Konfigurieren einer Windows-Firewall für Datenbankmodulzugriff

Artikel
06/25/2013

In diesem Thema wird beschrieben, wie eine Windows-Firewall für Datenbankmodulzugriff in SQL Server 2012 mithilfe des SQL Server-Konfigurations-Managers konfiguriert wird. Durch Firewallsysteme kann der nicht autorisierte Zugriff auf Computerressourcen verhindert werden. Um über eine Firewall auf eine Instanz von SQL Server Database Engine (Datenbankmodul) zugreifen zu können, müssen Sie die Firewall auf dem Computer mit SQL Server entsprechend konfigurieren.

Weitere Informationen zu den Standardeinstellungen der Windows-Firewall und eine Beschreibung der TCP-Ports, die sich auf das Database Engine (Datenbankmodul), Analysis Services, Reporting Services und Integration Services auswirken, finden Sie unter Konfigurieren der Windows-Firewall für den SQL Server-Zugriff. Es gibt zahlreiche verschiedene Firewallsysteme auf dem Markt. Informationen zu den für Ihr System relevanten Einstellungen finden Sie in der Firewalldokumentation.

Die wichtigsten Schritte zum Konfigurieren des Zugriffs werden im Folgenden beschrieben:

Konfigurieren Sie Database Engine (Datenbankmodul) für die Verwendung eines bestimmten TCP/IP-Ports. In der Standardinstanz von Database Engine (Datenbankmodul) wird Port 1433 verwendet. Sie können diese Einstellung jedoch ändern. Der vom Database Engine (Datenbankmodul) verwendete Port ist im SQL Server-Fehlerprotokoll aufgeführt. Instanzen von SQL Server Express, SQL Server Compact und benannte Instanzen von Database Engine (Datenbankmodul) verwenden dynamische Ports. Informationen zum Konfigurieren dieser Instanzen für die Verwendung eines bestimmten Ports finden Sie unter Konfigurieren eines Servers zum Lauschen an einem bestimmten TCP-Port (SQL Server-Konfigurations-Manager).
Konfigurieren Sie die Firewall so, dass autorisierten Benutzern oder Computern der Zugriff auf diesen Port gewährt wird.

Hinweis
Mit dem SQL Server-Browser-Dienst können Benutzer ohne Kenntnis der Portnummer Verbindungen mit Instanzen von Database Engine (Datenbankmodul) herstellen, die nicht den Port 1433 überwachen. Wenn Sie SQL Server-Browser verwenden möchten, müssen Sie UDP-Port 1434 öffnen. Um eine möglichst sichere Umgebung zu erzielen, lassen Sie den SQL Server-Browser-Dienst beendet, und konfigurieren Sie die Clients so, dass sie Verbindungen mithilfe der Portnummer herstellen müssen.

Mit dem SQL Server-Browser-Dienst können Benutzer ohne Kenntnis der Portnummer Verbindungen mit Instanzen von Database Engine (Datenbankmodul) herstellen, die nicht den Port 1433 überwachen. Wenn Sie SQL Server-Browser verwenden möchten, müssen Sie UDP-Port 1434 öffnen. Um eine möglichst sichere Umgebung zu erzielen, lassen Sie den SQL Server-Browser-Dienst beendet, und konfigurieren Sie die Clients so, dass sie Verbindungen mithilfe der Portnummer herstellen müssen.

Hinweis
Standardmäßig wird die Windows-Firewall von Microsoft Windows aktiviert. Damit wird Port 1433 geschlossen, um zu verhindern, dass Internetcomputer Verbindungen mit einer Standardinstanz von SQL Server auf Ihrem Computer herstellen. Verbindungen zur Standardinstanz über TCP/IP sind nicht möglich, außer wenn Sie Port 1433 erneut öffnen. Die grundlegenden Schritte für die Konfiguration der Windows-Firewall werden in den folgenden Verfahren beschrieben. Weitere Informationen finden Sie in der Windows-Dokumentation.

Standardmäßig wird die Windows-Firewall von Microsoft Windows aktiviert. Damit wird Port 1433 geschlossen, um zu verhindern, dass Internetcomputer Verbindungen mit einer Standardinstanz von SQL Server auf Ihrem Computer herstellen. Verbindungen zur Standardinstanz über TCP/IP sind nicht möglich, außer wenn Sie Port 1433 erneut öffnen. Die grundlegenden Schritte für die Konfiguration der Windows-Firewall werden in den folgenden Verfahren beschrieben. Weitere Informationen finden Sie in der Windows-Dokumentation.

Als Alternative zum Konfigurieren von SQL Server für das Lauschen an einem festen Port und zum Öffnen des Ports können Sie die ausführbare SQL Server-Datei (Sqlservr.exe) als Ausnahme in die Liste der blockierten Programme aufnehmen. Verwenden Sie diese Methode, wenn Sie weiterhin dynamische Ports verwenden möchten. Auf diese Weise kann nur auf eine einzige Instanz von SQL Server zugegriffen werden.

In diesem Thema

Vorbereitungen:

Sicherheit
So konfigurieren Sie eine Windows-Firewall für Datenbankmodulzugriff mit

SQL Server-Konfigurations-Manager

Vorbereitungen

Sicherheit

Das Öffnen von Ports in der Firewall kann dazu führen, dass der Server böswilligen Angriffen ausgesetzt ist. Daher sollten Sie Ports grundsätzlich nur dann öffnen, wenn Sie sicher sind, dass Sie das Konzept von Firewallsystemen verstanden haben. Weitere Informationen finden Sie unter Sicherheitsüberlegungen für eine SQL Server-Installation.

Verwenden des SQL Server-Konfigurations-Managers

Gilt für: Windows Vista, Windows 7 und Windows Server 2008

Anhand der folgenden Prozeduren wird die Windows-Firewall unter Verwendung des MMC-Snap-Ins (Microsoft Management Console) "Windows-Firewall mit erweiterter Sicherheit" konfiguriert. Von der Windows-Firewall mit erweiterter Sicherheit wird nur das aktuelle Profil konfiguriert. Weitere Informationen zur Windows-Firewall mit erweiterter Sicherheit finden Sie unter Konfigurieren der Windows-Firewall für den SQL Server-Zugriff.

So öffnen Sie einen Port in der Windows-Firewall für den TCP-Zugriff

Klicken Sie im Startmenü auf Ausführen, geben Sie "WF.msc" ein, und klicken Sie dann auf OK.
Klicken Sie im linken Bereich von Windows-Firewall mit erweiterter Sicherheit mit der rechten Maustaste auf Eingehende Regeln, und klicken Sie dann im Aktionsbereich auf Neue Regel.
Wählen Sie im Dialogfeld Regeltyp die Option Port aus, und klicken Sie anschließend auf Weiter.
Wählen Sie im Dialogfeld Protokoll und Ports die Option TCP aus. Wählen Sie Bestimmte lokale Ports aus, und geben Sie dann die Portnummer der Instanz von Database Engine (Datenbankmodul) ein, z. B. 1433 für die Standardinstanz. Klicken Sie auf Weiter.
Wählen Sie im Dialogfeld Aktion die Option Verbindung zulassen aus, und klicken Sie anschließend auf Weiter.
Wählen Sie im Dialogfeld Profil beliebige Profile aus, die die Verbindungsumgebung des Computers beschreiben, wenn Sie eine Verbindung zum Database Engine (Datenbankmodul) herstellen möchten, und klicken Sie dann auf Weiter.
Geben Sie im Dialogfeld Name einen Namen und eine Beschreibung für die Regel ein, und klicken Sie dann auf Fertig stellen.

So ermöglichen Sie den Zugriff auf SQL Server bei der Verwendung von dynamischen Ports

Klicken Sie im Startmenü auf Ausführen, geben Sie "WF.msc" ein, und klicken Sie dann auf OK.
Klicken Sie im linken Bereich von Windows-Firewall mit erweiterter Sicherheit mit der rechten Maustaste auf Eingehende Regeln, und klicken Sie dann im Aktionsbereich auf Neue Regel.
Wählen Sie im Dialogfeld Regeltyp die Option Programm aus, und klicken Sie anschließend auf Weiter.
Wählen Sie im Dialogfeld Programm die Option Dieser Programmpfad aus. Klicken Sie auf Durchsuchen, navigieren Sie zu der Instanz von SQL Server, auf die Sie durch die Firewall hindurch zugreifen möchten, und klicken Sie dann auf Öffnen. Standardmäßig befindet sich SQL Server im Verzeichnis "C:\Programme\Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQL\Binn\Sqlservr.exe". Klicken Sie auf Weiter.
Wählen Sie im Dialogfeld Aktion die Option Verbindung zulassen aus, und klicken Sie anschließend auf Weiter.
Wählen Sie im Dialogfeld Profil beliebige Profile aus, die die Verbindungsumgebung des Computers beschreiben, wenn Sie eine Verbindung zum Database Engine (Datenbankmodul) herstellen möchten, und klicken Sie dann auf Weiter.
Geben Sie im Dialogfeld Name einen Namen und eine Beschreibung für die Regel ein, und klicken Sie dann auf Fertig stellen.

Pfeilsymbol, dass mit dem Link "Zurück zum Anfang" verwendet wird [Top]