针对 SharePoint 环境强化 SQL Server (SharePoint Foundation 2010)

  • 项目

 

适用于: SharePoint Foundation 2010

上一次修改主题: 2016-11-30

本文介绍如何在 Microsoft SharePoint 2010 产品 环境中强化 Microsoft SQL Server。

本文内容:

  • 强化建议摘要

  • 配置 SQL Server 实例以侦听非默认端口

  • 阻止默认 SQL Server 侦听端口

  • 配置 Windows 防火墙以开放手动分配的端口

  • 配置 SQL 客户端别名

  • 测试 SQL 客户端别名

强化建议摘要

为确保服务器场环境的安全,建议您执行以下操作:

  • 阻止 UDP 端口 1434。

  • 配置 SQL Server 的已命名实例以侦听非标准端口(除了 TCP 端口1433 或 UDP 端口 1434)。

  • 为增强安全性,阻止 TCP 端口 1433 并将默认实例使用的端口重新分配到其他端口。

  • 在服务器场中的所有前端 Web 服务器和应用程序服务器上配置 SQL Server 客户端别名。阻止 TCP 端口1433 或 UDP 端口 1434 后,与运行 SQL Server 的计算机通信的所有计算机都需要 SQL Server 客户端别名。

有关这些建议的详细信息,请参阅 规划安全强化 (SharePoint Foundation 2010)

配置 SQL Server 实例以便在非默认端口上进行侦听

使用 SQL Server 配置管理器以更改 SQL Server 实例使用的 TCP 端口。

  1. 在运行 SQL Server 的计算机上,打开 SQL Server 配置管理器。

  2. 在左侧窗格中,展开“SQL Server 网络配置”。

  3. 单击您正在配置的实例的对应条目。默认实例列出为“MSSQLSERVER 的协议”。命名实例显示为“命名实例的协议”。

  4. 在右侧窗格中,右键单击“TCP/IP”,然后单击“属性”。

  5. 单击“IP 地址”选项卡。对于分配到运行 SQL Server 的计算机的每一个 IP 地址,选项卡上都有一个对应条目。默认情况下,SQL Server 侦听分配到计算机上的所有 IP 地址。

  6. 若要全局更改默认实例所侦听的端口,请执行以下步骤:

    1. 对于除“IPAll”以外的每个 IP 地址,清除“TCP 动态端口”和“TCP 端口”的所有值。

    2. 对于“IPAll”,清除“TCP 动态端口”的值。在“TCP 端口”字段,输入您想要 SQL Server 实例侦听的端口。例如,输入 40000。

  7. 若要全局更改命名实例所侦听的端口,请执行以下步骤:

    1. 对于每个 IP 地址(包括“IPAll”),清除“TCP 动态端口”的所有值。本字段值为 0 表示 SQL Server 对 IP 地址使用的是动态 TCP 端口。此值为空白项表示 SQL Server 将不对 IP 地址使用动态 TCP 端口。

    2. 对于除“IPAll”外的每个 IP 地址,清除“TCP 端口”的所有值。

    3. 对于“IPAll”,清除“TCP 动态端口”的值。在“TCP 端口”字段,输入您想要 SQL Server 实例侦听的端口。例如,输入 40000。

  8. 单击“确定”。您会收到一条消息,指出重新启动 SQL Server 服务后此更改才会生效。单击“确定”。

  9. 关闭 SQL Server 配置管理器。

  10. 重新启动 SQL Server 服务并确认运行 SQL Server 的计算机是否正在所选端口上进行侦听。重新启动 SQL Server 服务后,您可以通过查看事件查看器日志进行确认。查看与下列事件类似的信息事件:

    事件类型:信息

    事件源:MSSQL$MSSQLSERVER

    事件类别:(2)

    事件 ID:26022

    日期:2008-3-6

    时间:1:46:11(下午)

    用户:无

    计算机:计算机名称

    说明:

    Server 正在侦听 [ 'any' <ipv4>50000]

阻止默认 SQL Server 侦听端口

高级安全 Windows 防火墙将使用入站规则和出站规则来保护传入和传出网络流量的安全。由于 Windows 防火墙默认情况下将阻止所有传入的主动提供的网络流量,因此您无需显式阻止默认的 SQL Server 侦听端口。有关详细信息,请参阅高级安全 Windows 防火墙 (https://go.microsoft.com/fwlink/?linkid=214109&clcid=0x804) 和配置 Windows 防火墙以允许 SQL Server 访问 (https://go.microsoft.com/fwlink/?linkid=210584&clcid=0x804)

配置 Windows 防火墙以开放手动分配的端口

  1. 在“控制面板”中,打开“系统和安全”。

  2. 单击“Windows 防火墙”,然后单击“高级设置”以打开“高级安全 Windows 防火墙”对话框。

  3. 在导航窗格中,单击“入站规则”以在“操作”窗格中显示可用的选项。

  4. 单击“新建规则”以打开“新建入站规则向导”。

  5. 使用该向导完成必要的步骤,以允许访问在配置 SQL Server 实例以侦听非默认端口中所定义的端口。

备注

您可配置 Internet 协议安全性 (IPsec),以帮助通过配置 Windows 防火墙来保证与运行 SQL Server 的计算机的通信的安全。通过选中“高级安全 Windows 防火墙”对话框的导航窗格中的“连接安全规则”可实现这一点。

配置 SQL Server 别名

如果阻止运行 SQL Server 的计算机上的 UDP 端口 1434 或 TCP 端口 1433,则必须在服务器场中的所有其他计算机上创建 SQL Server 客户端别名。可以使用 SQL Server 客户端组件为连接到 SQL Server 的计算机创建 SQL Server 客户端别名。

  1. 在目标计算机上运行 SQL Server 安装程序,并选择安装下列客户端组件:

    1. 连接组件

    2. 管理工具

  2. 打开“SQL Server 配置管理器”。

  3. 在左侧窗格中,单击“SQL Native Client 配置”。

  4. 在右侧窗格中,右键单击“别名”,再选择“新建别名”。

  5. 在“别名”对话框中,输入别名的名称,再输入数据库实例的端口号。例如,输入 SharePoint*_别名*。

  6. 在“端口号”字段中,输入数据库实例的端口号。例如,输入 40000。确保将协议设置为 TCP/IP。

  7. 在“服务器”字段中,输入运行 SQL Server 的计算机的名称。

  8. 单击“应用”,然后单击“确定”。

测试 SQL Server 客户端别名

使用 Microsoft SQL Server Management Studio(通过安装 SQL Server 客户端组件获得)测试运行 SQL Server 的计算机的连接。

  1. 打开 SQL Server Management Studio。

  2. 当提示您输入服务器名称时,请输入您所创建的别名,然后单击“连接”。如果连接成功,与远程数据库相对应的对象将填充到 SQL Server Management Studio。

    备注

    要从 SQL Server Management Studio 中检查其他数据库实例的连接,请单击“连接”,然后单击“数据库引擎”。