Подготовка сервера SQL Server к среде SharePoint (SharePoint Foundation 2010)

  • Статья

 

Применимо к: SharePoint Foundation 2010

Последнее изменение раздела: 2016-11-30

В данной статье описывается повышение защиты Microsoft SQL Server в средах продуктов Продукты Microsoft SharePoint 2013.

Содержание:

  • Сводка рекомендаций по усилению защиты

  • Настройка экземпляра SQL Server на прослушивание порта, отличного от порта по умолчанию

  • Блокировка портов, прослушиваемых SQL Server по умолчанию

  • Настройка брандмауэра Windows на открытие портов, назначенных вручную

  • Настройка псевдонима клиента SQL

  • Тестирование псевдонима клиента SQL

Сводка рекомендаций по усилению защиты

Для обеспечения безопасности среды фермы серверов рекомендуется сделать следующее.

  • Заблокируйте UDP-порт 1434.

  • Настройте именованные экземпляры SQL Server для прослушивания нестандартного порта (отличного от TCP-порта 1433 или UDP-порта 1434).

  • Для обеспечения дополнительного уровня безопасности заблокируйте TCP-порт 1433 и переназначьте порт, используемый экземпляром по умолчанию, заменив его на другой.

  • Настройте псевдонимы клиента SQL Server на всех интерфейсных веб-серверах и серверах приложений в ферме серверов. После блокировки TCP-порта 1433 или UDP-порта 1434 необходимо использовать псевдонимы клиента SQL Server на всех компьютерах, обменивающихся данными с компьютером, на котором установлен SQL Server.

Дополнительные сведения по данным рекомендациям см. в статье Планирование усиления безопасности (Windows SharePoint Services).

Настройка экземпляра SQL Server на прослушивание порта, отличного от порта по умолчанию

Используйте диспетчер конфигурации SQL Server и измените TCP-порт, используемый экземпляром SQL Server.

  1. На компьютере, где запущен SQL Server, откройте диспетчер конфигурации SQL Server.

  2. В левой панели разверните раздел Сетевая конфигурация SQL Server.

  3. Щелкните запись настраиваемого экземпляра. Экземпляр по умолчанию помечен как Протоколы для MSSQLSERVER. Именованные экземпляры отображаются как Протоколы для именованный_экземпляр.

  4. В правой панели щелкните правой кнопкой мыши TCP/IP и выберите Свойства.

  5. Выберите вкладку IP-адреса. На этой вкладке есть соответствующая запись для каждого IP-адреса, присвоенного компьютеру, на котором установлен SQL Server. По умолчанию SQL Server прослушивает все IP-адреса, присвоенные компьютеру.

  6. Чтобы глобально изменить порт, который прослушивает экземпляр по умолчанию, выполните следующее.

    1. Для каждого IP-адреса, кроме IPAll, удалите все значения для параметров Динамические TCP-порты и TCP-порт.

    2. Для IPAll удалите значение в поле Динамические TCP-порты. В поле TCP-порт введите номер порта, который должен прослушивать SQL Server. Например, введите 40000.

  7. Чтобы глобально изменить порт, который прослушивает именованный экземпляр, выполните следующее.

    1. Для всех IP-адресов, включая IPAll, удалите все значения параметра Динамические TCP-порты. Значение 0 в этом поле означает, что SQL Server использует динамический TCP-порт для IP-адреса. Пустое поле означает, что SQL Server не использует динамический TCP-порт для IP-адреса.

    2. Для каждого IP-адреса, кроме IPAll, удалите все значения параметра TCP-порт.

    3. Для IPAll удалите значение в поле Динамические TCP-порты. В поле TCP-порт введите номер порта, который должен прослушивать SQL Server. Например, введите 40000.

  8. Нажмите кнопку ОК. Отобразится сообщение, информирующее о том, что изменение будет применено после перезапуска службы SQL Server. Нажмите кнопку ОК.

  9. Закройте диспетчер конфигурации SQL Server.

  10. Перезапустите службу SQL Server и убедитесь, что компьютер, на котором установлен SQL Server прослушивает выбранный порт. Для этого после перезапуска службы SQL Server откройте журнал средства просмотра событий. Найдите примерно такое событие:

    Тип события:Информация

    Источник события:MSSQL$MSSQLSERVER

    Категория события:(2)

    Код события:26022

    Дата:06.03.2008

    Время:13:46:11

    Пользователь:Н/Д

    Компьютер:имя_компьютера

    Описание:

    Сервер прослушивает [ "любой" <ipv4>50000]

Блокировка портов, прослушиваемых SQL Server по умолчанию

Брандмауэр Windows в режиме повышенной безопасности использует правила для входящих и исходящих подключений для защиты входящего и исходящего сетевого трафика. Так как брандмауэр Windows по умолчанию блокирует весь незапрошенный сетевой трафик, явно блокировать порты прослушивания SQL Server не требуется. Дополнительные сведения см. в статьях Брандмауэр Windows в режиме повышенной безопасности (https://go.microsoft.com/fwlink/?linkid=214109&clcid=0x419) и Настройка брандмауэра Windows для доступа SQL Server (https://go.microsoft.com/fwlink/?linkid=210584&clcid=0x419).

Настройка брандмауэра Windows на открытие портов, назначенных вручную

  1. В панели управления откройте компонент Система и безопасность.

  2. В разделе Брандмауэр Windows щелкните элемент Дополнительные параметры, чтобы открыть окно Брандмауэр Windows в режиме повышенной безопасности

  3. На панели навигации щелкните Правила для входящих подключений, чтобы на панели Действия отобразились доступные варианты.

  4. Выберите команду Создать правило, чтобы открыть Мастер создания правила для нового входящего подключения.

  5. Используйте этот мастер, чтобы выполнить действия, необходимые для разрешения доступа к порту, определенному в разделе Настройка экземпляра SQL Server для прослушивания порта, отличного от порта по умолчанию.

Примечание

Чтобы обеспечить безопасность отправки и приема данных на компьютере под управлением SQL Server, можно настроить протокол IPsec при помощи задания соответствующих параметров брандмауэра Windows. Для этого необходимо открыть Правила безопасности подключений на панели навигации диалогового окна брандмауэра Windows в режиме повышенной безопасности.

Настройка псевдонима SQL Server

При блокировке UDP-порта 1434 или TCP-порта 1433 на компьютере, на котором установлен SQL Server, необходимо создать псевдоним клиента SQL Server на всех остальных компьютерах фермы серверов. Чтобы создать псевдоним клиента SQL Server для всех компьютеров, подключенных к SQL Server, воспользуйтесь клиентскими компонентами SQL Server.

  1. Запустите программу установки SQL Server на целевом компьютере и выберите установку следующих клиентских компонентов:

    1. Компоненты связи

    2. Средства управления

  2. Откройте диспетчер конфигурации SQL Server.

  3. В левой панели щелкните Конфигурация собственного клиента SQL.

  4. В правой панели щелкните правой кнопкой мыши Псевдонимы и выберитеСоздать псевдоним.

  5. В диалоговом окне Псевдоним введите имя псевдонима, а затем введите номер порта экземпляра базы данных. Например, введите SharePoint _псевдоним .

  6. В поле Номер порта введите номер порта экземпляра базы данных (например, 40000). Убедитесь, что в качестве протокола выбран протокол TCP/IP.

  7. В поле Сервер введите имя компьютера, на котором установлен SQL Server.

  8. Нажмите кнопку Применить, а затем кнопку ОК.

Тестирование псевдонима клиента SQL Server

Проверьте подключение к компьютеру, на котором установлен SQL Server, используя среду Microsoft SQL Server Management Studio, доступную после установки клиентских компонентов SQL Server.

  1. Откройте SQL Server Management Studio.

  2. При отображении запроса на ввод имени сервера введите имя созданного псевдонима и нажмите Соединиться. При успешном установлении соединения SQL Server Management Studio заполняется объектами, соответствующими удаленной базе данных.

    Примечание

    Для проверки связи с дополнительными экземплярами базы данных из среды SQL Server Management Studio нажмите кнопку Соединиться и выберите Компонент Database Engine.