Подготовка сервера SQL Server к среде SharePoint (SharePoint Server 2010)

  • Статья

 

Применимо к: SharePoint Foundation 2010, SharePoint Server 2010

Последнее изменение раздела: 2016-11-30

В данной статье описывается повышение защиты Microsoft SQL Server в средах Продукты Microsoft SharePoint 2013.

Содержание:

  • Сводка рекомендаций по усилению защиты

  • Настройка экземпляра SQL Server для прослушивания порта, отличного от порта по умолчанию

  • Блокировка портов, прослушиваемых SQL Server по умолчанию

  • Настройка брандмауэра Windows для открытия портов, назначенных вручную

  • Настройка псевдонима клиента SQL

  • Проверка псевдонима клиента SQL

Сводка рекомендаций по усилению защиты

Для обеспечения безопасности среды фермы серверов рекомендуется сделать следующее.

  • Заблокировать UDP-порт 1434.

  • Настроить именованные экземпляры SQL Server для прослушивания нестандартного порта (отличного от TCP-порта 1433 или UDP-порта 1434).

  • Для обеспечения дополнительного уровня безопасности заблокировать TCP-порт 1433 и переназначить порт, используемый экземпляром по умолчанию, заменив его на другой.

  • Настроить псевдонимы клиента SQL Server на всех интерфейсных веб-серверах и серверах приложений в ферме серверов. После блокировки TCP-порта 1433 или UDP-порта 1434 необходимо использовать псевдонимы клиента SQL на всех компьютерах, обменивающихся данными с компьютером, на котором установлен SQL Server.

Дополнительные сведения по данным рекомендациям см. в статье Планирование усиления безопасности (SharePoint Server 2010).

Настройка экземпляра SQL Server для прослушивания порта, отличного от порта по умолчанию

Используйте диспетчер конфигурации SQL Server и измените TCP-порт, используемый экземпляром SQL Server.

  1. На компьютере, где запущен SQL Server, откройте диспетчер конфигурации SQL Server.

  2. В левой панели разверните раздел Сетевая конфигурация SQL Server.

  3. Щелкните запись настраиваемого экземпляра. Экземпляр по умолчанию помечен как Протоколы для MSSQLSERVER. Именованные экземпляры отображаются как Протоколы для именованного_экземпляра.

  4. В правой панели щелкните правой кнопкой мыши TCP/IP и выберите Свойства.

  5. Выберите вкладку IP-адреса. На этой вкладке есть соответствующая запись для каждого IP-адреса, присвоенного компьютеру, на котором установлен SQL Server. По умолчанию SQL Server прослушивает все IP-адреса, присвоенные компьютеру.

  6. Чтобы глобально изменить порт, который прослушивает экземпляр по умолчанию, выполните следующее.

    1. Для каждого IP-адреса, кроме IPAll, удалите все значения для параметров Динамические TCP-порты и TCP-порт.

    2. Для IPAll удалите значение в поле Динамические TCP-порты. В поле TCP-порт введите номер порта, который должен прослушивать SQL Server. Например, введите 40000.

  7. Чтобы глобально изменить порт, который прослушивает именованный экземпляр, выполните следующее.

    1. Для всех IP-адреса, включая IPAll, удалите все значения параметра Динамические TCP-порты. Значение 0 в этом поле означает, что SQL Server использует динамический TCP-порт для IP-адреса. Пустое поле означает, что SQL Server не использует динамический TCP-порт для IP-адреса.

    2. Для каждого IP-адреса, кроме IPAll, удалите все значения параметра TCP-порт.

    3. Для IPAll удалите значение в поле Динамические TCP-порты. В поле TCP-порт введите номер порта, который должен прослушивать SQL Server. Например, введите 40000.

  8. Нажмите кнопку ОК. Отобразится сообщение информирующее о том, что изменение будет применено после перезагрузки SQL Server. Нажмите кнопку ОК.

  9. Закройте диспетчер конфигурации SQL Server.

  10. Перезапустите службу SQL Server и убедитесь, что компьютер, на котором установлен SQL Server прослушивает выбранный порт. Для этого после перезапуска службы SQL Server откройте журнал средства просмотра событий. Найдите примерно такое событие:

    Тип события:информация

    Источник события:MSSQL$MSSQLSERVER

    Категория события:(2)

    Идентификатор события:26022

    Дата:3/6/2008

    Время:1:46:11

    Пользователь:не определен

    Компьютер:имя_компьютера

    Описание:

    Сервер прослушивает порт [ 'любой' <ipv4>50000]

Блокировка портов, прослушиваемых SQL Server по умолчанию

Брандмауэр Windows в режиме повышенной безопасности использует правила для входящих и исходящих подключений для защиты входящего и исходящего сетевого трафика. Так как брандмауэр Windows по умолчанию блокирует весь незапрошенный сетевой трафик, явно блокировать порты, прослушиваемые SQL Server по умолчанию, не требуется. Дополнительные сведения см. в разделах Брандмауэр Windows в режиме повышенной безопасности (https://go.microsoft.com/fwlink/?linkid=214109&clcid=0x419) и Настройка брандмауэра Windows для разрешения доступа к SQL Server (https://go.microsoft.com/fwlink/?linkid=210584&clcid=0x419).

Настройка брандмауэра Windows для открытия портов, назначенных вручную

  1. В панели управления откройте компонент Система и безопасность.

  2. Откройте компонент Брандмауэр Windows и щелкните Дополнительные параметры, чтобы открыть диалоговое окно Брандмауэр Windows в режиме повышенной безопасности .

  3. В области навигации щелкните Правила для входящих подключений, чтобы в области Действия отобразились доступные варианты.

  4. Щелкните Создать правило, чтобы открыть мастер создания правила для нового входящего подключения.

  5. В мастере выполните действия, необходимые для предоставления доступа к порту, определенному в разделе Настройка экземпляра SQL Server для прослушивания порта, отличного от порта по умолчанию.

Примечание

Чтобы обеспечить безопасность отправки и приема данных на компьютере с SQL Server, можно настроить протокол IPsec путем задания соответствующих параметров брандмауэра Windows. Для этого необходимо открыть Правила безопасности подключений в области навигации диалогового окна брандмауэра Windows в режиме повышенной безопасности.

Настройка псевдонима клиента SQL Server

При блокировке UDP-порта 1434 или TCP-порта 1433 на компьютере, на котором установлен SQL Server, необходимо создать псевдоним клиента SQL Server на всех остальных компьютерах фермы серверов. Чтобы создать псевдоним клиента SQL Server для всех компьютеров, подключенных к SQL Server, воспользуйтесь клиентскими компонентами SQL Server.

  1. Запустите программу установки SQL Server на целевом компьютере и выберите установку следующих клиентских компонентов:

    1. Компоненты связи

    2. Средства управления

  2. Откройте диспетчер конфигураций SQL Server.

  3. В левой панели щелкнитеКонфигурация собственного клиента SQL.

  4. В правой панели щелкните правой кнопкой мыши Псевдонимы и выберитеСоздать псевдоним.

  5. В диалоговом окне Псевдоним введите имя псевдонима, а затем введите номер порта экземпляра базы данных. Например, введите SharePoint*_псевдоним*.

  6. В поле Номер порта введите номер порта экземпляра базы данных (например, 40000). Убедитесь, что в качестве протокола выбран протокол TCP/IP.

  7. В поле Сервер введите имя компьютера, на котором установлен SQL Server.

  8. Нажмите кнопку Применить, а затем кнопку ОК.

Проверка псевдонима клиента SQL Server

Проверьте подключение к компьютеру, на котором установлен SQL Server, используя среду Microsoft SQL Server Management Studio, доступную после установки клиентских компонентов SQL Server.

  1. Откройте SQL Server Management Studio.

  2. При отображении запроса на ввод имени сервера введите имя созданного псевдонима и нажмите Подключить. При успешном установлении соединения SQL Server Management Studio заполняется объектами, соответствующими удаленной базе данных.

    Примечание

    Для проверки связи с дополнительными экземплярами базы данных из среды SQL Server Management Studio нажмите кнопку Подключить и выберите Ядро СУБД.