Развертывание нестандартного порта и псевдонима SQL Server в Lync Server 2013Deploying a SQL Server nonstandard port and alias in Lync Server 2013

 

Последнее изменение темы: 2015-09-16Topic Last Modified: 2015-09-16

Microsoft Lync Server 2013 поддерживает использование нестандартного порта и псевдонима в SQL Server.Microsoft Lync Server 2013 supports using a non-standard port and alias in SQL Server. Использование нестандартного порта SQL Server и псевдоним повышает безопасность и создает более гибкую среду для развертывания Lync.Using a SQL Server non-standard port and an alias increases security and creates a more flexible environment for the Lync deployment. Эти действия относятся только к одному этапу надежной защиты среды Lync Server 2013.These steps are only a single step in properly securing your Lync Server 2013 environment. Необходимо предпринять дополнительные действия, чтобы уменьшить область атаки реализации Lync Server 2013.Additional steps should be taken to reduce the attack surface of a Lync Server 2013 implementation.

В следующей статье описываются действия, необходимые для настройки нестандартного порта и псевдонима SQL Server в Lync Server 2013.The following article describes the steps required to setup a SQL Server non-standard port and alias in Lync Server 2013.

Развертывание нестандартного порта и псевдонима SQL Server в Lync Server 2013Deploying a SQL Server Non-Standard Port and Alias in Lync Server 2013

Lync Server 2013 Topology Builder поддерживает использование псевдонима SQL Server в качестве полного доменного имени (FQDN) вместо фактического полного доменного имени SQL Server при настройке Lync Server 2013.Lync Server 2013 Topology Builder supports using a SQL Server alias as the Fully Qualified Domain Name (FQDN) instead of the actual SQL Server FQDN when configuring Lync Server 2013. Это позволяет скрыть фактическое полное доменное имя SQL Server от вредоносных злоумышленников.This allows the actual SQL Server FQDN to be hidden from any malicious attacker. Кроме того, использование нестандартного порта приводит к тому, что злоумышленник пытается атаковать базу данных на стандартном порте 1433, как показано на следующем рисунке.In addition, using a non-standard port obscures the actual port from any would be attacker attempting to attack the database on the standard port 1433, as shown in the following figure.

Хакер не знает номер порта для атаки.A hacker doesn't know the port number to attack.

Для успешного определения порта Lync Server 2013, который используется для связи с SQL Server, злоумышленнику потребуется проверить все порты, чтобы получить сведения о порте.In order to be successful in determining the port Lync Server 2013 is using to communicate with SQL Server, the attacker would need to scan all ports to obtain the port information. Сканирование портов злоумышленник увеличивает вероятность того, что система безопасности может обнаружить и остановить эту инструкцию.A port scan by an attacker increases the chances that security can detect and stop the instruction. В дополнение к добавлению усиленной защиты с помощью нестандартного порта, вы также можете использовать псевдоним SQL Server для обеспечения гибкости развертывания.In addition to adding increased security with a non-standard port, you can also use a SQL Server alias to provide flexibility for the deployment. Это полезно для сокращения изменений конфигурации в ситуациях, когда требуется изменить имя сервера SQL Server.This is valuable in order to reduce configuration changes in situations where a SQL Server name change is required.

Примечание

SQL Server предоставляет два метода обеспечения отказоустойчивости (отказоустойчивый кластер и зеркальное отображение).SQL Server provides two fault tolerance methods (Failover Clustering and Mirroring). Методы отказоустойчивости SQL Server поддерживаются с использованием нестандартного порта и псевдонима SQL Server с Lync Server 2013.Both SQL Server fault tolerance methods are supported using a SQL Server non-standard port and alias with Lync Server 2013. Если серверная серверная база данных SQL Server, используемая пулом, находится в зеркальной конфигурации, то служба браузера SQL на внутреннем сервере SQL Server должна быть запущена для подключения серверов переднего плана к зеркальной базе данных при отказе баз данных на зеркальный SQL Server.If the SQL Server backend used by the pool is in a mirrored configuration, then the SQL browser service on the SQL Server backend servers should be running for Front End servers to connect to the mirrored database when the databases are failed over to the mirrored SQL Server.

При настройке подключения к базе данных SQL Server в построителе топологий или при использовании командлета Install-CsDatabase невозможно явно определить нестандартный номер порта SQL Server и связать его с экземпляром SQL Server.When configuring SQL Server database connectivity from within Topology Builder, or when using the Install-CsDatabase cmdlet, it’s not possible to explicitly define a SQL Server non-standard port number and associate it with a SQL instance. Чтобы задать нестандартный порт, необходимо использовать SQL Server и служебные программы Windows Server.To set a non-standard port, you’ll need to use SQL Server and Windows Server utilities.

Чтобы настроить нестандартный порт и псевдоним SQL Server для использования с Lync Server 2013, вам потребуется выполнить три основных действия.To set up a SQL Server non-standard port and alias for use with Lync Server 2013, you will need to complete three primary steps. Эти шаги следующие:These steps are:

  • Убедитесь, что к Lync Server 2013 применены последние обновления.Confirm that Lync Server 2013 has the Latest Updates Applied.

  • Настройка нестандартного порта и псевдонима SQL Server.Setup the SQL Server Non-Standard Port and Alias.

  • Настройте Lync Server 2013 с псевдонимом SQL Server с помощью построителя топологий.Configure Lync Server 2013 with the SQL Server alias using Topology Builder.

  • Опубликуйте топологию и проверьте базу данных.Publish the Topology, and Verify the Database.

Подтверждение применения последних обновлений для Lync Server 2013Confirm that Lync Server 2013 has the Latest Updates Applied

Важно поддерживать Lync Server 2013 в актуальном состоянии.It is important to keep Lync Server 2013 up to date. Чтобы проверить наличие последних обновлений и сведения о том, как их применять, ознакомьтесь с Разобновлением для Lync Server 2013.To check for the most recent updates and information on how to apply them, see Updates for Lync Server 2013.

Настройка нестандартного порта и псевдонима SQL ServerSetup the SQL Server Non-Standard Port and Alias

Нестандартный порт и псевдоним SQL Server необходимо настроить в экземпляре базы данных, прежде чем к нему можно будет обращаться из построителя топологий Lync Server 2013.The SQL Server non-standard port and alias must be set up on the database instance before it can be referenced from Lync Server 2013 Topology Builder. Для настройки нестандартного порта и псевдонима SQL Server потребуется выполнить три основных действия.To set up a SQL Server non-standard port and alias, you will have to complete three primary steps. Эти этапы описаны ниже.These steps are as follows:

  • Измените значения по умолчанию для протокола TCP/IP.Change the Default TCP/IP Protocol Values.

  • Создайте и настройте псевдоним SQL Server.Create and Configure a SQL Server Alias.

  • Создайте запись ресурса службы доменных имен (CNAME).Create a Domain Name System (DNS) Canonical Name (CNAME) Resource Record.

Изменение значений по умолчанию для протокола TCP/IPModify the Default TCP/IP Protocol Values

  1. Нажмите кнопку Пуски выберите Диспетчер конфигураций SQL Server, как показано на следующем рисунке.Select Start, and choose SQL Server Configuration Manager, as shown in the following figure.

    Значок SQL Server Management StudioThe SQL Server Management Studio icon

  2. В области навигации щелкните, чтобы развернуть экземпляр SQL Server, выберите пункт Конфигурация сети SQL Server, а затем выберите **протоколы для <instance name> **, как показано на следующем рисунке.In the navigation pane, choose to expand the SQL Server instance, choose to expand SQL Server Network Configuration, and choose Protocols for <instance name>, as shown in the following figure.

    Переход к свойствам TCP/IPNavigate to TCP/IP Properties

  3. В правой области щелкните правой кнопкой мыши TCP/IPи выберите пункт свойства.In the right pane, right-click TCP/IP, and select Properties. Отобразится диалоговое окно "свойства TCP/IP".The TCP/IP Properties dialog box is displayed.

  4. Перейдите на вкладку IP-адреса . На вкладке IP-адреса отображаются все активные IP-адреса на сервере.Select the IP Addresses tab. The IP Addresses tab shows all of the active IP addresses on the server. Они представлены в формате IP1, IP2, вплоть до IPAll, как показано на следующем рисунке.These are in the format IP1, IP2, up to IPAll, as shown in the following figure.

    Откройте свойства TCP/IP.Open TCP/IP properties.

  5. Очистите поле динамических портов TCP для всех IP-адресов.Clear the TCP Dynamic Ports field for all IP addresses. Если поле содержит нулевой символ, это означает, что SQL Server прослушивает динамические порты.If the field contains a zero character, then it means SQL Server is listening on dynamic ports. Убедитесь, что эти поля очищены и не содержат нуля.Make sure these fields are cleared and do not contain a zero.

  6. Для IP-адреса, который будет использоваться Lync Server для подключения к базе данных, убедитесь, что для параметра включено задано значение Да, как показано на следующем рисунке.For the IP address that Lync Server will be using to connect to the database, make sure that Enabled is set to Yes, as shown in the following figure.

    ![Для правильного IP-адреса установите значение "Да".](images/Dn776290.7f818b91-0793-4594-8932-90447270fad9(OCS.15).jpg "Для правильного IP-адреса установите значение "Да".")Set enabled as Yes for the correct IP.

  7. В разделе IPAll в нижней части диалогового окна введите нужный порт в поле TCP-порт , как показано на следующем рисунке.In the IPAll section at the bottom of the dialog, enter the desired port in the TCP Port field, as shown in the following figure. В этом примере используется порт 50062, но вы можете использовать любой порт от 49152 до 65535.In this example, we use port 50062, but you can use any port between 49152 and 65535. Это порты, назначаемые динамическому и частному использованию, и это гарантирует, что вы не будете конфликтовать с другими портами, используемыми в развертывании Lync Server 2013.These are the ports assigned to dynamic and private use, and this ensures you won’t conflict with other ports being used in the Lync Server 2013 deployment.

    Задать порт в разделе IPAll.Set port in IPAll section.

  8. Нажмите кнопку ОК , чтобы закрыть диалоговое окно Свойства TCP/IP.Choose OK to exit the TCP/IP Properties dialog.

  9. Перезапустите экземпляр SQL Server, выбрав службы SQL Server на левой панели диспетчера КОНФИГУРАЦИй SQL Server.Restart the SQL Server instance by selecting SQL Server Services in the left pane of SQL Server Configuration Manager. Затем щелкните правой кнопкой мыши SQL <instance name> Server на правой панели и выберите перезапустить, как показано на следующем рисунке.Then right-click SQL Server <instance name> in the right pane, and select Restart, as shown in the following figure.

    Сбросьте службу SQL Server для экземпляра.Reset the SQL Server service for instance.

Важно!

Убедитесь, что параметры брандмауэра обновлены в соответствии с новым портом SQL Server.Make sure you update your firewall settings to accommodate the new SQL Server port.

Создание и Настройка псевдонима SQL ServerCreate and Configure a SQL Server Alias

  1. Нажмите кнопку Пуски выберите Диспетчер конфигураций SQL Server, как показано на следующем рисунке.Select Start, and choose SQL Server Configuration Manager, as shown in the following figure.

    Значок SQL Server Management StudioThe SQL Server Management Studio icon

  2. В левой области разверните узел SQL Server, выберите пункт ** <version> Конфигурация собственного клиента SQL**, а затем выберите псевдонимы, как показано на следующем рисунке.In the left pane, choose to expand SQL Server instance, choose to expand SQL Native Client <version> Configuration, and then choose Aliases, as shown in the following figure.

    Псевдонимы в диспетчере конфигурации SQL Server.Aliases in SQL Server Configuration Manager.

  3. Щелкните правой кнопкой мыши псевдонимыи выберите команду создать псевдоним....Right-click Aliases, and select New Alias….

  4. Введите имя псевдонима, номер порта, протоколи сервер, как показано на следующем рисунке.Enter the Alias Name, Port Number, Protocol, and Server, as shown in the following figure.

    Создание нового псевдонимаCreating a new alias

    Внимание!

    Убедитесь, что указан один и тот же нестандартный порт, который вы использовали в предыдущем шаге, так как он будет прослушиваться с помощью порта SQL Server.Make sure to enter the same non-standard port you used in the previous step since that is the port SQL Server will be listening on. Если настроенный псевдоним подключается к неправильному полному доменному имени SQL Server или экземпляру, отключите и снова включите связанный сетевой протокол.If a configured alias is connecting to the wrong SQL Server FQDN or Instance, disable and then re-enable the associated network protocol. При этом удаляются все сведения о кэшировании подключения, что позволяет клиенту правильно подключаться.Doing this clears any cached connection information and allows the client to connect correctly.

Создание записи ресурса CNAME DNSCreate a DNS CNAME Resource Record

  1. Войдите в систему компьютера, управляющего DNS.Sign into the computer managing DNS.

  2. Нажмите кнопку Пуски выберите Диспетчер сервера, как показано на следующем рисунке.Select Start, and choose Server Manager, as shown in the following figure.

    Открытие диспетчера серверовOpening Server Manager

  3. Выберите раскрывающийся список " инструменты " и выберите DNS, как показано на следующем рисунке.Choose the Tools drop-down, and select DNS, as shown in the following figure.

    Открытие службы DNS из диспетчера серверов.Opening DNS from Server Manager.

  4. В области слева разверните узел имя сервера, разверните узел зоны прямого просмотра и выберите нужный домен.In the left pane, expand the server name node, expand the Forward Lookup Zones node, and choose the relevant domain.

  5. Щелкните домен правой кнопкой мыши и выберите команду создать псевдоним (CNAME)..., как показано на следующем рисунке.Right-click the domain, and select New Alias (CNAME)…, as shown in the following figure.

    Выбор параметра для создания нового псевдонима CNAMESelecting option to create a new alias CNAME

  6. Введите имя псевдонима и полное доменное имя SQL Server, как показано на следующем рисунке.Enter the Alias Name and the FQDN for SQL Server, as shown in the following figure.

    Заполните диалоговое окно Создание псевдонима CNAME.Filling in the new alias CNAME dialog.

  7. Нажмите кнопку ОК , чтобы сохранить CNAME и просмотреть ее в диспетчере DNS.Choose OK to save the CNAME and view it in DNS Manager.

Проверка возможности подключения к базе данныхValidate Database Connectivity

Существует множество различных способов убедиться в том, что он работает.There are many different ways to make sure it is working. Необходимо убедиться, что база данных SQL Server прослушивает указанный порт с помощью псевдонима.You want to make sure that the SQL Server database is listening on the specified port using the alias. Быструю проверку можно выполнить с помощью команд netstat и Telnet .A quick check can be completed using the netstat and telnet commands.

Примечание

Клиент Telnet — это компонент, который входит в состав Windows Server, но должен быть установлен.Telnet Client is a Feature that comes with Windows Server but that must be installed. Компонент Windows Server можно установить, открыв диспетчер серверов и выбрав Добавить роли и компоненты в меню "Управление".A Windows Server Feature can be installed by opening Server Manager and selecting Add Roles and Features from the Manage menu.

Проверка возможности подключения к базе данных с помощью netstat и TelnetUse netstat and telnet to verify database connectivity

  1. Нажмите кнопку Пуски введите cmd , чтобы открыть командную строку.Select Start, and type cmd to open a command prompt.

  2. Введите netstat-a-fи убедитесь, что SQL Server работает с правильным портом, как показано на следующем рисунке.Type netstat -a -f, and confirm that SQL Server is running with the correct port, as shown in the following figure.

    Использование средства netstat для проверки порта.Using netstat to verify port.

  3. Введите **Telnet <alias name> <port #> ** , чтобы подтвердить подключение к экземпляру SQL Server.Type telnet <alias name> <port #> to confirm the connection to the SQL Server instance. При успешном подключении Telnet будет подключаться, и вы не увидите сообщение об ошибке.If the connection is successful, telnet will connect and you shouldn’t see an error. Это показывает, что экземпляр SQL Server прослушивает правильный порт с правильным псевдонимом.This shows that the SQL Server instance is listening on the correct port with the correct alias. Если возникла проблема с подключением к базе данных SQL Server, Telnet выводит сообщение о том, что не удается установить подключение.If there’s a problem connecting to the SQL Server database, then telnet shows an error that the connection cannot be made. Теперь, когда вы выполнили проверку подключения к базе данных на сервере базы данных, вы можете сделать то же самое из Lync Server (по сети) и убедиться, что нет брандмауэров, блокирующих доступ.Now that you have checked database connectivity on the database server, you can do the same thing from Lync Server (over the network) and make sure there aren’t any firewalls blocking access along the way.

ЗаключениеConclusion

После настройки псевдонима SQL Server вы можете использовать его для создания топологии Lync Server 2013 в средстве построения топологии.Once the SQL Server alias has been configured, you can use it to create a Lync Server 2013 topology in the Topology Builder tool. Дополнительные сведения о топологиях приведены в статье Определение и Настройка топологии в Lync Server 2013.For more information about topologies, see Defining and configuring the topology in Lync Server 2013.