Freigeben über

Konfigurieren eines Multi-homed Computers für den SQL Server-Zugriff

Gilt für:SQL Server - nur Windows

In einem Szenario, in dem ein Server eine Verbindung zu mindestens zwei Netzwerken oder Netzwerksubnetzen bereitstellen muss, wird normalerweise ein mehrfach vernetzter Computer verwendet. Dieser Computer befindet sich häufig in einem Umkreisnetzwerk (auch als abgeschirmtes Subnetz bezeichnet). Dieser Artikel beschreibt, wie SQL Server und die Windows-Firewall mit erweiterter Sicherheit konfiguriert werden, um Netzwerkverbindungen zu einer Instanz von SQL Server in einer mehrfach vernetzten Umgebung bereitzustellen.

Hinweis

Ein mehrfach vernetzter Computer verfügt über mehrere Netzwerkkarten oder wurde so konfiguriert, dass mehrere IP-Adressen für eine einzelne Netzwerkkarte verwendet werden können. Ein zweifach vernetzter Computer verfügt über zwei Netzwerkkarten oder wurde so konfiguriert, dass zwei IP-Adressen für eine einzelne Netzwerkkarte verwendet werden können.

Voraussetzungen

Bevor Sie diesen Artikel fortsetzen, sollten Sie mit den Informationen im Artikel "Konfigurieren der Windows-Firewall" vertraut sein, um den SQL Server-Zugriff zu ermöglichen. Dieser Artikel enthält grundlegende Informationen dazu, wie SQL Server-Komponenten mit der Firewall zusammenarbeiten.

Annahmen für dieses Beispiel:

  • Der Computer verfügt über zwei installierte Netzwerkkarten. Eine oder mehrere Netzwerkkarten können drahtlos sein. Sie können simulieren, dass Sie über zwei Netzwerkkarten verfügen, indem Sie die IP-Adresse für die erste und die IP-Loopbackadresse (127.0.0.1) für die zweite Netzwerkkarte verwenden.

  • Der Einfachheit halber werden in diesem Beispiel IPv4-Adressen verwendet. Die gleichen Prozeduren können jedoch auch mit IPv6-Adressen ausgeführt werden.

    Hinweis

    Bei einer IPv4-Adresse handelt es sich um eine Reihe von vierstelligen Zahlen, die als Oktett bezeichnetet wird. Jede Zahl ist kleiner als 255 und wird durch Punkte getrennt, z. B. 127.0.0.1. Eine IPv6-Adresse ist eine Reihe von acht Hexadezimalzahlen, die durch Doppelpunkte getrennt werden, z. B. fe80:4898:23:3:49a6:f5c1:2452:b994.

  • Die Firewall kann entweder den Zugriff über einen bestimmten Port (wie z. B. Port 1433) oder auf das Programm SQL Server-Datenbank-Engine (sqlservr.exe) zulassen. Beide Methoden sind gleichwertig. Da ein Server in einem Umkreisnetzwerk anfälliger für Angriffe ist als ein Server in einem Intranet, wird für diesen Artikel angenommen, dass Sie den Zugriff genauer steuern und die Ports, die Sie öffnen, einzeln auswählen möchten. Aus diesem Grund wird in diesem Artikel davon ausgegangen, dass Sql Server so konfiguriert wird, dass er auf einen festen Port lauscht. Weitere Informationen zu den von SQL Server verwendeten Ports finden Sie unter Konfigurieren der Windows-Firewall, um DEN SQL Server-Zugriff zu ermöglichen.

  • In diesem Beispiel wird der Zugriff auf Datenbank-Engine unter Verwendung von TCP-Port 1433 konfiguriert. Die anderen Ports, die unterschiedliche SQL Server -Komponenten sind, können mithilfe der gleichen allgemeinen Schritte konfiguriert werden.

In diesem Beispiel werden die folgenden allgemeinen Schritte beschrieben:

  • Bestimmen der IP-Adressen des Computers.

  • Konfigurieren von SQL Server , sodass auf einem bestimmten TCP-Port gelauscht wird.

  • Konfigurieren der Windows-Firewall mit erweiterter Sicherheit.

Optionale Prozeduren

Wenn Sie die verfügbaren IP-Adressen Ihres Computers bereits kennen und diese von SQL Serververwendet werden, können Sie diese Vorgänge überspringen.

Ermitteln der auf dem Computer verfügbaren IP-Adressen

  1. Wählen Sie auf dem Computer, auf dem SQL Server installiert ist, "Start" aus, wählen Sie "Ausführen" aus, geben Sie cmd ein, und wählen Sie dann "OK" aus.

  2. Geben Sie im Eingabeaufforderungsfenster ipconfig ein, und drücken Sie die EINGABETASTE, um die auf diesem Computer verfügbaren IP-Adressen aufzulisten.

    Durch den ipconfig -Befehl werden manchmal zahlreiche mögliche Verbindungen aufgelistet, einschließlich getrennter Verbindungen. Der ipconfig -Befehl kann sowohl IPv4- als auch IPv6-Adressen auflisten.

  3. Notieren Sie die IPv4- und IPv6-Adressen, die verwendet werden. Die anderen Informationen in der Liste, wie z. B. temporäre Adressen, Subnetzmasken und Standardgateways sind wichtig zum Konfigurieren eines TCP/IP-Netzwerks. Diese Informationen werden in diesem Beispiel jedoch nicht verwendet.

Ermitteln der IP-Adressen und Ports, die von SQL Server verwendet werden

  1. Wählen Sie "Start" aus, zeigen Sie auf "Alle Programme", zeigen Sie auf Microsoft SQL Server, zeigen Sie auf "Konfigurationstools", und wählen Sie dann SQL Server-Konfigurations-Manager aus.

  2. Erweitern Sie im Konsolenbereich des SQL Server-Konfigurations-Managers die OptionSQL Server-Netzwerkkonfiguration und Protokolle für <Instanzname>. Doppelklicken Sie anschließend auf TCP/IP.

  3. Im Dialogfeld TCP/IP-Eigenschaften auf der Registerkarte IP-Adressen werden mehrere IP-Adressen im Format IP1, IP2und bis zu IPAllangezeigt. Eine dieser Angaben ist die IP-Adresse des Loopbackadapters (127.0.0.1). Für alle IP-Adressen, die auf dem Computer konfiguriert wurden, werden zusätzliche IP-Adressen angezeigt.

  4. Für jede IP-Adresse, wenn das Dialogfeld "Dynamische TCP-Ports " enthält 0, gibt dies an, dass das Datenbankmodul dynamische Ports überwacht. In diesem Beispiel werden feste Ports anstatt dynamischer Ports, die sich bei einem Neustart ändern können, verwendet. Daher, wenn das Dialogfeld "Dynamische TCP-Ports" 0 enthält, löschen Sie die 0.

  5. Notieren Sie den TCP-Port, der für jede IP-Adresse aufgelistet ist, die Sie konfigurieren möchten. Für dieses Beispiel wird angenommen, dass beide IP-Adressen den Standardport 1433 überwachen.

  6. Wenn Sie nicht möchten, dass SQL Server einige der verfügbaren Ports verwendet, ändern Sie auf der Registerkarte "Protokoll " den Wert " Alle überwachen " in "Nein". und ändern Sie auf der Registerkarte "IP-Adressen " den Wert " Aktiv" in "Nein " für die IP-Adressen, die Sie nicht verwenden möchten.

Konfigurieren der Windows-Firewall mit erweiterter Sicherheit

Nachdem Sie nun die vom Computer verwendeten IP-Adressen und die von SQL Server verwendeten Ports kennen, können Sie Firewallregeln erstellen und diese Regeln anschließend für bestimmte IP-Adressen konfigurieren.

Erstellen einer Firewallregel

  1. Stellen Sie auf dem Computer, auf dem SQL Server installiert ist, eine Verbindung als Administrator her.

  2. Wählen Sie "Start" aus, wählen Sie "Ausführen", geben Sie "wf.msc" ein, und wählen Sie "OK" aus.

  3. Wählen Sie im Dialogfeld Benutzerkontensteuerung die Option Weiter aus, um die Administratoranmeldedaten zu verwenden und die Windows-Firewall mit erweitertem Sicherheits-Snap-In zu öffnen.

  4. Bestätigen Sie auf der Seite Übersicht , dass die Windows-Firewall aktiv ist.

  5. Wählen Sie im linken Bereich " Eingehende Regeln" aus.

  6. Klicken Sie mit der rechten Maustaste auf "Eingehende Regeln", und wählen Sie dann "Neue Regel " aus, um den Assistenten für neue eingehende Regeln zu öffnen.

  7. Sie können eine Regel für das Programm SQL Server erstellen. Da in diesem Beispiel jedoch ein fester Port verwendet wird, wählen Sie "Port" und dann "Weiter" aus.

  8. Wählen Sie auf der Seite Protokolle und Ports die Option TCPaus.

  9. Wählen Sie Angegebene lokale Portsaus. Geben Sie die durch Kommas getrennten Portnummern ein, und wählen Sie dann "Weiter" aus. In diesem Beispiel konfigurieren Sie den Standardport. geben Sie 1433daher ein.

  10. Überprüfen Sie die Optionen auf der Seite Aktion . In diesem Beispiel verwenden Sie die Firewall nicht, um sichere Verbindungen zu erzwingen. Wählen Sie daher "Verbindung zulassen" und dann "Weiter" aus.

    Möglicherweise sind für die Umgebung sichere Verbindungen erforderlich. Wenn Sie eine der Optionen für sichere Verbindungen auswählen, müssen Sie möglicherweise ein Zertifikat und die Option Verschlüsselung erzwingen konfigurieren. Weitere Informationen zu sicheren Verbindungen finden Sie unter Konfigurieren des SQL Server-Datenbankmoduls zum Verschlüsseln von Verbindungen und Konfigurieren des SQL Server-Datenbankmoduls zum Verschlüsseln von Verbindungen.

  11. Wählen Sie auf der Seite Profil mindestens ein Profil für die Regel aus. Wenn Sie mit Firewallprofilen nicht vertraut sind, wählen Sie im Firewallprogramm den Link "Weitere Informationen zu Profilen " aus.

    • Wenn der Computer ein Server ist und nur verfügbar ist, wenn er mit einer Domäne verbunden ist, wählen Sie "Domäne" und dann "Weiter" aus.

    • Wenn es sich bei dem Computer um einen mobilen Computer (z. B. einen Laptop) handelt, wird es wahrscheinlich mehrere Profile verwenden, wenn er eine Verbindung mit verschiedenen Netzwerken herstellt. Bei einem mobilen Computer können Sie unterschiedliche Zugriffsmöglichkeiten für verschiedene Profile konfigurieren. Zum Beispiel können Sie einen Zugriff gewähren, wenn der Computer das Domänenprofil verwendet, und verweigern, wenn er das öffentliche Profil verwendet.

  12. Geben Sie auf der Seite "Name " einen Namen und eine Beschreibung für die Regel ein, und wählen Sie dann "Fertig stellen" aus.

  13. Wiederholen Sie diese Prozedur, um für jede IP-Adresse, die SQL Server verwendet, eine weitere Regel zu erstellen.

Nachdem Sie eine oder mehrere Regeln erstellt haben, führen Sie die folgenden Schritte aus, um jede IP-Adresse auf dem Computer zu konfigurieren und eine Regel zu verwenden.

Konfigurieren der Firewallregel für eine bestimmte IP-Adresse

  1. Klicken Sie auf der Seite "Eingehende Regeln " der Windows-Firewall mit erweiterter Sicherheit mit der rechten Maustaste auf die soeben erstellte Regel, und wählen Sie dann "Eigenschaften" aus.

  2. Wählen Sie im Dialogfeld Regeleigenschaften die Registerkarte Bereich aus.

  3. Wählen Sie im Bereich "Lokale IP-Adresse" diese IP-Adressen und dann "Hinzufügen" aus.

  4. Wählen Sie im Dialogfeld IP-Adresse die Option Diese IP-Adresse oder Subnetzaus, und geben Sie anschließend eine der IP-Adressen ein, die Sie konfigurieren möchten.

  5. Klicken Sie auf OK.

  6. Wählen Sie im Remote-IP-Adressbereichdiese IP-Adressen und dann "Hinzufügen" aus.

  7. Verwenden Sie das Dialogfeld IP-Adresse , um die Konnektivität für die ausgewählte IP-Adresse des Computers zu konfigurieren. Sie können Verbindungen zu angegebenen IP-Adressen, Bereichen von IP-Adressen, ganzen Subnetzen oder bestimmten Computern aktivieren. Um diese Option ordnungsgemäß zu konfigurieren, müssen Sie sich mit dem Netzwerk gut auskennen. Informationen über das Netzwerk erhalten Sie vom Netzwerkadministrator.

  8. Um das Dialogfeld "IP-Adresse " zu schließen, wählen Sie "OK" aus. und wählen Sie dann OK aus, um das Dialogfeld "Regeleigenschaften " zu schließen.

  9. Um die anderen IP-Adressen auf einem mehrfach vernetzten Computer zu konfigurieren, wiederholen Sie diesen Vorgang mit einer anderen IP-Adresse und einer anderen Regel.

Verwandte Inhalte