Настройка многосетевого компьютера для доступа к SQL Server

  • Статья

Применимо к:SQL Server — только Windows

Если сервер должен предоставить соединение с двумя или более сетями или подсетями, обычно используется многосетевой компьютер. Часто этот компьютер расположен в пограничной сети (также известной как сеть периметра, сеть периметра или экранированная подсеть). В этой статье описано, как настроить SQL Server и брандмауэр Windows в режиме повышенной безопасности, чтобы разрешить сетевые подключения с экземпляром SQL Server в многосетевой среде.

Примечание

Многосетевой компьютер имеет несколько сетевых адаптеров или настроен для использования нескольких IP-адресов через один сетевой адаптер. Компьютер с двойной привязкой имеет два сетевых адаптера или настроен для использования двух IP-адресов через один сетевой адаптер.

Прежде чем продолжать знакомство с этой статьей, необходимо ознакомиться со сведениями, представленными в статье Настройка брандмауэра Windows для разрешения доступа к SQL Server. Эта статья содержит основные сведения о работе компонентов SQL Server с брандмауэром.

В этом примере предполагается следующее.

  • На компьютере установлены два сетевых адаптера. Один или несколько сетевых адаптеров могут быть беспроводными. Можно имитировать работу с двумя сетевыми адаптерами, используя IP-адрес одного сетевого адаптера и IP-адрес замыкания на себя (127.0.0.1) в качестве второго сетевого адаптера.

  • Для простоты в этом примере используются адреса IPv4. Те же процедуры могут выполняться с адресами IPv6.

    Примечание

    Адреса IPv4 представляют собой ряд четырехзначных цифр, которые называются октетами. Каждый номер меньше 255 и разделяется точками, например 127.0.0.1. Адреса IPv6 представляют собой ряд из восьми шестнадцатеричных цифр, разделенных двоеточием, например fe80:4898:23:3:49a6:f5c1:2452:b994.

  • Правила брандмауэра могут разрешать доступ к конкретному порту, например к порту 1433. Также правила брандмауэра могут разрешать доступ к программе ядра СУБД SQL Server (sqlservr.exe). Эти методы мало отличаются друг от друга. Так как сервер в сети периметра более уязвим для атаки, чем серверы в интрасети, в этой статье предполагается, что обеспечивается более полный контроль путем открытия конкретных портов. По этой причине в статье предполагается настройка SQL Server для ожидания передачи данных через фиксированный порт. Дополнительные сведения о портах, используемых SQL Server, см. в статье Настройка брандмауэра Windows для разрешения доступа к SQL Server.

  • В примере настраивается доступ к ядру СУБД через TCP-порт 1433. Другие порты, которые используются различными компонентами SQL Server, можно настроить с помощью тех же общих шагов.

Ниже указаны необходимые общие шаги в этом примере.

  • Определение IP-адреса компьютера.

  • Настройка SQL Server для подключения через определенный TCP-порт.

  • Настройка брандмауэра Windows в режиме повышенной безопасности.

Необязательные процедуры

Если IP-адреса, доступные для компьютера и используемые SQL Server, уже известны, эти процедуры можно пропустить.

Определение доступных для компьютера IP-адресов

  1. На компьютере, на котором установлен SQL Server, нажмите кнопку Пуск, выберите команду Выполнить, введите cmd и нажмите кнопку OK.

  2. В командной строке введите ipconfig и нажмите клавишу ВВОД, чтобы вывести список IP-адресов, доступных на этом компьютере.

    Примечание

    Команда ipconfig иногда выводит большой список возможных соединений, в том числе отключенных. Команда ipconfig выводит как адреса IPv4, так и адреса IPv6.

  3. Запишите использующиеся адреса IPv4 и IPv6. Другие сведения в списке, например временные адреса, маски подсети и шлюзы по умолчанию, являются важными для настройки сети TCP/IP. Однако они не используются в этом примере.

Определение IP-адресов и портов, используемых SQL Server

  1. В меню Пускпоследовательно наведите указатель мыши на пункты Программы, Microsoft SQL Server, Средства настройкии выберите пункт Диспетчер конфигурации SQL Server.

  2. В области консоли диспетчера конфигурации SQL Server разверните узел Сетевая конфигурация SQL Server, Протоколы для <имя экземпляра>, а затем дважды щелкните TCP/IP.

  3. В диалоговом окне Свойства TCP/IP на вкладке IP-адреса появится несколько IP-адресов в формате IP1, IP2до IPAll. Одним из приведенных IP-адресов является адрес адаптера заглушки 127.0.0.1. Для каждого IP-адреса, настроенного на компьютере, появятся дополнительные IP-адреса.

  4. Если для какого-либо IP-адреса в диалоговом окне Динамические TCP-порты содержится значение 0, это означает, что ядро СУБД прослушивает динамические порты. В этом примере используются фиксированные, а не динамические порты, которые могут измениться после перезапуска компьютера. Поэтому, если в диалоговом окне Динамические TCP-порты содержится значение 0, удалите его.

  5. Запишите TCP-порт, который приводится в списке для каждого настраиваемого IP-адреса. В этом примере предполагается, что оба IP-адреса прослушивают порт по умолчанию 1433.

  6. Если нежелательно, чтобы SQL Server использовал некоторые доступные порты, на вкладке Протокол измените значение Прослушивать все на значение Нет, а на вкладке IP-адреса измените значение Активный на Нет для IP-адресов, которые не будут использоваться.

Настройка брандмауэра Windows в режиме повышенной безопасности

После того как стали известны IP-адреса, которые использует компьютер, и применяемые SQL Server порты, можно создать правила брандмауэра, а затем настроить их для конкретных IP-адресов.

Создание правила брандмауэра

  1. На компьютере, на котором установлен SQL Server, войдите в систему в качестве администратора.

  2. Нажмите кнопку Пуск, выберите команду Выполнить, введите wf.mscи нажмите кнопку ОК.

  3. В диалоговом окне Контроль учетных записей пользователей нажмите кнопку Продолжить , чтобы с помощью учетных данных администратора открыть оснастку брандмауэра Windows в режиме повышенной безопасности.

  4. На странице Обзор подтвердите, что брандмауэр Windows включен.

  5. В левой панели щелкните Правила для входящих подключений.

  6. Щелкните правой кнопкой мыши Правила для входящих подключенийи выберите команду Создать правило , чтобы открыть мастер создания правила для входящего подключения.

  7. Можно создать правило для программы SQL Server. Так как в этом примере используется фиксированный порт, выберите Порти нажмите кнопку Далее.

  8. На странице Протоколы и порты выберите TCP.

  9. Выберите Указанные локальные порты. Введите номера портов через запятую и нажмите кнопку Далее. В этом примере настраивается порт по умолчанию, поэтому введите 1433.

  10. На странице Действия просмотрите параметры. В этом примере брандмауэр не используется для принудительного включения безопасных соединений. Поэтому выберите Разрешить подключениеи нажмите кнопку Далее.

    Примечание

    Однако среда может потребовать безопасные соединения. Если выбрать один из параметров безопасных соединений, можно настроить сертификат, а затем — параметр Принудительное шифрование . Дополнительные сведения о безопасных соединениях см. в разделах Включение шифрования соединений в ядре СУБД (диспетчер конфигурации SQL Server) и Включение шифрования соединений в ядре СУБД (диспетчер конфигурации SQL Server).

  11. На странице Профиль выберите один или несколько профилей для этого правила. Чтобы получить дополнительные сведения о профилях брандмауэра, щелкните ссылку Подробнее о профилях в программе брандмауэра.

    • Если компьютер является сервером и доступен только при соединении с доменом, выберите Домени нажмите кнопку Далее.

    • Если компьютер является мобильным (например, переносным компьютером), он, скорее всего, будет использовать несколько профилей при соединении с разными сетями. В этом случае можно настроить разные возможности доступа для разных профилей. Например, можно разрешить доступ, если компьютер использует профиль домена, и не разрешить — при использовании открытого профиля.

  12. На странице Имя введите имя и описание правила и нажмите кнопку Готово.

  13. Повторите эту процедуру для создания другого правила для каждого IP-адреса, используемого SQL Server.

После создания одного или нескольких правил выполните следующие шаги, чтобы настроить каждый IP-адрес компьютера для использования правил.

Настройка правила брандмауэра для конкретных IP-адресов

  1. На странице Правила для входящих подключений окна Брандмауэр Windows в режиме повышенной безопасностищелкните правой кнопкой мыши только что созданное правило и выберите пункт Свойства.

  2. В диалоговом окне Свойства правила перейдите на вкладку Область .

  3. В области Локальный IP-адрес выберите Указанные IP-адресаи нажмите кнопку Добавить.

  4. В диалоговом окне IP-адрес выберите IP-адрес или подсетьи введите один из IP-адресов, которые нужно настроить.

  5. Щелкните ОК.

  6. В области Удаленный IP-адрес выберите Указанные IP-адресаи нажмите кнопку Добавить.

  7. В диалоговом окне IP-адрес настройте обмен данными для выбранного IP-адреса компьютера. Можно включать соединения через указанные IP-адреса, диапазоны IP-адресов, целые подсети или определенные компьютеры. Чтобы правильно настроить этот параметр, необходимо хорошо понимать работу сети. Сведения о сети можно узнать у администратора сети.

  8. Нажмите кнопку ОК , чтобы закрыть диалоговое окно IP-адрес, затем нажмите кнопку ОК , чтобы закрыть диалоговое окно Свойства правила .

  9. Чтобы настроить другие IP-адреса на многосетевом компьютере, повторите эту процедуру для каждого IP-адреса, используя другое правило.

См. также:

Служба обозревателя SQL Server (компонент Database Engine и SSAS)
Подключение к SQL Server через прокси-сервер (диспетчер конфигурации SQL Server)