivotTable?? Der Dienst verwendet HTTP oder HTTPS.
TCP-Port 443 Wird für eine HTTPS-Verbindung über eine URL verwendet. HTTPS ist eine HTTP-Verbindung, die SSL (Secure Sockets Layer) verwendet.

Wenn Benutzer über IIS und das Internet auf Analysis Services zugreifen, müssen Sie den Port öffnen, an dem IIS lauscht, und diesen Port in der Clientverbindungszeichenfolge angeben. In diesem Fall müssen keine Ports für den direkten Zugriff auf Analysis Services geöffnet sein. Der Standardport 2389 und Port 2382 sollten gemeinsam mit allen anderen Ports eingeschränkt werden, die nicht benötigt werden.

Schritt-für-Schritt-Anweisungen zum Konfigurieren der Windows-Firewall für Analysis Services finden Sie unter Konfigurieren der Windows-Firewall zum Zulassen des Analysis Services-Zugriffs.

Von Reporting Services verwendete Ports

In der folgenden Tabelle werden die häufig von Reporting Services verwendeten Ports aufgeführt.

Funktion Port Kommentare
Reporting Services -Webdienste TCP-Port 80 Wird für eine HTTP-Verbindung mit Reporting Services über eine URL verwendet. Die Verwendung der vorkonfigurierten Regel WWW-Dienste (HTTP) wird nicht empfohlen. Weitere Informationen finden Sie im Abschnitt Interaktion mit anderen Firewallregeln weiter unten.
Reporting Services zur Verwendung durch HTTPS konfiguriert TCP-Port 443 Wird für eine HTTPS-Verbindung über eine URL verwendet. HTTPS ist eine HTTP-Verbindung, die SSL (Secure Sockets Layer) verwendet. Die Verwendung der vorkonfigurierten Regel Sichere WWW-Dienste (HTTPS) wird nicht empfohlen. Weitere Informationen finden Sie im Abschnitt Interaktion mit anderen Firewallregeln weiter unten.

Wenn Reporting Services eine Verbindung mit einer Instanz von Datenbank-Engine oder Analysis Services herstellt, müssen Sie auch die entsprechenden Ports für diese Dienste öffnen. Eine Schritt-für-Schritt-Anleitung zum Konfigurieren der Windows-Firewall für Reporting Services finden Sie unter Konfigurieren einer Firewall für den Zugriff auf den Berichtsserver.

Von Integration Services verwendete Ports

In der folgenden Tabelle werden die vom Integration Services-Dienst verwendeten Ports aufgeführt.

Funktion Port Kommentare
Microsoft -Remoteprozeduraufrufe (MS RPC)

Wird von der Integration Services -Laufzeit verwendet.
TCP-Port 135

Siehe Spezielle Überlegungen zu Port 135
Der Integration Services -Dienst verwendet DCOM auf Port 135. Der Dienststeuerungs-Manager verwendet Port 135, um Aufgaben wie das Starten und Beenden des Integration Services-Diensts und das Übermitteln von Steuerungsanforderungen an den ausgeführten Dienst auszuführen. Die Portnummer kann nicht geändert werden.

Dieser Port muss nur geöffnet sein, wenn Sie eine Verbindung mit einem Remote-instance des Integration Services-Diensts aus Management Studio oder einer benutzerdefinierten Anwendung herstellen.

Eine schrittweise Anleitung zum Konfigurieren der Windows-Firewall für Integration Services finden Sie unter Konfigurieren einer Windows-Firewall für den Zugriff auf den SSIS-Dienst.

Zusätzliche Ports und Dienste

Die folgende Tabelle enthält Ports und Dienste, von denen SQL Server abhängig sein kann.

Szenario Port Kommentare
Windows-Verwaltungsinstrumentation

Weitere Informationen zu WMI finden Sie unter WMI-Anbieter für die Konfigurationsverwaltung.
WMI wird als Teil eines Hosts für gemeinsame Dienste ausgeführt, wobei Ports über DCOM zugewiesen werden. WMI verwendet möglicherweise den TCP-Port 135.

Siehe Spezielle Überlegungen zu Port 135
SQL Server -Konfigurations-Manager verwendet WMI zum Auflisten und Verwalten von Diensten. Es wird empfohlen, die vorkonfigurierte Regelgruppe Windows-Verwaltungsinstrumentation (WMI) zu verwenden. Weitere Informationen finden Sie im Abschnitt Interaktion mit anderen Firewallregeln weiter unten.
Microsoft Distributed Transaction Coordinator (MS DTC) TCP-Port 135

Siehe Spezielle Überlegungen zu Port 135
Wenn Ihre Anwendung verteilte Transaktionen verwendet, müssen Sie die Firewall möglicherweise so konfigurieren, dass MS DTC-Datenverkehr ( Microsoft Distributed Transaction Coordinator) zwischen separaten MS DTC-Instanzen sowie zwischen MS DTC und Ressourcen-Managern wie SQL Server übermittelt werden kann. Es wird empfohlen, die vorkonfigurierte Regelgruppe Distributed Transaction Coordinator zu verwenden.

Bei Konfiguration eines einzelnen freigegebenen MS-DTCs für den gesamten Cluster in einer separaten Gruppe sollten Sie sqlservr.exe der Firewall als Ausnahme hinzufügen.
Die Schaltfläche zum Durchsuchen in Management Studio verwendet UDP, um eine Verbindung mit dem SQL Server -Browserdienst herzustellen. Weitere Informationen finden Sie unter SQL Server-Browserdienst (Datenbank-Engine und SSAS). UDP-Port 1434 UDP ist ein verbindungsloses Protokoll.

Die Firewall verfügt über eine Einstellung mit dem Namen UnicastResponsesToMulticastBroadcastDisabled Property of the INetFwProfile Interface , die das Verhalten der Firewall in Hinblick auf Unicast-Antworten auf eine Broadcast- (oder Multicast-) UDP-Anforderung steuert. Es sind zwei Verhaltensweisen möglich:

Wenn die Einstellung TRUE ist, werden überhaupt keine Unicastantworten auf einen Broadcast zugelassen. Das Auflisten der Dienste schlägt fehl.

Wenn die Einstellung FALSE (Standard) ist, werden Unicastantworten 3 Sekunden lang zugelassen. Die Zeitdauer ist nicht konfigurierbar. versucht in einem Überlastungsnetzwerk oder einem Netzwerk mit hoher Latenz oder bei stark ausgelasteten Servern, Instanzen von SQL Server möglicherweise eine partielle Liste zurückgeben, was Benutzer in die Irre führt.
IPsec-Datenverkehr UDP-Port 500 und UDP-Port 4500 Wenn die Domänenrichtlinie eine Netzwerkkommunikation über IPSec erfordert, müssen Sie auch den UDP-Port 4500 und den UDP-Port 500 der Ausnahmeliste hinzufügen. IPsec ist eine Option, die den Assistenten für neue eingehende Regel im Windows-Firewall-Snap-In verwendet. Weitere Informationen finden Sie unter Verwenden des Snap-Ins „Windows-Firewall mit erweiterter Sicherheit“ weiter unten in diesem Thema.
Verwenden der Windows-Authentifizierung mit vertrauenswürdigen Domänen Firewalls müssen konfiguriert werden, um Authentifizierungsanforderungen zuzulassen. Weitere Informationen finden Sie unter Konfigurieren einer Firewall für Domänen und Vertrauensstellungen.
SQL Server und Windows-Clusterunterstützung Das Clustering erfordert zusätzliche Ports, die nicht direkt mit SQL Server verbunden sind. Weitere Informationen finden Sie unter Enable a network for cluster use.
In der HTTP-Server-API (HTTP.SYS) reservierte URL-Namespaces Wahrscheinlich TCP-Port 80, kann jedoch für andere Ports konfiguriert werden. Allgemeine Informationen finden Sie unter Konfigurieren von HTTP und HTTPS. Spezifische Informationen für SQL Server zum Reservieren eines HTTP.SYS-Endpunkts mittels „HttpCfg.exe“ finden Sie unter Informationen zu URL-Reservierungen und -Registrierungen (SSRS-Konfigurations-Manager).

Spezielle Überlegungen zu Port 135

Wenn Sie RPC mit TCP/IP oder mit UDP/IP als Transportprotokoll verwenden, werden eingehende Ports den Systemdiensten häufig dynamisch nach Bedarf zugewiesen; hierbei werden TCP/IP- und UDP/IP-Ports verwendet, die größer als Port 1024 sind. Diese werden informell häufig als "zufällige RPC-Ports" bezeichnet. In solchen Fällen sind die RPC-Clients auf die Information der RPC-Endpunktzuordnung angewiesen, die Aufschluss darüber geben, welche dynamischen Ports dem Server zugeordnet wurden. Für einige RPC-basierte Dienste können Sie einen bestimmten Port konfigurieren, statt RPC einen Port dynamisch zuweisen zu lassen. Außerdem können Sie den Bereich der Ports, die von RPC dynamisch zugewiesen werden, unabhängig vom Dienst verkleinern. Da Port 135 für zahlreiche Dienste verwendet wird, wird dieser häufig von böswilligen Benutzern angegriffen. Wenn Sie Port 135 öffnen, erwägen Sie, den Gültigkeitsbereich der Firewallregel einzuschränken.

Weitere Informationen zu Port 135 finden Sie in den folgenden Ressourcen:

Interaktion mit anderen Firewallregeln

Die Windows-Firewall verwendet Regeln und Regelgruppen, um ihre Konfiguration festzulegen. Jede Regel oder Regelgruppe ist normalerweise mit einem bestimmten Programm oder Dienst verknüpft, und dieses Programm oder dieser Dienst kann diese Regel ohne Ihr Wissen ändern oder löschen. Beispielsweise sind die Regelgruppen WWW-Dienste (HTTP) und Sichere WWW-Dienste (HTTPS) mit IIS verknüpft. Die Aktivierung dieser Regeln öffnet die Ports 80 und 443, und die SQL Server -Funktionen, die auf den Ports 80 und 443 beruhen, werden ausgeführt, wenn diese Regeln aktiviert sind. Administratoren, die IIS konfigurieren, können diese Regeln jedoch ändern oder deaktivieren. Wenn Sie daher Port 80 oder Port 443 für SQL Server verwenden, sollten Sie Eine eigene Regel oder Regelgruppe erstellen, die ihre gewünschte Portkonfiguration unabhängig von den anderen IIS-Regeln verwaltet.

Das MMC-Snap-In „Windows-Firewall mit erweiterter Sicherheit“ erlaubt jeden Datenverkehr, der mit einer entsprechenden Zulassungsregel übereinstimmt. Wenn also zwei Regeln vorhanden sind, die beide für Port 80 gelten (mit unterschiedlichen Parametern), wird derjenige Datenverkehr zugelassen, der mit einer der beiden Regeln übereinstimmt. Wenn eine Regel den Datenverkehr über Port 80 von einem lokalen Subnetz und eine Regel den Datenverkehr von einer beliebigen Adresse erlaubt, wird letztendlich der gesamte Datenverkehr über Port 80 unabhängig von der Quelle zugelassen. Um den Zugriff auf SQL Servereffektiv zu verwalten, sollten Administratoren alle auf dem Server aktivierten Firewallregeln in regelmäßigen Abständen überprüfen.

Übersicht über Firewallprofile

Firewallprofile werden unter Erste Schritte mit der Windows-Firewall mit erweiterter Sicherheit im Abschnitt NLA-Hostfirewall (Network Location Awareness)behandelt. Zusammenfassend gilt: Die Betriebssysteme identifizieren und "erinnern" alle Netzwerke, mit denen sie eine Verbindung herstellen, in Bezug auf die Konnektivität, Verbindungen und Kategorie.

In Windows-Firewall mit erweiterter Sicherheit gibt es drei Netzwerkstandorttypen:

  • Domäne. Windows kann den Zugriff auf den Domänencontroller für die Domäne des Netzwerks, mit dem der Computer verbunden ist, authentifizieren.

  • Öffentlich. Alle neu erkannten Netzwerke, außer Domänennetzwerke, werden zunächst als öffentlich kategorisiert. Netzwerke, die direkte Verbindungen zum Internet darstellen oder sich an öffentlichen Orten wie z. B. auf Flughäfen und in Cafés befinden, sollten auch öffentlich bleiben.

  • Privat. Ein Netzwerk, das von einem Benutzer oder einer Anwendung als privat gekennzeichnet wird. Es sollten nur vertrauenswürdige Netzwerke als private Netzwerke gekennzeichnet werden. Benutzer können Heim- oder kleine Firmennetzwerke als privat kennzeichnen.

Der Administrator kann für jeden Netzwerkstandorttyp ein Profil erstellen. Dabei kann jedes Profil unterschiedliche Firewallrichtlinien enthalten. Es wird immer nur ein Profil angewendet. Die Profilreihenfolge wird wie folgt angewendet:

  1. Wenn alle Schnittstellen gegenüber dem Domänencontroller für die Domäne, deren Mitglied der Computer ist, authentifiziert werden, wird das Domänenprofil angewendet.

  2. Wenn alle Schnittstellen entweder gegenüber dem Domänencontroller authentifiziert oder mit Netzwerken, die als private Netzwerkstandorte klassifiziert sind, verbunden werden, wird das private Profil angewendet.

  3. Andernfalls wird das öffentliche Profil angewendet.

Verwenden Sie das MMC-Snap-In „Windows-Firewall mit erweiterter Sicherheit“, um alle Firewallprofile anzuzeigen und zu konfigurieren. Mithilfe des Elements Windows-Firewall in der Systemsteuerung kann nur das aktuelle Profil konfiguriert werden.

Zusätzliche Firewalleinstellungen mithilfe des Eintrags „Windows-Firewall“ in der Systemsteuerung

Ausnahmen, die Sie der Firewall hinzufügen, können das Öffnen des Ports bei eingehenden Verbindungen von bestimmten Computern oder vom lokalen Subnetz einschränken. Diese Einschränkung des Bereichs der Portöffnung kann den Umfang, in dem Ihr Computer böswilligen Benutzern ausgesetzt ist, verringern und wird daher empfohlen.

Hinweis

Mithilfe des Elements Windows-Firewall in der Systemsteuerung wird nur das aktuelle Firewallprofil konfiguriert.

So ändern Sie den Bereich einer Firewallausnahme mithilfe des Elements „Windows-Firewall“ in der Systemsteuerung

  1. Wählen Sie unter dem Element Windows-Firewall in der Systemsteuerung auf der Registerkarte Ausnahmen ein Programm oder einen Port aus, und klicken Sie dann auf Eigenschaften oder Bearbeiten.

  2. Klicken Sie im Dialogfeld Programm bearbeiten oder Port bearbeiten auf Bereich ändern.

  3. Wählen Sie eine der folgenden Optionen aus:

    • Alle Computer (einschließlich der im Internet)

      Nicht empfehlenswert. Dies ermöglicht es jedem Computer, der mit Ihrem Computer Kontakt aufnehmen kann, eine Verbindung mit einem bestimmten Programm oder Port herzustellen. Diese Einstellung kann notwendig sein, um die Anzeige von Informationen für anonyme Benutzer im Internet zuzulassen, erhöht aber die Gefahr, die von böswilligen Benutzern ausgeht. Ihre Gefährdung kann sich noch weiter erhöhen, wenn Sie diese Einstellung aktivieren und außerdem NAT-Traversal (Network Address Translation) zulassen, wie z. B. die Option Randüberquerung zulassen.

    • Nur für eigenes Netzwerk (Subnetz)

      Dies ist eine sicherere Einstellung als Jeder Computer. Nur Computer im lokalen Subnetz Ihres Netzwerks können eine Verbindung mit dem Programm oder Port herstellen.

    • Benutzerdefinierte Liste:

    Nur Computer, die über die von Ihnen aufgeführten IP-Adressen verfügen, können eine Verbindung herstellen. Dies kann eine sicherere Einstellung als Nur für eigenes Netzwerk (Subnetz) sein; Clientcomputer, die DHCP verwenden, können jedoch gelegentlich ihre IP-Adresse ändern. Dann kann der beabsichtigte Computer keine Verbindung herstellen. Ein anderer Computer, den Sie nicht autorisieren wollten, könnte die aufgeführte IP-Adresse akzeptieren und dann in der Lage sein, eine Verbindung herzustellen. Die Option Benutzerdefinierte Liste eignet sich möglicherweise zum Auflisten anderer Server, die für eine feste IP-Adresse konfiguriert sind; es besteht jedoch die Möglichkeit, dass IP-Adressen von einem Eindringling gefälscht (gespooft) werden. Restriktive Firewallregeln sind nur so stark wie Ihre Netzwerkinfrastruktur.

Verwenden des Snap-Ins „Windows-Firewall mit erweiterter Sicherheit“

Mithilfe des MMC-Snap-Ins „Windows-Firewall mit erweiterter Sicherheit“ können zusätzliche erweiterte Firewalleinstellungen konfiguriert werden. Das Snap-In enthält einen Regel-Assistenten und bietet Zusatzeinstellungen, die im Element Windows-Firewall in der Systemsteuerung nicht verfügbar sind. Dazu gehören folgende Einstellungen:

  • Verschlüsselungseinstellungen

  • Einschränkungen für Dienste

  • Einschränken von Verbindungen für Computer nach Name

  • Einschränken von Verbindungen für bestimmte Benutzer oder Profile

  • Randüberquerung, die dem Datenverkehr die Umgehung von NAT-Routern (Network Address Translation) erlaubt

  • Konfigurieren von ausgehenden Regeln

  • Konfigurieren von Sicherheitsregeln

  • Erfordern von IPsec für eingehende Verbindungen

So erstellen Sie eine neue Firewallregel mit dem Assistenten für neue Regeln

  1. Klicken Sie im Menü Start auf Ausführen, geben Sie WF.mscein, und klicken Sie anschließend auf OK.

  2. Klicken Sie im linken Bereich von Windows-Firewall mit erweiterter Sicherheitmit der rechten Maustaste auf Eingehende Regeln, und klicken Sie dann auf Neue Regel.

  3. Schließen Sie den Assistenten für neue eingehende Regel mit den gewünschten Einstellungen ab.

Behandeln von Problemen mit Firewalleinstellungen

Die folgenden Tools und Techniken können bei der Behandlung von Problemen mit der Firewall nützlich sein:

  • Der effektive Portstatus ist die Gesamtheit aller Regeln, die den Port betreffen. Beim Versuch, den Zugriff über einen Port zu blockieren, kann es hilfreich sein, alle Regeln, die die Portnummer nennen, zu überprüfen. Verwenden Sie hierzu das MMC-Snap-In „Windows-Firewall mit erweiterter Sicherheit“, und sortieren Sie die ein- und ausgehenden Regeln nach Portnummer.

  • Überprüfen Sie die Ports, die auf dem Computer aktiv sind, auf dem SQL Server ausgeführt wird. Dazu muss überprüft werden, welche TCP/IP-Ports überwacht werden und welchen Status diese Ports besitzen.

    Um zu überprüfen, welche Ports überwacht werden, verwenden Sie das Befehlszeilen-Hilfsprogramm netstat . Zusätzlich zur Anzeige der aktiven TCP-Verbindungen werden mit dem netstat-Hilfsprogramm auch eine Reihe von IP-Statistiken und -Informationen angezeigt.

    So führen Sie auf, auf welchen TCP/IP-Ports die Überwachung erfolgt

    1. Öffnen Sie das Eingabeaufforderungsfenster.

    2. Geben Sie an der Eingabeaufforderung netstat -n -a ein:

      Mit dem -n-Schalter wird netstat angewiesen, die Adressen und Portnummern der aktiven TCP-Verbindungen numerisch anzuzeigen. Mit dem -a-Schalter wird netstat angewiesen, die vom Computer überwachten TCP- und UDP-Ports anzuzeigen.

  • Mit dem PortQry-Hilfsprogramm kann der Status der TCP/IP-Ports als überwacht, nicht überwacht oder gefiltert gemeldet werden. (Der gefilterte Status bedeutet, dass der Port überwacht oder nicht überwacht wird. Dieser Status gibt an, dass das Hilfsprogramm keine Antwort vom Port empfangen hat.) Das Hilfsprogramm PortQry steht im Microsoft Download Center zum Herunterladen zur Verfügung.

Weitere Informationen

Dienste und Netzwerkportanforderungen für das Windows Server-System