Konfigurieren der Windows-Firewall für den SQL Server-Zugriff

In diesem Thema

Dieses Thema enthält die folgenden Abschnitte:

Grundlegende Firewallinformationen

Standardeinstellungen der Firewall

Programme zur Konfiguration der Firewall

Vom Datenbankmodul verwendete Ports

Von Analysis Services verwendete Ports

Von Reporting Services verwendete Ports

Von Integration Services verwendete Ports

Zusätzliche Ports und Dienste

Interaktion mit anderen Firewallregeln

Übersicht über Firewallprofile

Zusätzliche Firewalleinstellungen mithilfe des Eintrags „Windows-Firewall“ in der Systemsteuerung

Verwenden des Snap-Ins „Windows-Firewall mit erweiterter Sicherheit“

Behandeln von Problemen mit Firewalleinstellungen

Grundlegende Firewallinformationen

Firewalls überprüfen eingehende Pakete und vergleichen diese mit einer Gruppe von Regeln. Wenn die Regeln das Paket zulassen, leitet die Firewall das Paket an das TCP/IP-Protokoll zur zusätzlichen Verarbeitung weiter. Wenn die Regeln das Paket nicht zulassen, verwirft die Firewall das Paket und erstellt, wenn die Protokollierung aktiviert ist, einen Eintrag in der Firewallprotokolldatei.

Die Liste des zugelassenen Datenverkehrs wird auf eine der folgenden Arten aufgefüllt:

• Wenn der Computer, auf dem die Firewall aktiviert ist, die Kommunikation startet, erstellt die Firewall einen Eintrag in der Liste, sodass die Antwort zugelassen wird. Da die eingehende Antwort als angeforderter Datenverkehr betrachtet wird, müssen Sie dies nicht konfigurieren.

• Ein Administrator konfiguriert Ausnahmen für die Firewall. Dies ermöglicht entweder den Zugriff auf angegebene Programme, die auf dem Computer ausgeführt werden, oder den Zugriff auf angegebene Verbindungsports auf dem Computer. In diesem Fall akzeptiert der Computer den unangefordert eingehenden Datenverkehr, wenn er als Server, Listener oder Peer fungiert. Dieser Typ der Konfiguration muss durchgeführt werden, damit eine Verbindung mit SQL Server hergestellt werden kann.

Das Festlegen einer Firewallstrategie ist komplexer als die bloße Entscheidung, ob ein bestimmter Port geöffnet oder geschlossen werden sollte. Beim Entwickeln einer Firewallstrategie für Ihr Unternehmen sollten Sie sicherstellen, dass Sie alle Regeln und Konfigurationsoptionen berücksichtigen, die Ihnen zur Verfügung stehen. In diesem Thema werden nicht alle möglichen Firewalloptionen behandelt. Es wird empfohlen, die folgenden Dokumente zu beachten:

Getting Started with Windows Firewall with Advanced Security in Windows Vista and Windows Server 2008

Windows Firewall with Advanced Security Design Guide

Introduction to Server and Domain Isolation

Standardeinstellungen der Firewall

Der erste Schritt bei der Planung der Firewallkonfiguration ist die Bestimmung des aktuellen Status der Firewall Ihres Betriebssystems. Wenn das Betriebssystem aus einer vorherigen Version aktualisiert wurde, wurden die früheren Firewalleinstellungen möglicherweise beibehalten. Außerdem kann es sein, dass die Firewalleinstellungen von einem anderen Administrator oder von einer Gruppenrichtlinie in Ihrer Domäne geändert wurden. Die Standardeinstellungen lauten jedoch wie folgt:

• Windows Server 2008

  Die Firewall ist eingeschaltet und blockiert Remoteverbindungen.

• Windows Server 2003

  Die Firewall ist ausgeschaltet. Administratoren sollten die Firewall einschalten.

• Windows Vista

  Die Firewall ist eingeschaltet und blockiert Remoteverbindungen.

• Windows XP, Service Pack 2 oder höher

  Die Firewall ist eingeschaltet und blockiert Remoteverbindungen.

• Windows XP, Service Pack 1 oder früher

  Die Firewall ist ausgeschaltet und sollte eingeschaltet werden.

Hinweis
Das Einschalten der Firewall wirkt sich auf andere Programme aus, die auf diesen Computer zugreifen, wie z. B. die Datei- und Druckerfreigabe und Remotedesktopverbindungen. Administratoren sollten vor dem Anpassen der Firewalleinstellungen alle auf dem Computer ausgeführten Anwendungen berücksichtigen.

Programme zur Konfiguration der Firewall

Es gibt drei Möglichkeiten, die Einstellungen der Windows-Firewall zu konfigurieren.

• Das Element Windows-Firewall in der Systemsteuerung

  Das Element Windows-Firewall kann in der Systemsteuerung geöffnet werden.

  Wichtig

  Änderungen, die in der Systemsteuerung am Element Windows-Firewall vorgenommenen werden, wirken sich nur auf das aktuelle Profil aus. Für mobile Geräte, wie z. B. einen Laptop, sollte das Element Windows-Firewall in der Systemsteuerung nicht verwendet werden, da sich das Profil ändern kann, wenn es in einer anderen Konfiguration angeschlossen wird. Dann ist das zuvor konfigurierte Profil nicht wirksam. Weitere Informationen über Profile finden Sie unter Getting Started with Windows Firewall with Advanced Security in Windows Vista and Windows Server 2008.

  Das Element Windows-Firewall in der Systemsteuerung ermöglicht Ihnen die Konfiguration grundlegender Optionen. Dabei handelt es sich um folgende:

  • Ein- oder Ausschalten des Elements Windows-Firewall in der Systemsteuerung

  • Aktivieren und Deaktivieren von Regeln

  • Gewähren von Ausnahmen für Ports und Programme

  • Festlegen einiger Bereichseinschränkungen

  Das Element Windows-Firewall in der Systemsteuerung eignet sich am besten für Benutzer, die mit der Konfiguration einer Firewall keine Erfahrung haben und grundlegende Firewalloptionen für nicht mobile Computer konfigurieren. Sie können das Element Windows-Firewall in der Systemsteuerung auch mit dem Befehl run öffnen. Gehen Sie hierzu wie folgt vor:

  So öffnen Sie das Element „Windows-Firewall“

  1. Klicken Sie im Menü Start auf Ausführen, und geben Sie dann firewall.cpl ein.

  2. Klicken Sie auf OK.

• Microsoft Management Console (MMC)

  Mithilfe des MMC-Snap-Ins „Windows-Firewall mit erweiterter Sicherheit“ können Sie erweiterte Firewalleinstellungen konfigurieren. Dieses Snap-In ist nur für Microsoft Vista und Windows Server 2008 verfügbar; es stellt jedoch die meisten Firewalloptionen in benutzerfreundlicher Form dar und bietet sämtliche Firewallprofile. Weitere Informationen finden Sie unter Verwenden des Snap-Ins „Windows-Firewall mit erweiterter Sicherheit“ weiter unten in diesem Thema.

• netsh

  Das Tool netsh.exe kann von einem Administrator verwendet werden, um Windows-basierte Computer an der Eingabeaufforderung oder mittels einer Batchdatei zu konfigurieren und zu überwachen**.** Mithilfe des Tools netsh können Sie die eingegebenen Kontextbefehle an das entsprechende Hilfsprogramm weiterleiten, und das Hilfsprogramm führt dann den Befehl aus. Ein Hilfsprogramm ist eine DLL-Datei (Dynamic Link Library), die die Funktionalität des Tools netsh erweitert, indem sie die Konfiguration, Überwachung und Unterstützung eines oder mehrerer Dienste, Dienstprogramme oder Protokolle ermöglicht. Alle Betriebssysteme, die SQL Server unterstützen, verfügen über ein Firewallhilfsprogramm. MicrosoftWindows Vista und Windows Server 2008 besitzen darüber hinaus noch ein erweitertes Firewallhilfsprogramm namens advfirewall. Die Details der Verwendung von netsh werden in diesem Thema nicht erläutert. Viele der beschriebenen Konfigurationsoptionen können jedoch mit netsh konfiguriert werden. Führen Sie beispielsweise über eine Eingabeaufforderung das folgende Skript aus, um TCP-Port 1433 zu öffnen:

  netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT
  

  Im Folgenden finden Sie ein ähnliches Beispiel, in dem die Windows-Firewall für das Hilfsprogramm für die erweiterte Sicherheit verwendet wird:

  netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN
  

  Skripts zur Konfiguration von SQL Server mittels netsh finden Sie unter Wie Verwenden eines Skripts programmgesteuert zu dem Öffnen von Ports SQL Server Ports auf Systemen, die Windows XP Service Pack 2 ausführen, zu verwenden. Weitere Informationen zu netsh finden Sie unter den folgenden Links:

  • Verwenden des Tools „Netsh.exe“ und Befehlszeilenoptionen

  • How to use the “netsh advfirewall firewall” context instead of the “netsh firewall” context to control Windows Firewall behavior in Windows Server 2008 and in Windows Vista

  • The "netsh firewall" command together with the "profile=all" parameter does not configure the public profile on a Windows Vista-based computer

  • Beheben von Problemen mit Einstellungen der Windows-Firewall in Windows XP Service Pack 2 für fortgeschrittene Benutzer

Von SQL Server verwendete Ports

Die folgenden Tabellen können Sie dabei unterstützen, die von SQL Server verwendeten Ports zu identifizieren.

Vom Datenbankmodul verwendete Ports

In der folgenden Tabelle werden die häufig von Database Engine (Datenbankmodul) verwendeten Ports aufgeführt.

Szenario	Port	Anmerkungen
SQL Server-Standardinstanz, die über TCP ausgeführt wird	TCP-Port 1433	Dies ist der häufigste für die Firewall zulässige Port. Er gilt für Routineverbindungen mit der Standardinstallation von Database Engine (Datenbankmodul) oder einer benannten Instanz, bei der es sich um die einzige auf dem Computer ausgeführte Instanz handelt. (Für benannte Instanzen gelten spezielle Bedingungen. Weitere Informationen finden Sie unter Dynamische Ports weiter unten in diesem Thema.)
Benannte Instanzen von SQL Server in der Standardkonfiguration	Der TCP-Port ist ein dynamischer Port, der zu dem Zeitpunkt bestimmt wird, zu dem Database Engine (Datenbankmodul) startet.	Weitere Informationen finden Sie in den Ausführungen im Abschnitt Dynamische Ports weiter unten. Wenn Sie benannte Instanzen verwenden, ist möglicherweise UDP-Port 1434 für den SQL Server-Browserdienst erforderlich.
Benannte Instanzen von SQL Server, wenn sie für die Verwendung eines festen Ports konfiguriert sind	Die vom Administrator konfigurierte Portnummer.	Weitere Informationen finden Sie in den Ausführungen im Abschnitt Dynamische Ports weiter unten.
Dedizierte Administratorverbindung	TCP-Port 1434 für die Standardinstanz. Andere Ports werden für benannte Instanzen verwendet. Überprüfen Sie das Fehlerprotokoll auf die Portnummer.	Standardmäßig werden Remoteverbindungen über die dedizierte Administratorverbindung (Dedicated Administrator Connection, DAC) nicht aktiviert. Zum Aktivieren der Remote-DAC verwenden Sie das Facet für die Oberflächenkonfiguration. Weitere Informationen finden Sie unter Grundlegendes zur Oberflächenkonfiguration.
SQL Server-Browserdienst	UDP-Port 1434	Der SQL Server-Browserdienst überwacht eine benannte Instanz auf eingehende Verbindungen und liefert dem Client die TCP-Portnummer, die dieser benannten Instanz entspricht. Normalerweise wird der SQL Server-Browserdienst immer dann gestartet, wenn benannte Instanzen von Database Engine (Datenbankmodul) verwendet werden. Der SQL Server-Browserdienst muss nicht gestartet werden, wenn der Client so konfiguriert ist, dass er eine Verbindung mit dem speziellen Port der benannten Instanz herstellt.
SQL Server-Instanz, die über einen HTTP-Endpunkt ausgeführt wird.	Kann angegeben werden, wenn ein HTTP-Endpunkt erstellt wird. Als Standard wird TCP-Port 80 für den CLEAR_PORT-Datenverkehr und 443 für den SSL_PORT-Datenverkehr verwendet.	Wird für eine HTTP-Verbindung über eine URL verwendet
SQL Server-Standardinstanz, die über einen HTTPS-Endpunkt ausgeführt wird.	TCP-Port 443	Wird für eine HTTPS-Verbindung über eine URL verwendet. HTTPS ist eine HTTP-Verbindung, die SSL (Secure Sockets Layer) verwendet.
Service Broker	TCP-Port 4022. Führen Sie die folgende Abfrage aus, um den verwendeten Port zu überprüfen: SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'SERVICE_BROKER'	Für SQL ServerService Broker ist kein Standardport festgelegt, jedoch ist dies die herkömmliche, in Beispielen der Onlinedokumentation verwendete Konfiguration.
Datenbankspiegelung	Vom Administrator ausgewählter Port. Führen Sie die folgende Abfrage aus, um den Port zu bestimmen: SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'DATABASE_MIRRORING'	Für die Datenbankspiegelung ist kein Standardport festgelegt, in Beispielen der Onlinedokumentation wird jedoch TCP-Port 7022 verwendet. Es ist sehr wichtig, eine Unterbrechung eines bereits verwendeten Spiegelungsendpunkts zu vermeiden, insbesondere im Modus für hohe Sicherheit mit automatischem Failover. Die Firewallkonfiguration muss eine Unterbrechung des Quorums vermeiden. Weitere Informationen finden Sie unter Angeben einer Server-Netzwerkadresse (Datenbankspiegelung).
Replikation	Für Replikationsverbindungen mit SQL Server werden die typischen regulären Database Engine (Datenbankmodul)-Ports (TCP-Port 1433 für die Standardinstanz usw.) verwendet. Die Websynchronisierung und der FTP-/UNC-Zugriff für den Replikationssnapshot erfordern das Öffnen zusätzlicher Ports auf der Firewall. Zur Übertragung der Anfangsdaten und des Schemas zwischen unterschiedlichen Standorten kann für die Replikation FTP (TCP-Port 21), die Synchronisierung über HTTP (TCP-Port 80) oder die Datei- und Druckerfreigabe (TCP-Port 137, 138 oder 139) verwendet werden.	Bei der Synchronisierung über HTTP wird für die Replikation der IIS-Endpunkt (Ports, die dafür konfigurierbar sind, standardmäßig aber Port 80) verwendet, aber der IIS-Prozess stellt eine Verbindung mit Back-End-SQL Server über die Standardports (1433 für die Standardinstanz) her. Bei der Websynchronisierung mittels FTP findet die FTP-Übertragung zwischen IIS und dem SQL Server-Verleger und nicht zwischen Abonnent und IIS statt. Weitere Informationen finden Sie unter Configuring Microsoft Internet Security and Acceleration Server for Microsoft SQL Server 2000 Replication over the Internet.
Transact-SQL-Debugger	TCP-Port 135 Siehe Spezielle Überlegungen zu Port 135 Die IPsec-Ausnahme ist möglicherweise auch erforderlich.	Bei Verwendung von Visual Studio müssen Sie außerdem auf dem Visual Studio-Hostcomputer Devenv.exe zur Ausnahmeliste hinzufügen und den TCP-Port 135 öffnen. Bei Verwendung von Management Studio müssen Sie außerdem auf dem Management Studio-Hostcomputer ssms.exe zur Ausnahmeliste hinzufügen und TCP-Port 135 öffnen. Weitere Informationen finden Sie unter Konfigurieren und Starten des Transact-SQL-Debuggers.

Schrittweise Anweisungen zum Konfigurieren der Windows-Firewall für Database Engine (Datenbankmodul) finden Sie unter Vorgehensweise: Konfigurieren einer Windows-Firewall für Datenbankmodulzugriff.

Dynamische Ports

Standardmäßig verwenden benannte Instanzen (einschließlich SQL Server Express) dynamische Ports. Dies bedeutet, dass immer dann, wenn Database Engine (Datenbankmodul) startet, ein verfügbarer Port identifiziert und die entsprechende Portnummer verwendet wird. Wenn es sich bei der benannten Instanz um die einzige von Database Engine (Datenbankmodul) installierte Instanz handelt, wird wahrscheinlich TCP-Port 1433 verwendet. Wenn weitere Instanzen von Database Engine (Datenbankmodul) installiert sind, wird wahrscheinlich ein anderer TCP-Port verwendet. Da sich der ausgewählte Port bei jedem Start von Database Engine (Datenbankmodul) ändern kann, ist es schwierig, die Firewall so zu konfigurieren, dass der Zugriff auf die richtige Portnummer ermöglicht wird. Daher wird bei Verwendung einer Firewall eine Neukonfiguration von Database Engine (Datenbankmodul) empfohlen, damit jedesmal dieselbe Portnummer verwendet wird. Der betreffende Port wird als fester oder statischer Port bezeichnet. Weitere Informationen finden Sie unter Konfigurieren eines festen Ports.

Eine Alternative zum Konfigurieren einer benannten Instanz für die Überwachung eines festen Ports ist die Erstellung einer Ausnahme für ein SQL Server-Programm wie z. B. sqlservr.exe (für Database Engine (Datenbankmodul)) in der Firewall. Dies kann zwar zweckmäßig sein, aber die Portnummer wird nicht in der Spalte Lokaler Port auf der Seite Eingehende Regeln angezeigt, wenn Sie das MMC-Snap-In „Windows-Firewall mit erweiterter Sicherheit“ verwenden. Damit kann es schwieriger werden, zu verfolgen, welche Ports geöffnet sind. Ein weiterer Aspekt ist, dass ein Service Pack oder kumulatives Update den Pfad zur ausführbaren SQL Server-Datei ändern kann, wodurch die Firewallregel ungültig wird.

Hinweis

Im folgenden Verfahren wird das Element Windows-Firewall in der Systemsteuerung verwendet. Mithilfe des MMC-Snap-Ins „Windows-Firewall mit erweiterter Sicherheit“ kann eine komplexere Regel konfiguriert werden. Dazu gehört das Konfigurieren einer Dienstausnahme, was nützlich sein kann, um einen tiefgreifenden Schutz zu ermöglichen. Siehe Verwenden des Snap-Ins „Windows-Firewall mit erweiterter Sicherheit“ weiter unten.

So fügen Sie der Firewall mithilfe des Elements „Windows-Firewall“ in der Systemsteuerung eine Programmausnahme hinzu

1. Klicken Sie unter dem Element Windows-Firewall in der Systemsteuerung auf der Registerkarte Ausnahmen auf Programm hinzufügen.

2. Navigieren Sie zum Speicherort der Instanz von SQL Server, die Sie über die Firewall zulassen möchten, z. B. C:\Programme\Microsoft SQL Server\MSSQL10.<instance_name>\MSSQL\Binn, wählen Sie sqlservr.exe aus, und klicken Sie anschließend auf Öffnen.

3. Klicken Sie auf OK.

Weitere Informationen über Endpunkte finden Sie unter Netzwerkprotokolle und TDS-Endpunkte und Endpunkte-Katalogsichten (Transact-SQL).

Von Analysis Services verwendete Ports

Von Reporting Services verwendete Ports

Von Integration Services verwendete Ports

Zusätzliche Ports und Dienste

Spezielle Überlegungen zu Port 135

Wenn Sie RPC mit TCP/IP oder mit UDP/IP als Transportprotokoll verwenden, werden eingehende Ports den Systemdiensten häufig dynamisch nach Bedarf zugewiesen; hierbei werden TCP/IP- und UDP/IP-Ports verwendet, die größer als Port 1024 sind. Diese werden informell häufig als „zufällige RPC-Ports“ bezeichnet. In solchen Fällen sind die RPC-Clients auf die Information der RPC-Endpunktzuordnung angewiesen, welche dynamischen Ports dem Server zugeordnet wurden. Für einige RPC-basierte Dienste können Sie einen bestimmten Port konfigurieren, statt RPC einen Port dynamisch zuweisen zu lassen. Außerdem können Sie den Bereich der Ports, die von RPC dynamisch zugewiesen werden, unabhängig vom Dienst verkleinern. Da Port 135 für zahlreiche Dienste verwendet wird, wird dieser häufig von böswilligen Benutzern angegriffen. Wenn Sie Port 135 öffnen, erwägen Sie, den Gültigkeitsbereich der Firewallregel einzuschränken.

Weitere Informationen zu Port 135 finden Sie in den folgenden Ressourcen:

• Dienste und Netzwerkportanforderungen für das Windows Server-System

• Beheben von Fehlern bei der RPC-Endpunktzuordnung

• Using Distributed COM with Firewalls

• Remoteprozeduraufruf (RPC)

• Konfigurieren der dynamischen RPC-Portzuweisung für Firewall-Einsatz

• Windows 2000 Startup and Logon Traffic Analysis

Interaktion mit anderen Firewallregeln

Die Windows-Firewall verwendet Regeln und Regelgruppen, um ihre Konfiguration festzulegen. Jede Regel oder Regelgruppe ist normalerweise mit einem bestimmten Programm oder Dienst verknüpft, und dieses Programm oder dieser Dienst kann diese Regel ohne Ihr Wissen ändern oder löschen. Beispielsweise sind die Regelgruppen WWW-Dienste (HTTP) und Sichere WWW-Dienste (HTTPS) mit IIS verknüpft. Die Aktivierung dieser Regeln öffnet die Ports 80 und 443, und die SQL Server-Features, die auf den Ports 80 und 443 beruhen, werden ausgeführt, wenn diese Regeln aktiviert sind. Administratoren, die IIS konfigurieren, können diese Regeln jedoch ändern oder deaktivieren. Deshalb sollten Sie, wenn Sie Port 80 oder Port 443 für SQL Server verwenden, Ihre eigene Regel oder Regelgruppe erstellen, die Ihre gewünschte Portkonfiguration unabhängig von den anderen IIS-Regeln beibehält.

Das MMC-Snap-In „Windows-Firewall mit erweiterter Sicherheit“ erlaubt jeden Datenverkehr, der mit einer entsprechenden Zulassungsregel übereinstimmt. Wenn also zwei Regeln vorhanden sind, die beide für Port 80 gelten (mit unterschiedlichen Parametern), wird derjenige Datenverkehr zugelassen, der mit einer der beiden Regeln übereinstimmt. Wenn eine Regel den Datenverkehr über Port 80 von einem lokalen Subnetz und eine Regel den Datenverkehr von einer beliebigen Adresse erlaubt, wird letztendlich der gesamte Datenverkehr über Port 80 unabhängig von der Quelle zugelassen. Um den Zugriff auf SQL Server effektiv zu verwalten, sollten Administratoren alle auf dem Server aktivierten Firewallregeln in regelmäßigen Abständen überprüfen.

Übersicht über Firewallprofile

Firewallprofile werden unter Getting Started with Windows Firewall with Advanced Security in Windows Vista and Windows Server 2008 im Abschnitt Network location-aware host firewall behandelt. Zusammenfassend gilt: Windows Vista und Windows Server 2008 identifizieren und merken sich alle Netzwerke, mit denen sie eine Verbindung herstellen, in Bezug auf Konnektivität, Verbindungen und Kategorie.

In Windows-Firewall mit erweiterter Sicherheit gibt es drei Netzwerkstandorttypen:

• Domäne. Windows kann den Zugriff auf den Domänencontroller für die Domäne des Netzwerks, mit dem der Computer verbunden ist, authentifizieren.

• Öffentlich. Alle neu erkannten Netzwerke, außer Domänennetzwerke, werden zunächst als öffentlich kategorisiert. Netzwerke, die direkte Verbindungen zum Internet darstellen oder sich an öffentlichen Orten wie z. B. auf Flughäfen und in Cafés befinden, sollten auch öffentlich bleiben.

• Privat. Ein Netzwerk, das von einem Benutzer oder einer Anwendung als privat gekennzeichnet wird. Es sollten nur vertrauenswürdige Netzwerke als private Netzwerke gekennzeichnet werden. Benutzer können Heim- oder kleine Firmennetzwerke als privat kennzeichnen.

Der Administrator kann für jeden Netzwerkstandorttyp ein Profil erstellen. Dabei kann jedes Profil unterschiedliche Firewallrichtlinien enthalten. Es wird immer nur ein Profil angewendet. Die Profilreihenfolge wird wie folgt angewendet:

1. Wenn alle Schnittstellen gegenüber dem Domänencontroller für die Domäne, deren Mitglied der Computer ist, authentifiziert werden, wird das Domänenprofil angewendet.

2. Wenn alle Schnittstellen entweder gegenüber dem Domänencontroller authentifiziert oder mit Netzwerken, die als private Netzwerkstandorte klassifiziert sind, verbunden werden, wird das private Profil angewendet.

3. Andernfalls wird das öffentliche Profil angewendet.

Verwenden Sie das MMC-Snap-In „Windows-Firewall mit erweiterter Sicherheit“, um alle Firewallprofile anzuzeigen und zu konfigurieren. Mithilfe des Elements Windows-Firewall in der Systemsteuerung kann nur das aktuelle Profil konfiguriert werden.

Zusätzliche Firewalleinstellungen mithilfe des Eintrags „Windows-Firewall“ in der Systemsteuerung

Ausnahmen, die Sie der Firewall hinzufügen, können das Öffnen des Ports bei eingehenden Verbindungen von bestimmten Computern oder vom lokalen Subnetz einschränken. Diese Einschränkung des Bereichs der Portöffnung kann den Umfang, in dem Ihr Computer böswilligen Benutzern ausgesetzt ist, verringern und wird daher empfohlen.

Hinweis
Mithilfe des Elements Windows-Firewall in der Systemsteuerung wird nur das aktuelle Firewallprofil konfiguriert.

So ändern Sie den Bereich einer Firewallausnahme mithilfe des Elements „Windows-Firewall“ in der Systemsteuerung

Verwenden des Snap-Ins „Windows-Firewall mit erweiterter Sicherheit“

Auf Computern, auf denen Vista oder Windows Server 2008 ausgeführt wird, können mithilfe des MMC-Snap-Ins „Windows-Firewall mit erweiterter Sicherheit“ zusätzliche erweiterte Firewalleinstellungen konfiguriert werden. Das Snap-In enthält einen Regel-Assistenten und bietet Zusatzeinstellungen, die im Element Windows-Firewall in der Systemsteuerung nicht verfügbar sind. Dazu gehören folgende Einstellungen:

• Verschlüsselungseinstellungen

• Einschränkungen für Dienste

• Einschränken von Verbindungen für Computer nach Name

• Einschränken von Verbindungen für bestimmte Benutzer oder Profile

• Randüberquerung, die dem Datenverkehr die Umgehung von NAT-Routern (Network Address Translation) erlaubt

• Konfigurieren von ausgehenden Regeln

• Konfigurieren von Sicherheitsregeln

• Erfordern von IPsec für eingehende Verbindungen

So erstellen Sie eine neue Firewallregel mit dem Assistenten für neue Regeln

Behandeln von Problemen mit Firewalleinstellungen

Die folgenden Tools und Techniken können bei der Behandlung von Problemen mit der Firewall nützlich sein:

• Der effektive Portstatus ist die Gesamtheit aller Regeln, die den Port betreffen. Beim Versuch, den Zugriff über einen Port zu blockieren, kann es hilfreich sein, alle Regeln, die die Portnummer nennen, zu überprüfen. Verwenden Sie hierzu das MMC-Snap-In „Windows-Firewall mit erweiterter Sicherheit“, und sortieren Sie die ein- und ausgehenden Regeln nach Portnummer.

• Überprüfen Sie die Ports, die auf dem Computer aktiv sind, auf dem SQL Server ausgeführt wird. Dazu muss überprüft werden, welche TCP/IP-Ports überwacht werden und welchen Status diese Ports besitzen.

  Um zu überprüfen, welche Ports überwacht werden, verwenden Sie das netstat-Befehlszeilen-Dienstprogramm. Zusätzlich zur Anzeige der aktiven TCP-Verbindungen werden mit dem netstat-Dienstprogramm auch eine Reihe von IP-Statistiken und -Informationen angezeigt.

  So führen Sie auf, auf welchen TCP/IP-Ports die Überwachung erfolgt

  1. Öffnen Sie das Eingabeaufforderungsfenster.

  2. Geben Sie an der Eingabeaufforderung netstat -n -a ein.

     Mit dem -n-Schalter wird netstat angewiesen, die Adressen und die Portnummern der aktiven TCP-Verbindungen numerisch anzuzeigen. Mit dem -a-Schalter wird netstat angewiesen, die vom Computer überwachten TCP- und UDP-Ports anzuzeigen.

• Mit dem PortQry-Dienstprogramm kann der Status der TCP/IP-Ports als überwacht, nicht überwacht oder gefiltert gemeldet werden. (Der gefilterte Status bedeutet, dass der Port überwacht oder nicht überwacht wird. Dieser Status gibt an, dass das Dienstprogramm keine Antwort vom Port empfangen hat.) Das Dienstprogramm PortQry steht im Microsoft-Downloadcenter zum Herunterladen zur Verfügung.

Weiterführende Themen zur Problembehandlung:

• Troubleshooting Windows Firewall with Advanced Security in Windows Vista and Windows Server 2008 - Diagnostics and Tools

• Problembehandlung (Datenbankmodul)

• Problembehandlung (Analysis Services – Data Mining)

• Problembehandlung (Reporting Services)

• Problembehandlung (Integration Services)

Siehe auch

Andere Ressourcen