Partager via


Déploiement d’un port non standard et d’un alias SQL Server dans Lync Server 2013

 

Rubrique Dernière modification : 2015-09-16

Microsoft Lync Server 2013 prend en charge l’utilisation d’un port et d’un alias non standard dans SQL Server. L’utilisation d’un port non standard SQL Server et d’un alias augmente la sécurité et crée un environnement plus flexible pour le déploiement de Lync. Ces étapes ne constituent qu’une étape unique pour sécuriser correctement votre environnement Lync Server 2013. Des étapes supplémentaires doivent être prises pour réduire la surface d’attaque d’une implémentation Lync Server 2013.

L’article suivant décrit les étapes requises pour configurer un port et un alias SQL Server non standard dans Lync Server 2013.

Déploiement d’un port et d’un alias SQL Server non standard dans Lync Server 2013

Lync Server 2013 Topology Builder prend en charge l’utilisation d’un alias SQL Server comme nom de domaine complet (FQDN) au lieu du nom de domaine complet (FQDN) SQL Server réel lors de la configuration de Lync Server 2013. Cela permet au nom de domaine complet SQL Server réel d’être masqué à tout attaquant malveillant. En outre, l’utilisation d’un port non standard masque le port réel de n’importe quel attaquant qui tenterait d’attaquer la base de données sur le port standard 1433, comme illustré dans la figure suivante.

Un pirate ne connaît pas le numéro de port à attaquer.

Pour réussir à déterminer le port utilisé par Lync Server 2013 pour communiquer avec SQL Server, l’attaquant doit analyser tous les ports pour obtenir les informations de port. Une analyse de port effectuée par un attaquant augmente les chances que la sécurité puisse détecter et arrêter l’instruction. Outre l’ajout d’une sécurité accrue avec un port non standard, vous pouvez également utiliser un alias SQL Server pour offrir de la flexibilité pour le déploiement. Cela est utile pour réduire les modifications de configuration dans les situations où un changement de nom SQL Server est requis.

Remarque

SQL Server fournit deux méthodes de tolérance de panne (clustering de basculement et mise en miroir). Les deux méthodes de tolérance de panne SQL Server sont prises en charge à l’aide d’un port et d’un alias non standard SQL Server avec Lync Server 2013. Si le serveur principal SQL Server utilisé par le pool est dans une configuration mise en miroir, le service de navigateur SQL sur les serveurs principaux SQL Server doit être en cours d’exécution pour que les serveurs frontaux se connectent à la base de données mise en miroir lorsque les bases de données sont basculées vers le serveur SQL Server mis en miroir.

Lors de la configuration de la connectivité de base de données SQL Server à partir du Générateur de topologie ou lors de l’utilisation de l’applet de commande Install-CsDatabase, il n’est pas possible de définir explicitement un numéro de port non standard SQL Server et de l’associer à une instance SQL. Pour définir un port non standard, vous devez utiliser les utilitaires SQL Server et Windows Server.

Pour configurer un port et un alias SQL Server non standard à utiliser avec Lync Server 2013, vous devez effectuer trois étapes principales. Ces étapes sont les suivantes :

  • Vérifiez que les dernières mises à jour sont appliquées à Lync Server 2013.

  • Configurez le port et l’alias SQL Server non standard.

  • Configurez Lync Server 2013 avec l’alias SQL Server à l’aide du Générateur de topologie.

  • Publiez la topologie et vérifiez la base de données.

Vérifiez que les dernières mises à jour appliquées à Lync Server 2013

Il est important de maintenir Lync Server 2013 à jour. Pour rechercher les mises à jour et les informations les plus récentes sur la façon de les appliquer, consultez Mises à jour pour Lync Server 2013.

Configurer le port et l’alias SQL Server non standard

Le port et l’alias non standard SQL Server doivent être configurés sur l’instance de base de données avant de pouvoir être référencés à partir du Générateur de topologie Lync Server 2013. Pour configurer un port et un alias SQL Server non standard, vous devez effectuer trois étapes principales. Ces étapes sont les suivantes :

  • Modifiez les valeurs de protocole TCP/IP par défaut.

  • Créez et configurez un alias SQL Server.

  • Créez un enregistrement de ressource CNAME (Domain Name System) Canonical Name (DNS).

Modifier les valeurs de protocole TCP/IP par défaut

  1. Sélectionnez Démarrer, puis choisissez Gestionnaire de configuration SQL Server, comme illustré dans la figure suivante.

    Icône SQL Server Management Studio

  2. Dans le volet de navigation, choisissez de développer l’instance SQL Server, choisissez de développer la configuration réseau SQL Server et choisissez Protocoles pour <le nom> de l’instance, comme illustré dans la figure suivante.

    Accéder aux propriétés TCP/IP

  3. Dans le volet droit, cliquez avec le bouton droit sur TCP/IP, puis sélectionnez Propriétés. La boîte de dialogue Propriétés TCP/IP s’affiche.

  4. Sélectionnez l’onglet Adresses IP . L’onglet Adresses IP affiche toutes les adresses IP actives sur le serveur. Elles sont au format IP1, IP2, jusqu’à IPAll, comme illustré dans la figure suivante.

    Ouvrez les propriétés TCP/IP.

  5. Effacez le champ Ports dynamiques TCP pour toutes les adresses IP. Si le champ contient un caractère zéro, cela signifie que SQL Server écoute sur les ports dynamiques. Assurez-vous que ces champs sont effacés et qu’ils ne contiennent pas de zéro.

  6. Pour l’adresse IP que Lync Server utilisera pour se connecter à la base de données, assurez-vous que Activé est défini sur Oui, comme illustré dans la figure suivante.

    Défini sur Oui pour l’adresse IP correcte.

  7. Dans la section IPAll en bas de la boîte de dialogue, entrez le port souhaité dans le champ Port TCP , comme illustré dans la figure suivante. Dans cet exemple, nous utilisons le port 50062, mais vous pouvez utiliser n’importe quel port entre 49152 et 65535. Il s’agit des ports affectés à une utilisation dynamique et privée, ce qui garantit que vous ne serez pas en conflit avec d’autres ports utilisés dans le déploiement de Lync Server 2013.

    Définissez le port dans la section IPAll.

  8. Choisissez OK pour quitter la boîte de dialogue Propriétés TCP/IP.

  9. Redémarrez l’instance SQL Server en sélectionnant SQL Server Services dans le volet gauche de Gestionnaire de configuration SQL Server. Cliquez ensuite avec le bouton droit sur le nom> de l’instance SQL Server < dans le volet droit, puis sélectionnez Redémarrer, comme illustré dans la figure suivante.

    Réinitialiser le service SQL Server par exemple.

Important

Veillez à mettre à jour vos paramètres de pare-feu pour prendre en charge le nouveau port SQL Server.

Créer et configurer un alias SQL Server

  1. Sélectionnez Démarrer, puis choisissez Gestionnaire de configuration SQL Server, comme illustré dans la figure suivante.

    Icône SQL Server Management Studio

  2. Dans le volet gauche, choisissez de développer l’instance SQL Server, choisissez de développer la configuration de la version> de SQL Native Client<, puis choisissez Alias, comme illustré dans la figure suivante.

    Alias dans Gestionnaire de configuration SQL Server.

  3. Cliquez avec le bouton droit sur Alias, puis sélectionnez Nouvel alias....

  4. Entrez le nom d’alias, le numéro de port, le protocole et le serveur, comme illustré dans la figure suivante.

    Création d’un alias

    Attention

    Veillez à entrer le port non standard que vous avez utilisé à l’étape précédente, car il s’agit du port sur lequel SQL Server écoute. Si un alias configuré se connecte au nom de domaine complet ou à l’instance SQL Server incorrect, désactivez puis réactivez le protocole réseau associé. Cela efface toutes les informations de connexion mises en cache et permet au client de se connecter correctement.

Créer un enregistrement de ressource CNAME DNS

  1. Connectez-vous à l’ordinateur qui gère DNS.

  2. Sélectionnez Démarrer, puis choisissez Gestionnaire de serveur, comme illustré dans la figure suivante.

    Ouverture Gestionnaire de serveur

  3. Choisissez la liste déroulante Outils , puis sélectionnez DNS, comme illustré dans la figure suivante.

    Ouverture de DNS à partir de Gestionnaire de serveur.

  4. Dans le volet gauche, développez le nœud de nom de serveur, développez le nœud Zones de recherche avancée et choisissez le domaine approprié.

  5. Cliquez avec le bouton droit sur le domaine, puis sélectionnez Nouvel alias (CNAME)..., comme illustré dans la figure suivante.

    Sélection de l’option pour créer un alias CNAME

  6. Entrez le nom d’alias et le nom de domaine complet pour SQL Server, comme illustré dans la figure suivante.

    Remplissage de la boîte de dialogue CNAME du nouvel alias.

  7. Choisissez OK pour enregistrer le CNAME et l’afficher dans le Gestionnaire DNS.

Valider la connectivité de base de données

Il existe de nombreuses façons de s’assurer qu’il fonctionne. Vous souhaitez vous assurer que la base de données SQL Server écoute sur le port spécifié à l’aide de l’alias. Une vérification rapide peut être effectuée à l’aide des commandes netstat et telnet .

Remarque

Telnet Client est une fonctionnalité qui est fourni avec Windows Server, mais qui doit être installé. Une fonctionnalité Windows Server peut être installée en ouvrant Gestionnaire de serveur et en sélectionnant Ajouter des rôles et des fonctionnalités dans le menu Gérer.

Utiliser netstat et telnet pour vérifier la connectivité de la base de données

  1. Sélectionnez Démarrer et tapez cmd pour ouvrir une invite de commandes.

  2. Tapez netstat -a-f et vérifiez que SQL Server s’exécute avec le port approprié, comme illustré dans la figure suivante.

    Utilisation de netstat pour vérifier le port.

  3. Tapez le port de nom><d’alias telnet <#> pour confirmer la connexion à l’instance SQL Server. Si la connexion réussit, telnet se connecte et vous ne devriez pas voir d’erreur. Cela montre que l’instance SQL Server écoute sur le port approprié avec l’alias approprié. En cas de problème de connexion à la base de données SQL Server, telnet affiche une erreur indiquant que la connexion ne peut pas être établie. Maintenant que vous avez vérifié la connectivité de la base de données sur le serveur de base de données, vous pouvez faire la même chose à partir de Lync Server (sur le réseau) et vous assurer qu’aucun pare-feu ne bloque l’accès en cours de route.

Conclusion

Une fois l’alias SQL Server configuré, vous pouvez l’utiliser pour créer une topologie Lync Server 2013 dans l’outil Générateur de topologie. Pour plus d’informations sur les topologies, consultez Définition et configuration de la topologie dans Lync Server 2013.