Konfigurieren einer Windows-Firewall für Datenbank-Engine-Zugriff

Gilt für:yes SQL Server (alle unterstützten Versionen)

In diesem Thema wird beschrieben, wie Sie eine Windows-Firewall für Datenbank-Engine Zugriff in SQL Server mithilfe von SQL Server-Konfigurations-Manager konfigurieren. Firewallsysteme tragen dazu bei, nicht autorisierte Zugriffe auf Computerressourcen zu verhindern. Um über eine Firewall auf eine Instanz des SQL Server Datenbank-Engine zuzugreifen, müssen Sie die Firewall auf dem Computer konfigurieren, auf dem SQL Server ausgeführt wird, um den Zugriff zuzulassen.

Weitere Informationen zu den Standardeinstellungen der Windows-Firewall und eine Beschreibung der TCP-Ports, die sich auf Datenbank-Engine, Analysis Services, Reporting Services und Integration Services auswirken, finden Sie unter Konfigurieren der Windows-Firewall für den SQL Server-Zugriff. Es gibt zahlreiche verschiedene Firewallsysteme auf dem Markt. Informationen zu den für Ihr System relevanten Einstellungen finden Sie in der Firewalldokumentation.

Die wichtigsten Schritte zum Konfigurieren des Zugriffs werden im Folgenden beschrieben:

  1. Konfigurieren Sie die Datenbank-Engine für die Verwendung eines bestimmten TCP/IP-Ports. Die Standardinstanz der Datenbank-Engine verwendet Port 1433, aber dies kann geändert werden. Der vom Datenbank-Engine verwendete Port ist im SQL Server Fehlerprotokoll aufgeführt. Instanzen von SQL Server Express, SQL Server Compact und benannten Instanzen der Datenbank-Engine dynamische Ports verwenden. Informationen zum Konfigurieren dieser Instanzen für die Verwendung eines bestimmten Ports finden Sie unter Konfigurieren eines Servers zum Lauschen an einem bestimmten TCP-Port (SQL Server-Konfigurations-Manager).

  2. Konfigurieren Sie die Firewall so, dass autorisierten Benutzern oder Computern der Zugriff auf diesen Port gewährt wird.

Hinweis

Mit dem SQL Server-Browserdienst können Benutzer eine Verbindung mit Instanzen der Datenbank-Engine herstellen, die nicht an Port 1433 lauschen, ohne die Portnummer zu kennen. Um SQL Server Browser verwenden zu können, müssen Sie UDP-Port 1434 öffnen. Um die sicherste Umgebung heraufzustufen, lassen Sie den SQL Server-Browserdienst beendet, und konfigurieren Sie Clients so, dass eine Verbindung über die Portnummer hergestellt wird.

Hinweis

Standardmäßig aktiviert Microsoft Windows die Windows Firewall, die Port 1433 schließt, um zu verhindern, dass Internetcomputer eine Verbindung mit einer Standardinstanz von SQL Server auf Ihrem Computer herstellen. Verbindungen zur Standardinstanz über TCP/IP sind nicht möglich, außer wenn Sie Port 1433 erneut öffnen. Die grundlegenden Schritte für die Konfiguration der Windows-Firewall werden in den folgenden Verfahren beschrieben. Weitere Informationen finden Sie in der Windows-Dokumentation.

Als Alternative zum Konfigurieren SQL Server zum Lauschen an einem festen Port und öffnen des Ports können Sie die ausführbare SQL Server (Sqlservr.exe) als Ausnahme für die blockierten Programme auflisten. Verwenden Sie diese Methode, wenn Sie weiterhin dynamische Ports verwenden möchten. Auf diese Weise kann nur auf eine Instanz von SQL Server zugegriffen werden.

Voraussetzungen

Sicherheit

Das Öffnen von Ports in der Firewall kann dazu führen, dass der Server böswilligen Angriffen ausgesetzt ist. Daher sollten Sie Ports grundsätzlich nur dann öffnen, wenn Sie sicher sind, dass Sie das Konzept von Firewallsystemen verstanden haben. Weitere Informationen finden Sie unter Security Considerations for a SQL Server Installation.

Verwenden von Windows Defender Firewall mit erweiterter Sicherheit

Die folgenden Verfahren konfigurieren die Windows Firewall mithilfe des MMC-Snap-Ins (Windows Defender Firewall with Advanced Security Microsoft Management Console). Die Windows Defender Firewall mit erweiterter Sicherheit konfiguriert nur das aktuelle Profil. Weitere Informationen zur Windows Defender Firewall mit erweiterter Sicherheit finden Sie unter Konfigurieren der Windows Firewall zum Zulassen SQL Server Zugriffs.

So öffnen Sie einen Port in der Windows-Firewall für den TCP-Zugriff

  1. Klicken Sie im Menü Start auf Ausführen, geben Sie WF.msc ein, und klicken Sie anschließend auf OK.

  2. Klicken Sie im linken Bereich der Windows-Firewall mit erweiterter Sicherheit mit der rechten Maustaste auf Eingehende Regeln, und wählen Sie dann im Aktionsbereich Neue Regel aus.

  3. Wählen Sie im Dialogfeld Regeltyp die Option Port aus, und klicken Sie anschließend auf Weiter.

  4. Wählen Sie im Dialogfeld Protokoll und Ports die Option TCPaus. Wählen Sie Bestimmte lokale Ports aus, und geben Sie dann die Portnummer der Instanz des Datenbank-Engine ein, z. B. 1433 für die Standardinstanz. Wählen Sie Weiter aus.

  5. Wählen Sie im Dialogfeld Aktion die Option Verbindung zulassen aus, und klicken Sie anschließend auf Weiter.

  6. Wählen Sie im Dialogfeld Profil alle Profile aus, die die Computerverbindungsumgebung beschreiben, wenn Sie eine Verbindung mit dem Datenbank-Engine herstellen möchten, und klicken Sie dann auf Weiter.

  7. Geben Sie im Dialogfeld Name einen Namen und eine Beschreibung für diese Regel ein, und klicken Sie dann auf Fertig stellen.

So ermöglichen Sie den Zugriff auf SQL Server bei der Verwendung von dynamischen Ports

  1. Klicken Sie im Menü Start auf Ausführen, geben Sie WF.msc ein, und klicken Sie anschließend auf OK.

  2. Klicken Sie im linken Bereich der Windows-Firewall mit erweiterter Sicherheit mit der rechten Maustaste auf Eingehende Regeln, und wählen Sie dann im Aktionsbereich Neue Regel aus.

  3. Wählen Sie im Dialogfeld Regeltyp die Option Programm aus, und klicken Sie anschließend auf Weiter.

  4. Wählen Sie im Dialogfeld Programm die Option Dieser Programmpfadaus. Wählen Sie Durchsuchen aus, navigieren Sie zu der Instanz von SQL Server, auf die Sie über die Firewall zugreifen möchten, und wählen Sie dann Öffnen aus. Standardmäßig befindet sich SQL Server unter C:\Programme\Microsoft SQL Server\MSSQLXX.MSSQLSERVER\MSSQL\Binn\Sqlservr.exe. Wählen Sie Weiter aus. Die Version MSSQLXX bezieht sich auf Ihre Version von SQL Server.

  5. Wählen Sie im Dialogfeld Aktion die Option Verbindung zulassen aus, und klicken Sie anschließend auf Weiter.

  6. Wählen Sie im Dialogfeld Profil alle Profile aus, die die Computerverbindungsumgebung beschreiben, wenn Sie eine Verbindung mit dem Datenbank-Engine herstellen möchten, und klicken Sie dann auf Weiter.

  7. Geben Sie im Dialogfeld Name einen Namen und eine Beschreibung für diese Regel ein, und klicken Sie dann auf Fertig stellen.

Weitere Informationen

Vorgehensweise: Konfigurieren von Firewalleinstellungen (Azure SQL-Datenbank)