Configure the Windows Firewall to Allow SQL Server AccessConfigure the Windows Firewall to Allow SQL Server Access

DIESES THEMA GILT FÜR:jaSQL Server (ab 2016)neinAzure SQL-DatenbankneinAzure SQL Data Warehouse neinParallel Data WarehouseTHIS TOPIC APPLIES TO: yesSQL Server (starting with 2016)noAzure SQL DatabasenoAzure SQL Data Warehouse noParallel Data Warehouse

Inhalte, die im Zusammenhang mit früheren Versionen von SQL Server stehen, finden Sie unter Konfigurieren der Windows-Firewall für den SQL Server-Zugriff.For content related to previous versions of SQL Server, see Configure the Windows Firewall to Allow SQL Server Access.

Durch Firewallsysteme kann der nicht autorisierte Zugriff auf Computerressourcen verhindert werden.Firewall systems help prevent unauthorized access to computer resources. Wenn eine Firewall aktiviert, aber nicht richtig konfiguriert ist, können Versuche der Verbindungsherstellung mit SQL ServerSQL Server blockiert werden.If a firewall is turned on but not correctly configured, attempts to connect to SQL ServerSQL Server might be blocked.

Um über eine Firewall auf eine Instanz von SQL ServerSQL Server zugreifen zu können, müssen Sie die Firewall auf dem Computer mit SQL ServerSQL Server entsprechend konfigurieren.To access an instance of the SQL ServerSQL Server through a firewall, you must configure the firewall on the computer that is running SQL ServerSQL Server. Die Firewall ist eine Komponente von MicrosoftMicrosoft Windows.The firewall is a component of MicrosoftMicrosoft Windows. Sie können auch eine Firewall von einem anderen Unternehmen installieren.You can also install a firewall from another company. In diesem Thema wird erläutert, wie die Windows-Firewall konfiguriert wird. Die Grundprinzipien gelten jedoch auch für andere Firewallprogramme.This topic discusses how to configure the Windows firewall, but the basic principles apply to other firewall programs.

Hinweis

Dieses Thema bietet einen Überblick über die Firewallkonfiguration und fasst Informationen zusammen, die für einen SQL ServerSQL Server -Administrator interessant sind.This topic provides an overview of firewall configuration and summarizes information of interest to a SQL ServerSQL Server administrator. Weitere Informationen zur Firewall sowie autorisierende Informationen für diese finden Sie in der Dokumentation der Firewall, z. B. in Windows-Firewall mit erweiterter Sicherheit und IPsec.For more information about the firewall and for authoritative firewall information, see the firewall documentation, such as Windows Firewall with Advanced Security and IPsec.

Benutzer, die mit dem Element Windows-Firewall in der Systemsteuerung und mit dem MMC-Snap-In (Microsoft Management Console) „Windows Firewall mit erweiterter Sicherheit“ vertraut sind und wissen, welche Firewalleinstellungen sie konfigurieren möchten, können direkt zu den Themen in der folgenden Liste wechseln:Users familiar with the Windows Firewall item in Control Panel and with the Windows Firewall with Advanced Security Microsoft Management Console (MMC) snap-in and who know which firewall settings they want to configure can move directly to the topics in the following list:

Grundlegende Firewallinformationen Basic Firewall Information

Firewalls überprüfen eingehende Pakete und vergleichen diese mit einer Gruppe von Regeln.Firewalls work by inspecting incoming packets, and comparing them against a set of rules. Wenn die Regeln das Paket zulassen, leitet die Firewall das Paket an das TCP/IP-Protokoll zur zusätzlichen Verarbeitung weiter.If the rules allow the packet, the firewall passes the packet to the TCP/IP protocol for additional processing. Wenn die Regeln das Paket nicht zulassen, verwirft die Firewall das Paket und erstellt, wenn die Protokollierung aktiviert ist, einen Eintrag in der Firewallprotokolldatei.If the rules do not allow the packet, the firewall discards the packet and, if logging is enabled, creates an entry in the firewall logging file.

Die Liste des zugelassenen Datenverkehrs wird auf eine der folgenden Arten aufgefüllt:The list of allowed traffic is populated in one of the following ways:

  • Wenn der Computer, auf dem die Firewall aktiviert ist, die Kommunikation startet, erstellt die Firewall einen Eintrag in der Liste, sodass die Antwort zugelassen wird.When the computer that has the firewall enabled initiates communication, the firewall creates an entry in the list so that the response is allowed. Da die eingehende Antwort als angeforderter Datenverkehr betrachtet wird, müssen Sie dies nicht konfigurieren.The incoming response is considered solicited traffic and you do not have to configure this.

  • Ein Administrator konfiguriert Ausnahmen für die Firewall.An administrator configures exceptions to the firewall. Dies ermöglicht entweder den Zugriff auf angegebene Programme, die auf dem Computer ausgeführt werden, oder den Zugriff auf angegebene Verbindungsports auf dem Computer.This allows either access to specified programs running on your computer, or access to specified connection ports on your computer. In diesem Fall akzeptiert der Computer den unangefordert eingehenden Datenverkehr, wenn er als Server, Listener oder Peer fungiert.In this case, the computer accepts unsolicited incoming traffic when acting as a server, a listener, or a peer. Dieser Typ der Konfiguration muss durchgeführt werden, damit eine Verbindung mit SQL ServerSQL Serverhergestellt werden kann.This is the type of configuration that must be completed to connect to SQL ServerSQL Server.

    Das Festlegen einer Firewallstrategie ist komplexer als die bloße Entscheidung, ob ein bestimmter Port geöffnet oder geschlossen werden sollte.Choosing a firewall strategy is more complex than just deciding if a given port should be open or closed. Beim Entwickeln einer Firewallstrategie für Ihr Unternehmen sollten Sie sicherstellen, dass Sie alle Regeln und Konfigurationsoptionen berücksichtigen, die Ihnen zur Verfügung stehen.When designing a firewall strategy for your enterprise, make sure that you consider all the rules and configuration options available to you. In diesem Thema werden nicht alle möglichen Firewalloptionen behandelt.This topic does not review all the possible firewall options. Es wird empfohlen, die folgenden Dokumente zu beachten:We recommend that you review the following documents:

    Erste Schritte mit der Windows-Firewall mit erweiterter SicherheitWindows Firewall with Advanced Security Getting Started Guide

    Windows Firewall with Advanced Security Design GuideWindows Firewall with Advanced Security Design Guide

    Introduction to Server and Domain IsolationIntroduction to Server and Domain Isolation

Standardeinstellungen der Firewall Default Firewall Settings

Der erste Schritt bei der Planung der Firewallkonfiguration ist die Bestimmung des aktuellen Status der Firewall Ihres Betriebssystems.The first step in planning your firewall configuration is to determine the current status of the firewall for your operating system. Wenn das Betriebssystem aus einer vorherigen Version aktualisiert wurde, wurden die früheren Firewalleinstellungen möglicherweise beibehalten.If the operating system was upgraded from a previous version, the earlier firewall settings may have been preserved. Außerdem kann es sein, dass die Firewalleinstellungen von einem anderen Administrator oder von einer Gruppenrichtlinie in Ihrer Domäne geändert wurden.Also, the firewall settings could have been changed by another administrator or by a Group Policy in your domain.

Hinweis

Das Einschalten der Firewall wirkt sich auf andere Programme aus, die auf diesen Computer zugreifen, wie z. B. die Datei- und Druckerfreigabe und Remotedesktopverbindungen.Turning on the firewall will affect other programs that access this computer, such as file and print sharing, and remote desktop connections. Administratoren sollten vor dem Anpassen der Firewalleinstellungen alle auf dem Computer ausgeführten Anwendungen berücksichtigen.Administrators should consider all applications that are running on the computer before adjusting the firewall settings.

Programme zur Konfiguration der Firewall Programs to Configure the Firewall

Konfigurieren Sie die Einstellungen der Windows-Firewall entweder über Microsoft Management Console (MMC) oder mit netsh.Configure the Windows Firewall settings with either Microsoft Management Console or netsh.

Von SQL ServerSQL ServerPorts Used By SQL ServerSQL Server

Die folgenden Tabellen können Sie dabei unterstützen, die von SQL ServerSQL Serververwendeten Ports zu identifizieren.The following tables can help you identify the ports being used by SQL ServerSQL Server.

Ports Used By the Database Engine Ports Used By the Database Engine

In der folgenden Tabelle werden die häufig von DatenbankmodulDatabase Engineverwendeten Ports aufgeführt.The following table lists the ports that are frequently used by the DatenbankmodulDatabase Engine.

SzenarioScenario PortPort KommentareComments
SQL ServerSQL Server -Standardinstanz, die über TCP ausgeführt wird default instance running over TCP TCP-Port 1433TCP port 1433 Dies ist der häufigste für die Firewall zulässige Port.This is the most common port allowed through the firewall. Er gilt für Routineverbindungen mit der Standardinstallation von DatenbankmodulDatabase Engineoder einer benannten Instanz, bei der es sich um die einzige auf dem Computer ausgeführte Instanz handelt.It applies to routine connections to the default installation of the DatenbankmodulDatabase Engine, or a named instance that is the only instance running on the computer. (Für benannte Instanzen gelten spezielle Bedingungen.(Named instances have special considerations. Weitere Informationen finden Sie unter Dynamische Ports weiter unten in diesem Thema.)See Dynamic Ports later in this topic.)
SQL ServerSQL Server in der Standardkonfiguration named instances in the default configuration Der TCP-Port ist ein dynamischer Port, der zu dem Zeitpunkt bestimmt wird, zu dem DatenbankmodulDatabase Engine startet.The TCP port is a dynamic port determined at the time the DatenbankmodulDatabase Engine starts. Weitere Informationen finden Sie in den Ausführungen im Abschnitt Dynamische Portsweiter unten.See the discussion below in the section Dynamic Ports. Wenn Sie benannte Instanzen verwenden, ist möglicherweise UDP-Port 1434 für den SQL ServerSQL Server -Browserdienst erforderlich.UDP port 1434 might be required for the SQL ServerSQL Server Browser Service when you are using named instances.
SQL ServerSQL Server , wenn sie für die Verwendung eines festen Ports konfiguriert sind named instances when they are configured to use a fixed port Die vom Administrator konfigurierte Portnummer.The port number configured by the administrator. Weitere Informationen finden Sie in den Ausführungen im Abschnitt Dynamische Portsweiter unten.See the discussion below in the section Dynamic Ports.
Dedizierte AdministratorverbindungDedicated Admin Connection TCP-Port 1434 für die Standardinstanz.TCP port 1434 for the default instance. Andere Ports werden für benannte Instanzen verwendet.Other ports are used for named instances. Überprüfen Sie das Fehlerprotokoll auf die Portnummer.Check the error log for the port number. Standardmäßig werden Remoteverbindungen über die dedizierte Administratorverbindung (Dedicated Administrator Connection, DAC) nicht aktiviert.By default, remote connections to the Dedicated Administrator Connection (DAC) are not enabled. Zum Aktivieren der Remote-DAC verwenden Sie das Facet für die Oberflächenkonfiguration.To enable remote DAC, use the Surface Area Configuration facet. Weitere Informationen finden Sie unter Surface Area Configuration.For more information, see Surface Area Configuration.
SQL ServerSQL Server Browserdienst Browser service UDP-Port 1434UDP port 1434 Der SQL ServerSQL Server -Browserdienst lauscht auf einer benannten Instanz nach eingehenden Verbindungen und liefert dem Client die TCP-Portnummer, die dieser benannten Instanz entspricht.The SQL ServerSQL Server Browser service listens for incoming connections to a named instance and provides the client the TCP port number that corresponds to that named instance. Normalerweise wird der SQL ServerSQL Server -Browserdienst immer dann gestartet, wenn benannte Instanzen von DatenbankmodulDatabase Engine verwendet werden.Normally the SQL ServerSQL Server Browser service is started whenever named instances of the DatenbankmodulDatabase Engine are used. Der SQL ServerSQL Server -Browserdienst muss nicht gestartet werden, wenn der Client so konfiguriert ist, dass er eine Verbindung mit dem speziellen Port der benannten Instanz herstellt.The SQL ServerSQL Server Browser service does not have to be started if the client is configured to connect to the specific port of the named instance.
SQL ServerSQL Server -Instanz, die über einen HTTP-Endpunkt ausgeführt wird. instance running over an HTTP endpoint. Kann angegeben werden, wenn ein HTTP-Endpunkt erstellt wird.Can be specified when an HTTP endpoint is created. Als Standard wird TCP-Port 80 für den CLEAR_PORT-Datenverkehr und 443 für den SSL_PORT-Datenverkehr verwendet.The default is TCP port 80 for CLEAR_PORT traffic and 443 for SSL_PORT traffic. Wird für eine HTTP-Verbindung über eine URL verwendetUsed for an HTTP connection through a URL.
SQL ServerSQL Server -Standardinstanz, die über einen HTTPS-Endpunkt ausgeführt wird. default instance running over an HTTPS endpoint. TCP-Port 443TCP port 443 Wird für eine HTTPS-Verbindung über eine URL verwendet.Used for an HTTPS connection through a URL. HTTPS ist eine HTTP-Verbindung, die SSL (Secure Sockets Layer) verwendet.HTTPS is an HTTP connection that uses secure sockets layer (SSL).
Service BrokerService Broker TCP-Port 4022.TCP port 4022. Führen Sie die folgende Abfrage aus, um den verwendeten Port zu überprüfen:To verify the port used, execute the following query:

SELECT name, protocol_desc, port, state_desc

FROM sys.tcp_endpoints

WHERE type_desc = 'SERVICE_BROKER'
Für SQL ServerSQL Server Service BrokerService Brokerist kein Standardport festgelegt, jedoch ist dies die herkömmliche, in Beispielen der Onlinedokumentation verwendete Konfiguration.There is no default port for SQL ServerSQL Server Service BrokerService Broker, but this is the conventional configuration used in Books Online examples.
DatenbankspiegelungDatabase Mirroring Vom Administrator ausgewählter Port.Administrator chosen port. Führen Sie die folgende Abfrage aus, um den Port zu bestimmen:To determine the port, execute the following query:

SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints

WHERE type_desc = 'DATABASE_MIRRORING'
Für die Datenbankspiegelung ist kein Standardport festgelegt, in Beispielen der Onlinedokumentation wird jedoch TCP-Port 7022 verwendet.There is no default port for database mirroring however Books Online examples use TCP port 7022. Es ist sehr wichtig, eine Unterbrechung eines bereits verwendeten Spiegelungsendpunkts zu vermeiden, insbesondere im Modus für hohe Sicherheit mit automatischem Failover.It is very important to avoid interrupting an in-use mirroring endpoint, especially in high-safety mode with automatic failover. Die Firewallkonfiguration muss eine Unterbrechung des Quorums vermeiden.Your firewall configuration must avoid breaking quorum. Weitere Informationen finden Sie unter Angeben einer Servernetzwerkadresse (Datenbankspiegelung).For more information, see Specify a Server Network Address (Database Mirroring).
ReplikationReplication Für Replikationsverbindungen mit SQL ServerSQL Server werden die typischen regulären DatenbankmodulDatabase Engine -Ports (TCP-Port 1433 für die Standardinstanz usw.) verwendet.Replication connections to SQL ServerSQL Server use the typical regular DatenbankmodulDatabase Engine ports (TCP port 1433 for the default instance, etc.)

Die Websynchronisierung und der FTP-/UNC-Zugriff für die Replikationsmomentaufnahme erfordern das Öffnen zusätzlicher Ports auf der Firewall.Web synchronization and FTP/UNC access for replication snapshot require additional ports to be opened on the firewall. Zur Übertragung der Anfangsdaten und des Schemas zwischen unterschiedlichen Standorten kann für die Replikation FTP (TCP-Port 21), die Synchronisierung über HTTP (TCP-Port 80) oder die Dateifreigabe verwendet werden.To transfer initial data and schema from one location to another, replication can use FTP (TCP port 21), or sync over HTTP (TCP port 80) or File Sharing. Die Dateifreigabe verwendet die UDP-Ports 137 und 138 und den TCP-Port 139, wenn NetBIOS verwendet wird.File sharing uses UDP port 137 and 138, and TCP port 139 if it using NetBIOS. Für die Dateifreigabe wird der TCP-Port 445 verwendet.File Sharing uses TCP port 445.
Bei der Synchronisierung über HTTP wird für die Replikation der IIS-Endpunkt (Ports, die dafür konfigurierbar sind, standardmäßig aber Port 80) verwendet, aber der IIS-Prozess stellt eine Verbindung mit Back-End- SQL ServerSQL Server über die Standardports (1433 für die Standardinstanz) her.For sync over HTTP, replication uses the IIS endpoint (ports for which are configurable but is port 80 by default), but the IIS process connects to the backend SQL ServerSQL Server through the standard ports (1433 for the default instance.

Bei der Websynchronisierung mittels FTP findet die FTP-Übertragung zwischen IIS und dem SQL ServerSQL Server -Verleger und nicht zwischen Abonnent und IIS statt.During Web synchronization using FTP, the FTP transfer is between IIS and the SQL ServerSQL Server publisher, not between subscriber and IIS.
Transact-SQLTransact-SQL -Debugger debugger TCP-Port 135TCP port 135

Siehe Spezielle Überlegungen zu Port 135See Special Considerations for Port 135

Die IPsec -Ausnahme ist möglicherweise auch erforderlich.The IPsec exception might also be required.
Bei Verwendung von Visual StudioVisual Studiomüssen Sie außerdem auf dem Visual StudioVisual Studio -Hostcomputer Devenv.exe zur Ausnahmeliste hinzufügen und den TCP-Port 135 öffnen.If using Visual StudioVisual Studio, on the Visual StudioVisual Studio host computer, you must also add Devenv.exe to the Exceptions list and open TCP port 135.

Bei Verwendung von Management StudioManagement Studiomüssen Sie außerdem auf dem Management StudioManagement Studio -Hostcomputer ssms.exe zur Ausnahmeliste hinzufügen und TCP-Port 135 öffnen.If using Management StudioManagement Studio, on the Management StudioManagement Studio host computer, you must also add ssms.exe to the Exceptions list and open TCP port 135. Weitere Informationen finden Sie unter Konfigurieren von Firewallregeln vor dem Ausführen des TSQL-Debuggers.For more information, see Configure firewall rules before running the TSQL Debugger.

Eine Schritt-für-Schritt-Anleitung zum Konfigurieren der Windows-Firewall für das DatenbankmodulDatabase Enginefinden Sie unter Konfigurieren einer Windows-Firewall für Datenbankmodulzugriff.For step by step instructions to configure the Windows Firewall for the DatenbankmodulDatabase Engine, see Configure a Windows Firewall for Database Engine Access.

Dynamische Ports Dynamic Ports

Standardmäßig verwenden benannte Instanzen (einschließlich SQL Server ExpressSQL Server Express) dynamische Ports.By default, named instances (including SQL Server ExpressSQL Server Express) use dynamic ports. Dies bedeutet, dass immer dann, wenn DatenbankmodulDatabase Engine startet, ein verfügbarer Port identifiziert und die entsprechende Portnummer verwendet wird.That means that every time that the DatenbankmodulDatabase Engine starts, it identifies an available port and uses that port number. Wenn es sich bei der benannten Instanz um die einzige von DatenbankmodulDatabase Engine installierte Instanz handelt, wird wahrscheinlich TCP-Port 1433 verwendet.If the named instance is the only instance of the DatenbankmodulDatabase Engine installed, it will probably use TCP port 1433. Wenn weitere Instanzen von DatenbankmodulDatabase Engine installiert sind, wird wahrscheinlich ein anderer TCP-Port verwendet.If other instances of the DatenbankmodulDatabase Engine are installed, it will probably use a different TCP port. Da sich der ausgewählte Port bei jedem Start von DatenbankmodulDatabase Engine ändern kann, ist es schwierig, die Firewall so zu konfigurieren, dass der Zugriff auf die richtige Portnummer ermöglicht wird.Because the port selected might change every time that the DatenbankmodulDatabase Engine is started, it is difficult to configure the firewall to enable access to the correct port number. Daher wird bei Verwendung einer Firewall eine Neukonfiguration von DatenbankmodulDatabase Engine empfohlen, damit jedes Mal dieselbe Portnummer verwendet wird.Therefore, if a firewall is used, we recommend reconfiguring the DatenbankmodulDatabase Engine to use the same port number every time. Der betreffende Port wird als fester oder statischer Port bezeichnet.This is called a fixed port or a static port. Weitere Informationen finden Sie unter Konfigurieren eines Servers zur Überwachung eines bestimmten TCP-Ports (SQL Server-Konfigurations-Manager).For more information, see Configure a Server to Listen on a Specific TCP Port (SQL Server Configuration Manager).

Eine Alternative zum Konfigurieren einer benannten Instanz für das Lauschen auf einem festen Port ist die Erstellung einer Ausnahme für ein SQL ServerSQL Server-Programm wie z.B. sqlservr.exe (für DatenbankmodulDatabase Engine) in der Firewall.An alternative to configuring a named instance to listen on a fixed port is to create an exception in the firewall for a SQL ServerSQL Server program such as sqlservr.exe (for the DatenbankmodulDatabase Engine). Dies kann zwar zweckmäßig sein, aber die Portnummer wird nicht in der Spalte Lokaler Port auf der Seite Eingehende Regeln angezeigt, wenn Sie das MMC-Snap-In „Windows-Firewall mit erweiterter Sicherheit“ verwenden.This can be convenient, but the port number will not appear in the Local Port column of the Inbound Rules page when you are using the Windows Firewall with Advanced Security MMC snap-in. Damit kann es schwieriger werden, zu verfolgen, welche Ports geöffnet sind.This can make it more difficult to audit which ports are open. Ein weiterer Aspekt ist, dass ein Service Pack oder kumulatives Update den Pfad zur ausführbaren SQL ServerSQL Server -Datei ändern kann, wodurch die Firewallregel ungültig wird.Another consideration is that a service pack or cumulative update can change the path to the SQL ServerSQL Server executable which will invalidate the firewall rule.

So fügen Sie mithilfe von „Windows-Firewall mit erweiterter Sicherheit“ eine Programmausnahme hinzuTo add a program exception to the firewall using Windows Firewall with Advanced Security
  1. Klicken Sie im Startmenü auf wf.msc.From the start menu, type wf.msc. Klicken Sie auf Windows-Firewall mit erweiterter Sicherheit.Click Windows Firewall with Advanced Security.

  2. Klicken Sie im linken Bereich auf Eingehende Regeln.In the left pane click Inbound rules.

  3. Klicken Sie im rechten Bereich unter Aktionen auf Neue Regel....In the right pane, under Actions click New rule.... Daraufhin wird der Assistent für neue eingehende Regel geöffnet.New Inbound Rule Wizard opens.

  4. Klicken Sie unter Regeltyp auf Programm.On Rule type, click Program. Klicken Sie auf Weiter.Click Next.

  5. Klicken Sie unter Programm auf Dieser Programmpfad.On Program, click This program path. Klicken Sie auf Durchsuchen, um Ihre SQL Server-Instanz zu lokalisieren.Click Browse to locate your instance of SQL Server. Das Programm heißt „sqlservr.exe“.The program is called sqlservr.exe. Es befindet sich normalerweise unter:It is normally located at:

    C:\Program Files\Microsoft SQL Server\MSSQL13.<InstanceName>\MSSQL\Binn\sqlservr.exe

    Klicken Sie auf Weiter.Click Next.

  6. Klicken Sie auf der Seite Aktion auf Verbindung zulassen.On Action, click Allow the connection.

  7. Profil, einschließlich alle drei Profile.Profile, include all three profiles. Klicken Sie auf Weiter.Click Next.

  8. Geben Sie in Nameeinen Namen für die Regel ein.On Name, type a name for the rule. Klicken Sie auf Fertig stellen.Click Finish.

Weitere Informationen über Endpunkte finden Sie unter Konfigurieren des Datenbankmoduls zum Überwachen mehrerer TCP-Ports und Endpunkte-Katalogsichten (Transact-SQL).For more information about endpoints, see Configure the Database Engine to Listen on Multiple TCP Ports and Endpoints Catalog Views (Transact-SQL).

Von Analysis Services verwendete Ports Ports Used By Analysis Services

In der folgenden Tabelle werden die häufig von Analysis ServicesAnalysis Servicesverwendeten Ports aufgeführt.The following table lists the ports that are frequently used by Analysis ServicesAnalysis Services.

FunktionFeature PortPort KommentareComments
Analysis ServicesAnalysis Services TCP-Port 2383 für die StandardinstanzTCP port 2383 for the default instance Der Standardport für die Standardinstanz von Analysis ServicesAnalysis Services.The standard port for the default instance of Analysis ServicesAnalysis Services.
SQL ServerSQL Server Browserdienst Browser service TCP-Port 2382, nur für eine benannte Instanz von Analysis ServicesAnalysis Services notwendigTCP port 2382 only needed for an Analysis ServicesAnalysis Services named instance Clientverbindungsanforderungen für eine benannte Instanz von Analysis ServicesAnalysis Services , in denen keine Portnummer angegeben ist, werden an Port 2382 weitergeleitet, dem Port, auf dem der SQL ServerSQL Server -Browser lauscht.Client connection requests for a named instance of Analysis ServicesAnalysis Services that do not specify a port number are directed to port 2382, the port on which SQL ServerSQL Server Browser listens. SQL ServerSQL Server -Browser leitet dann die Anforderung an den Port um, der von der benannten Instanz verwendet wird. Browser then redirects the request to the port that the named instance uses.
Analysis ServicesAnalysis Services zur Verwendung durch IIS/HTTP konfiguriert configured for use through IIS/HTTP

(Der PivotTable®-Dienst verwendet HTTP oder HTTPS.)(The PivotTable® Service uses HTTP or HTTPS)
TCP-Port 80TCP port 80 Wird für eine HTTP-Verbindung über eine URL verwendetUsed for an HTTP connection through a URL.
Analysis ServicesAnalysis Services zur Verwendung durch IIS/HTTPS konfiguriert configured for use through IIS/HTTPS

(Der PivotTable®-Dienst verwendet HTTP oder HTTPS.)(The PivotTable® Service uses HTTP or HTTPS)
TCP-Port 443TCP port 443 Wird für eine HTTPS-Verbindung über eine URL verwendet.Used for an HTTPS connection through a URL. HTTPS ist eine HTTP-Verbindung, die SSL (Secure Sockets Layer) verwendet.HTTPS is an HTTP connection that uses secure sockets layer (SSL).

Wenn Benutzer über IIS und das Internet auf Analysis ServicesAnalysis Services zugreifen, müssen Sie den Port öffnen, den IIS überwacht, und diesen Port in der Clientverbindungszeichenfolge angeben.If users access Analysis ServicesAnalysis Services through IIS and the Internet, you must open the port on which IIS is listening and specify that port in the client connection string. In diesem Fall müssen keine Ports für den direkten Zugriff auf Analysis ServicesAnalysis Servicesgeöffnet sein.In this case, no ports have to be open for direct access to Analysis ServicesAnalysis Services. Der Standardport 2389 und Port 2382 sollten gemeinsam mit allen anderen Ports eingeschränkt werden, die nicht benötigt werden.The default port 2389, and port 2382, should be restricted together with all other ports that are not required.

Eine Schritt-für-Schritt-Anleitung zum Konfigurieren der Windows-Firewall für Analysis ServicesAnalysis Servicesfinden Sie unter Konfigurieren der Windows-Firewall, um den Zugriff auf Analysis Services zuzulassen.For step by step instructions to configure the Windows Firewall for Analysis ServicesAnalysis Services, see Configure the Windows Firewall to Allow Analysis Services Access.

Von Reporting Services verwendete Ports Ports Used By Reporting Services

In der folgenden Tabelle werden die häufig von Reporting ServicesReporting Servicesverwendeten Ports aufgeführt.The following table lists the ports that are frequently used by Reporting ServicesReporting Services.

FunktionFeature PortPort KommentareComments
Reporting ServicesReporting Services -Webdienste Web Services TCP-Port 80TCP port 80 Wird für eine HTTP-Verbindung mit Reporting ServicesReporting Services über eine URL verwendet.Used for an HTTP connection to Reporting ServicesReporting Services through a URL. Die Verwendung der vorkonfigurierten Regel WWW-Dienste (HTTP)wird nicht empfohlen.We recommend that you do not use the preconfigured rule World Wide Web Services (HTTP). Weitere Informationen finden Sie im Abschnitt Interaktion mit anderen Firewallregeln weiter unten.For more information, see the Interaction with Other Firewall Rules section below.
Reporting ServicesReporting Services zur Verwendung durch HTTPS konfiguriert configured for use through HTTPS TCP-Port 443TCP port 443 Wird für eine HTTPS-Verbindung über eine URL verwendet.Used for an HTTPS connection through a URL. HTTPS ist eine HTTP-Verbindung, die SSL (Secure Sockets Layer) verwendet.HTTPS is an HTTP connection that uses secure sockets layer (SSL). Die Verwendung der vorkonfigurierten Regel Sichere WWW-Dienste (HTTPS)wird nicht empfohlen.We recommend that you do not use the preconfigured rule Secure World Wide Web Services (HTTPS). Weitere Informationen finden Sie im Abschnitt Interaktion mit anderen Firewallregeln weiter unten.For more information, see the Interaction with Other Firewall Rules section below.

Wenn Reporting ServicesReporting Services eine Verbindung mit einer Instanz von DatenbankmodulDatabase Engine oder Analysis ServicesAnalysis Servicesherstellt, müssen Sie auch die entsprechenden Ports für diese Dienste öffnen.When Reporting ServicesReporting Services connects to an instance of the DatenbankmodulDatabase Engine or Analysis ServicesAnalysis Services, you must also open the appropriate ports for those services. Eine Schritt-für-Schritt-Anleitung zum Konfigurieren der Windows-Firewall für Reporting ServicesReporting Servicesfinden Sie unter Konfigurieren einer Firewall für den Zugriff auf den Berichtsserver.For step-by-step instructions to configure the Windows Firewall for Reporting ServicesReporting Services, Configure a Firewall for Report Server Access.

Von Integration Services verwendete Ports Ports Used By Integration Services

In der folgenden Tabelle werden die vom Integration ServicesIntegration Services -Dienst verwendeten Ports aufgeführt.The following table lists the ports that are used by the Integration ServicesIntegration Services service.

FunktionFeature PortPort KommentareComments
MicrosoftMicrosoft -Remoteprozeduraufrufe (MS RPC) remote procedure calls (MS RPC)

Wird von der Integration ServicesIntegration Services -Laufzeit verwendet.Used by the Integration ServicesIntegration Services runtime.
TCP-Port 135TCP port 135

Siehe Spezielle Überlegungen zu Port 135See Special Considerations for Port 135
Der Integration ServicesIntegration Services -Dienst verwendet DCOM auf Port 135.The Integration ServicesIntegration Services service uses DCOM on port 135. Der Dienstkontroll-Manager verwendet Port 135, um Tasks wie z. B. das Starten und Beenden des Integration ServicesIntegration Services -Diensts und das Übertragen von Kontrollanforderungen an den laufenden Dienst auszuführen.The Service Control Manager uses port 135 to perform tasks such as starting and stopping the Integration ServicesIntegration Services service and transmitting control requests to the running service. Die Portnummer kann nicht geändert werden.The port number cannot be changed.

Dieser Port muss nur dann geöffnet sein, wenn Sie eine Verbindung mit einer Remoteinstanz des Integration ServicesIntegration Services -Diensts von Management StudioManagement Studio oder einer benutzerdefinierten Anwendung aus herstellen.This port is only required to be open if you are connecting to a remote instance of the Integration ServicesIntegration Services service from Management StudioManagement Studio or a custom application.

Eine ausführliche Anleitung zum Konfigurieren der Windows-Firewall für Integration ServicesIntegration Services, finden Sie unter Integration Services-Dienst (SSIS-Dienst).For step-by-step instructions to configure the Windows Firewall for Integration ServicesIntegration Services, see Integration Services Service (SSIS Service).

Zusätzliche Ports und Dienste Additional Ports and Services

Die folgende Tabelle enthält Ports und Dienste, von denen SQL ServerSQL Server abhängig sein kann.The following table lists ports and services that SQL ServerSQL Server might depend on.

SzenarioScenario PortPort KommentareComments
Windows-VerwaltungsinstrumentationWindows Management Instrumentation

Weitere Informationen zu WMI finden Sie unter WMI Provider for Configuration Management Concepts.For more information about WMI, see WMI Provider for Configuration Management Concepts
WMI wird als Teil eines Hosts für gemeinsame Dienste ausgeführt, wobei Ports über DCOM zugewiesen werden.WMI runs as part of a shared service host with ports assigned through DCOM. WMI verwendet möglicherweise den TCP-Port 135.WMI might be using TCP port 135.

Siehe Spezielle Überlegungen zu Port 135See Special Considerations for Port 135
SQL ServerSQL Server -Konfigurations-Manager verwendet WMI zum Auflisten und Verwalten von Diensten. Configuration Manager uses WMI to list and manage services. Es wird empfohlen, die vorkonfigurierte Regelgruppe Windows-Verwaltungsinstrumentation (WMI)zu verwenden.We recommend that you use the preconfigured rule group Windows Management Instrumentation (WMI). Weitere Informationen finden Sie im Abschnitt Interaktion mit anderen Firewallregeln weiter unten.For more information, see the Interaction with Other Firewall Rules section below.
MicrosoftMicrosoft Distributed Transaction Coordinator (MS DTC) Distributed Transaction Coordinator (MS DTC) TCP-Port 135TCP port 135

Siehe Spezielle Überlegungen zu Port 135See Special Considerations for Port 135
Wenn Ihre Anwendung verteilte Transaktionen verwendet, müssen Sie die Firewall möglicherweise so konfigurieren, dass MS DTC-Datenverkehr ( MicrosoftMicrosoft Distributed Transaction Coordinator) zwischen separaten MS DTC-Instanzen sowie zwischen MS DTC und Ressourcen-Managern wie SQL ServerSQL Serverübermittelt werden kann.If your application uses distributed transactions, you might have to configure the firewall to allow MicrosoftMicrosoft Distributed Transaction Coordinator (MS DTC) traffic to flow between separate MS DTC instances, and between the MS DTC and resource managers such as SQL ServerSQL Server. Es wird empfohlen, die vorkonfigurierte Regelgruppe Distributed Transaction Coordinator zu verwenden.We recommend that you use the preconfigured Distributed Transaction Coordinator rule group.

Bei Konfiguration eines einzelnen freigegebenen MS-DTCs für den gesamten Cluster in einer separaten Gruppe sollten Sie sqlservr.exe der Firewall als Ausnahme hinzufügen.When a single shared MS DTC is configured for the entire cluster in a separate resource group you should add sqlservr.exe as an exception to the firewall.
Die Schaltfläche zum Durchsuchen in Management StudioManagement Studio verwendet UDP, um eine Verbindung mit dem SQL ServerSQL Server-Browserdienst herzustellen.The browse button in Management StudioManagement Studio uses UDP to connect to the SQL ServerSQL Server Browser Service. Weitere Informationen finden Sie unter SQL Server-Browserdienst (Datenbankmodul und SSAS).For more information, see SQL Server Browser Service (Database Engine and SSAS). UDP-Port 1434UDP port 1434 UDP ist ein verbindungsloses Protokoll.UDP is a connectionless protocol.

Die Firewall verfügt über eine Einstellung mit dem Namen UnicastResponsesToMulticastBroadcastDisabled Property of the INetFwProfile Interface , die das Verhalten der Firewall in Hinblick auf Unicast-Antworten auf eine Broadcast- (oder Multicast-) UDP-Anforderung steuert.The firewall has a setting, which is named UnicastResponsesToMulticastBroadcastDisabled Property of the INetFwProfile Interface which controls the behavior of the firewall with respect to unicast responses to a broadcast (or multicast) UDP request. Es sind zwei Verhaltensweisen möglich:It has two behaviors:

Wenn die Einstellung TRUE ist, werden überhaupt keine Unicastantworten auf einen Broadcast zugelassen.If the setting is TRUE, no unicast responses to a broadcast are permitted at all. Das Auflisten der Dienste schlägt fehl.Enumerating services will fail.

Wenn die Einstellung FALSE (Standard) ist, werden Unicastantworten 3 Sekunden lang zugelassen.If the setting is FALSE (default), unicast responses are permitted for 3 seconds. Die Zeitdauer ist nicht konfigurierbar.The length of time is not configurable. In einem überlasteten Netzwerk oder einem Netzwerk mit häufiger Latenz oder bei stark ausgelasteten Servern wird bei den Versuchen, Instanzen von SQL ServerSQL Server aufzulisten, möglicherweise eine Teilliste zurückgegeben, die die Benutzer irreführen kann.in a congested or high-latency network, or for heavily loaded servers, tries to enumerate instances of SQL ServerSQL Server might return a partial list, which might mislead users.
IPsec-Datenverkehr IPsec traffic UDP-Port 500 und UDP-Port 4500UDP port 500 and UDP port 4500 Wenn die Domänenrichtlinie eine Netzwerkkommunikation über IPSec erfordert, müssen Sie auch den UDP-Port 4500 und den UDP-Port 500 der Ausnahmeliste hinzufügen.If the domain policy requires network communications to be done through IPsec, you must also add UDP port 4500 and UDP port 500 to the exception list. IPsec ist eine Option, die den Assistenten für neue eingehende Regel im Windows-Firewall-Snap-In verwendet.IPsec is an option using the New Inbound Rule Wizard in the Windows Firewall snap-in. Weitere Informationen finden Sie unter Verwenden des Snap-Ins „Windows-Firewall mit erweiterter Sicherheit“ weiter unten in diesem Thema.For more information, see Using the Windows Firewall with Advanced Security Snap-in below.
Verwenden der Windows-Authentifizierung mit vertrauenswürdigen DomänenUsing Windows Authentication with Trusted Domains Firewalls müssen konfiguriert werden, um Authentifizierungsanforderungen zuzulassen.Firewalls must be configured to allow authentication requests. Weitere Informationen finden Sie unter Konfigurieren einer Firewall für Domänen und Vertrauensstellungen.For more information, see How to configure a firewall for domains and trusts.
SQL ServerSQL Server und Windows-Clusterunterstützung and Windows Clustering Die Clusterunterstützung erfordert zusätzliche Ports, die keine direkte Beziehung zu SQL ServerSQL Serveraufweisen.Clustering requires additional ports that are not directly related to SQL ServerSQL Server. Weitere Informationen finden Sie unter Enable a network for cluster use.For more information, see Enable a network for cluster use.
In der HTTP-Server-API (HTTP.SYS) reservierte URL-NamespacesURL namespaces reserved in the HTTP Server API (HTTP.SYS) Wahrscheinlich TCP-Port 80, kann jedoch für andere Ports konfiguriert werden.Probably TCP port 80, but can be configured to other ports. Allgemeine Informationen finden Sie unter Configuring HTTP and HTTPS.For general information, see Configuring HTTP and HTTPS. Spezifische Informationen für SQL ServerSQL Server zum Reservieren eines HTTP.SYS-Endpunkts mittels „HttpCfg.exe“ finden Sie unter Informationen zu URL-Reservierungen und -Registrierungen (SSRS-Konfigurations-Manager).For SQL ServerSQL Server specific information about reserving an HTTP.SYS endpoint using HttpCfg.exe, see About URL Reservations and Registration (SSRS Configuration Manager).

Spezielle Überlegungen zu Port 135 Special Considerations for Port 135

Wenn Sie RPC mit TCP/IP oder mit UDP/IP als Transportprotokoll verwenden, werden eingehende Ports den Systemdiensten häufig dynamisch nach Bedarf zugewiesen; hierbei werden TCP/IP- und UDP/IP-Ports verwendet, die größer als Port 1024 sind.When you use RPC with TCP/IP or with UDP/IP as the transport, inbound ports are frequently dynamically assigned to system services as required; TCP/IP and UDP/IP ports that are larger than port 1024 are used. Diese werden informell häufig als „zufällige RPC-Ports“ bezeichnet.These are frequently informally referred to as "random RPC ports." In solchen Fällen sind die RPC-Clients auf die Information der RPC-Endpunktzuordnung angewiesen, welche dynamischen Ports dem Server zugeordnet wurden.In these cases, RPC clients rely on the RPC endpoint mapper to tell them which dynamic ports were assigned to the server. Für einige RPC-basierte Dienste können Sie einen bestimmten Port konfigurieren, statt RPC einen Port dynamisch zuweisen zu lassen.For some RPC-based services, you can configure a specific port instead of letting RPC assign one dynamically. Außerdem können Sie den Bereich der Ports, die von RPC dynamisch zugewiesen werden, unabhängig vom Dienst verkleinern.You can also restrict the range of ports that RPC dynamically assigns to a small range, regardless of the service. Da Port 135 für zahlreiche Dienste verwendet wird, wird dieser häufig von böswilligen Benutzern angegriffen.Because port 135 is used for many services it is frequently attacked by malicious users. Wenn Sie Port 135 öffnen, erwägen Sie, den Gültigkeitsbereich der Firewallregel einzuschränken.When opening port 135, consider restricting the scope of the firewall rule.

Weitere Informationen zu Port 135 finden Sie in den folgenden Ressourcen:For more information about port 135, see the following references:

Interaktion mit anderen Firewallregeln Interaction with Other Firewall Rules

Die Windows-Firewall verwendet Regeln und Regelgruppen, um ihre Konfiguration festzulegen.The Windows Firewall uses rules and rule groups to establish its configuration. Jede Regel oder Regelgruppe ist normalerweise mit einem bestimmten Programm oder Dienst verknüpft, und dieses Programm oder dieser Dienst kann diese Regel ohne Ihr Wissen ändern oder löschen.Each rule or rule group is generally associated with a particular program or service, and that program or service might modify or delete that rule without your knowledge. Beispielsweise sind die Regelgruppen WWW-Dienste (HTTP) und Sichere WWW-Dienste (HTTPS) mit IIS verknüpft.For example, the rule groups World Wide Web Services (HTTP) and World Wide Web Services (HTTPS) are associated with IIS. Die Aktivierung dieser Regeln öffnet die Ports 80 und 443, und die SQL ServerSQL Server -Funktionen, die auf den Ports 80 und 443 beruhen, werden ausgeführt, wenn diese Regeln aktiviert sind.Enabling those rules will open ports 80 and 443, and SQL ServerSQL Server features that depend on ports 80 and 443 will function if those rules are enabled. Administratoren, die IIS konfigurieren, können diese Regeln jedoch ändern oder deaktivieren.However, administrators configuring IIS might modify or disable those rules. Deshalb sollten Sie, wenn Sie Port 80 oder Port 443 für SQL ServerSQL Serververwenden, Ihre eigene Regel oder Regelgruppe erstellen, die Ihre gewünschte Portkonfiguration unabhängig von den anderen IIS-Regeln beibehält.Therefore, if you are using port 80 or port 443 for SQL ServerSQL Server, you should create your own rule or rule group that maintains your desired port configuration independently of the other IIS rules.

Das MMC-Snap-In „Windows-Firewall mit erweiterter Sicherheit“ erlaubt jeden Datenverkehr, der mit einer entsprechenden Zulassungsregel übereinstimmt.The Windows Firewall with Advanced Security MMC snap-in allows any traffic that matches any applicable allow rule. Wenn also zwei Regeln vorhanden sind, die beide für Port 80 gelten (mit unterschiedlichen Parametern), wird derjenige Datenverkehr zugelassen, der mit einer der beiden Regeln übereinstimmt.So if there are two rules that both apply to port 80 (with different parameters), traffic that matches either rule will be permitted. Wenn eine Regel den Datenverkehr über Port 80 von einem lokalen Subnetz und eine Regel den Datenverkehr von einer beliebigen Adresse erlaubt, wird letztendlich der gesamte Datenverkehr über Port 80 unabhängig von der Quelle zugelassen.So if one rule allows traffic over port 80 from local subnet and one rule allows traffic from any address, the net effect is that all traffic to port 80 is permitted regardless of the source. Um den Zugriff auf SQL ServerSQL Servereffektiv zu verwalten, sollten Administratoren alle auf dem Server aktivierten Firewallregeln in regelmäßigen Abständen überprüfen.To effectively manage access to SQL ServerSQL Server, administrators should periodically review all firewall rules enabled on the server.

Übersicht über Firewallprofile Overview of Firewall Profiles

Firewallprofile werden unter Erste Schritte mit der Windows-Firewall mit erweiterter Sicherheit im Abschnitt NLA-Hostfirewall (Network Location Awareness)behandelt.Firewall profiles are discussed in Windows Firewall with Advanced Security Getting Started Guide in the section Network location-aware host firewall. Zusammenfassend gilt: Die Betriebssysteme identifizieren und "erinnern" alle Netzwerke, mit denen sie eine Verbindung herstellen, in Bezug auf die Konnektivität, Verbindungen und Kategorie.To summarize, the operating systems identify and remember each of the networks to which they connect with regard to connectivity, connections, and category.

In Windows-Firewall mit erweiterter Sicherheit gibt es drei Netzwerkstandorttypen:There are three network location types in Windows Firewall with Advanced Security:

  • Domäne.Domain. Windows kann den Zugriff auf den Domänencontroller für die Domäne des Netzwerks, mit dem der Computer verbunden ist, authentifizieren.Windows can authenticate access to the domain controller for the domain to which the computer is joined.

  • Öffentlich.Public. Alle neu erkannten Netzwerke, außer Domänennetzwerke, werden zunächst als öffentlich kategorisiert.Other than domain networks, all networks are initially categorized as public. Netzwerke, die direkte Verbindungen zum Internet darstellen oder sich an öffentlichen Orten wie z. B. auf Flughäfen und in Cafés befinden, sollten auch öffentlich bleiben.Networks that represent direct connections to the Internet or are in public locations, such as airports and coffee shops should be left public.

  • Privat.Private. Ein Netzwerk, das von einem Benutzer oder einer Anwendung als privat gekennzeichnet wird.A network identified by a user or application as private. Es sollten nur vertrauenswürdige Netzwerke als private Netzwerke gekennzeichnet werden.Only trusted networks should be identified as private networks. Benutzer können Heim- oder kleine Firmennetzwerke als privat kennzeichnen.Users will likely want to identify home or small business networks as private.

    Der Administrator kann für jeden Netzwerkstandorttyp ein Profil erstellen. Dabei kann jedes Profil unterschiedliche Firewallrichtlinien enthalten.The administrator can create a profile for each network location type, with each profile containing different firewall policies. Es wird immer nur ein Profil angewendet.Only one profile is applied at any time. Die Profilreihenfolge wird wie folgt angewendet:Profile order is applied as follows:

  1. Wenn alle Schnittstellen gegenüber dem Domänencontroller für die Domäne, deren Mitglied der Computer ist, authentifiziert werden, wird das Domänenprofil angewendet.If all interfaces are authenticated to the domain controller for the domain of which the computer is a member, the domain profile is applied.

  2. Wenn alle Schnittstellen entweder gegenüber dem Domänencontroller authentifiziert oder mit Netzwerken, die als private Netzwerkstandorte klassifiziert sind, verbunden werden, wird das private Profil angewendet.If all interfaces are either authenticated to the domain controller or are connected to networks that are classified as private network locations, the private profile is applied.

  3. Andernfalls wird das öffentliche Profil angewendet.Otherwise, the public profile is applied.

    Verwenden Sie das MMC-Snap-In „Windows-Firewall mit erweiterter Sicherheit“, um alle Firewallprofile anzuzeigen und zu konfigurieren.Use the Windows Firewall with Advanced Security MMC snap-in to view and configure all firewall profiles. Mithilfe des Elements Windows-Firewall in der Systemsteuerung kann nur das aktuelle Profil konfiguriert werden.The Windows Firewall item in Control Panel only configures the current profile.

Zusätzliche Firewalleinstellungen mithilfe des Eintrags „Windows-Firewall“ in der Systemsteuerung Additional Firewall Settings Using the Windows Firewall Item in Control Panel

Ausnahmen, die Sie der Firewall hinzufügen, können das Öffnen des Ports bei eingehenden Verbindungen von bestimmten Computern oder vom lokalen Subnetz einschränken.Exceptions that you add to the firewall can restrict the opening of the port to incoming connections from specific computers or the local subnet. Diese Einschränkung des Bereichs der Portöffnung kann den Umfang, in dem Ihr Computer böswilligen Benutzern ausgesetzt ist, verringern und wird daher empfohlen.This restriction of the scope of the port opening can reduce how much your computer is exposed to malicious users, and is recommended.

Hinweis

Mithilfe des Elements Windows-Firewall in der Systemsteuerung wird nur das aktuelle Firewallprofil konfiguriert.Using the Windows Firewall item in Control Panel only configures the current firewall profile.

So ändern Sie den Bereich einer Firewallausnahme mithilfe des Elements „Windows-Firewall“ in der SystemsteuerungTo change the scope of a firewall exception using the Windows Firewall item in Control Panel

  1. Wählen Sie unter dem Element Windows-Firewall in der Systemsteuerung auf der Registerkarte Ausnahmen ein Programm oder einen Port aus, und klicken Sie dann auf Eigenschaften oder Bearbeiten.In the Windows Firewall item in Control Panel, select a program or port on the Exceptions tab, and then click Properties or Edit.

  2. Klicken Sie im Dialogfeld Programm bearbeiten oder Port bearbeiten auf Bereich ändern.In the Edit a Program or Edit a Port dialog box, click Change Scope.

  3. Wählen Sie eine der folgenden Optionen aus:Choose one of the following options:

    • Alle Computer (einschließlich der im Internet)Any computer (including those on the Internet)

      Nicht empfohlen.Not recommended. Dies ermöglicht es jedem Computer, der mit Ihrem Computer Kontakt aufnehmen kann, eine Verbindung mit einem bestimmten Programm oder Port herzustellen.This will allow any computer that can address your computer to connect to the specified program or port. Diese Einstellung kann notwendig sein, um die Anzeige von Informationen für anonyme Benutzer im Internet zuzulassen, erhöht aber die Gefahr, die von böswilligen Benutzern ausgeht.This setting might be necessary to allow information to be presented to anonymous users on the internet, but increases your exposure to malicious users. Ihre Gefährdung kann sich noch weiter erhöhen, wenn Sie diese Einstellung aktivieren und außerdem NAT-Traversal (Network Address Translation) zulassen, wie z. B. die Option Randüberquerung zulassen.Your exposure can be further increased if you enable this setting and also allow Network Address Translation (NAT) traversal, such as the Allow edge traversal option.

    • Nur für eigenes Netzwerk (Subnetz)My network (subnet) only

      Diese Einstellung ist sicherer als Alle Computer.This is a more secure setting than Any computer. Nur Computer im lokalen Subnetz Ihres Netzwerks können eine Verbindung mit dem Programm oder Port herstellen.Only computers on the local subnet of your network can connect to the program or port.

    • Benutzerdefinierte Liste:Custom list:

      Nur Computer, die über die von Ihnen aufgeführten IP-Adressen verfügen, können eine Verbindung herstellen.Only computers that have the IP addresses you list can connect. Dies kann eine sicherere Einstellung als Nur für eigenes Netzwerk (Subnetz)sein; Clientcomputer, die DHCP verwenden, können jedoch gelegentlich ihre IP-Adresse ändern.This can be a more secure setting than My network (subnet) only, however, client computers using DHCP can occasionally change their IP address. Dann kann der beabsichtigte Computer keine Verbindung herstellen.Then the intended computer will not be able to connect. Ein anderer Computer, den Sie nicht autorisieren wollten, könnte die aufgeführte IP-Adresse akzeptieren und dann in der Lage sein, eine Verbindung herzustellen.Another computer, which you had not intended to authorize, might accept the listed IP address and then be able to connect. Die Option Benutzerdefinierte Liste eignet sich möglicherweise zum Auflisten anderer Server, die für eine feste IP-Adresse konfiguriert sind; es besteht jedoch die Möglichkeit, dass IP-Adressen von einem Eindringling gefälscht (gespooft) werden.The Custom list option might be appropriate for listing other servers which are configured to use a fixed IP address; however, IP addresses might be spoofed by an intruder. Restriktive Firewallregeln sind nur so stark wie Ihre Netzwerkinfrastruktur.Restricting firewall rules are only as strong as your network infrastructure.

Verwenden des Snap-Ins „Windows-Firewall mit erweiterter Sicherheit“ Using the Windows Firewall with Advanced Security Snap-in

Mithilfe des MMC-Snap-Ins Windows-Firewall mit erweiterter Sicherheit können zusätzliche erweiterte Firewalleinstellungen konfiguriert werden.Additional advanced firewall settings can be configured by using the Windows Firewall with Advanced Security MMC snap-in. Das Snap-In enthält einen Regel-Assistenten und bietet Zusatzeinstellungen, die im Element Windows-Firewall in der Systemsteuerung nicht verfügbar sind.The snap-in includes a rule wizard and exposes additional settings that are not available in the Windows Firewall item in Control Panel. Dazu gehören folgende Einstellungen:These settings include the following:

  • VerschlüsselungseinstellungenEncryption settings

  • Einschränkungen für DiensteServices restrictions

  • Einschränken von Verbindungen für Computer nach NameRestricting connections for computers by name

  • Einschränken von Verbindungen für bestimmte Benutzer oder ProfileRestricting connections to specific users or profiles

  • Randüberquerung, die dem Datenverkehr die Umgehung von NAT-Routern (Network Address Translation) erlaubtEdge traversal allowing traffic to bypass Network Address Translation (NAT) routers

  • Konfigurieren von ausgehenden RegelnConfiguring outbound rules

  • Konfigurieren von SicherheitsregelnConfiguring security rules

  • Erfordern von IPsec für eingehende VerbindungenRequiring IPsec for incoming connections

So erstellen Sie eine neue Firewallregel mit dem Assistenten für neue RegelnTo create a new firewall rule using the New Rule wizard

  1. Klicken Sie im Startmenü auf Ausführen, geben Sie WF.mscein, und klicken Sie anschließend auf OK.On the Start menu, click Run, type WF.msc, and then click OK.

  2. Klicken Sie im linken Bereich von Windows-Firewall mit erweiterter Sicherheitmit der rechten Maustaste auf Eingehende Regeln, und klicken Sie dann auf Neue Regel.In the Windows Firewall with Advanced Security, in the left pane, right-click Inbound Rules, and then click New Rule.

  3. Schließen Sie den Assistenten für neue eingehende Regel mit den gewünschten Einstellungen ab.Complete the New Inbound Rule Wizard using the settings that you want.

Behandeln von Problemen mit Firewalleinstellungen Troubleshooting Firewall Settings

Die folgenden Tools und Techniken können bei der Behandlung von Problemen mit der Firewall nützlich sein:The following tools and techniques can be useful in troubleshooting firewall issues:

  • Der effektive Portstatus ist die Gesamtheit aller Regeln, die den Port betreffen.The effective port status is the union of all rules related to the port. Beim Versuch, den Zugriff über einen Port zu blockieren, kann es hilfreich sein, alle Regeln, die die Portnummer nennen, zu überprüfen.When trying to block access through a port, it can be helpful to review all the rules which cite the port number. Verwenden Sie hierzu das MMC-Snap-In „Windows-Firewall mit erweiterter Sicherheit“, und sortieren Sie die ein- und ausgehenden Regeln nach Portnummer.To do this, use the Windows Firewall with Advanced Security MMC snap-in and sort the inbound and outbound rules by port number.

  • Überprüfen Sie die Ports, die auf dem Computer aktiv sind, auf dem SQL ServerSQL Server ausgeführt wird.Review the ports that are active on the computer on which SQL ServerSQL Server is running. Dazu muss überprüft werden, welche TCP/IP-Ports überwacht werden und welchen Status diese Ports besitzen.This review process includes verifying which TCP/IP ports are listening and also verifying the status of the ports.

    Um zu überprüfen, welche Ports überwacht werden, verwenden Sie das Befehlszeilen-Hilfsprogramm netstat .To verify which ports are listening, use the netstat command-line utility. Zusätzlich zur Anzeige der aktiven TCP-Verbindungen werden mit dem netstat -Hilfsprogramm auch eine Reihe von IP-Statistiken und -Informationen angezeigt.In addition to displaying active TCP connections, the netstat utility also displays a variety of IP statistics and information.

    So führen Sie auf, auf welchen TCP/IP-Ports die Überwachung erfolgtTo list which TCP/IP ports are listening

    1. Öffnen Sie das Eingabeaufforderungsfenster.Open the Command Prompt window.

    2. Geben Sie an der Eingabeaufforderung netstat -n -aein.At the command prompt, type netstat -n -a.

      Mit dem -n-Schalter wird netstat angewiesen, die Adressen und Portnummern der aktiven TCP-Verbindungen numerisch anzuzeigen.The -n switch instructs netstat to numerically display the address and port number of active TCP connections. Mit dem -a -Schalter wird netstat angewiesen, die vom Computer überwachten TCP- und UDP-Ports anzuzeigen.The -a switch instructs netstat to display the TCP and UDP ports on which the computer is listening.

  • Mit dem PortQry-Hilfsprogramm kann der Status der TCP/IP-Ports als überwacht, nicht überwacht oder gefiltert gemeldet werden.The PortQry utility can be used to report the status of TCP/IP ports as listening, not listening, or filtered. (Der gefilterte Status bedeutet, dass der Port überwacht oder nicht überwacht wird. Dieser Status gibt an, dass das Hilfsprogramm keine Antwort vom Port empfangen hat.) Das Hilfsprogramm PortQry steht im Microsoft Download Center zum Herunterladen zur Verfügung.(With a filtered status, the port might or might not be listening; this status indicates that the utility did not receive a response from the port.) The PortQry utility is available for download from the Microsoft Download Center.

Siehe auchSee Also

Dienste und Netzwerkportanforderungen für das Windows Server-System Service overview and network port requirements for the Windows Server system
Gewusst wie: Konfigurieren von Firewalleinstellungen (Azure SQL-Datenbank) How to: Configure Firewall Settings (Azure SQL Database)