Teilen über

Konfigurieren der Windows-Firewall für den SQL Server-Zugriff

Durch Firewallsysteme kann der nicht autorisierte Zugriff auf Computerressourcen verhindert werden. Wenn eine Firewall aktiviert, aber nicht richtig konfiguriert ist, können Versuche der Verbindungsherstellung mit SQL Server blockiert werden.

Um über eine Firewall auf eine Instanz von SQL Server zuzugreifen, müssen Sie die Firewall auf dem Computer konfigurieren, auf dem SQL Server ausgeführt wird, um den Zugriff zu ermöglichen. Die Firewall ist eine Komponente von Microsoft Windows. Sie können auch eine Firewall von einem anderen Unternehmen installieren. In diesem Thema wird erläutert, wie Sie die Windows-Firewall konfigurieren, aber die Grundprinzipien gelten für andere Firewallprogramme.

Hinweis

Dieses Thema enthält eine Übersicht über die Firewallkonfiguration und fasst Informationen zusammen, die für einen SQL Server-Administrator von Interesse sind. Weitere Informationen zur Firewall und zu autorisierenden Firewallinformationen finden Sie in der Firewalldokumentation, z. B. windows-Firewall mit erweiterter Sicherheit und IPsec.

Benutzer, die mit dem Windows-Firewallelement in der Systemsteuerung und der Windows-Firewall mit dem MMC-Snap-In (Advanced Security Microsoft Management Console) vertraut sind und wissen, welche Firewalleinstellungen sie konfigurieren möchten, können direkt zu den Themen in der folgenden Liste wechseln:

Grundlegende Firewallinformationen

Firewalls funktionieren, indem eingehende Pakete überprüft und mit einer Reihe von Regeln verglichen werden. Wenn die Regeln das Paket zulassen, übergibt die Firewall das Paket zur zusätzlichen Verarbeitung an das TCP/IP-Protokoll. Wenn die Regeln das Paket nicht zulassen, verwirft die Firewall das Paket und erstellt, wenn die Protokollierung aktiviert ist, einen Eintrag in der Firewallprotokollierungsdatei.

Die Liste des zugelassenen Datenverkehrs wird auf eine der folgenden Arten aufgefüllt:

  • Wenn der Computer, auf dem die Firewall aktiviert ist, die Kommunikation initiiert, erstellt die Firewall einen Eintrag in der Liste, sodass die Antwort zulässig ist. Die eingehende Antwort wird als angeforderter Datenverkehr betrachtet, und Sie müssen dies nicht konfigurieren.

  • Ein Administrator konfiguriert Ausnahmen von der Firewall. Dies ermöglicht entweder den Zugriff auf angegebene Programme, die auf Ihrem Computer ausgeführt werden, oder den Zugriff auf angegebene Verbindungsports auf Ihrem Computer. In diesem Fall akzeptiert der Computer den unangefordert eingehenden Datenverkehr, wenn er als Server, Listener oder Peer fungiert. Dies ist der Typ der Konfiguration, die abgeschlossen werden muss, um eine Verbindung mit SQL Server herzustellen.

Das Festlegen einer Firewallstrategie ist komplexer als die bloße Entscheidung, ob ein bestimmter Port geöffnet oder geschlossen werden sollte. Stellen Sie beim Entwerfen einer Firewallstrategie für Ihr Unternehmen sicher, dass Sie alle für Sie verfügbaren Regeln und Konfigurationsoptionen berücksichtigen. In diesem Thema werden nicht alle möglichen Firewalloptionen überprüft. Es wird empfohlen, die folgenden Dokumente zu überprüfen:

Handbuch für die ersten Schritte zur Windows-Firewall mit erweiterter Sicherheit

Entwurfshandbuch für die Windows-Firewall mit erweiterter Sicherheit

Einführung in die Server- und Domänenisolation

Standardfirewalleinstellungen

Der erste Schritt bei der Planung der Firewallkonfiguration ist die Bestimmung des aktuellen Status der Firewall Ihres Betriebssystems. Wenn das Betriebssystem von einer früheren Version aktualisiert wurde, wurden möglicherweise die früheren Firewalleinstellungen beibehalten. Außerdem konnten die Firewalleinstellungen von einem anderen Administrator oder von einer Gruppenrichtlinie in Ihrer Domäne geändert werden.

Hinweis

Das Aktivieren der Firewall wirkt sich auf andere Programme aus, die auf diesen Computer zugreifen, z. B. Datei- und Druckfreigabe sowie Remotedesktopverbindungen. Administratoren sollten vor dem Anpassen der Firewalleinstellungen alle auf dem Computer ausgeführten Anwendungen berücksichtigen.

Programme zum Konfigurieren der Firewall

Es gibt drei Möglichkeiten zum Konfigurieren der Windows-Firewalleinstellungen.

  • Windows-Firewallelement in der Systemsteuerung

    Das Windows-Firewallelement kann über die Systemsteuerung geöffnet werden.

    Von Bedeutung

    Änderungen, die im Windows-Firewallelement in der Systemsteuerung vorgenommen wurden, wirken sich nur auf das aktuelle Profil aus. Mobile Geräte, z. B. ein Laptop, sollten nicht das Windows-Firewallelement in der Systemsteuerung verwenden, da sich das Profil ändern kann, wenn es in einer anderen Konfiguration verbunden ist. Dann wird das zuvor konfigurierte Profil nicht wirksam. Weitere Informationen zu Profilen finden Sie im Handbuch für die ersten Schritte zur Windows-Firewall mit erweiterter Sicherheit.

    Mit dem Windows-Firewallelement in der Systemsteuerung können Sie grundlegende Optionen konfigurieren. Dazu gehören folgende:

    • Aktivieren oder Deaktivieren des Windows-Firewallelements in der Systemsteuerung

    • Aktivieren und Deaktivieren von Regeln

    • Gewähren von Ausnahmen für Ports und Programme

    • Festlegen einiger Bereichseinschränkungen

    Das Windows-Firewallelement in der Systemsteuerung eignet sich am besten für Benutzer, die in der Firewallkonfiguration nicht erfahren sind und die grundlegende Firewalloptionen für Computer konfigurieren, die nicht mobil sind. Sie können das Windows-Firewallelement auch in der Systemsteuerung über den run Befehl öffnen, indem Sie das folgende Verfahren verwenden:

    So öffnen Sie das Windows-Firewallelement

    1. Klicken Sie im Startmenü auf "Ausführen", und geben Sie firewall.cpldann ein.

    2. Klicke auf OK.

  • Microsoft Management Console (MMC)

    Mithilfe des MMC-Snap-Ins „Windows-Firewall mit erweiterter Sicherheit“ können Sie erweiterte Firewalleinstellungen konfigurieren. Dieses Snap-In stellt die meisten Firewalloptionen in einer benutzerfreundlichen Form sowie alle Firewallprofile bereit. Weitere Informationen finden Sie unter Verwenden der Windows-Firewall mit erweitertem Sicherheits-Snap-In weiter unten in diesem Thema.

  • netsh

    Das netsh.exe Tool kann von einem Administrator zum Konfigurieren und Überwachen von Windows-basierten Computern an einer Eingabeaufforderung oder mithilfe einer Batchdatei verwendet werden. Mithilfe des Netsh-Tools können Sie die Kontextbefehle, die Sie eingeben, an das entsprechende Hilfsprogramm weiterleiten, und das Hilfsprogramm führt dann den Befehl aus. Ein Hilfsprogramm ist eine Dynamic Link Library (.dll) Datei, die die Funktionalität des Netsh-Tools erweitert, indem Konfiguration, Überwachung und Unterstützung für einen oder mehrere Dienste, Dienstprogramme oder Protokolle bereitgestellt werden. Alle Betriebssysteme, die SQL Server unterstützen, verfügen über ein Firewallhilfsprogramm. Windows Server 2008 verfügt auch über einen erweiterten Firewallhilfsprogramm namens advfirewall. Die Details zur Verwendung von Netsh werden in diesem Thema nicht erläutert. Viele der beschriebenen Konfigurationsoptionen können jedoch mithilfe von netsh konfiguriert werden. Führen Sie beispielsweise über eine Eingabeaufforderung das folgende Skript aus, um TCP-Port 1433 zu öffnen:

    netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT

    Ein ähnliches Beispiel mithilfe des Windows-Firewall-Hilfsprogramms für erweiterte Sicherheit:

    netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN

    Weitere Informationen zu netsh finden Sie unter den folgenden Links:

Von SQL Server verwendete Ports

Die folgenden Tabellen können Sie dabei unterstützen, die von SQL Server verwendeten Ports zu identifizieren.

Vom Datenbankmodul verwendete Ports

In der folgenden Tabelle werden die häufig von Datenbank-Engine verwendeten Ports aufgeführt.

Szenario Hafen Kommentare
SQL Server-Standardinstanz, die über TCP ausgeführt wird TCP-Port 1433 Dies ist der am häufigsten verwendete Port über die Firewall. Er gilt für Routineverbindungen mit der Standardinstallation von Datenbank-Engine oder einer benannten Instanz, bei der es sich um die einzige auf dem Computer ausgeführte Instanz handelt. (Benannte Instanzen erfordern besondere Überlegungen. Weitere Informationen zu dynamischen Ports finden Sie im weiteren Verlauf dieses Themas.)
Benannte SQL Server-Instanzen in der Standardkonfiguration Der TCP-Port ist ein dynamischer Port, der zu dem Zeitpunkt bestimmt wird, zu dem die Datenbank-Engine startet. Weitere Informationen finden Sie weiter unten im Abschnitt "Dynamische Ports". UDP-Port 1434 ist möglicherweise für den SQL Server-Browserdienst erforderlich, wenn Sie benannte Instanzen verwenden.
SQL Server-Instanzen mit festgelegtem Namen, die für die Verwendung eines festen Ports konfiguriert sind Die vom Administrator konfigurierte Portnummer. Weitere Informationen finden Sie weiter unten im Abschnitt "Dynamische Ports".
Dedizierte Administratorverbindung TCP-Port 1434 für die Standardinstanz. Andere Ports werden für benannte Instanzen verwendet. Überprüfen Sie das Fehlerprotokoll auf die Portnummer. Standardmäßig sind Remoteverbindungen mit der dedizierten Administratorverbindung (Dedicated Administrator Connection, DAC) nicht aktiviert. Zum Aktivieren der Remote-DAC verwenden Sie das Facet für die Oberflächenkonfiguration. Weitere Informationen finden Sie unter Oberflächenkonfiguration.
SQL Server Browserdienst UDP-Port 1434 Der SQL Server-Browserdienst überwacht eingehende Verbindungen mit einer benannten Instanz und stellt dem Client die TCP-Portnummer bereit, die dieser benannten Instanz entspricht. Normalerweise wird der SQL Server -Browserdienst immer dann gestartet, wenn benannte Instanzen von Datenbank-Engine verwendet werden. Der SQL Server-Browserdienst muss nicht gestartet werden, wenn der Client für die Verbindung mit dem spezifischen Port der benannten Instanz konfiguriert ist.
SQL Server-Instanz, die über einen HTTP-Endpunkt ausgeführt wird. Kann angegeben werden, wenn ein HTTP-Endpunkt erstellt wird. Der Standardwert ist TCP-Port 80 für CLEAR_PORT Datenverkehr und 443 für SSL_PORT Datenverkehr. Wird für eine HTTP-Verbindung über eine URL verwendet
SQL Server-Standardinstanz, die über einen HTTPS-Endpunkt ausgeführt wird. TCP-Port 443 Wird für eine HTTPS-Verbindung über eine URL verwendet. HTTPS ist eine HTTP-Verbindung, die ssl (Secure Sockets Layer) verwendet.
Dienstvermittler TCP-Port 4022. Führen Sie die folgende Abfrage aus, um den verwendeten Port zu überprüfen:

SELECT name, protocol_desc, port, state_desc

FROM sys.tcp_endpoints

WHERE type_desc = 'SERVICE_BROKER'		 Es gibt keinen Standardport für sql ServerService Broker, aber dies ist die herkömmliche Konfiguration, die in Books Online-Beispielen verwendet wird.
Datenbankspiegelung Vom Administrator ausgewählter Port. Führen Sie die folgende Abfrage aus, um den Port zu bestimmen:

SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints

WHERE type_desc = 'DATABASE_MIRRORING'		 Es gibt keinen Standardport für die Datenbankspiegelung, aber Books Online-Beispiele verwenden TCP-Port 7022. Es ist sehr wichtig, zu vermeiden, dass ein verwendeter Spiegelungsendpunkt unterbrochen wird, insbesondere im Hochsicherheitsmodus mit automatischem Failover. Die Firewallkonfiguration muss eine Unterbrechung des Quorums vermeiden. Weitere Informationen finden Sie unter Angeben einer Servernetzwerkadresse (Datenbankspiegelung).
Replikation Replikationsverbindungen mit SQL Server verwenden die typischen normalen Datenbankmodulports (TCP-Port 1433 für die Standardinstanz usw.)

Websynchronisierung und FTP/UNC-Zugriff für Replikationsmomentaufnahmen erfordern zusätzliche Ports, die in der Firewall geöffnet werden müssen. Zur Übertragung der Anfangsdaten und des Schemas zwischen unterschiedlichen Standorten kann für die Replikation FTP (TCP-Port 21), die Synchronisierung über HTTP (TCP-Port 80) oder die Dateifreigabe verwendet werden. Die Dateifreigabe verwendet UDP-Port 137 und 138 sowie TCP-Port 139, wenn NetBIOS verwendet wird. Für die Dateifreigabe wird der TCP-Port 445 verwendet.		 Für die Synchronisierung über HTTP verwendet die Replikation den IIS-Endpunkt (Ports, die konfigurierbar sind, aber standardmäßig Port 80 sind), der IIS-Prozess stellt jedoch eine Verbindung mit dem Back-End-SQL Server über die Standardports (1433 für die Standardinstanz) bereit.

Bei der Websynchronisierung mittels FTP findet die FTP-Übertragung zwischen IIS und dem SQL Server -Verleger und nicht zwischen Abonnent und IIS statt.
Transact-SQL-Debugger TCP-Port 135

Siehe Spezielle Überlegungen zu Port 135

Die IPsec -Ausnahme ist möglicherweise auch erforderlich.		 Wenn Sie Visual Studio verwenden, müssen Sie auf dem Visual Studio-Hostcomputer auch Devenv.exe zur Ausnahmenliste hinzufügen und TCP-Port 135 öffnen.

Wenn Sie Management Studio verwenden, müssen Sie auf dem Management Studio-Hostcomputer auch ssms.exe zur Ausnahmenliste hinzufügen und TCP-Port 135 öffnen. Weitere Informationen finden Sie unter Konfigurieren des Transact-SQL Debuggers.

Schrittweise Anleitungen zum Konfigurieren der Windows-Firewall für das Datenbankmodul finden Sie unter Konfigurieren einer Windows-Firewall für den Datenbankmodulzugriff.

Dynamische Ports

Standardmäßig verwenden benannte Instanzen (einschließlich SQL Server Express) dynamische Ports. Das bedeutet, dass jedes Mal, wenn das Datenbankmodul gestartet wird, einen verfügbaren Port identifiziert und diese Portnummer verwendet. Wenn die benannte Instanz die einzige Instanz des Datenbankmoduls ist, wird wahrscheinlich TCP-Port 1433 verwendet. Wenn andere Instanzen des Datenbankmoduls installiert sind, wird wahrscheinlich ein anderer TCP-Port verwendet. Da sich der ausgewählte Port bei jedem Start des Datenbankmoduls ändern kann, ist es schwierig, die Firewall so zu konfigurieren, dass der Zugriff auf die richtige Portnummer möglich ist. Wenn eine Firewall verwendet wird, empfiehlt es sich daher, das Datenbankmodul jedes Mal neu zu konfigurieren, um dieselbe Portnummer zu verwenden. Dies wird als fester Port oder statischer Port bezeichnet. Weitere Informationen finden Sie unter Konfigurieren eines Servers zur Überwachung eines bestimmten TCP-Ports (SQL Server-Konfigurations-Manager).

Eine Alternative zum Konfigurieren einer benannten Instanz zum Überwachen eines festen Ports besteht darin, eine Ausnahme in der Firewall für ein SQL Server-Programm wie sqlservr.exe (für das Datenbankmodul) zu erstellen. Dies kann praktisch sein, aber die Portnummer wird nicht in der Spalte " Lokaler Port " der Seite " Eingehende Regeln " angezeigt, wenn Sie die Windows-Firewall mit advanced Security MMC-Snap-In verwenden. Dadurch kann es schwieriger werden, zu überwachen, welche Ports geöffnet sind. Ein weiterer Aspekt ist, dass ein Service Pack oder kumulatives Update den Pfad zur ausführbaren SQL Server-Datei ändern kann, wodurch die Firewallregel ungültig wird.

Hinweis

Im folgenden Verfahren wird das Windows-Firewallelement in der Systemsteuerung verwendet. Die Windows-Firewall mit advanced Security MMC-Snap-In kann eine komplexere Regel konfigurieren. Dies umfasst das Konfigurieren einer Dienstausnahme, die hilfreich sein kann, um eine tiefgehende Verteidigung zu gewährleisten. Siehe Verwenden des Windows-Firewall mit erweitertem Sicherheits-Snap-In.

So fügen Sie der Firewall eine Programm-Ausnahme mithilfe des Windows-Firewallelements in der Systemsteuerung hinzu.

  1. Klicken Sie auf der Registerkarte "Ausnahmen " des Windows-Firewallelements in der Systemsteuerung auf "Programm hinzufügen".

  2. Navigieren Sie zum Speicherort der Instanz von SQL Server, die Sie über die Firewall zulassen möchten, z. B. "C:\Programme\Microsoft SQL Server\MSSQL12".<>instance_name\MSSQL\Binn, wählen Sie sqlservr.exeaus, und klicken Sie dann auf "Öffnen".

  3. Klicke auf OK.

Weitere Informationen über Endpunkte finden Sie unter Konfigurieren der Datenbank-Engine zum Überwachen mehrerer TCP-Ports und Endpunkte-Katalogsichten (Transact-SQL).

Von Analysis Services verwendete Ports

In der folgenden Tabelle werden die häufig von Analysis Services verwendeten Ports aufgeführt.

Merkmal Hafen Kommentare
Analyse-Services TCP-Port 2383 für die Standardinstanz Der Standardport für die Standardinstanz von Analysis Services.
SQL Server Browserdienst TCP-Port 2382, nur für eine benannte Instanz von Analysis Services notwendig Clientverbindungsanforderungen für eine benannte Instanz von Analysis Services, die keine Portnummer angeben, werden an Port 2382 weitergeleitet, der Port, auf den SQL Server-Browser lauscht. SQL Server -Browser leitet dann die Anforderung an den Port um, der von der benannten Instanz verwendet wird.
Analysis Services zur Verwendung durch IIS/HTTP konfiguriert

Die PivotTable-Dienste verwenden HTTP oder HTTPS.		 TCP-Port 80 Wird für eine HTTP-Verbindung über eine URL verwendet
Analysis Services zur Verwendung durch IIS/HTTPS konfiguriert

Der PivotTable-Dienst verwendet HTTP oder HTTPS.		 TCP-Port 443 Wird für eine HTTPS-Verbindung über eine URL verwendet. HTTPS ist eine HTTP-Verbindung, die ssl (Secure Sockets Layer) verwendet.

Wenn Benutzer über IIS und das Internet auf Analysis Services zugreifen, müssen Sie den Port öffnen, auf dem IIS lauscht, und diesen Port in der Clientverbindungszeichenfolge angeben. In diesem Fall müssen keine Ports für den direkten Zugriff auf Analysis Services geöffnet sein. Der Standardport 2389 und Port 2382 sollten zusammen mit allen anderen Ports eingeschränkt werden, die nicht erforderlich sind.

Schrittweise Anleitungen zum Konfigurieren der Windows-Firewall für Analysis Services finden Sie unter Konfigurieren der Windows-Firewall zum Zulassen des Analysis Services-Zugriffs.

Von Reporting Services verwendete Ports

In der folgenden Tabelle werden die häufig von Reporting Services verwendeten Ports aufgeführt.

Merkmal Hafen Kommentare
Reporting Services -Webdienste TCP-Port 80 Wird für eine HTTP-Verbindung mit Reporting Services über eine URL verwendet. Es wird empfohlen, die vorkonfigurierte Regel World Wide Web Services (HTTP) nicht zu verwenden. Weitere Informationen finden Sie im Abschnitt "Interaktion mit anderen Firewallregeln " weiter unten.
Reporting Services zur Verwendung durch HTTPS konfiguriert TCP-Port 443 Wird für eine HTTPS-Verbindung über eine URL verwendet. HTTPS ist eine HTTP-Verbindung, die ssl (Secure Sockets Layer) verwendet. Es wird empfohlen, die vorkonfigurierte Regel Secure World Wide Web Services (HTTPS) nicht zu verwenden. Weitere Informationen finden Sie im Abschnitt "Interaktion mit anderen Firewallregeln " weiter unten.

Wenn Reporting Services eine Verbindung mit einer Instanz von Datenbank-Engine oder Analysis Services herstellt, müssen Sie auch die entsprechenden Ports für diese Dienste öffnen. Schrittweise Anleitungen zum Konfigurieren der Windows-Firewall für Reporting Services finden Sie unter Konfigurieren einer Firewall für den Berichtsserverzugriff.

Von Integration Services verwendete Ports

In der folgenden Tabelle werden die vom Integration Services-Dienst verwendeten Ports aufgeführt.

Merkmal Hafen Kommentare
Microsoft -Remoteprozeduraufrufe (MS RPC)

Wird von der Integration Services -Laufzeit verwendet.		 TCP-Port 135

Siehe Spezielle Überlegungen zu Port 135		 Der Integration Services -Dienst verwendet DCOM auf Port 135. Der Dienststeuerungs-Manager verwendet Port 135, um Aufgaben auszuführen, z. B. das Starten und Beenden des Integration Services-Diensts und das Übertragen von Kontrollanforderungen an den ausgeführten Dienst. Die Portnummer kann nicht geändert werden.

Dieser Port muss nur geöffnet werden, wenn Sie eine Verbindung mit einer Remoteinstanz des Integration Services-Diensts aus Management Studio oder einer benutzerdefinierten Anwendung herstellen.

Schrittweise Anleitungen zum Konfigurieren der Windows-Firewall für Integrationsdienste finden Sie unter Konfigurieren einer Windows-Firewall für den Zugriff auf den SSIS-Dienst.

Zusätzliche Ports und Dienste

Die folgende Tabelle enthält Ports und Dienste, von denen SQL Server abhängig sein kann.

Szenario Hafen Kommentare
Windows-Verwaltungsinstrumentation

Weitere Informationen zu WMI finden Sie unter WMI-Anbieter für Konfigurationsverwaltungskonzepte		 WMI wird als Teil eines Hosts für gemeinsame Dienste ausgeführt, wobei Ports über DCOM zugewiesen werden. WMI verwendet möglicherweise den TCP-Port 135.

Siehe Spezielle Überlegungen zu Port 135		 SQL Server -Konfigurations-Manager verwendet WMI zum Auflisten und Verwalten von Diensten. Es wird empfohlen, die vorkonfigurierte Regelgruppe Windows-Verwaltungsinstrumentation (WMI) zu verwenden. Weitere Informationen finden Sie im Abschnitt "Interaktion mit anderen Firewallregeln " weiter unten.
Microsoft Distributed Transaction Coordinator (MS DTC) TCP-Port 135

Siehe Spezielle Überlegungen zu Port 135		 Wenn Ihre Anwendung verteilte Transaktionen verwendet, müssen Sie die Firewall möglicherweise so konfigurieren, dass MS DTC-Datenverkehr ( Microsoft Distributed Transaction Coordinator) zwischen separaten MS DTC-Instanzen sowie zwischen MS DTC und Ressourcen-Managern wie SQL Server übermittelt werden kann. Es wird empfohlen, die vorkonfigurierte Regelgruppe Distributed Transaction Coordinator zu verwenden.

Wenn ein einzelner gemeinsam genutzter MS-DTC für den gesamten Cluster in einer separaten Ressourcengruppe konfiguriert ist, sollten Sie sqlservr.exe als Ausnahme zur Firewall hinzufügen.
Die Schaltfläche zum Durchsuchen in Management Studio verwendet UDP, um eine Verbindung mit dem SQL Server -Browserdienst herzustellen. Weitere Informationen finden Sie unter SQL Server-Browserdienst (Datenbank-Engine und SSAS). UDP-Port 1434 UDP ist ein verbindungsloses Protokoll.

Die Firewall verfügt über eine Einstellung, die den Namen "UnicastResponsesToMulticastBroadcastDisabled"-Eigenschaft der INetFwProfile-Schnittstelle hat, die das Verhalten der Firewall in Bezug auf Unicast-Antworten auf eine UDP-Anforderung (oder eine Multicast-Anforderung) steuert. Es sind zwei Verhaltensweisen möglich:

Wenn die Einstellung WAHR ist, sind keine Unicast-Antworten auf eine Broadcast-Übertragung zulässig. Das Aufzählen von Diensten wird fehlschlagen.

Wenn die Einstellung FALSE (Standardeinstellung) ist, sind Unicast-Antworten für 3 Sekunden zulässig. Die Dauer ist nicht konfigurierbar. In einem überlasteten oder hochlatenzierten Netzwerk oder bei stark ausgelasteten Servern könnte der Versuch, SQL Server-Instanzen aufzulisten, möglicherweise eine Teilliste zurückgeben, die Benutzer irreführen könnte.
IPsec-Datenverkehr UDP-Port 500 und UDP-Port 4500 Wenn die Domänenrichtlinie eine Netzwerkkommunikation über IPSec erfordert, müssen Sie auch den UDP-Port 4500 und den UDP-Port 500 der Ausnahmeliste hinzufügen. IPsec ist eine Option, die den Assistenten für neue eingehende Regel im Windows-Firewall-Snap-In verwendet. Weitere Informationen finden Sie unter Verwenden der Windows-Firewall mit erweitertem Sicherheits-Snap-In weiter unten.
Verwenden der Windows-Authentifizierung mit vertrauenswürdigen Domänen Firewalls müssen konfiguriert werden, um Authentifizierungsanforderungen zuzulassen. Weitere Informationen finden Sie unter Konfigurieren einer Firewall für Domänen und Vertrauensstellungen.
SQL Server und Windows-Clusterunterstützung Für clustering sind zusätzliche Ports erforderlich, die nicht direkt mit SQL Server verknüpft sind. Weitere Informationen finden Sie unter Enable a network for cluster use.
In der HTTP-Server-API (HTTP.SYS) reservierte URL-Namespaces Wahrscheinlich TCP-Port 80, kann jedoch für andere Ports konfiguriert werden. Allgemeine Informationen finden Sie unter Konfigurieren von HTTP und HTTPS. SQL Server-spezifische Informationen zum Reservieren eines HTTP.SYS-Endpunkts mithilfe von HttpCfg.exefinden Sie unter Informationen zu URL-Reservierungen und Registrierungen (SSRS Configuration Manager).

Besondere Überlegungen für Port 135

Wenn Sie RPC mit TCP/IP oder UDP/IP als Transport verwenden, werden eingehende Ports bei Bedarf häufig Systemdiensten dynamisch zugewiesen. TCP/IP- und UDP/IP-Ports, die größer als Port 1024 sind, werden verwendet. Diese werden häufig informell als "zufällige RPC-Ports" bezeichnet. In diesen Fällen basieren RPC-Clients auf der RPC-Endpunktzuordnung, um ihnen mitzuteilen, welche dynamischen Ports dem Server zugewiesen wurden. Für einige RPC-basierte Dienste können Sie einen bestimmten Port konfigurieren, statt RPC einen Port dynamisch zuweisen zu lassen. Sie können auch den Bereich der Ports einschränken, die RPC dynamisch einem kleinen Bereich zuweist, unabhängig vom Dienst. Da Port 135 für viele Dienste verwendet wird, wird es häufig von böswilligen Benutzern angegriffen. Wenn Sie Port 135 öffnen, erwägen Sie, den Gültigkeitsbereich der Firewallregel einzuschränken.

Weitere Informationen zu Port 135 finden Sie in den folgenden Ressourcen:

Interaktion mit anderen Firewallregeln

Die Windows-Firewall verwendet Regeln und Regelgruppen, um ihre Konfiguration festzulegen. Jede Regel- oder Regelgruppe ist in der Regel einem bestimmten Programm oder Dienst zugeordnet, und dieses Programm oder dieser Dienst kann diese Regel ohne Ihr Wissen ändern oder löschen. Beispielsweise sind die Regelgruppen WWW-Dienste (HTTP) und Sichere WWW-Dienste (HTTPS) mit IIS verknüpft. Durch aktivieren dieser Regeln werden die Ports 80 und 443 geöffnet, und SQL Server-Features, die von ports 80 und 443 abhängen, funktionieren, wenn diese Regeln aktiviert sind. Administratoren, die IIS konfigurieren, können diese Regeln jedoch ändern oder deaktivieren. Wenn Sie port 80 oder Port 443 für SQL Server verwenden, sollten Sie daher eine eigene Regel- oder Regelgruppe erstellen, die ihre gewünschte Portkonfiguration unabhängig von den anderen IIS-Regeln verwaltet.

Die Windows-Firewall mit erweitertem Sicherheits-MMC-Snap-In erlaubt jeglichen Datenverkehr, der einer zutreffenden Erlaubnisregel entspricht. Wenn also zwei Regeln vorhanden sind, die beide für Port 80 (mit unterschiedlichen Parametern) gelten, ist datenverkehr, der mit beiden Regeln übereinstimmt, zulässig. Wenn also eine Regel Datenverkehr über Port 80 aus dem lokalen Subnetz zulässt und eine Regel Datenverkehr von jeder Adresse zulässt, ist der Nettoeffekt, dass der gesamte Datenverkehr zu Port 80 unabhängig von der Quelle zulässig ist. Um den Zugriff auf SQL Servereffektiv zu verwalten, sollten Administratoren alle auf dem Server aktivierten Firewallregeln in regelmäßigen Abständen überprüfen.

Übersicht über Firewallprofile

Firewall-Profile werden in der Windows-Firewall mit dem Einführungshandbuch für erweiterte Sicherheit im Abschnitt Hostfirewall mit netzwerkstandortabhängiger Funktion erläutert. Zusammenfassend identifizieren und merken sich die Betriebssysteme jedes der Netzwerke, mit denen sie sich in Bezug auf Konnektivität, Verbindungen und Kategorie verbinden.

In Windows-Firewall mit erweiterter Sicherheit gibt es drei Netzwerkstandorttypen:

  • Domäne. Windows kann den Zugriff auf den Domänencontroller für die Domäne authentifizieren, mit der der Computer verbunden ist.

  • Öffentlich. Abgesehen von Domänennetzwerken werden alle Netzwerke zunächst als öffentlich kategorisiert. Netzwerke, die direkte Verbindungen zum Internet darstellen oder sich an öffentlichen Orten wie z. B. auf Flughäfen und in Cafés befinden, sollten auch öffentlich bleiben.

  • Privat. Ein Netzwerk, das von einem Benutzer oder einer Anwendung als privat identifiziert wird. Es sollten nur vertrauenswürdige Netzwerke als private Netzwerke gekennzeichnet werden. Benutzer möchten wahrscheinlich private oder kleine Unternehmensnetzwerke als privat identifizieren.

Der Administrator kann für jeden Netzwerkstandorttyp ein Profil erstellen. Dabei kann jedes Profil unterschiedliche Firewallrichtlinien enthalten. Es wird immer nur ein Profil angewendet. Die Profilreihenfolge wird wie folgt angewendet:

  1. Wenn alle Schnittstellen beim Domänencontroller authentifiziert werden, für die der Computer Mitglied ist, wird das Domänenprofil angewendet.

  2. Wenn alle Schnittstellen entweder beim Domänencontroller authentifiziert oder mit Netzwerken verbunden sind, die als private Netzwerkspeicherorte klassifiziert sind, wird das private Profil angewendet.

  3. Andernfalls wird das öffentliche Profil angewendet.

Verwenden Sie das MMC-Snap-In „Windows-Firewall mit erweiterter Sicherheit“, um alle Firewallprofile anzuzeigen und zu konfigurieren. Mithilfe des Elements Windows-Firewall in der Systemsteuerung kann nur das aktuelle Profil konfiguriert werden.

Zusätzliche Firewalleinstellungen mithilfe des Windows-Firewallelements in der Systemsteuerung

Ausnahmen, die Sie der Firewall hinzufügen, können das Öffnen des Ports auf eingehende Verbindungen von bestimmten Computern oder dem lokalen Subnetz einschränken. Durch diese Einschränkung des Umfangs der Portöffnung wird reduziert, wie stark Ihr Computer böswilligen Benutzern ausgesetzt ist, was empfohlen wird.

Hinweis

Mithilfe des Elements Windows-Firewall in der Systemsteuerung wird nur das aktuelle Firewallprofil konfiguriert.

So ändern Sie den Umfang einer Firewall-Ausnahme mithilfe des Windows-Firewallelements in der Systemsteuerung

  1. Wählen Sie im Windows-Firewallelement in der Systemsteuerung ein Programm oder port auf der Registerkarte "Ausnahmen " aus, und klicken Sie dann auf "Eigenschaften" oder " Bearbeiten".

  2. Klicken Sie im Dialogfeld "Programm bearbeiten " oder " Port bearbeiten " auf " Bereich ändern".

  3. Wählen Sie eine der folgenden Optionen aus:

    • Jeder Computer (einschließlich der Computer im Internet)

      Nicht empfohlen. Dadurch kann jeder Computer, der ihren Computer adressieren kann, eine Verbindung mit dem angegebenen Programm oder Port herstellen. Diese Einstellung kann notwendig sein, um die Anzeige von Informationen für anonyme Benutzer im Internet zuzulassen, erhöht aber die Gefahr, die von böswilligen Benutzern ausgeht. Ihre Sichtbarkeit kann weiter erhöht werden, wenn Sie diese Einstellung aktivieren und auch NAT-Traversal (Network Address Translation) zulassen, z. B. die Option "Edge-Traversal zulassen".

    • Nur mein Netzwerk (Subnetz)

      Dies ist eine sicherere Einstellung als jeder Computer. Nur Computer im lokalen Subnetz Ihres Netzwerks können eine Verbindung mit dem Programm oder Port herstellen.

    • Benutzerdefinierte Liste:

    Nur Computer mit den IP-Adressen, die Sie auflisten, können eine Verbindung herstellen. Dies kann eine sicherere Einstellung als "Mein Netzwerk" (Subnetz) sein. Clientcomputer, die DHCP verwenden, können jedoch gelegentlich ihre IP-Adresse ändern. Anschließend kann der beabsichtigte Computer keine Verbindung herstellen. Ein anderer Computer, den Sie nicht autorisieren wollten, akzeptiert möglicherweise die aufgeführte IP-Adresse und kann dann eine Verbindung herstellen. Die Option "Benutzerdefinierte Liste " eignet sich möglicherweise für die Auflistung anderer Server, die für die Verwendung einer festen IP-Adresse konfiguriert sind. IP-Adressen können jedoch von einem Eindringling gespooft werden. Restriktive Firewallregeln sind nur so stark wie Ihre Netzwerkinfrastruktur.

Verwenden der Windows-Firewall mit erweitertem Sicherheits-Snap-In

Zusätzliche erweiterte Firewalleinstellungen können mithilfe des Windows-Firewall mit Advanced Security MMC-Snap-In konfiguriert werden. Das Snap-In enthält einen Regel-Assistenten und macht zusätzliche Einstellungen verfügbar, die im Windows-Firewallelement in der Systemsteuerung nicht verfügbar sind. Dazu gehören folgende Einstellungen:

  • Verschlüsselungseinstellungen

  • Einschränkungen für Dienste

  • Einschränken von Verbindungen für Computer nach Name

  • Einschränken von Verbindungen für bestimmte Benutzer oder Profile

  • Randüberquerung, die dem Datenverkehr die Umgehung von NAT-Routern (Network Address Translation) erlaubt

  • Konfiguration ausgehender Regeln

  • Konfigurieren von Sicherheitsregeln

  • Erfordern von IPsec für eingehende Verbindungen

Mithilfe des Assistenten für neue Regeln erstellen Sie eine neue Firewallregel

  1. Klicken Sie im Startmenü auf "Ausführen", geben Sie "WF.msc" ein, und klicken Sie dann auf "OK".

  2. Klicken Sie in der Windows-Firewall mit erweiterter Sicherheit im linken Bereich mit der rechten Maustaste auf "Eingehende Regeln", und klicken Sie dann auf "Neue Regel".

  3. Schließen Sie den Assistenten für neue eingehende Regel mit den gewünschten Einstellungen ab.

Problembehandlung bei Firewalleinstellungen

Die folgenden Tools und Techniken können bei der Behandlung von Problemen mit der Firewall nützlich sein:

  • Der effektive Portstatus ist die Gesamtheit aller Regeln, die den Port betreffen. Beim Versuch, den Zugriff über einen Port zu blockieren, kann es hilfreich sein, alle Regeln zu überprüfen, die die Portnummer zitieren. Verwenden Sie dazu die Windows-Firewall mit erweiterter Sicherheit MMC-Snap-In und sortieren Sie die eingehenden und ausgehenden Regeln nach Portnummer.

  • Überprüfen Sie die Ports, die auf dem Computer aktiv sind, auf dem SQL Server ausgeführt wird. Dieser Überprüfungsprozess umfasst die Überprüfung, welche TCP/IP-Ports offen sind, und zusätzlich die Überprüfung des Status der Ports.

    Um zu überprüfen, welche Ports abgehört werden, verwenden Sie das Befehlszeilenprogramm netstat. Neben der Anzeige aktiver TCP-Verbindungen zeigt das Netstat-Hilfsprogramm auch eine Vielzahl von IP-Statistiken und -Informationen an.

    So listen Sie auf, welche TCP/IP-Ports überwacht werden

    1. Öffnen Sie das Eingabeaufforderungsfenster.

    2. Geben Sie an der Eingabeaufforderung netstat -n -a ein.

      Der Switch -n weist netstat an, die Adresse und die Portnummer aktiver TCP-Verbindungen numerisch anzuzeigen. Der Switch -a weist netstat an, die TCP- und UDP-Ports anzuzeigen, auf denen der Computer lauscht.

  • Mit dem PortQry-Hilfsprogramm kann der Status der TCP/IP-Ports als überwacht, nicht überwacht oder gefiltert gemeldet werden. (Bei einem gefilterten Status überwacht der Port möglicherweise oder nicht. Dieser Status gibt an, dass das Hilfsprogramm keine Antwort vom Port empfangen hat.) Das PortQry-Hilfsprogramm steht zum Download aus dem Microsoft Download Center zur Verfügung.

Siehe auch

Dienstübersicht und Netzwerkportanforderungen für das Windows Server-System