Настройка многосетевого компьютера для доступа к SQL Server

  • Статья

Если сервер должен предоставить соединение с двумя или более сетями или подсетями, обычно используется многосетевой компьютер. Часто этот компьютер расположен в пограничной сети (также известной как ДМЗ, демилитаризованная зона или экранированная подсеть). В этом разделе описываются настройки SQL Server и брандмауэра Windows в режиме повышенной безопасности для предоставления сетевого подключения экземпляру SQL Server в многосетевой среде.

ПримечаниеПримечание

Многосетевой компьютер имеет несколько сетевых адаптеров или настроен для использования нескольких IP-адресов через один сетевой адаптер. Компьютер с двойной привязкой имеет два сетевых адаптера или настроен для использования двух IP-адресов через один сетевой адаптер.

Прежде чем продолжать знакомство с этим разделом, необходимо познакомиться со сведениями, представленными в разделе Настройка брандмауэра Windows для разрешения доступа к SQL Server. Этот раздел содержит основные сведения о работе компонентов SQL Server с брандмауэром.

В этом примере предполагается следующее.

  • На компьютере установлены два сетевых адаптера. Один или несколько сетевых адаптеров могут быть беспроводными. Можно имитировать работу с двумя сетевыми адаптерами, используя IP-адрес одного сетевого адаптера и IP-адрес замыкания на себя (127.0.0.1) в качестве второго сетевого адаптера.

  • Для простоты в этом примере используются адреса IPv4. Те же процедуры могут выполняться с адресами IPv6.

    ПримечаниеПримечание

    Адреса IPv4 представляют собой ряд четырехзначных цифр, которые называются октетами. Каждый номер меньше 255 и разделяется точками, например 127.0.0.1. Адреса IPv6 представляют собой ряд из восьми шестнадцатеричных цифр, разделенных двоеточием, например fe80:4898:23:3:49a6:f5c1:2452:b994.

  • Правила брандмауэра могут разрешать доступ к конкретному порту, например к порту 1433. Также правила брандмауэра могут разрешать доступ к программе компонента Компонент SQL Server Database Engine (sqlservr.exe). Эти методы мало отличаются друг от друга. Поскольку сервер в пограничной сети более уязвим для атаки, чем серверы в интрасети, в этом разделе предполагается, что обеспечивается более полный контроль путем открытия конкретных портов. По этой причине предполагается настройка SQL Server для прослушивания фиксированного порта. Дополнительные сведения о портах, используемых SQL Server, см. в разделе Настройка брандмауэра Windows для разрешения доступа к SQL Server.

  • В примере настраивается доступ к компоненту Компонент Database Engine через TCP-порт 1433. Другие порты, которые используются различными компонентами SQL Server, можно настроить с помощью тех же общих шагов.

Ниже указаны необходимые общие шаги в этом примере.

  • Определение IP-адреса компьютера.

  • Настройка SQL Server для прослушивания конкретного TCP-порта.

  • Настройка брандмауэра Windows в режиме повышенной безопасности.

Необязательные процедуры

Если IP-адреса, доступные для компьютера и используемые SQL Server, уже известны, эти процедуры можно пропустить.

Определение доступных для компьютера IP-адресов

  1. На компьютере, на котором установлен SQL Server, нажмите кнопку Пуск, выберите команду Выполнить, введите cmd и нажмите кнопку ОК.

  2. В командной строке введите ipconfig и нажмите клавишу ВВОД, чтобы вывести список IP-адресов, доступных на этом компьютере.

    ПримечаниеПримечание

    Команда ipconfig иногда выводит большой список возможных соединений, в том числе отключенных. Команда ipconfig выводит как адреса IPv4, так и адреса IPv6.

  3. Запишите использующиеся адреса IPv4 и IPv6. Другие сведения в списке, например временные адреса, маски подсети и шлюзы по умолчанию, являются важными для настройки сети TCP/IP. Однако они не используются в этом примере.

Определение IP-адресов и портов, используемых SQL Server

  1. Нажмите кнопку Пуск, последовательно укажите пункты Все программы, Microsoft SQL Server 2012 , Средства настройки и выберите пункт Диспетчер конфигурации SQL Server.

  2. В панели консоли диспетчера конфигурации SQL Server раскройте Сетевая конфигурация SQL Server, разверните Протоколы для <имя экземпляра> и дважды щелкните TCP/IP.

  3. В диалоговом окне Свойства TCP/IP, на вкладке IP-адреса появится несколько IP-адресов в формате IP1, IP2 до IPAll. Одним из приведенных IP-адресов является адрес адаптера заглушки 127.0.0.1. Для каждого IP-адреса, настроенного на компьютере, появятся дополнительные IP-адреса.

  4. Если для какого-либо IP-адреса в диалоговом окне Динамические TCP-порты содержится значение 0, это означает, что компонент Компонент Database Engine прослушивает динамические порты. В этом примере используются фиксированные, а не динамические порты, которые могут измениться после перезапуска компьютера. Поэтому, если в диалоговом окне Динамические TCP-порты содержится значение 0, удалите его.

  5. Запишите TCP-порт, который приводится в списке для каждого настраиваемого IP-адреса. В этом примере предполагается, что оба IP-адреса прослушивают порт по умолчанию 1433.

  6. Если нежелательно, чтобы SQL Server использовал некоторые доступные порты, на вкладке Протокол измените значение Прослушивать все на значение Нет, а на вкладке IP-адреса измените значение Активный на Нет для IP-адресов, которые не будут использоваться.

Настройка брандмауэра Windows в режиме повышенной безопасности

После того как стали известны IP-адреса, которые использует компьютер, и порты SQL Server, можно создать правила брандмауэра, а затем настроить эти правила для конкретных IP-адресов.

Создание правила брандмауэра

  1. На компьютере, на котором установлен SQL Server, войдите в систему в качестве администратора.

  2. Нажмите кнопку Пуск, выберите команду Выполнить, введите wf.msc и нажмите кнопку ОК.

  3. В диалоговом окне Контроль учетных записей пользователей нажмите кнопку Продолжить, чтобы с помощью учетных данных администратора открыть оснастку брандмауэра Windows в режиме повышенной безопасности.

  4. На странице Обзор подтвердите, что брандмауэр Windows включен.

  5. В левой панели щелкните Правила для входящих подключений.

  6. Щелкните правой кнопкой мыши Правила для входящих подключений и выберите команду Создать правило, чтобы открыть мастер создания правила для нового входящего подключения.

  7. Можно создать правило для программы SQL Server. Поскольку в этом примере используются фиксированные порты, выберите Порт и нажмите кнопку Далее.

  8. На странице Протоколы и порты выберите TCP.

  9. Выберите Указанные локальные порты. Введите номера портов, разделенные запятыми, и нажмите кнопку Далее. В этом примере настраивается порт по умолчанию, поэтому введите 1433.

  10. На странице Действия просмотрите параметры. В этом примере брандмауэр не используется для принудительного включения безопасных соединений. Поэтому выберите Разрешить подключение и нажмите кнопку Далее.

    ПримечаниеПримечание

    Однако среда может потребовать безопасные соединения. Если выбрать один из параметров безопасных соединений, можно настроить сертификат, а затем — параметр Принудительное шифрование. Дополнительные сведения о безопасных соединениях см. в разделах Включение шифрования соединений в ядре СУБД (диспетчер конфигурации SQL Server) и Включение шифрования соединений в ядре СУБД (диспетчер конфигурации SQL Server).

  11. На странице Профиль выберите один или несколько профилей для этого правила. Чтобы получить дополнительные сведения о профилях брандмауэра, щелкните ссылку Подробнее о профилях в программе брандмауэра.

    • Если компьютер является сервером и доступен только при соединении с доменом, выберите Домен и нажмите кнопку Далее.

    • Если компьютер является мобильным (например, переносным компьютером), он, скорее всего, будет использовать несколько профилей при соединении с разными сетями. В этом случае можно настроить разные возможности доступа для разных профилей. Например, можно разрешить доступ, если компьютер использует профиль домена, и не разрешить — при использовании открытого профиля.

  12. На странице Имя введите имя и описание правила и нажмите кнопку Готово.

  13. Повторите эту процедуру для создания другого правила для каждого IP-адреса, используемого SQL Server.

После создания одного или нескольких правил выполните следующие шаги, чтобы настроить каждый IP-адрес компьютера для использования правил.

Настройка правила брандмауэра для конкретных IP-адресов

  1. На странице Правила для входящих подключений окна Брандмауэр Windows в режиме повышенной безопасности щелкните правой кнопкой мыши только что созданное правило и выберите пункт Свойства.

  2. В диалоговом окне Свойства правила перейдите на вкладку Область.

  3. В области Локальный IP-адрес выберите Указанные IP-адреса и нажмите кнопку Добавить.

  4. В диалоговом окне IP-адрес выберите IP-адрес или подсеть и введите один из IP-адресов, которые нужно настроить.

  5. Нажмите кнопку ОК.

  6. В области Удаленный IP-адрес выберите Указанные IP-адреса и нажмите кнопку Добавить.

  7. В диалоговом окне IP-адрес настройте обмен данными для выбранного IP-адреса компьютера. Можно включать соединения через указанные IP-адреса, диапазоны IP-адресов, целые подсети или определенные компьютеры. Чтобы правильно настроить этот параметр, необходимо хорошо понимать работу сети. Сведения о сети можно узнать у администратора сети.

  8. Нажмите кнопку ОК, чтобы закрыть диалоговое окно IP-адрес, затем нажмите кнопку ОК, чтобы закрыть диалоговое окно Свойства правила.

  9. Чтобы настроить другие IP-адреса на многосетевом компьютере, повторите эту процедуру для каждого IP-адреса, используя другое правило.

См. также

Основные понятия

Служба обозревателя SQL Server (компонент Database Engine и SSAS)

Подключение к SQL Server через прокси-сервер (диспетчер конфигурации SQL Server)