Настройка многосетевого компьютера для доступа к SQL ServerConfigure a Multi-Homed Computer for SQL Server Access

Если сервер должен предоставить соединение с двумя или более сетями или подсетями, обычно используется многосетевой компьютер.When a server must provide a connection to two or more networks or network subnets, a typical scenario uses a multi-homed computer. Часто этот компьютер расположен в пограничной сети (также известной как ДМЗ, демилитаризованная зона или экранированная подсеть).Frequently this computer is located in a perimeter network (also known as DMZ, demilitarized zone, or screened subnet). В этом разделе описываются настройки SQL ServerSQL Server и брандмауэра Windows в режиме повышенной безопасности для предоставления сетевого подключения экземпляру SQL ServerSQL Server в многосетевой среде.This topic describes how to configure SQL ServerSQL Server and Windows Firewall with Advanced Security to provide for network connections to an instance of SQL ServerSQL Server in a multi-homed environment.

Примечание

Многосетевой компьютер имеет несколько сетевых адаптеров или настроен для использования нескольких IP-адресов через один сетевой адаптер.A multi-homed computer has multiple network adapters or has been configured to use multiple IP addresses for a single network adapter. Компьютер с двойной привязкой имеет два сетевых адаптера или настроен для использования двух IP-адресов через один сетевой адаптер.A dual-homed computer has two network adapters or has been configured to use two IP addresses for a single network adapter.

Прежде чем продолжать знакомство с этим разделом, необходимо ознакомиться со сведениями, представленными в разделе Настройка брандмауэра Windows для разрешения доступа к SQL Server.Before you continue in this topic, you should be familiar with the information provided in the topic Configure the Windows Firewall to Allow SQL Server Access. Этот раздел содержит основные сведения о работе компонентов SQL ServerSQL Server с брандмауэром.This topic contains basic information about how SQL ServerSQL Server components work with the firewall.

В этом примере предполагается следующее.Assumptions for this example:

  • На компьютере установлены два сетевых адаптера.There are two network adapters installed in the computer. Один или несколько сетевых адаптеров могут быть беспроводными.One or more of the network adapters can be wireless. Можно имитировать работу с двумя сетевыми адаптерами, используя IP-адрес одного сетевого адаптера и IP-адрес замыкания на себя (127.0.0.1) в качестве второго сетевого адаптера.You can simulate having two network adapters by using the IP address of one network adapter, and using the loopback IP address (127.0.0.1) as the second network adapter.

  • Для простоты в этом примере используются адреса IPv4.For simplicity, this example uses IPv4 addresses. Те же процедуры могут выполняться с адресами IPv6.The same procedures can be performed by using IPv6 addresses.

    Примечание

    Адреса IPv4 представляют собой ряд четырехзначных цифр, которые называются октетами.IPv4 addresses are a series of four numbers known as octets. Каждый номер меньше 255 и разделяется точками, например 127.0.0.1.Each number is less than 255, separated by periods, such as 127.0.0.1. Адреса IPv6 представляют собой ряд из восьми шестнадцатеричных цифр, разделенных двоеточием, например fe80:4898:23:3:49a6:f5c1:2452:b994.IPv6 addresses are a series of eight hexadecimal numbers separated by colons, such as fe80:4898:23:3:49a6:f5c1:2452:b994.

  • Правила брандмауэра могут разрешать доступ к конкретному порту, например к порту 1433.Firewall rules could allow access through a specific port, such as port 1433. Также правила брандмауэра могут разрешать доступ к программе компонента Компонент SQL Server Database EngineSQL Server Database Engine (sqlservr.exe).Or firewall rules could allow access to the Компонент SQL Server Database EngineSQL Server Database Engine program (sqlservr.exe). Эти методы мало отличаются друг от друга.Neither method is better than the other. Поскольку сервер в пограничной сети более уязвим для атаки, чем серверы в интрасети, в этом разделе предполагается, что обеспечивается более полный контроль путем открытия конкретных портов.Because a server in a perimeter network is more vulnerable to attack than servers on an intranet, this topic assumes that you want to have more precise control, and individually select the ports that you open. По этой причине предполагается настройка SQL ServerSQL Server для прослушивания фиксированного порта.For that reason, this topic assumes that you will configure SQL ServerSQL Server to listen on a fixed port. Дополнительные сведения о портах, используемых SQL ServerSQL Server , см. в разделе Настройка брандмауэра Windows для разрешения доступа к SQL Server.For more information about the ports that SQL ServerSQL Server uses, see Configure the Windows Firewall to Allow SQL Server Access.

  • В примере настраивается доступ к компоненту Database EngineDatabase Engine через TCP-порт 1433.This example configures access to the Database EngineDatabase Engine by using TCP port 1433. Другие порты, которые используются различными компонентами SQL ServerSQL Server , можно настроить с помощью тех же общих шагов.The other ports that are the different SQL ServerSQL Server components use can be configured by using the same general steps.

Ниже указаны необходимые общие шаги в этом примере.The general steps in this example are as follows:

  • Определение IP-адреса компьютера.Determine the IP addresses on the computer.

  • Настройка SQL ServerSQL Server для прослушивания конкретного TCP-порта.Configure SQL ServerSQL Server to listen on a specific TCP port.

  • Настройка брандмауэра Windows в режиме повышенной безопасности.Configure Windows Firewall with Advanced Security.

Необязательные процедурыOptional Procedures

Если IP-адреса, доступные для компьютера и используемые SQL ServerSQL Server, уже известны, эти процедуры можно пропустить.If you already know the IP addresses available to your computer and that are used by SQL ServerSQL Server, you can skip these procedures.

Определение доступных для компьютера IP-адресовTo determine the IP addresses available on the computer

  1. На компьютере, на котором SQL ServerSQL Server — установлен, нажмите кнопку запустить, нажмите кнопку запуска, тип cmd и затем Нажмите кнопку ОК.Click OK..On the computer on which SQL ServerSQL Server is installed, click Start, click Run, type cmd and then Нажмите кнопку ОК.Click OK..

  2. В командной строке введите ipconfig, и нажмите клавишу ВВОД, чтобы вывести список IP-адресов, доступных на этом компьютере.In the Command Prompt window, type ipconfig, and then press ENTER to list the IP addresses available on this computer.

    Примечание

    Команда ipconfig иногда выводит большой список возможных соединений, в том числе отключенных.The ipconfig command sometimes lists many possible connections, including connections that are disconnected. Команда ipconfig выводит как адреса IPv4, так и адреса IPv6.The ipconfig command can list both IPv4 and IPv6 addresses.

  3. Запишите использующиеся адреса IPv4 и IPv6.Note the IPv4 addresses and IPv6 addresses that are being used. Другие сведения в списке, например временные адреса, маски подсети и шлюзы по умолчанию, являются важными для настройки сети TCP/IP.The other information in the list, such as temporary addresses, subnet masks, and default gateways is important information for configuring a TCP/IP network. Однако они не используются в этом примере.But this information is not used in this example.

Определение IP-адресов и портов, используемых SQL ServerSQL ServerTo determine the IP addresses and ports used by SQL ServerSQL Server

  1. Нажмите кнопку Пуск, последовательно наведите указатель на пункты Все программы, Microsoft SQL Server 2014Microsoft SQL Server 2014, Средства настройки и выберите пункт Диспетчер конфигурации SQL ServerSQL Server .Click Start, point to All Programs, point to Microsoft SQL Server 2014Microsoft SQL Server 2014, point to Configuration Tools, and then click SQL ServerSQL Server Configuration Manager.

  2. В области консоли SQL ServerSQL ServerДиспетчер конфигурации разверните узел Сетевая конфигурацияSQL ServerSQL Server , затем Протоколы для <имя экземпляра> , и дважды щелкните TCP/IP.In SQL ServerSQL Server Configuration Manager, in the console pane, expand SQL ServerSQL Server Network Configuration, expand Protocols for <instance name>, and then double-click TCP/IP.

  3. В диалоговом окне Свойства TCP/IP на вкладке IP-адреса появится несколько IP-адресов в формате IP1, IP2до IPAll.In the TCP/IP Properties dialog box, on the IP Addresses tab, several IP addresses appear in the format IP1, IP2, up to IPAll. Одним из приведенных IP-адресов является адрес адаптера заглушки 127.0.0.1.One of these is for the IP address of the loopback adapter, 127.0.0.1. Для каждого IP-адреса, настроенного на компьютере, появятся дополнительные IP-адреса.Additional IP addresses appear for each IP Address configured on the computer.

  4. Если для какого-либо IP-адреса в диалоговом окне Динамические TCP-порты содержится значение 0, это означает, что компонент Database EngineDatabase Engine прослушивает динамические порты.For any IP address if the TCP Dynamic Ports dialog box contains 0, this indicates that the Database EngineDatabase Engine is listening on dynamic ports. В этом примере используются фиксированные, а не динамические порты, которые могут измениться после перезапуска компьютера.This example uses fixed ports instead of dynamic ports which could change upon restart. Поэтому, если в диалоговом окне Динамические TCP-порты содержится значение 0, удалите его.Therefore if the TCP Dynamic Ports dialog box contains 0, delete the 0.

  5. Запишите TCP-порт, который приводится в списке для каждого настраиваемого IP-адреса.Note the TCP port that is listed for each IP address that you want to configure. В этом примере предполагается, что оба IP-адреса прослушивают порт по умолчанию 1433.For this example, assume that both IP addresses are listening on the default port, 1433.

  6. Если нежелательно, чтобы SQL ServerSQL Server использовал некоторые доступные порты, на вкладке Протокол измените значение Прослушивать все на значение Нет, а на вкладке IP-адреса измените значение Активный на Нет для IP-адресов, которые не будут использоваться.If you do not want SQL ServerSQL Server to use some of the available ports, on the Protocol tab, change the Listen All value to No; and on the IP Addresses tab, change the Active value to No for the IP addresses that you do not want to use.

Настройка брандмауэра Windows в режиме повышенной безопасностиConfiguring Windows Firewall with Advanced Security

После того как стали известны IP-адреса, которые использует компьютер, и порты SQL ServerSQL Server , можно создать правила брандмауэра, а затем настроить эти правила для конкретных IP-адресов.After you know the IP addresses that the computer uses and the ports that SQL ServerSQL Server uses, you can create firewall rules, and then configure those rules for specific IP addresses.

Создание правила брандмауэраTo create a firewall rule

  1. На компьютере, на котором установлен SQL ServerSQL Server , войдите в систему в качестве администратора.On the computer on which SQL ServerSQL Server is installed, log on as an administrator..

  2. Нажмите кнопку запустить, нажмите кнопку запуска, тип wf.mscи нажмите кнопку ОК.Click Start, click Run, type wf.msc, and click OK.

  3. В диалоговом окне Контроль учетных записей пользователей нажмите кнопку Продолжить , чтобы с помощью учетных данных администратора открыть оснастку брандмауэра Windows в режиме повышенной безопасности.In the User Account Control dialog box, click Continue to use the Administrator credentials to open the Windows Firewall with Advanced Security snap-in.

  4. На странице Обзор подтвердите, что брандмауэр Windows включен.On the Overview page, confirm that the Windows Firewall is enabled.

  5. В левой панели щелкните Правила для входящих подключений.In the left pane, click Inbound Rules.

  6. Щелкните правой кнопкой мыши Правила для входящих подключенийи выберите команду Создать правило , чтобы открыть мастер создания правила для входящего подключения.Right-click Inbound Rules, and then click New Rule to open the New Inbound Rule Wizard.

  7. Можно создать правило для программы SQL ServerSQL Server .You could create a rule for the SQL ServerSQL Server program. Так как в этом примере используется фиксированный порт, выберите Порти нажмите кнопку Далее.However, because this example uses a fixed port, select Port, and then click Next.

  8. На странице Протоколы и порты выберите TCP.On the Protocols and Ports page, select TCP.

  9. Выберите Указанные локальные порты.Select Specified local ports. Введите номера портов через запятую и нажмите кнопку Далее.Type the port numbers separated by commas, and then click Next. В этом примере настраивается порт по умолчанию, поэтому введите 1433.In this example, you will configure the default port; therefore, enter 1433.

  10. На странице Действия просмотрите параметры.On the Action page, review the options. В этом примере брандмауэр не используется для принудительного включения безопасных соединений.In this example, you are not using the firewall to force secure connections. Поэтому выберите Разрешить подключениеи нажмите кнопку Далее.Therefore, click Allow the connection, and then click Next.

    Примечание

    Однако среда может потребовать безопасные соединения.Your environment might require secure connections. Если выбрать один из параметров безопасных соединений, можно настроить сертификат, а затем — параметр Принудительное шифрование.If you select one of the secure connections options, you might have to configure a certificate and the Force Encryption option. Дополнительные сведения о безопасных соединениях см. в разделах Включение шифрования соединений в ядре СУБД (диспетчер конфигурации SQL Server) и Включение шифрования соединений в ядре СУБД (диспетчер конфигурации SQL Server).For more information about secure connections, see Enable Encrypted Connections to the Database Engine (SQL Server Configuration Manager) and Enable Encrypted Connections to the Database Engine (SQL Server Configuration Manager).

  11. На странице Профиль выберите один или несколько профилей для этого правила.On the Profile page, select one or more profiles for the rule. Чтобы получить дополнительные сведения о профилях брандмауэра, щелкните ссылку Подробнее о профилях в программе брандмауэра.If you are unfamiliar with firewall profiles, click the Learn more about profiles link in the firewall program.

    • Если компьютер является сервером и доступен только при соединении с доменом, выберите Домени нажмите кнопку Далее.If the computer is a server and is available only when it is connected to a domain, select Domain, and then click Next.

    • Если компьютер является мобильным (например, переносным компьютером), он, скорее всего, будет использовать несколько профилей при соединении с разными сетями.If the computer is a mobile computer (for example a laptop), it is likely to use multiple profiles when it connects to different networks. В этом случае можно настроить разные возможности доступа для разных профилей.For a mobile computer, you can configure different access capabilities for different profiles. Например, можно разрешить доступ, если компьютер использует профиль домена, и не разрешить — при использовании открытого профиля.For example, you might allow access when the computer uses the Domain profile but not allow access when it uses the Public profile.

  12. На странице Имя введите имя и описание правила и нажмите кнопку Готово.On the Name page, provide a name and description for the rule, and then click Finish.

  13. Повторите эту процедуру для создания другого правила для каждого IP-адреса, используемого SQL ServerSQL Server .Repeat this procedure to create another rule for each IP address that SQL ServerSQL Server will use.

После создания одного или нескольких правил выполните следующие шаги, чтобы настроить каждый IP-адрес компьютера для использования правил.After you have created one or more rules, perform the following steps to configure each IP address on the computer to use a rule.

Настройка правила брандмауэра для конкретных IP-адресовTo configure the firewall rule for a specific IP addresses

  1. На странице Правила для входящих подключений окна Брандмауэр Windows в режиме повышенной безопасностищелкните правой кнопкой мыши только что созданное правило и выберите пункт Свойства.On the Inbound Rules page of the Windows Firewall with Advanced Security, right-click the rule that you just created, and then click Properties.

  2. В диалоговом окне Свойства правила перейдите на вкладку Область .In the Rule Properties dialog box, select the Scope tab.

  3. В области Локальный IP-адрес выберите Указанные IP-адресаи нажмите кнопку Добавить.In the Local IP address area, select These IP addresses, and then click Add.

  4. В диалоговом окне IP-адрес выберите IP-адрес или подсетьи введите один из IP-адресов, которые нужно настроить.In the IP Address dialog box, select This IP address or subnet, and then type one of the IP addresses that you want to configure.

  5. Нажмите кнопку ОК.Click OK.

  6. В области Удаленный IP-адрес выберите Указанные IP-адресаи нажмите кнопку Добавить.In the Remote IP address area, select These IP addresses, and then click Add.

  7. В диалоговом окне IP-адрес настройте обмен данными для выбранного IP-адреса компьютера.Use the IP Address dialog box to configure connectivity for the selected IP address on the computer. Можно включать соединения через указанные IP-адреса, диапазоны IP-адресов, целые подсети или определенные компьютеры.You can enable connections from specified IP addresses, ranges of IP addresses, whole subnets, or from certain computers. Чтобы правильно настроить этот параметр, необходимо хорошо понимать работу сети.To configure this option correctly, you must have a good understanding of the network. Сведения о сети можно узнать у администратора сети.For information about the network, see the network administrator.

  8. Нажмите кнопку ОК , чтобы закрыть диалоговое окно IP-адрес, затем нажмите кнопку ОК , чтобы закрыть диалоговое окно Свойства правила .To close the IP Address dialog box, click OK; and then click OK to close the Rule Properties dialog box.

  9. Чтобы настроить другие IP-адреса на многосетевом компьютере, повторите эту процедуру для каждого IP-адреса, используя другое правило.To configure the other IP addresses on a multi-homed computer, repeat this procedure by using another IP address and another rule.

См. такжеSee Also

Служба обозревателя SQL Server (компонент Database Engine и SSAS) SQL Server Browser Service (Database Engine and SSAS)
Подключение к SQL Server через прокси-сервер (диспетчер конфигурации SQL Server)Connect to SQL Server Through a Proxy Server (SQL Server Configuration Manager)