Einrichten von SQL Server für die Protokollierung

Veröffentlicht: November 2009

Letzte Aktualisierung: Februar 2010

Betrifft: Forefront Threat Management Gateway (TMG)

In diesem Thema wird beschrieben, wie eine SQL Server-Remotedatenbank für die Forefront TMG-Protokollierung verwendet werden kann.

Zur Einrichtung eines SQL-Servers zur Protokollierung sind folgende Verfahren erforderlich:

Erstellen einer Protokolldatenbank und von Tabellen

Zum Erstellen von Datenbanken für das Microsoft-Firewall-Dienstprotokoll und das Webproxy-Datenverkehrsprotokoll werden Beispielskripts bereitgestellt. Die Skripts befinden sich im Forefront TMG-Installationsordner.

So richten Sie SQL Server mit der Datenbank ein

  1. Erstellen Sie die Datenbank auf dem Computer, auf dem SQL Server ausgeführt wird.

  2. Geben Sie Folgendes an der Eingabeaufforderung ein:

    sqlcmd –E –S Instanzname –i "Pfad\Skriptdatei" –d <Datenbankname>

    Wobei:

    • /E eine vertrauenswürdige Verbindung angibt.

    • /S den Server angibt.

    • Instanzname die Datenbankinstanz angibt.

    • /i die Eingabedatei angibt.

    • Pfad den Pfad zur Forefront TMG-Installation angibt.

    • Skriptdatei den Namen der Datenbankskriptdatei angibt, entweder Fwsrv.sql für das Microsoft-Firewall-Dienstprotokoll oder W3proxy.sql für das Webproxy-Datenverkehrsprotokoll.

    • /d die Datenbankdatei angibt.

    • Datenbankname die Protokolldatenbank angibt, in der die Tabellen erstellt werden sollen.

Einrichten von SQL Server zum Akzeptieren der Datenverbindung

So richten Sie SQL Server zum Annehmen der Datenverbindung vom Forefront TMG-Computer ein

  1. Starten Sie Microsoft SQL Server Management Studio, und stellen Sie eine Verbindung mit der SQL-Instanz her.

  2. Klicken Sie auf Sicherheit.

  3. Um eine Anmeldung zu erstellen, klicken Sie mit der rechten Maustaste auf Anmeldung, klicken Sie auf Neue Anmeldung, und konfigurieren Sie dann die Authentifizierung. Wenn sich der SQL Server-Computer in der gleichen Domäne wie Forefront TMG befindet, können Sie sich mit der Windows-Authentifizierung oder mit der SQL Server-Authentifizierung beim SQL Server-Computer anmelden. Wenn sich SQL Server in einer anderen Domäne befindet, müssen Sie SQL Server-Authentifizierung verwenden. Die Konfiguration muss wie nachstehend aufgeführt erfolgen:

    • Um Windows-Authentifizierung mit Benutzeranmeldeinformationen zu verwenden (dies wird bei der Verwendung von Windows-Authentifizierung empfohlen), erstellen Sie auf Grundlage eines vorhandenen Benutzers eine Anmeldung, oder verwenden Sie eine vorhandene Anmeldung. Geben Sie in das Feld Name einen Namen ein, der die Anmeldemethode identifiziert. Wählen Sie auf der Registerkarte Datenbankzugriff die Datenbanken aus, auf die mit dieser Anmeldemethode zugegriffen werden kann (die zuvor erstellten Datenbanken).

    • Um Windows-Authentifizierung ohne Benutzeranmeldeinformationen zu verwenden (d. h. unter Verwendung des Computerkontos), geben Sie in das Feld Name den Wert domainname\TMGname$ ein, wobei "TMGname" der NetBIOS-Name des Forefront TMG-Servers ist. Wählen Sie auf der Registerkarte Datenbankzugriff die Datenbanken aus, auf die mit dieser Anmeldemethode zugegriffen werden kann (die zuvor erstellten Datenbanken).

    • Geben Sie zur Verwendung der SQL Server-Authentifizierung im Feld Name einen Namen ein, mit dem die Anmeldemethode identifiziert wird, und geben Sie ein Kennwort für die Methode ein. Wählen Sie auf der Registerkarte Datenbankzugriff die Datenbanken aus, auf die mit dieser Anmeldemethode zugegriffen werden kann (die zuvor erstellten Datenbanken).

  4. Um eine vorhandene Anmeldung zu verwenden, klicken Sie mit der rechten Maustaste auf die entsprechende Anmeldung, und wählen Sie Eigenschaften aus. Wählen Sie auf der Seite Datenbankzugriff des Dialogfelds Anmeldungseigenschaften die Zeile aus, die die Datenbank enthält.

  5. Aktivieren Sie unter Datenbankrollen für <Datenbankname> die Kontrollkästchen db_datareader (SELECT-Berechtigungen) und db_datawriter (INSERT). Gewähren Sie darüber hinaus der Prozedur "sp_batch_insert" db_executor (EXECUTE-Berechtigungen) für Forefront TMG-Dienste, die Protokolle in dieser Datenbank erstellen.

Einrichten einer verschlüsselten Verbindung

In der Standardeinstellung verwendet Forefront TMG eine HTTPS-Verbindung mit dem SQL Server-Computer, um zur Sicherung der vertraulichen Daten in den Protokolldateien beizutragen. Für die Verwendung einer verschlüsselten Verbindung müssen Sie auf dem SQL Server-Computer ein Zertifikat einrichten und auf dem Forefront TMG-Computer ein Zertifikat einer Stammzertifizierungsstelle (Certification Authority, CA) installieren. Weitere Informationen finden Sie unter Verschlüsseln von Verbindungen zu SQL Server im Microsoft TechNet.

Konfigurieren von Systemrichtlinienregeln für die SQL Server-Protokollierung

Die Systemrichtlinien-Konfigurationsgruppe zur Remoteprotokollierung muss zum Anmelden bei einer SQL-Datenbank aktiviert sein.

So aktivieren Sie die Systemrichtlinien-Konfigurationsgruppe zur Remoteprotokollierung

  1. Klicken Sie in der Forefront TMG-Konsolenstruktur mit der rechten Maustaste auf Firewallrichtlinie, und klicken Sie dann auf Systemrichtlinie bearbeiten

  2. Klicken Sie im Systemrichtlinien-Editor in der Liste Konfigurationsgruppen auf Remoteprotokollierung (SQL).

  3. Wählen Sie auf der Registerkarte Allgemein die Option Diese Konfigurationsgruppe aktivieren aus.

  4. Diese Regel unterstellt, dass sich der SQL-Server im standardmäßigen internen Netzwerk befindet. Wenn Sie das Ziel der Regel ändern möchten, klicken Sie auf die Registerkarte Nach, und bearbeiten Sie das Ziel entsprechend. Es empfiehlt sich, das Ziel so zu ändern, dass es nur den SQL Server-Computer enthält.

Verwandte Themen

Anzeigen: