针对 SharePoint 环境强化 SQL Server (SharePoint Server 2010)

 

适用于: SharePoint Foundation 2010, SharePoint Server 2010

上一次修改主题: 2016-11-30

本文介绍如何针对 Microsoft SharePoint 2010 产品环境强化 Microsoft SQL Server。

本文内容:

  • 强化建议摘要

  • 配置 SQL Server 实例以便在非默认端口上进行侦听

  • 阻止默认 SQL Server 侦听端口

  • 配置 Windows 防火墙以开放手动分配的端口

  • 配置 SQL 客户端别名

  • 测试 SQL 客户端别名

强化建议摘要

为确保服务器场环境的安全,建议您执行以下操作:

  • 阻止 UDP 端口 1434。

  • 配置 SQL Server 的命名实例,以便侦听非标准端口(除 TCP 端口 1433 或 UDP 端口 1434 之外的其他端口)。

  • 为增强安全性,阻止 TCP 端口 1433 并将默认实例使用的端口重新分配到不同端口。

  • 在服务器场中的所有前端 Web 服务器和应用程序服务器上配置 SQL Server 客户端别名。在阻止 TCP 端口 1433 或 UDP 端口 1434 之后,与运行 SQL Server 的计算机通信的所有计算机都需要 SQL Server 客户端别名。

有关这些建议的详细信息,请参阅规划安全强化 (SharePoint Server 2010)

配置 SQL Server 实例以便在非默认端口上进行侦听

使用 SQL Server 配置管理器来更改 SQL Server 的实例所使用的 TCP 端口。

  1. 在运行 SQL Server 的计算机上,打开 SQL Server 配置管理器。

  2. 在左侧窗格中,展开“SQL Server 网络配置”。

  3. 单击所配置实例的相应条目。默认实例列出为“MSSQLSERVER 的协议”。命名实例显示为“命名实例的协议”。

  4. 在右侧窗格中,右键单击“TCP/IP”,然后单击“属性”。

  5. 单击“IP 地址”选项卡。对于分配给运行 SQL Server 的计算机的每个 IP 地址,此选项卡上都有一个对应条目。默认情况下,SQL Server 在分配给计算机的所有 IP 地址上进行侦听。

  6. 若要全局更改默认实例所侦听的端口,请按照以下步骤操作:

    1. 对于除“IPAll”外的每个 IP 地址,清除“TCP 动态端口”和“TCP 端口”的所有值。

    2. 对于“IPAll”,清除“TCP 动态端口”的值。在“TCP 端口”字段中,输入您希望 SQL Server 的实例进行侦听的端口。例如,输入 40000。

  7. 若要全局更改命名实例所侦听的端口,请执行以下步骤:

    1. 对于包括“IPAll”在内的每个 IP 地址,清除“TCP 动态端口”的所有值。此字段的值为 0 表示 SQL Server 将动态 TCP 端口用于 IP 地址。此值为空则表示 SQL Server 不将动态 TCP 端口用于 IP 地址。

    2. 对于除“IPAll”外的每个 IP 地址,清除“TCP 端口”的所有值。

    3. 对于“IPAll”,清除“TCP 动态端口”的值。在“TCP 端口”字段中,输入您希望 SQL Server 的实例进行侦听的端口。例如,输入 40000。

  8. 单击“确定”。您将收到一条消息,指出所做更改在 SQL Server 服务重新启动之后才会生效。单击“确定”。

  9. 关闭 SQL Server 配置管理器。

  10. 重新启动 SQL Server 服务并确认运行 SQL Server 的计算机正在所选的端口上进行侦听。可以在重新启动 SQL Server 服务之后查看事件查看器日志以确认此信息。请查找类似于以下事件的信息事件:

    事件类型: 信息

    事件源: MSSQL$MSSQLSERVER

    事件类别: (2)

    事件 ID:26022

    日期: 2008-3-6

    时间: 1:46:11 PM

    用户: N/A

    计算机: 计算机名称

    说明:

    SQL Server 正在监听 [ 'any' <ipv4>50000]

阻止默认 SQL Server 侦听端口

高级安全 Windows 防火墙将使用入站规则和出站规则来保护传入和传出网络流量的安全。由于 Windows 防火墙默认情况下将阻止所有传入的主动提供的网络流量,因此您无需显式阻止默认的 SQL Server 侦听端口。有关详细信息,请参阅高级安全 Windows 防火墙 (https://go.microsoft.com/fwlink/?linkid=214109&clcid=0x804) 和配置 Windows 防火墙以允许 SQL Server 访问 (https://go.microsoft.com/fwlink/?linkid=210584&clcid=0x804)

配置 Windows 防火墙以开放手动分配的端口

  1. 在“控制面板”中,打开“系统和安全”。

  2. 单击“Windows 防火墙”,然后单击“高级设置”以打开“高级安全 Windows 防火墙”对话框。

  3. 在导航窗格中,单击“入站规则”以在“操作”窗格中显示可用的选项。

  4. 单击“新建规则”以打开“新建入站规则向导”。

  5. 使用该向导完成必要的步骤,以允许访问在配置 SQL Server 实例以侦听非默认端口中所定义的端口。

备注

您可配置 Internet 协议安全性 (IPsec),以帮助通过配置 Windows 防火墙来保证与运行 SQL Server 的计算机的通信的安全。通过选中“高级安全 Windows 防火墙”对话框的导航窗格中的“连接安全规则”可实现这一点。

配置 SQL Server 客户端别名

如果阻止运行 SQL Server 的计算机上的 UDP 端口 1434 或 TCP 端口 1433,则必须在服务器场中的所有其他计算机上创建 SQL Server 客户端别名。可以使用 SQL Server 客户端组件为连接到 SQL Server 的计算机创建 SQL Server 客户端别名。

  1. 在目标计算机上运行 SQL Server 安装程序,并选择安装下列客户端组件:

    1. 连接组件

    2. 管理工具

  2. 打开 SQL Server 配置管理器。

  3. 在左侧窗格中,单击“SQL Native Client 配置”。

  4. 在右侧窗格中,右键单击“别名”,再选择“新建别名”。

  5. 在“别名”对话框中,输入别名的名称,再输入数据库实例的端口号。例如,输入 SharePoint*_别名*。

  6. 在“端口号”字段中,输入数据库实例的端口号。例如,输入 40000。确保将协议设置为 TCP/IP。

  7. 在“服务器”字段中,输入运行 SQL Server 的计算机的名称。

  8. 单击“应用”,然后单击“确定”。

测试 SQL Server 客户端别名

使用 Microsoft SQL Server Management Studio(通过安装 SQL Server 客户端组件获得)来测试与运行 SQL Server 的计算机的连接。

  1. 打开 SQL Server Management Studio。

  2. 当提示您输入服务器名称时,请输入所创建别名的名称,再单击“连接”。如果连接成功,则会用对应于远程数据库的对象填充 SQL Server Management Studio。

    备注

    若要通过 SQL Server Management Studio 检查与其他数据库实例的连接,请单击“连接”,然后单击“数据库引擎”。