Настройка многосетевого компьютера для доступа к SQL Server
Если сервер должен предоставить соединение с двумя или более сетями или подсетями, обычно используется многосетевой компьютер. Часто этот компьютер расположен в пограничной сети (также известной как ДМЗ, демилитаризованная зона или экранированная подсеть). В этом разделе описываются настройки SQL Server и брандмауэра Windows в режиме повышенной безопасности для предоставления сетевого подключения экземпляру SQL Server в многосетевой среде.
Примечание |
---|
Многосетевой компьютер имеет несколько сетевых адаптеров или настроен для использования нескольких IP-адресов через один сетевой адаптер. Компьютер с двойной привязкой имеет два сетевых адаптера или настроен для использования двух IP-адресов через один сетевой адаптер. |
Прежде чем продолжать знакомство с этим разделом, необходимо познакомиться со сведениями, представленными в разделе Настройка брандмауэра Windows для разрешения доступа к SQL Server. Этот раздел содержит основные сведения о работе компонентов SQL Server с брандмауэром.
В этом примере предполагается следующее.
На компьютере установлены два сетевых адаптера. Один или несколько сетевых адаптеров могут быть беспроводными. Можно имитировать работу с двумя сетевыми адаптерами, используя IP-адрес одного сетевого адаптера и IP-адрес замыкания на себя (127.0.0.1) в качестве второго сетевого адаптера.
Для простоты в этом примере используются адреса IPv4. Те же процедуры могут выполняться с адресами IPv6.
Примечание Адреса IPv4 представляют собой ряд четырехзначных цифр, которые называются октетами. Каждый номер меньше 255 и разделяется точками, например 127.0.0.1. Адреса IPv6 представляют собой ряд из восьми шестнадцатеричных цифр, разделенных двоеточием, например fe80:4898:23:3:49a6:f5c1:2452:b994.
Правила брандмауэра могут разрешать доступ к конкретному порту, например к порту 1433. Также правила брандмауэра могут разрешать доступ к программе компонента Компонент SQL Server Database Engine (sqlservr.exe). Эти методы мало отличаются друг от друга. Поскольку сервер в пограничной сети более уязвим для атаки, чем серверы в интрасети, в этом разделе предполагается, что обеспечивается более полный контроль путем открытия конкретных портов. По этой причине предполагается настройка SQL Server для прослушивания фиксированного порта. Дополнительные сведения о портах, используемых SQL Server, см. в разделе Настройка брандмауэра Windows для разрешения доступа к SQL Server.
В примере настраивается доступ к компоненту Компонент Database Engine через TCP-порт 1433. Другие порты, которые используются различными компонентами SQL Server, можно настроить с помощью тех же общих шагов.
Ниже указаны необходимые общие шаги в этом примере.
Определение IP-адреса компьютера.
Настройка SQL Server для прослушивания конкретного TCP-порта.
Настройка брандмауэра Windows в режиме повышенной безопасности.
Необязательные процедуры
Если IP-адреса, доступные для компьютера и используемые SQL Server, уже известны, эти процедуры можно пропустить.
Определение доступных для компьютера IP-адресов
На компьютере, на котором установлен SQL Server, нажмите кнопку Пуск, выберите команду Выполнить, введите cmd и нажмите кнопку ОК.
В командной строке введите ipconfig и нажмите клавишу ВВОД, чтобы вывести список IP-адресов, доступных на этом компьютере.
Примечание Команда ipconfig иногда выводит большой список возможных соединений, в том числе отключенных. Команда ipconfig выводит как адреса IPv4, так и адреса IPv6.
Запишите использующиеся адреса IPv4 и IPv6. Другие сведения в списке, например временные адреса, маски подсети и шлюзы по умолчанию, являются важными для настройки сети TCP/IP. Однако они не используются в этом примере.
Определение IP-адресов и портов, используемых SQL Server
Нажмите кнопку Пуск, последовательно укажите пункты Все программы, Microsoft SQL Server 2012 , Средства настройки и выберите пункт Диспетчер конфигурации SQL Server.
В панели консоли диспетчера конфигурации SQL Server раскройте Сетевая конфигурация SQL Server, разверните Протоколы для <имя экземпляра> и дважды щелкните TCP/IP.
В диалоговом окне Свойства TCP/IP, на вкладке IP-адреса появится несколько IP-адресов в формате IP1, IP2 до IPAll. Одним из приведенных IP-адресов является адрес адаптера заглушки 127.0.0.1. Для каждого IP-адреса, настроенного на компьютере, появятся дополнительные IP-адреса.
Если для какого-либо IP-адреса в диалоговом окне Динамические TCP-порты содержится значение 0, это означает, что компонент Компонент Database Engine прослушивает динамические порты. В этом примере используются фиксированные, а не динамические порты, которые могут измениться после перезапуска компьютера. Поэтому, если в диалоговом окне Динамические TCP-порты содержится значение 0, удалите его.
Запишите TCP-порт, который приводится в списке для каждого настраиваемого IP-адреса. В этом примере предполагается, что оба IP-адреса прослушивают порт по умолчанию 1433.
Если нежелательно, чтобы SQL Server использовал некоторые доступные порты, на вкладке Протокол измените значение Прослушивать все на значение Нет, а на вкладке IP-адреса измените значение Активный на Нет для IP-адресов, которые не будут использоваться.
Настройка брандмауэра Windows в режиме повышенной безопасности
После того как стали известны IP-адреса, которые использует компьютер, и порты SQL Server, можно создать правила брандмауэра, а затем настроить эти правила для конкретных IP-адресов.
Создание правила брандмауэра
На компьютере, на котором установлен SQL Server, войдите в систему в качестве администратора.
Нажмите кнопку Пуск, выберите команду Выполнить, введите wf.msc и нажмите кнопку ОК.
В диалоговом окне Контроль учетных записей пользователей нажмите кнопку Продолжить, чтобы с помощью учетных данных администратора открыть оснастку брандмауэра Windows в режиме повышенной безопасности.
На странице Обзор подтвердите, что брандмауэр Windows включен.
В левой панели щелкните Правила для входящих подключений.
Щелкните правой кнопкой мыши Правила для входящих подключений и выберите команду Создать правило, чтобы открыть мастер создания правила для нового входящего подключения.
Можно создать правило для программы SQL Server. Поскольку в этом примере используются фиксированные порты, выберите Порт и нажмите кнопку Далее.
На странице Протоколы и порты выберите TCP.
Выберите Указанные локальные порты. Введите номера портов, разделенные запятыми, и нажмите кнопку Далее. В этом примере настраивается порт по умолчанию, поэтому введите 1433.
На странице Действия просмотрите параметры. В этом примере брандмауэр не используется для принудительного включения безопасных соединений. Поэтому выберите Разрешить подключение и нажмите кнопку Далее.
Примечание Однако среда может потребовать безопасные соединения. Если выбрать один из параметров безопасных соединений, можно настроить сертификат, а затем — параметр Принудительное шифрование. Дополнительные сведения о безопасных соединениях см. в разделах Включение шифрования соединений в ядре СУБД (диспетчер конфигурации SQL Server) и Включение шифрования соединений в ядре СУБД (диспетчер конфигурации SQL Server).
На странице Профиль выберите один или несколько профилей для этого правила. Чтобы получить дополнительные сведения о профилях брандмауэра, щелкните ссылку Подробнее о профилях в программе брандмауэра.
Если компьютер является сервером и доступен только при соединении с доменом, выберите Домен и нажмите кнопку Далее.
Если компьютер является мобильным (например, переносным компьютером), он, скорее всего, будет использовать несколько профилей при соединении с разными сетями. В этом случае можно настроить разные возможности доступа для разных профилей. Например, можно разрешить доступ, если компьютер использует профиль домена, и не разрешить — при использовании открытого профиля.
На странице Имя введите имя и описание правила и нажмите кнопку Готово.
Повторите эту процедуру для создания другого правила для каждого IP-адреса, используемого SQL Server.
После создания одного или нескольких правил выполните следующие шаги, чтобы настроить каждый IP-адрес компьютера для использования правил.
Настройка правила брандмауэра для конкретных IP-адресов
На странице Правила для входящих подключений окна Брандмауэр Windows в режиме повышенной безопасности щелкните правой кнопкой мыши только что созданное правило и выберите пункт Свойства.
В диалоговом окне Свойства правила перейдите на вкладку Область.
В области Локальный IP-адрес выберите Указанные IP-адреса и нажмите кнопку Добавить.
В диалоговом окне IP-адрес выберите IP-адрес или подсеть и введите один из IP-адресов, которые нужно настроить.
Нажмите кнопку ОК.
В области Удаленный IP-адрес выберите Указанные IP-адреса и нажмите кнопку Добавить.
В диалоговом окне IP-адрес настройте обмен данными для выбранного IP-адреса компьютера. Можно включать соединения через указанные IP-адреса, диапазоны IP-адресов, целые подсети или определенные компьютеры. Чтобы правильно настроить этот параметр, необходимо хорошо понимать работу сети. Сведения о сети можно узнать у администратора сети.
Нажмите кнопку ОК, чтобы закрыть диалоговое окно IP-адрес, затем нажмите кнопку ОК, чтобы закрыть диалоговое окно Свойства правила.
Чтобы настроить другие IP-адреса на многосетевом компьютере, повторите эту процедуру для каждого IP-адреса, используя другое правило.
См. также
Основные понятия
Служба обозревателя SQL Server (компонент Database Engine и SSAS)
Подключение к SQL Server через прокси-сервер (диспетчер конфигурации SQL Server)