Udostępnij za pośrednictwem


Konfigurowanie zapory systemu Windows w celu umożliwienia dostępu do programu SQL Server

Systemy zapory pomagają zapobiegać nieautoryzowanemu dostępowi do zasobów komputera.Jeśli Zapora jest włączony, ale nie poprawnie skonfigurowane, próbuje połączyć się z SQL Server może być wtedy blokowana.

Aby uzyskać dostęp do wystąpienia programu SQL Server przez zaporę, należy skonfigurować zaporę na komputerze z programem SQL Server w celu umożliwienia dostępu.Zapora jest składnikiem systemu Microsoft Windows.Można również zainstalować zaporę innej firmy.W tym temacie opisano, jak skonfigurować zaporę systemu Windows, ale podstawowe zasady stosuje się do innych programów zapory.

Ostrzeżenie

Ten temat zawiera omówienie konfiguracji zapory i podsumowuje informacje ważne dla administratora programu SQL Server.Aby uzyskać więcej informacji o zaporze i wiarygodne informacje zapory, zobacz dokumentację zapory, taką jak Zapora systemu Windows z zabezpieczeniami zaawansowanymi i IPsec i Zapora systemu Windows z zabezpieczeniami zaawansowanymi — mapa drogowa zawartości.

Użytkownicy znający element Zapora systemu Windows w Panelu sterowania oraz przystawkę Zapora systemu Windows z zabezpieczeniami zaawansowanymi w programie Microsoft Management Console (MMC) oraz wiedzący, które ustawienia zapory chcą skonfigurować, mogą przejść bezpośrednio do tematów na następującej liście:

W tym temacie

Ten temat zawiera następujące sekcje:

Podstawowe informacje o zaporze

Domyślne ustawienia zapory

Programy do konfigurowania zapory

Porty używane przez aparat bazy danych

Porty używane przez usługę Analysis Services

Porty używane przez usługę Reporting Services

Porty używane przez usługę Integration Services

Dodatkowe porty i usługi

Interakcja z innymi zasadami zapory

Przegląd informacji o profilach zapory

Dodatkowe ustawienia zapory przy użyciu elementu Zapora systemu Windows w Panelu sterowania

Korzystanie z przystawki Zapora systemu Windows z zabezpieczeniami zaawansowanymi

Rozwiązywanie problemów z ustawieniami zapory

Podstawowe informacje o zaporze

Zapory kontrolują przychodzące pakiety i porównują je z zestawem reguł.Jeżeli zasady zezwalają na pakiet, zapora przekazuje go do protokołu TCP/IP w celu dodatkowego przetworzenia.Jeśli zasady nie zezwalają na pakiet, zapora odrzuca go i, jeśli rejestrowanie jest włączone, tworzy wpis w pliku dziennika zapory.

Lista dozwolonego ruchu wypełniana jest jedną z następujących metod:

  • Gdy na komputerze z włączoną zaporą inicjuje komunikację, zapora tworzy wpis na liście, aby odpowiedź była dozwolona.Przychodząca odpowiedź jest uważana za ruch na żądanie i nie trzeba jej konfigurować.

  • Administrator konfiguruje wyjątki zapory.Dzięki temu istnieje dostęp do określonych programów uruchomionych na komputerze lub do określonego portów połączenia na komputerze użytkownika.W takim przypadku komputer akceptuje niepożądany ruch przychodzący, kiedy działa jako serwer, odbiornik lub element równorzędny.Typ konfiguracji musi być wprowadzony w celu połączenia się z programem SQL Server.

Wybranie strategii zapory to więcej niż tylko zdecydowanie, czy dany port powinien być otwarty, czy zamknięty.Podczas projektowania strategii zapory dla przedsiębiorstwa upewnij się, że rozważone zostały wszystkie zasady i dostępne opcje konfiguracji.Tan temat nie obejmuje wszystkich możliwych opcji zapory.Zaleca się przejrzenie następujących dokumentów:

Wprowadzenie — przewodnik po Zaporze systemu Windows z zabezpieczeniami zaawansowanymi

Przewodnik po projektowaniu Zapory systemu Windows z zabezpieczeniami zaawansowanymi

Wprowadzenie do izolacji serwera i domeny

Domyślne ustawienia zapory

Pierwszym krokiem w planowaniu konfiguracji zapory jest ustalenie bieżącego stanu zapory danego systemu operacyjnego.Jeśli system operacyjny został uaktualniony z poprzedniej wersji, wcześniejsze ustawienia zapory mogły zostały przechowane.Ponadto ustawienia zapory mogły zostały zmienione przez innego administratora lub przez zasady grupy w domenie.Jednak ustawienia domyślne są następujące:

  • Windows Server 2008

    Zapora jest włączona i blokowane są połączenia zdalne.

  • Windows Server 2003

    Zapora jest wyłączona.Administratorzy powinni rozważyć włączenie zapory.

  • Windows Vista

    Zapora jest włączona i blokowane są połączenia zdalne.

  • System Windows XP z dodatkiem Service Pack 2 lub późniejszym

    Zapora jest włączona i blokowane są połączenia zdalne.

  • System Windows XP z dodatkiem Service Pack 1 lub wcześniejszym

    Zapora jest wyłączona i powinna zostać włączona.

Ostrzeżenie

Włączanie zapory będzie mieć wpływ na inne programy, które mają dostęp do tego komputera, takie jak udostępnianie plików i drukarek oraz połączenia pulpitu zdalnego.Administratorzy powinni zastanowić się nad wszystkimi aplikacjami uruchomionymi na komputerze przed dostosowaniem ustawień zapory.

Programy do konfigurowania zapory

Istnieją trzy sposoby konfigurowania ustawień zapory systemu Windows.

  • Element Zapora systemu Windows w Panelu sterowania

    Element Zapora systemu Windows można otworzyć z Panelu sterowania.

    Ważna informacjaWażne:

    Zmiany w elemencie Zapora systemu Windows w Panelu sterowania wpływają tylko na bieżący profil.Na urządzeniach przenośnych, na przykład laptopie, nie należy korzystać z elementu Zapora systemu Windows w Panelu sterowania, gdyż profil może się zmienić, gdy jest podłączony w innej konfiguracji.Później uprzednio skonfigurowany profil nie będzie działał.Aby uzyskać więcej informacji o profilach, zobacz Wprowadzenie — przewodnik po Zaporze systemu Windows z zabezpieczeniami zaawansowanymi.

    Element Zapora systemu Windows w Panelu sterowania pozwala skonfigurować opcje podstawowe.Należą do nich:

    • Włączanie i wyłączanie elementu Zapora systemu Windows w Panelu sterowania

    • Włączanie i wyłączanie reguł

    • Udzielanie wyjątków dla portów i programów

    • Ustawianie niektórych ograniczeń zakresu

    Element Zapora systemu Windows w Panelu sterowania jest najbardziej odpowiedni dla użytkowników, którzy nie mają doświadczenia z konfiguracją zapory i konfigurują podstawowe opcje zapory dla komputerów nieprzenośnych.Element Zapora systemu Windows w Panelu sterowania można również otworzyć poleceniem run za pomocą następującej procedury:

    Aby otworzyć element Zapora systemu Windows

    1. W menu Start kliknij polecenie Uruchom i wprowadź firewall.cpl.

    2. Kliknij przycisk OK.

  • Program Microsoft Management Console (MMC)

    Przystawka programu MMC Zapora systemu Windows z zabezpieczeniami zaawansowanymi pozwala skonfigurować bardziej zaawansowane ustawienia zapory.Ta przystawka jest dostępna tylko w systemach Microsoft Vista i Windows Server 2008; przedstawia jednak większość opcji zapory w łatwy w użyciu sposób i zawiera wszystkie profile zapory.Aby uzyskać więcej informacji, zobacz Korzystanie z przystawki Zapora systemu Windows z zabezpieczeniami zaawansowanymi dalej w tym temacie.

  • netsh

    Narzędzie netsh.exe może być używane przez administratora do konfigurowania i monitorowania komputerów z systemem Windows za pomocą wiersza polecenia lub przy użyciu pliku wsadowego**.** Za pomocą narzędzia netsh można skierować wprowadzone polecenia kontekstowe do odpowiedniego pomocnika. Następnie pomocnik wykonuje polecenie.Pomocnik jest to plik biblioteki dołączanej dynamicznie (.dll), który rozszerza funkcje narzędzia netsh o konfigurację, monitorowanie i obsługę jednego lub więcej narzędzi, usług czy protokołów.Wszystkie systemy operacyjne obsługujące program SQL Server mają pomocnika zapory.Systemy Microsoft Windows Vista i Windows Server 2008 również mają pomocnika zapory zaawansowanej o nazwie advfirewall.Szczegóły korzystania z narzędzia netsh nie są omówione w tym temacie.Jednak wiele opisanych opcji konfiguracji może być skonfigurowanych przy użyciu narzędzia netsh. Na przykład można uruchomić następujący skrypt w wierszu polecenia, aby otworzyć port TCP 1433:

    netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT
    

    Podobny przykład przy użyciu pomocnika Zapory systemu Windows z zabezpieczeniami zaawansowanymi:

    netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN
    

    Jeśli chodzi o skrypty do konfigurowania programu SQL Server za pomocą narzędzia netsh, zobacz Jak używać skryptu do programowego otwierania portów dla programu SQL Server w celu używania w systemach korzystających z systemu Windows XP z dodatkiem Service Pack. Aby uzyskać więcej informacji o narzędziu netsh, skorzystaj z następujących łączy:

Porty używane przez program SQL Server

Następujące tabele mogą pomóc w identyfikacji portów używanych przez program SQL Server.

Porty używane przez aparat bazy danych

W poniższej tabeli wymieniono porty często używane przez Aparat baz danych.

Scenariusz

Port

Komentarze

Domyślnie wystąpienie programu SQL Serveruruchomione za pośrednictwem protokołu TCP

Port TCP 1433

Jest to najbardziej typowy port dozwolony przez zaporę.Odnosi się do rutynowych połączeń z instalacją domyślną usługi Aparat baz danych lub nazwanego wystąpienia, które jest jedynym wystąpieniem uruchomionym na komputerze.(Nazwane wystąpienia mają specjalne względy.Zobacz Porty dynamiczne dalej w tym temacie.)

Nazwane wystąpienia programu SQL Server w konfiguracji domyślnej

Port TCP jest portem dynamicznym określanym w momencie uruchamiania usługi Aparat baz danych. 

Zobacz omówienie poniżej w sekcji Porty dynamiczne.Podczas korzystania z wystąpień nazwanych wymagany może być port UDP 1434 dla usługi Przeglądarka programu SQL Server.

Nazwane wystąpienia programu SQL Server skonfigurowane do używania stałego portu

Numer portu skonfigurowany przez administratora.

Zobacz omówienie poniżej w sekcji Porty dynamiczne.

Dedykowane połączenie administracyjne

Port TCP 1434 dla domyślnego wystąpienia.Inne porty są używane dla potrzeb wystąpień nazwanych.Sprawdź dziennik błędów dla numeru portu.

Domyślnie połączenia zdalne do dedykowanego połączenia administracyjnego (DAC) nie są włączone.Aby włączyć zdalne DAC, użyj zestawu reguł Konfiguracja obszaru powierzchni.Aby uzyskać więcej informacji, zobacz Opis konfiguracji obszaru powierzchni.

Usługa Przeglądarka programu SQL Server

Port UDP 1434

Usługa Przeglądarka programu SQL Server nasłuchuje połączeń przychodzących do nazwanego wystąpienia i dostarcza klientowi numer portu TCP odpowiadający temu wystąpieniu.Normalnie usługa Przeglądarka programu SQL Server jest uruchamiany przy każdym użyciu nazwanego wystąpienia usługi Aparat baz danych.Usługa Przeglądarka SQL Server nie powinna być uruchamiana, jeśli klient jest skonfigurowany do połączenia z określonym portem wystąpienia nazwanego.

Wystąpienie programu SQL Server uruchomione za pośrednictwem punktu końcowego HTTP.

Można określić podczas tworzenia punktu końcowego HTTP.Wartość domyślna to port TCP 80 dla ruchu CLEAR_PORT i 443 dla ruchu SSL_PORT.

Używany dla połączeń HTTP za pośrednictwem adresu URL.

Wystąpienie domyślne programu SQL Server uruchomione za pośrednictwem punktu końcowego HTTPS.

Port TCP 443

Używany dla połączeń HTTPS za pośrednictwem adresu URL.HTTPS jest to połączenie HTTP korzystające z protokołu Secure Sockets Layer (SSL).

Service Broker

Port TCP 4022.Aby sprawdzić używany port, wykonaj następujące zapytanie:

SELECT name, protocol_desc, port, state_desc

FROM sys.tcp_endpoints

WHERE type_desc = 'SERVICE_BROKER'

Nie ma domyślnego portu dla programu SQL Server Service Broker, ale jest to konfiguracja konwencjonalna, używana w przykładach w dokumentacji Książki online.

Dublowanie bazy danych

Port wybrany przez administratora.Aby określić port, wykonaj następujące zapytanie:

SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints

WHERE type_desc = 'DATABASE_MIRRORING'

Nie ma domyślnego portu dla dublowania bazy danych, jednak przykłady w Książkach online korzystają z portu TCP 7022.Jest ważne, aby uniknąć zakłócania używanego punktu końcowego dublowania, szczególnie w trybie wysokiego bezpieczeństwa z automatyczną pracą awaryjną.Konfiguracja zapory należy zapobiec przerywaniu kworum.Aby uzyskać więcej informacji, zobacz Określanie adresu sieciowego serwera (dublowania bazy danych).

Replikacja

Połączenia replikacji do programu SQL Server korzystają z typowych, zwyczajnych portów usługi Aparat baz danych (port TCP 1433 dla domyślnego wystąpienia itp.).

Synchronizacja sieci Web i dostęp FTP/UNC dla migawki replikacji wymagają otwarcia na zaporze dodatkowych portów.Aby przenieść pierwotne dane i schemat z jednej lokalizacji do innej, replikacja można użyć protokołu FTP (port TCP 21) lub synchronizacji za pośrednictwem protokołu HTTP (port TCP 80), lub też udostępniania plików i drukarek (porty TCP 137, 138 lub 139).

Do synchronizacji za pośrednictwem protokołu HTTP replikacja używa punktu końcowego usługi IIS (porty dla niego można konfigurować, ale domyślnie jest to port 80), ale proces IIS łączy się z wewnętrzną bazą danych programu SQL Server za pośrednictwem standardowych portów (1433 dla domyślnego wystąpienia).

Podczas synchronizacji sieci Web za pomocą protokołu FTP, transfer FTP zachodzi między usługami IIS i wydawcą programu SQL Server, a nie między subskrybentem i usługami IIS.

Aby uzyskać więcej informacji, zobacz Konfigurowanie programu Microsoft Internet Security and Acceleration Server dla replikacji programu Microsoft SQL Server 2000 przez Internet.

Debuger Transact-SQL

Port TCP 135

Zobacz Uwagi dotyczące portu 135

Może być także wymagany wyjątek IPsec.

Jeśli korzysta się z programu Visual Studio, na komputerze-hoście programu Visual Studio należy również dodać Devenv.exe do listy wyjątków i otworzyć port TCP 135.

Jeśli korzysta się z programu Management Studio, na komputerze-hoście programu Management Studio należy również dodać ssms.exe do listy wyjątków i otworzyć port TCP 135.Aby uzyskać więcej informacji, zobacz Konfigurowanie Debugger języka Transact-SQL.

Aby uzyskać instrukcje krok po kroku dotyczące konfigurowania Zapory systemu Windows dla aparatu Aparat baz danych, zobacz Jak: Konfigurowanie Zapory systemu Windows dla dostępu aparatu bazy danych.

Porty dynamiczne

Domyślnie nazwane wystąpienia (łącznie z programem SQL Server Express) korzystają z portów dynamicznych.Oznacza to, że Aparat baz danych przy każdym uruchomieniu identyfikuje dostępny port i korzysta z tego numeru portu.Jeśli nazwane wystąpienie jest jedynym zainstalowanym wystąpieniem usługi Aparat baz danych, to będzie prawdopodobnie używać portu TCP 1433.Jeśli zainstalowane są inne wystąpienia usługi Aparat baz danych, będą prawdopodobnie używać różnych portów TCP.Ponieważ wybrany port może się zmienić za każdym razem, gdy uruchomiony jest Aparat baz danych, trudno jest tak skonfigurować zaporę, aby umożliwić dostęp do właściwego numeru portu.Dlatego, jeśli używana jest zapora, zalecamy ponowne skonfigurowanie usługi Aparat baz danych, aby przez cały czas używała tego samego numeru portu.Jest on nazywany portem stałym lub statycznym.Aby uzyskać więcej informacji, zobacz Configuring a Fixed Port.

Alternatywą do konfigurowania wystąpienia nazwanego do nasłuchu na porcie stałym jest utworzenie wyjątku w zaporze dla programu SQL Server, takiego jak sqlservr.exe (dla usługi Aparat baz danych).Może to być wygodne, ale numer portu nie pojawi się w kolumnie Port lokalny na stronie Reguły ruchu przychodzącego, w przypadku gdy używana będzie przystawka programu MMC Zapora systemu Windows z zabezpieczeniami zaawansowanymi.Badanie, które porty są otwarte, może wtedy stać się trudniejsze. Innym zagrożeniem jest fakt, że dodatek service pack lub aktualizacja zbiorcza może zmienić ścieżkę do pliku wykonywalnego programu SQL Server, co unieważni regułę zapory.

Ostrzeżenie

Poniższa procedura używa elementu Zapora systemu Windows w Panelu sterowania.Przystawka programu MMC Zapora systemu Windows z zabezpieczeniami zaawansowanymi może skonfigurować bardziej skomplikowaną regułę.Obejmuje ona skonfigurowanie wyjątków usługi, które mogą być użyteczne dla zapewnienia obrony w głębi.Zobacz Korzystanie z przystawki Zapora systemu Windows z zabezpieczeniami zaawansowanymi poniżej.

Aby dodać wyjątek programowy do zapory za pomocą elementu Zapora systemu Windows w Panelu sterowania.

  1. Na karcie Wyjątki elementu Zapora systemu Windows w Panelu sterowania kliknij przycisk Dodaj program.

  2. Przejdź do lokalizacji wystąpienia programu SQL Server, które ma uzyskać dostęp przez zaporę, na przykład C:\Program Files\Microsoft SQL Server\MSSQL10_50.<instance_name>\MSSQL\Binn, wybierz sqlservr.exe, a następnie kliknij przycisk Otwórz.

  3. Kliknij przycisk OK.

Aby uzyskać więcej informacji dotyczących punktów końcowych, zobacz Protokoły i punkty końcowe TDS i Widoki wykazu punktów końcowych (Transact-SQL).

Porty używane przez usługę Analysis Services

W poniższej tabeli wymieniono porty często używane przez usługę Usługi Analysis Services.

Funkcja

Port

Komentarze

Usługi Analysis Services

Port TCP 2383 dla domyślnego wystąpienia

Port standardowy dla domyślnego wystąpienia usługi Usługi Analysis Services.

Usługa Przeglądarka programu SQL Server

Port TCP 2382 potrzebny tylko dla nazwanego wystąpienia usługi Usługi Analysis Services

Żądania połączeń klienckich nazwanego wystąpienia usługi Usługi Analysis Services, które nie mają określanego numeru portu, są skierowane do portu 2382, czyli portu, na którym nasłuchuje Przeglądarka programu SQL Server.Przeglądarka programu SQL Serverprzekierowuje następnie żądanie do portu używanego przez wystąpienie nazwane.

Usługa Usługi Analysis Services skonfigurowana do użycia za pośrednictwem usług IIS/HTTP

(Usługa PivotTable® używa protokołu HTTP lub HTTPS)

Port TCP 80

Używany dla połączeń HTTP za pośrednictwem adresu URL.

Usługa Usługi Analysis Services skonfigurowana do użycia za pośrednictwem usług IIS/HTTPS

(Usługa PivotTable® używa protokołu HTTP lub HTTPS)

Port TCP 443

Używany dla połączeń HTTPS za pośrednictwem adresu URL.HTTPS jest to połączenie HTTP korzystające z protokołu Secure Sockets Layer (SSL).

Jeśli użytkownicy uzyskują dostęp do usługi Usługi Analysis Services za pośrednictwem usług IIS i Internetu, należy otworzyć port, na którym nasłuchują usługi IIS, i określić port w ciągu połączenia klienckiego.W tym przypadku nie porty muszą być otwarte dla bezpośredniego dostępu do usługi Usługi Analysis Services.Domyślny port 2389 i port 2382 powinny zostać ograniczone wraz z wszystkimi innymi portami, które nie są wymagane.

Aby uzyskać instrukcje krok po kroku dotyczące konfigurowania Zapory systemu Windows dla usługi Usługi Analysis Services, zobacz Konfigurowanie Zapory systemu Windows dla Analysis Services dostępu.

Porty używane przez usługę Reporting Services

W poniższej tabeli wymieniono porty często używane przez usługę Reporting Services.

Funkcja

Port

Komentarze

Usługi sieci Web usługi Reporting Services

Port TCP 80

Używany dla połączenia HTTP do usługi Reporting Services za pośrednictwem adresu URL.Zaleca się, aby nie używać wstępnie skonfigurowanej reguły Usługi sieci World Wide Web (HTTP).Aby uzyskać więcej informacji, zobacz sekcję Interakcja z innymi regułami zapory poniżej.

Usługa Reporting Services skonfigurowana do użycia za pośrednictwem protokołu HTTPS

Port TCP 443

Używany dla połączeń HTTPS za pośrednictwem adresu URL.HTTPS jest to połączenie HTTP korzystające z protokołu Secure Sockets Layer (SSL).Zaleca się, aby nie używać wstępnie skonfigurowanej reguły Usługi bezpiecznej sieci World Wide Web (HTTP).Aby uzyskać więcej informacji, zobacz sekcję Interakcja z innymi regułami zapory poniżej.

Gdy usługa Reporting Services łączy się z wystąpieniem usługi Aparat baz danych lub Usługi Analysis Services, należy również otworzyć odpowiednie porty dla tych usług.Aby uzyskać instrukcje krok po kroku dotyczące konfigurowania Zapory systemu Windows dla usługi Reporting Services, zobacz Jak Konfigurowanie zapory dla raportu serwera dostępu.

Porty używane przez usługę Integration Services

W poniższej tabeli wymieniono porty używane przez usługę Integration Services.

Funkcja

Port

Komentarze

Zdalne wywoływanie procedur Microsoft (MS RPC)

Używany przez usługę Integration Services w czasie wykonywania.

Port TCP 135

Zobacz Uwagi dotyczące portu 135

Usługa Integration Services używa modelu DCOM na porcie 135.Menedżer sterowania usługami używa portu 135 do wykonywania zadań, takich jak uruchamianie i zatrzymywanie usługi Integration Services i przekazywania żądań kontroli do uruchomionej usługi. Nie można zmienić numeru portu.

Ten port musi być otwarty tylko, jeśli następuje połączenie ze zdalnym wystąpieniem usługi Integration Services z programu Management Studio lub aplikacji niestandardowej.

Aby uzyskać instrukcje krok po kroku dotyczące konfigurowania Zapory systemu Windows dla usługi Integration Services, zobacz Konfigurowanie Zapory systemu Windows dla dostępu do usług integracji i Jak Konfigurowanie Zapory systemu Windows dla usługi integracji.

Dodatkowe porty i usługi

Poniższa tabela zawiera listę portów i usług, od których może zależeć program SQL Server.

Scenariusz

Port

Komentarze

Instrumentacja zarządzania Windows

Aby uzyskać więcej informacji dotyczących usługi WMI, zobacz Dostawca WMI dla pojęć związanych z zarządzaniem konfiguracji.

WMI działa jako część hosta usługi udostępnionej z portów przypisanych przez model DCOM.Usługa WMI może używać portu TCP 135.

Zobacz Uwagi dotyczące portu 135

Menedżer konfiguracji programu SQL Server używa usługi WMI do tworzenia listy usług i zarządzania nimi.Firma Microsoft zaleca użycie grupy wstępnie skonfigurowanych reguł Instrumentacji zarządzania Windows (WMI).Aby uzyskać więcej informacji, zobacz sekcję Interakcja z innymi regułami zapory poniżej.

Microsoft Distributed Transaction Coordinator (MS DTC)

Port TCP 135

Zobacz Uwagi dotyczące portu 135

Jeśli aplikacja używa transakcji rozproszonych, czasami trzeba skonfigurować zaporę, aby umożliwić usłudze Microsoft Distributed Transaction Coordinator (MS DTC) ruch między osobnymi wystąpieniami usługi MS DTC oraz między usługą MS DTC i menedżerami zasobów, takimi jak program SQL Server. Firma Microsoft zaleca użycie wstępnie skonfigurowanej grupy zasad Koordynator transakcji rozproszonych.

Gdy jedno udostępnione wystąpienie usługi MS DTC jest skonfigurowane dla całego klastra w oddzielnej grupie zasobów, należy dodać sqlservr.exe jako wyjątek do zapory.

Przycisk Przeglądaj w programie Management Studio używa protokołu UDP, aby łączyć się z usługą Przeglądarka programu SQL Server.Aby uzyskać więcej informacji, zobacz SQL ServerUsługa przeglądarki.

Port UDP 1434

Protokół UDP jest protokołem bezpołączeniowym.

Zapora ma ustawienie o nazwie Właściwość UnicastResponsesToMulticastBroadcastDisabled interfejsu INetFwProfile, które kontroluje zachowanie zapory w odniesieniu do odpowiedzi emisji pojedynczej na żądanie emisji (lub multiemisji) przez protokół UDP.Ma dwa zachowania:

  • Jeśli to ustawienie ma wartość TRUE, odpowiedzi emisji pojedynczej na emisję nie są w ogóle dozwolone.Wyliczanie usług zakończy się niepowodzeniem.

  • Jeżeli ustawienie ma wartość FALSE (wartość domyślną), odpowiedzi emisji pojedynczej są dozwolone przez 3 sekundy.Czas nie jest konfigurowany.W sieciach przeciążonych lub mających wysokie opóźnienia, lub na znacznie obciążonych serwerach, próby wyliczenia wystąpień programu SQL Server mogą zwrócić częściową listę, która może wprowadzać w błąd użytkowników.

Ruch IPsec

Port UDP 500 i port UDP 4500

Jeśli zasady domeny wymagają, by komunikacja sieciowa odbywała się za pośrednictwem protokołu IPsec, należy również dodać do listy wyjątków port UDP 4500 i port UDP 500.Protokół IPsec jest opcją korzystającą z Kreatora nowej reguły przychodzącej w przystawce Zapora systemu Windows.Aby uzyskać więcej informacji, zobacz Korzystanie z przystawki Zapora systemu Windows z zabezpieczeniami zaawansowanymi poniżej.

Korzystanie z uwierzytelniania systemu Windows z domenami zaufanymi

Zapory muszą być skonfigurowane, aby umożliwiały żądania uwierzytelniania.

Aby uzyskać więcej informacji, zobacz Jak skonfigurować zaporę dla domen i relacji zaufania.

Program SQL Server i usługa klastrowania systemu Windows

Usługa klastrowania wymaga dodatkowych portów, które nie są bezpośrednio związane z programem SQL Server.

Aby uzyskać więcej informacji, zobacz Włączanie sieci do użytku klastra.

Przestrzenie nazw URL zastrzeżone w interfejsie API serwera HTTP (HTTP.SYS)

Prawdopodobnie port TCP 80, ale może wystąpić konfiguracja do innych portów.Aby uzyskać ogólne informacje, zobacz Konfigurowanie protokołów HTTP i HTTPS.

Aby uzyskać szczegółowe, dotyczące programu SQL Server informacje o zastrzeganiu punktu końcowego HTTP.SYS przy użyciu pliku HttpCfg.exe, zobacz Rezerwowanie obszarów nazw adresów URL przy użyciu składnika Http.sys.

Uwagi dotyczące portu 135

Gdy usługa RPC korzysta do transportu z protokołu TCP/IP lub UDP/IP, porty przychodzące są często dynamicznie przypisywane do usług systemu zgodnie z wymaganiami; używane są porty TCP/IP i UDP/IP wyższe niż port 1024.Są one często nieformalnie określane jako „losowe porty RPC”. W tych przypadkach klienci RPC polegają na programu mapowania punktów końcowych RPC, jeśli chodzi o informacje, które porty dynamiczne zostały przypisane do serwera.Dla niektórych usług opartych na usłudze RPC można skonfigurować określony port zamiast pozwalać na ich dynamiczne przypisywanie przez usługę RPC.Można również ograniczyć zakres portów, które usługa RPC dynamicznie przypisuje, do małego zakresu niezależnego od usługi.Ponieważ port 135 jest używany dla wielu usług, jest on często zaatakowany przez złośliwych użytkowników.W razie otwarcia portu 135 należy rozważyć ograniczenie zakresu stosowania reguły zapory.

Aby uzyskać więcej informacji o porcie 135, zobacz następujące odwołania:

Interakcja z innymi zasadami zapory

Zapora systemu Windows używa reguł i grup reguł w celu ustanowienia konfiguracji.Każda reguła lub grupa reguł jest zazwyczaj skojarzona z konkretnym programem lub usługą, i ten program lub usługa może zmodyfikować lub usunąć tę regułę bez wiedzy użytkownika.Na przykład grupy reguł Usługi sieci World Wide Web (HTTP) i Usługi sieci World Wide Web (HTTPS) są skojarzone z usługami IIS.Włączenie tych zasad otworzy porty 80 i 443, i funkcje programu SQL Server, które zależą od portów 80 i 443, będą działać, jeśli te zasady będą włączone.Jednakże podczas konfigurowania usług IIS administratorzy mogą zmodyfikować lub wyłączyć te reguły.Dlatego, jeśli dla programu SQL Server używany jest port 80 lub port 443, należy utworzyć własną regułę lub grupę reguł, która przechowuje pożądaną konfigurację portu niezależnie od innych reguł usług IIS.

Przystawka programu MMC Zapora systemu Windows z zabezpieczeniami zaawansowanymi pozwala na każdy ruch, który odpowiada stosownej regule.Jeśli zatem istnieją dwie reguły stosujące się do portu 80 (z różnymi parametrami), ruch, który pasuje do jednej lub drugiej, będzie dozwolony.Jeśli zatem jedna reguła zezwala na ruch na porcie 80 z podsieci lokalnej, a inna reguła zezwala na ruch z dowolnego adresu, skutkiem sieciowym jest, że cały ruch na porcie 80 jest dozwolony niezależnie od źródła.Aby skutecznie zarządzać dostępem do programu SQL Server, administratorzy powinni okresowo przeglądać wszystkie reguły zapory włączone na serwerze.

Przegląd informacji o profilach zapory

Profile zapory są omówione w temacie Wprowadzenie — przewodnik po Zaporze systemu Windows z zabezpieczeniami zaawansowanymi w sekcji Zapora hosta oparta na lokalizacji sieciowej.Podsumowując, począwszy od systemów Windows Vista i Windows Server 2008 systemy operacyjne identyfikują i pamiętają każdą sieć, z którą się łączą, w odniesieniu do łączności, połączeń i kategorii.

W Zaporze systemu Windows z zabezpieczeniami zaawansowanymi istnieją trzy typy lokalizacji sieciowej:

  • Domeny.System Windows można uwierzytelniać dostęp do kontrolera domeny w domenie, do której komputer jest przyłączony.

  • Publiczna.Inaczej niż w przypadku sieci domeny, wszystkie sieci są początkowo kategoryzowane jako publiczne.Sieci, które mają bezpośrednie połączenia z Internetem lub są w miejscach publicznych, takich jak porty lotnicze i kawiarenki, muszą pozostać publiczne.

  • Prywatna.Sieć określona przez użytkownika lub aplikację jako prywatne.Tylko zaufane sieci powinny być identyfikowane jako sieci prywatne.Użytkownicy prawdopodobnie będą identyfikować sieci domowe lub w małych firmach jako prywatne.

Administrator może utworzyć profil dla każdego typu lokalizacji sieciowej, a każdy profil może zawierać inne zasady zapory.Stosowany jest tylko jeden profil naraz.Kolejność stosowania profili jest następująca:

  1. Jeśli wszystkie interfejsy są uwierzytelniane do kontrolera domeny dla domeny, której członkiem jest komputer, stosowany jest profil domeny.

  2. Jeśli wszystkie interfejsy są uwierzytelniane na kontrolerze domeny lub podłączone do sieci sklasyfikowanych jako lokalizacje sieci prywatnej, stosowany jest profil prywatny.

  3. W przeciwnym razie stosowane jest profil publiczny.

Aby wyświetlić i skonfigurować wszystkie profile zapory, należy użyć przystawki programu MMC Zapora systemu Windows z zabezpieczeniami zaawansowanymi.Element Zapora systemu Windows w Panelu sterowania konfiguruje tylko bieżący profil.

Dodatkowe ustawienia zapory przy użyciu elementu Zapora systemu Windows w Panelu sterowania

Wyjątki, które można dodać do zapory, mogą ograniczyć otwarcie portu do połączeń przychodzących z określonych komputerów lub podsieci lokalnej.Ograniczenie zakresu otwierania portów może zmniejszyć narażenie komputera na złośliwych użytkowników, i jest zalecane.

Ostrzeżenie

Użycie elementu Zapora systemu Windows w Panelu sterowania konfiguruje tylko bieżący profil zapory.

Aby zmienić zakres wyjątku zapory za pomocą elementu Zapora systemu Windows w Panelu sterowania

  1. W elemencie Zapora systemu Windows w Panelu sterowania wybierz program lub port na karcie Wyjątki, a następnie kliknij przycisk Właściwości lub Edytuj.

  2. W oknie dialogowym Edytowanie programu lub Edytowanie portu kliknij przycisk Zmień zakres.

  3. Wybierz jedną z następujących opcji:

    • Dowolny komputer (łącznie z tymi w Internecie)

      Niezalecane.Pozwoli to dowolnemu komputerowi, który może zwrócić się do komputera użytkownika, na połączenie się z określonym programem lub portem.To ustawienie może być niezbędne, aby umożliwić przedstawianie informacji anonimowym użytkownikom w Internecie, ale zwiększa narażenie na złośliwych użytkowników.Poziom narażenia może dodatkowo wzrosnąć, jeśli włączy się to ustawienie, a jednocześnie zezwoli na przechodzenie translacji adresów sieciowych (NAT), takich jak opcja Zezwalaj na przechodzenie krawędzi.

    • Tylko moja sieć (podsieć)

      Jest to bezpieczniejsze ustawienie niż Dowolny komputer.Tylko komputery w podsieci lokalnej sieci mogą się łączyć z programem lub portem.

    • Lista niestandardowa:

    Tylko komputery o wymienionych adresach IP mogą się połączyć.Może to być bezpieczniejsze ustawienie niż Tylko moja sieć (podsieć), jednak komputery klienckie używające protokołu DHCP mogą czasami zmieniać adres IP.Wtedy dany komputer nie będzie mógł się połączyć.Natomiast inny komputer, który nie miał mieć zezwolenia, może przyjąć wymieniony adres IP i być w stanie się połączyć.Opcja Lista niestandardowa może być odpowiednia przy wymienianiu innych serwerów, które są skonfigurowane do używania stałego adresu IP; jednakże adresy IP mogą zostać sfałszowane przez intruza.Ograniczenia reguł zapory są tylko tak silne, jak infrastruktura sieci.

Korzystanie z przystawki Zapora systemu Windows z zabezpieczeniami zaawansowanymi

Począwszy od systemów Vista i Windows Server 2008, za pomocą przystawki programu MMC Zapora systemu Windows z zabezpieczeniami zaawansowanymi można również skonfigurować dodatkowe zaawansowane ustawienia zapory.Przystawka zawiera kreatora reguł i udostępnia dodatkowe ustawienia, które nie są dostępne w elemencie Zapora systemu Windows w Panelu sterowania.Należą do nich:

  • Ustawienia szyfrowania

  • Ograniczenia usług

  • Ograniczanie połączeń komputerów za pomocą nazwy

  • Ograniczanie połączeń do określonych użytkowników lub profilów

  • Przechodzenie krawędzi umożliwiające omijanie routerów translacji adresów sieciowych (NAT) przez ruch

  • Konfigurowanie reguł wychodzących

  • Konfigurowanie zasad zabezpieczeń

  • Wymaganie protokołu IPsec dla połączeń przychodzących

Aby utworzyć nową regułę zapory za pomocą Kreatora nowej reguły

  1. W menu Start wybierz polecenie Uruchom, wpisz WF.msc, a następnie kliknij przycisk OK.

  2. W przystawce Zapora systemu Windows z zabezpieczeniami zaawansowanymi w okienku po lewej stronie kliknij prawym przyciskiem myszy pozycję Reguły ruchu przychodzącego, a następnie kliknij przycisk Nowa reguła.

  3. Dokończ pracę Kreatora nowej reguły ruchu przychodzącego, wybierając żądane ustawienia.

Rozwiązywanie problemów z ustawieniami zapory

Następujące narzędzia i techniki mogą być przydatne w rozwiązywaniu problemów z zaporą:

  • Efektywny stan portu łączy wszystkie reguły związane z portem.Przy próbie zablokowania dostępu przez port pomocne może być przejrzenie wszystkich zasad, które cytują numer portu.Aby to zrobić, użyj przystawki MMC Zapora systemu Windows z zabezpieczeniami zaawansowanymi i posortuj reguły ruchu przychodzącego i wychodzącego według numerów portu.

  • Przejrzyj porty aktywne na komputerze, na którym uruchomiony jest program SQL Server.Proces przeglądu obejmuje sprawdzenie, które porty TCP/IP nasłuchują, a także weryfikację stanu portów.

    Aby sprawdzić, które porty nasłuchują, użyj narzędzia wiersza polecenia netstat.Oprócz wyświetlania aktywnych połączeń protokołu TCP, narzędzie netstat wyświetla również różne statystyki IP i informacje.

    Aby uzyskać listę nasłuchujących portów TCP/IP

    1. Otwórz okno wiersza polecenia.

    2. W wierszu polecenia wpisz: netstat -n -a.

      Przełącznik -n nakazuje narzędziu netstat numeryczne wyświetlenie adresów i liczby portów aktywnych połączeń TCP.Przełącznik -a nakazuje narzędziu netstat wyświetlenie portów TCP i UDP, na których komputer nasłuchuje.

  • Narzędzie PortQry może służyć do raportowania stan portów TCP/IP jako nasłuchujących, nienasłuchujących lub przefiltrowanych.(Mając stan przefiltrowany, port może nasłuchiwać lub nie nasłuchiwać; ten stan wskazuje, że narzędzie nie otrzymało odpowiedzi od portu). Narzędzie PortQry jest dostępne do pobrania z Centrum pobierania Microsoft.

Aby uzyskać dodatkowe tematy dotyczące rozwiązywania problemów, zobacz: