Nota
L'accesso a questa pagina richiede l'autorizzazione. Puoi provare ad accedere o a cambiare directory.
L'accesso a questa pagina richiede l'autorizzazione. Puoi provare a cambiare directory.
Si applica a:
SQL Server su Windows
Quando un server deve fornire una connessione a due o più reti o sottoreti di rete, si utilizza tipicamente un computer dotato di più interfacce di rete. Spesso questo computer si trova in una rete perimetrale (nota anche come subnet schermata). Questo articolo descrive come configurare SQL Server e Windows Firewall con sicurezza avanzata per fornire le connessioni di rete a un'istanza di SQL Server in un ambiente multihomed.
Nota
Un computer multihomed dispone di più adattatori di rete oppure è stato configurato per utilizzare più indirizzi IP per un singolo adattatore di rete. Un computer dual-homed dispone di due schede di rete oppure è stato configurato per utilizzare due indirizzi IP per una singola scheda di rete.
Prerequisiti
Prima di continuare in questo articolo, è necessario avere familiarità con le informazioni fornite nell'articolo Configurare Windows Firewall per consentire l'accesso a SQL Server. Questo articolo contiene informazioni di base sul funzionamento dei componenti di SQL Server con il firewall.
Presupposti per l'esecuzione di questo esempio:
Nel computer sono installate due schede di rete. Uno o più degli adattatori di rete possono essere wireless. È possibile simulare la presenza di due schede di rete tramite l'indirizzo IP di una scheda di rete e utilizzando l'indirizzo IP di loopback (127.0.0.1) come seconda scheda di rete.
Sebbene per semplicità in questo esempio vengano utilizzati indirizzi IPv4, è possibile eseguire le stesse procedure tramite indirizzi IPv6.
Nota
Gli indirizzi IPv4 sono costituiti da una serie di quattro numeri nota come ottetto. Ogni numero è minore di 255 ed è separato da un punto, ad esempio 127.0.0.1. Gli indirizzi IPv6 sono costituiti da una serie di otto numeri esadecimali separati da due punti, ad esempio fe80:4898:23:3:49a6:f5c1:2452:b994.
Le regole del firewall possono consentire l'accesso tramite una porta specifica, ad esempio la porta 1433, Oppure le regole del firewall potrebbero consentire l'accesso al programma del Motore di Database di Microsoft SQL Server (sqlservr.exe). Nessuno dei due metodi è migliore dell'altro. Poiché un server in una rete perimetrale è più vulnerabile agli attacchi rispetto ai server presenti in una rete Intranet, in questo articolo si presuppone che l'utente voglia esercitare un controllo più accurato e che selezioni personalmente le porte da aprire. Per questo motivo, questo articolo presuppone che SQL Server sia configurato per l'ascolto su una porta fissa. Per altre informazioni sulle porte usate da SQL Server, vedere Configurare Windows Firewall per consentire l'accesso a SQL Server.
Questo esempio configura l'accesso al motore di database tramite la porta TCP 1433. È possibile configurare le altre porte usate dai doversi componenti di SQL Server tramite gli stessi passaggi generali.
Di seguito vengono elencati i passaggi generali dell'esempio:
Determinare gli indirizzi IP nel computer.
Configurare SQL Server per l'ascolto su una porta TCP specifica.
Configurare Windows Firewall con sicurezza avanzata.
Procedure facoltative
Se gli indirizzi IP disponibili nel computer e usati da SQL Server sono noti, è possibile ignorare queste procedure.
Determinare gli indirizzi IP disponibili nel computer
Nel computer in cui è installato SQL Server selezionare Avvia, selezionare Esegui, digitare cmd e quindi selezionare OK.
Nella finestra del prompt dei comandi digitare ipconfig , quindi premere INVIO per elencare gli indirizzi IP disponibili nel computer.
Quando si usa il comando ipconfig , talvolta vengono elencate molte possibili connessioni, incluse quelle disattivate. Il comando ipconfig consente di elencare indirizzi sia IPv4 che IPv6.
Annotare gli indirizzi IPv4 e gli indirizzi IPv6 utilizzati. Le altre informazioni presenti nell'elenco, ad esempio gli indirizzi temporanei, le subnet mask e i gateway predefiniti, rappresentano informazioni importanti per la configurazione di una rete TCP/IP, Queste informazioni, tuttavia, non vengono usate in questo esempio.
Determinare gli indirizzi IP e le porte usati da SQL Server
Selezionare Start, scegliere Tutti i programmi, Microsoft SQL Server, Strumenti di configurazione e quindi Gestione configurazione SQL Server.
Nel riquadro della console di Gestione configurazione SQL Server espandere Configurazione di rete SQL Server, espandere Protocolli per <nome istanza> e infine fare doppio clic su TCP/IP.
Nella scheda Indirizzi TCP/IP della finestra di dialogo Proprietà TCP/IP vengono visualizzati vari indirizzi IP nel formato IP1, IP2e IPAll. Uno di tali indirizzi corrisponde all'indirizzo IP della scheda loopback, ovvero 127.0.0.1. Ulteriori indirizzi IP vengono visualizzati per ogni indirizzo IP configurato nel computer.
Per qualsiasi indirizzo IP se la finestra di dialogo Porte dinamiche TCP contiene
0, indica che il motore di database è in ascolto sulle porte dinamiche. Poiché in questo esempio vengono utilizzate porte fisse e non porte dinamiche, che potrebbero subire modifiche in caso di riavvio, Pertanto, se la finestra di dialogo Porte dinamiche TCP contiene0, eliminare .0Annotare la porta TCP elencata per ogni indirizzo IP da configurare. Ai fini di questo esempio, si presuppone che entrambi gli indirizzi IP siano in attesa sulla porta predefinita 1433.
Se non si vuole che SQL Server usi alcune delle porte disponibili, nella scheda Protocollo modificare il valore Listen All su No. e nella scheda Indirizzi IP modificare il valore Attivo su No per gli indirizzi IP che non si desidera usare.
Configurare Windows Firewall con sicurezza avanzata
Dopo avere stabilito gli indirizzi IP usati dal computer e le porte usate da SQL Server, è possibile creare regole del firewall e quindi configurarle per indirizzi IP specifici.
Creare una regola del firewall
Nel computer in cui è installato SQL Server connettersi come amministratore.
Selezionare Start, selezionare Esegui, digitare wf.msc e selezionare OK.
Nella finestra di dialogo Controllo account utente selezionare Continua per usare le credenziali di amministratore per aprire lo snap-in Windows Firewall con sicurezza avanzata.
Nella pagina Panoramica confermare che Windows Firewall è abilitato.
Nel riquadro sinistro selezionare Regole in ingresso.
Fare clic con il pulsante destro del mouse su Regole in ingresso e poi scegliere Nuova regola per aprire la Creazione guidata per nuova regola in ingresso.
Potresti creare una regola per il programma SQL Server. Tuttavia, poiché in questo esempio viene usata una porta fissa, selezionare Porta e quindi selezionare Avanti.
Nella pagina Protocolli e porte selezionare TCP.
Selezionare Porte locali specifiche. Digitare i numeri di porta separati da virgole e quindi selezionare Avanti. In questo esempio, configurerai la porta predefinita; pertanto, immetti
1433.Nella pagina Azione esaminare le opzioni. In questo esempio non si usa il firewall per forzare le connessioni sicure. Selezionare quindi Consenti la connessione e quindi selezionare Avanti.
Nell'ambiente potrebbe essere necessario utilizzare connessioni protette. Se si seleziona una delle opzioni relative alle connessioni protette, potrebbe essere necessario configurare un certificato e l'opzione Forza crittografia . Per altre informazioni sulle connessioni sicure, vedere Configurare il motore di database di SQL Server per la crittografia delle connessioni e Configurare il motore di database di SQL Server per la crittografia delle connessioni.
Nella pagina Profilo, seleziona uno o più profili per la regola. Se non si ha familiarità con i profili firewall, selezionare il collegamento Altre informazioni sui profili nel programma firewall.
Se il computer è un server ed è disponibile solo quando è connesso a un dominio, selezionare Dominio e quindi selezionare Avanti.
Se il computer è un computer mobile (ad esempio un portatile), è probabile che usi più profili quando si connette a reti diverse. In un computer di questo tipo è possibile configurare funzionalità di accesso diverse per profili distinti. È possibile ad esempio consentire l'accesso quando il computer utilizza il profilo Dominio, ma non consentirlo quando utilizza il profilo Pubblico.
Nella pagina Nome specificare un nome e una descrizione per la regola e quindi selezionare Fine.
Ripetere questa procedura per creare un'altra regola per ogni indirizzo IP usato da SQL Server.
Dopo avere creato uno o più regole, per configurare ogni indirizzo IP nel computer in modo che utilizzi una regola effettuare le operazioni seguenti.
Configurare la regola del firewall per indirizzi IP specifici
Nella pagina Regole in ingresso di Windows Firewall con sicurezza avanzata fare clic con il pulsante destro del mouse sulla regola appena creata e quindi scegliere Proprietà.
Nella finestra di dialogo Proprietà delle Regole, selezionare la scheda Ambito.
Nell'area Indirizzo IP locale selezionare Questi indirizzi IP e quindi selezionare Aggiungi.
Nella finestra di dialogo Indirizzo IP, selezionare Questo indirizzo IP o subnet, e quindi digitare uno degli indirizzi IP da configurare.
Seleziona OK.
Nell'area Indirizzo IP remoto selezionare Questi indirizzi IP e quindi selezionare Aggiungi.
Usare la finestra di dialogo Indirizzo IP per configurare la connettività per l'indirizzo IP selezionato nel computer. È possibile abilitare connessioni da indirizzi IP, intervalli di indirizzi IP e subnet intere specificati o da computer specifici. Per configurare correttamente questa opzione, è necessario conoscere in modo approfondito la rete. Per informazioni sulla rete, contattare il relativo amministratore.
Per chiudere la finestra di dialogo Indirizzo IP , selezionare OK; quindi selezionare OK per chiudere la finestra di dialogo Proprietà regola .
Per configurare gli altri indirizzi IP in un computer con più interfacce di rete, ripetere questa procedura utilizzando un altro indirizzo IP e un'altra regola.