Поделиться через

Настройка многосетевого компьютера для доступа к SQL Server

Если сервер должен предоставить соединение с двумя или более сетями или подсетями, обычно используется многосетевой компьютер. Часто этот компьютер расположен в пограничной сети (также известной как DMZ, демилитаризованная зона или экранированная подсеть). В этом разделе описывается настройка SQL Server и брандмауэра Windows с расширенной безопасностью для обеспечения сетевых подключений к экземпляру SQL Server в многодомной среде.

Замечание

Компьютер с несколькими сетевыми подключениями имеет несколько сетевых адаптеров или настроен для использования нескольких IP-адресов для одного сетевого адаптера. Компьютер с двойным подключением имеет два сетевых адаптера или настроен для использования двух IP-адресов через один сетевой адаптер.

Прежде чем продолжить работу в этом разделе, необходимо ознакомиться с информацией, предоставленной в разделе "Настройка брандмауэра Windows для разрешения доступа к SQL Server". В этом разделе содержатся основные сведения о работе компонентов SQL Server с брандмауэром.

В этом примере предполагается следующее.

  • На компьютере установлены два сетевых адаптера. Один или несколько сетевых адаптеров могут быть беспроводными. Можно имитировать наличие двух сетевых адаптеров, используя IP-адрес одного сетевого адаптера и IP-адрес цикла (127.0.0.1) в качестве второго сетевого адаптера.

  • Для простоты в этом примере используются адреса IPv4. Те же процедуры могут выполняться с адресами IPv6.

    Замечание

    Адреса IPv4 представляют собой ряд четырехзначных цифр, которые называются октетами. Каждое число меньше 255 и разделяется точками, например 127.0.0.1. Адреса IPv6 представляют собой ряд из восьми шестнадцатеричных цифр, разделенных двоеточием, например fe80:4898:23:3:49a6:f5c1:2452:b994.

  • Правила брандмауэра могут разрешать доступ к конкретному порту, например к порту 1433. Также правила брандмауэра могут разрешать доступ к программе ядра СУБД SQL Server (sqlservr.exe). Эти методы мало отличаются друг от друга. Так как сервер в сети периметра более уязвим для атаки, чем серверы в интрасети, предполагается, что вы хотите иметь более точный контроль, и вы самостоятельно выбираете, какие порты открыть. По этой причине в этом разделе предполагается, что SQL Server будет настроен для прослушивания фиксированного порта. Дополнительные сведения о портах, используемых SQL Server, см. в статье Настройка брандмауэра Windows для разрешения доступа к SQL Server.

  • В примере настраивается доступ к ядру СУБД через TCP-порт 1433. Другие порты, которые используются различными компонентами SQL Server, можно настроить с помощью тех же общих шагов.

Ниже указаны необходимые общие шаги в этом примере.

  • Определение IP-адреса компьютера.

  • Настройте SQL Server для подключения через определенный TCP-порт.

  • Настройка брандмауэра Windows в режиме повышенной безопасности.

Необязательные процедуры

Если IP-адреса, доступные для компьютера и используемые SQL Server, уже известны, эти процедуры можно пропустить.

Определение доступных для компьютера IP-адресов

  1. На компьютере, на котором установлен SQL Server, нажмите кнопку "Пуск", нажмите кнопку "Запустить", введите cmd и нажмите кнопку "ОК".

  2. В окне командной строки введите ipconfig, и нажмите клавишу ВВОД, чтобы получить список IP-адресов, доступных на этом компьютере.

    Замечание

    Команда ipconfig иногда выводит большой список возможных соединений, в том числе отключенных. Команда ipconfig выводит как адреса IPv4, так и адреса IPv6.

  3. Запишите использующиеся адреса IPv4 и IPv6. Другие сведения в списке, например временные адреса, маски подсети и шлюзы по умолчанию, являются важными для настройки сети TCP/IP. Однако они не используются в этом примере.

Определение IP-адресов и портов, используемых SQL Server

  1. Нажмите кнопку "Пуск", наведите указатель на все программы, наведите указатель на Microsoft SQL Server 2014, наведите указатель на средства настройки и выберите диспетчер конфигурации SQL Server.

  2. В области консоли диспетчера конфигурации SQL Server разверните узел Сетевая конфигурация SQL Server, разверните узел Протоколы для <имя экземпляра>, а затем дважды щелкните TCP/IP.

  3. В диалоговом окне Свойства TCP/IP на вкладке IP-адреса появится несколько IP-адресов в формате IP1, IP2до IPAll. Одним из этих адресов является IP-адрес адаптера обратной петли, 127.0.0.1. Для каждого IP-адреса, настроенного на компьютере, появятся дополнительные IP-адреса.

  4. Если для какого-либо IP-адреса в диалоговом окне Динамические TCP-порты содержится значение 0, это означает, что ядро СУБД прослушивает динамические порты. В этом примере используются фиксированные, а не динамические порты, которые могут измениться после перезапуска компьютера. Поэтому, если в диалоговом окне Динамические TCP-порты содержится значение 0, удалите его.

  5. Запишите TCP-порт, который приводится в списке для каждого настраиваемого IP-адреса. В этом примере предполагается, что оба IP-адреса прослушивают порт по умолчанию 1433.

  6. Если нежелательно, чтобы SQL Server использовал некоторые доступные порты, на вкладке Протокол измените значение Прослушивать все на значение Нет, а на вкладке IP-адреса измените значение Активный на Нет для IP-адресов, которые не будут использоваться.

Настройка брандмауэра Windows в режиме повышенной безопасности

После того как стали известны IP-адреса, которые использует компьютер, и применяемые SQL Server порты, можно создать правила брандмауэра, а затем настроить их для конкретных IP-адресов.

Создание правила брандмауэра

  1. На компьютере, на котором установлен SQL Server, войдите в систему в качестве администратора.

  2. Нажмите кнопку "Пуск", нажмите кнопку "Запустить", введите wf.mscи нажмите кнопку "ОК".

  3. В диалоговом окне Контроль учетных записей пользователей нажмите Продолжить, чтобы с помощью учетных данных администратора открыть модуль брандмауэра Windows с расширенной безопасностью.

  4. На странице Обзор подтвердите, что брандмауэр Windows включен.

  5. В левой панели щелкните Правила для входящих подключений.

  6. Щелкните правой кнопкой мыши Правила для входящих подключенийи выберите команду Создать правило , чтобы открыть мастер создания правила для входящего подключения.

  7. Можно создать правило для программы SQL Server. Так как в этом примере используется фиксированный порт, выберите Порти нажмите кнопку Далее.

  8. На странице Протоколы и порты выберите TCP.

  9. Выберите Указанные локальные порты. Введите номера портов через запятую и нажмите кнопку Далее. В этом примере вы настроите порт по умолчанию; следовательно, введите 1433.

  10. На странице Действия просмотрите параметры. В этом примере брандмауэр не используется для принудительного включения безопасных соединений. Поэтому выберите Разрешить подключениеи нажмите кнопку Далее.

    Замечание

    В вашей среде могут потребоваться безопасные соединения. Если выбрать один из параметров безопасных соединений, можно настроить сертификат, а затем — параметр Принудительное шифрование . Дополнительные сведения о безопасных соединениях см. в разделах Включение шифрования соединений в ядре СУБД (диспетчер конфигурации SQL Server) и Включение шифрования соединений в ядре СУБД (диспетчер конфигурации SQL Server).

  11. На странице Профиль выберите один или несколько профилей для этого правила. Если вы не знакомы с профилями брандмауэра, щелкните ссылку Подробнее о профилях в программе брандмауэра.

    • Если компьютер является сервером и доступен только при соединении с доменом, выберите Домени нажмите кнопку Далее.

    • Если компьютер является мобильным (например, переносным компьютером), он, скорее всего, будет использовать несколько профилей при соединении с разными сетями. Для мобильного компьютера можно настроить разные возможности доступа для разных профилей. Например, можно разрешить доступ, если компьютер использует профиль домена, и не разрешить — при использовании открытого профиля.

  12. На странице Имя введите имя и описание правила и нажмите кнопку Готово.

  13. Повторите эту процедуру для создания другого правила для каждого IP-адреса, используемого SQL Server.

После создания одного или нескольких правил выполните следующие шаги, чтобы настроить каждый IP-адрес компьютера для использования правил.

Настройка правила брандмауэра для конкретных IP-адресов

  1. На странице Правила для входящих подключений окна Брандмауэр Windows в режиме повышенной безопасностищелкните правой кнопкой мыши только что созданное правило и выберите пункт Свойства.

  2. В диалоговом окне Свойства правила перейдите на вкладку Область .

  3. В области Локальный IP-адрес выберите Указанные IP-адресаи нажмите кнопку Добавить.

  4. В диалоговом окне IP-адрес выберите IP-адрес или подсетьи введите один из IP-адресов, которые нужно настроить.

  5. Нажмите кнопку ОК.

  6. В области Удаленный IP-адрес выберите Указанные IP-адресаи нажмите кнопку Добавить.

  7. В диалоговом окне IP-адрес настройте обмен данными для выбранного IP-адреса компьютера. Можно включать соединения через указанные IP-адреса, диапазоны IP-адресов, целые подсети или определенные компьютеры. Чтобы правильно настроить этот параметр, необходимо хорошо понимать работу сети. Сведения о сети можно узнать у администратора сети.

  8. Нажмите кнопку ОК , чтобы закрыть диалоговое окно IP-адрес, затем нажмите кнопку ОК , чтобы закрыть диалоговое окно Свойства правила .

  9. Чтобы настроить другие IP-адреса на многосетевом компьютере, повторите эту процедуру для каждого IP-адреса, используя другое правило.

См. также

Служба обозревателя SQL Server (ядро СУБД и SSAS)
Подключение к SQL Server через прокси-сервер (диспетчер конфигурации SQL Server)

  • Last updated on