Konfigurieren der Windows-Firewall für den SQL Server-Zugriff

Durch Firewallsysteme kann der nicht autorisierte Zugriff auf Computerressourcen verhindert werden. Wenn eine Firewall aktiviert, aber nicht richtig konfiguriert ist, können Versuche der Verbindungsherstellung mit SQL Server blockiert werden.

Um über eine Firewall auf eine Instanz von SQL Server zugreifen zu können, müssen Sie die Firewall auf dem Computer mit SQL Server entsprechend konfigurieren. Die Firewall ist eine Komponente von Microsoft Windows. Sie können auch eine Firewall von einem anderen Unternehmen installieren. In diesem Thema wird erläutert, wie die Windows-Firewall konfiguriert wird. Die Grundprinzipien gelten jedoch auch für andere Firewallprogramme.

HinweisHinweis

Dieses Thema bietet einen Überblick über die Firewallkonfiguration und fasst Informationen zusammen, die für einen SQL Server-Administrator interessant sind. Weitere Informationen zur Firewall sowie autorisierende Informationen für diese finden Sie in der Dokumentation der Firewall, wie z. B. Windows Firewall with Advanced Security and IPsec und Windows Firewall with Advanced Security - Content Roadmap.

Benutzer, die mit dem Element Windows-Firewall in der Systemsteuerung und mit dem MMC-Snap-In (Microsoft Management Console) „Windows Firewall mit erweiterter Sicherheit“ vertraut sind und wissen, welche Firewalleinstellungen sie konfigurieren möchten, können direkt zu den Themen in der folgenden Liste wechseln:

In diesem Thema

Dieses Thema enthält die folgenden Abschnitte:

Grundlegende Firewallinformationen

Standardeinstellungen der Firewall

Programme zur Konfiguration der Firewall

Vom Datenbankmodul verwendete Ports

Von Analysis Services verwendete Ports

Von Reporting Services verwendete Ports

Von Integration Services verwendete Ports

Zusätzliche Ports und Dienste

Interaktion mit anderen Firewallregeln

Übersicht über Firewallprofile

Zusätzliche Firewalleinstellungen mithilfe des Eintrags „Windows-Firewall“ in der Systemsteuerung

Verwenden des Snap-Ins „Windows-Firewall mit erweiterter Sicherheit“

Behandeln von Problemen mit Firewalleinstellungen

Grundlegende Firewallinformationen

Firewalls überprüfen eingehende Pakete und vergleichen diese mit einer Gruppe von Regeln. Wenn die Regeln das Paket zulassen, leitet die Firewall das Paket an das TCP/IP-Protokoll zur zusätzlichen Verarbeitung weiter. Wenn die Regeln das Paket nicht zulassen, verwirft die Firewall das Paket und erstellt, wenn die Protokollierung aktiviert ist, einen Eintrag in der Firewallprotokolldatei.

Die Liste des zugelassenen Datenverkehrs wird auf eine der folgenden Arten aufgefüllt:

  • Wenn der Computer, auf dem die Firewall aktiviert ist, die Kommunikation startet, erstellt die Firewall einen Eintrag in der Liste, sodass die Antwort zugelassen wird. Da die eingehende Antwort als angeforderter Datenverkehr betrachtet wird, müssen Sie dies nicht konfigurieren.

  • Ein Administrator konfiguriert Ausnahmen für die Firewall. Dies ermöglicht entweder den Zugriff auf angegebene Programme, die auf dem Computer ausgeführt werden, oder den Zugriff auf angegebene Verbindungsports auf dem Computer. In diesem Fall akzeptiert der Computer den unangefordert eingehenden Datenverkehr, wenn er als Server, Listener oder Peer fungiert. Dieser Typ der Konfiguration muss durchgeführt werden, damit eine Verbindung mit SQL Server hergestellt werden kann.

Das Festlegen einer Firewallstrategie ist komplexer als die bloße Entscheidung, ob ein bestimmter Port geöffnet oder geschlossen werden sollte. Beim Entwickeln einer Firewallstrategie für Ihr Unternehmen sollten Sie sicherstellen, dass Sie alle Regeln und Konfigurationsoptionen berücksichtigen, die Ihnen zur Verfügung stehen. In diesem Thema werden nicht alle möglichen Firewalloptionen behandelt. Es wird empfohlen, die folgenden Dokumente zu beachten:

Erste Schritte mit der Windows-Firewall mit erweiterter Sicherheit

Windows Firewall with Advanced Security Design Guide

Introduction to Server and Domain Isolation

Standardeinstellungen der Firewall

Der erste Schritt bei der Planung der Firewallkonfiguration ist die Bestimmung des aktuellen Status der Firewall Ihres Betriebssystems. Wenn das Betriebssystem aus einer vorherigen Version aktualisiert wurde, wurden die früheren Firewalleinstellungen möglicherweise beibehalten. Außerdem kann es sein, dass die Firewalleinstellungen von einem anderen Administrator oder von einer Gruppenrichtlinie in Ihrer Domäne geändert wurden. Die Standardeinstellungen lauten jedoch wie folgt:

  • Windows Server 2008

    Die Firewall ist eingeschaltet und blockiert Remoteverbindungen.

  • Windows Vista

    Die Firewall ist eingeschaltet und blockiert Remoteverbindungen.

HinweisHinweis

Das Einschalten der Firewall wirkt sich auf andere Programme aus, die auf diesen Computer zugreifen, wie z. B. die Datei- und Druckerfreigabe und Remotedesktopverbindungen. Administratoren sollten vor dem Anpassen der Firewalleinstellungen alle auf dem Computer ausgeführten Anwendungen berücksichtigen.

Programme zur Konfiguration der Firewall

Es gibt drei Möglichkeiten, die Einstellungen der Windows-Firewall zu konfigurieren.

  • Das Element Windows-Firewall in der Systemsteuerung

    Das Element Windows-Firewall kann in der Systemsteuerung geöffnet werden.

    Wichtiger HinweisWichtig

    Änderungen, die in der Systemsteuerung am Element Windows-Firewall vorgenommenen werden, wirken sich nur auf das aktuelle Profil aus. Für mobile Geräte, wie z. B. einen Laptop, sollte das Element Windows-Firewall in der Systemsteuerung nicht verwendet werden, da sich das Profil ändern kann, wenn es in einer anderen Konfiguration angeschlossen wird. Dann ist das zuvor konfigurierte Profil nicht wirksam. Weitere Informationen zu Profilen finden Sie unter Erste Schritte mit der Windows-Firewall mit erweiterter Sicherheit.

    Das Element Windows-Firewall in der Systemsteuerung ermöglicht Ihnen die Konfiguration grundlegender Optionen. Dabei handelt es sich um:

    • Ein- oder Ausschalten des Elements Windows-Firewall in der Systemsteuerung

    • Aktivieren und Deaktivieren von Regeln

    • Gewähren von Ausnahmen für Ports und Programme

    • Festlegen einiger Bereichseinschränkungen

    Das Element Windows-Firewall in der Systemsteuerung eignet sich am besten für Benutzer, die mit der Konfiguration einer Firewall keine Erfahrung haben und grundlegende Firewalloptionen für nicht mobile Computer konfigurieren. Sie können das Element Windows-Firewall in der Systemsteuerung auch mit dem Befehl run öffnen. Gehen Sie hierzu wie folgt vor:

    So öffnen Sie das Element „Windows-Firewall“

    1. Klicken Sie im Menü Start auf Ausführen, und geben Sie dann firewall.cpl ein.

    2. Klicken Sie auf OK.

  • Microsoft Management Console (MMC)

    Mithilfe des MMC-Snap-Ins „Windows-Firewall mit erweiterter Sicherheit“ können Sie erweiterte Firewalleinstellungen konfigurieren. Dieses Snap-In ist nur ab Microsoft Vista und Windows Server 2008 verfügbar; es stellt jedoch die meisten Firewalloptionen in benutzerfreundlicher Form dar und bietet sämtliche Firewallprofile. Weitere Informationen finden Sie unter Verwenden des Snap-Ins "Windows-Firewall mit erweiterter Sicherheit" weiter unten in diesem Thema.

  • netsh

    Das Tool netsh.exe kann von einem Administrator verwendet werden, um Windows-basierte Computer an einer Eingabeaufforderung oder das Verwenden einer Batchdatei zu überwachen und zu konfigurieren**.** Mit dem Tool netsh können Sie die Kontextbefehle leiten, die Sie für die entsprechende Hilfe eingeben, und die Hilfe führt dann den Befehl aus. Ein Hilfsprogramm ist eine DLL-Datei (Dynamic Link Library), die die Funktionalität des Tools netsh erweitert, indem sie die Konfiguration, Überwachung und Unterstützung eines oder mehrerer Dienste, Hilfsprogramme oder Protokolle ermöglicht. Alle Betriebssysteme, die SQL Server unterstützen, haben ein Firewallhilfsprogramm. Microsoft Windows Vista und Windows Server 2008 haben auch eine erweiterte Firewall-Hilfe namens advfirewall. Die Details der Verwendung von netsh werden in diesem Thema nicht erläutert. Viele der Konfigurationsoptionen, die beschrieben wurden, können jedoch mit netsh konfiguriert werden. Führen Sie z. B. das folgende Skript an einer Eingabeaufforderung aus, um den TCP-Port 1433 zu öffnen:

    netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT
    

    Im Folgenden finden Sie ein ähnliches Beispiel, in dem die Windows-Firewall für das Hilfsprogramm für die erweiterte Sicherheit verwendet wird:

    netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN
    

    Weitere Informationen zu netsh finden Sie unter den folgenden Links:

Von SQL Server verwendete Ports

Die folgenden Tabellen können Sie dabei unterstützen, die von SQL Server verwendeten Ports zu identifizieren.

Vom Datenbankmodul verwendete Ports

In der folgenden Tabelle werden die häufig von Datenbankmodul verwendeten Ports aufgeführt.

Szenario

Port

Kommentare

SQL Server-Standardinstanz, die über TCP ausgeführt wird

TCP-Port 1433

Dies ist der häufigste für die Firewall zulässige Port. Er gilt für Routineverbindungen mit der Standardinstallation von Datenbankmodul oder einer benannten Instanz, bei der es sich um die einzige auf dem Computer ausgeführte Instanz handelt. (Für benannte Instanzen gelten spezielle Bedingungen. Weitere Informationen finden Sie unter Dynamische Ports weiter unten in diesem Thema.)

Benannte Instanzen von SQL Server in der Standardkonfiguration

Der TCP-Port ist ein dynamischer Port, der beim Start von Datenbankmodul ermittelt wird. 

Weitere Informationen finden Sie in den Ausführungen im Abschnitt Dynamische Ports weiter unten. Wenn Sie benannte Instanzen verwenden, ist möglicherweise UDP-Port 1434 für den SQL Server-Browserdienst erforderlich.

Benannte Instanzen von SQL Server, wenn sie für die Verwendung eines festen Ports konfiguriert sind

Die vom Administrator konfigurierte Portnummer.

Weitere Informationen finden Sie in den Ausführungen im Abschnitt Dynamische Ports weiter unten.

Dedizierte Administratorverbindung

TCP-Port 1434 für die Standardinstanz. Andere Ports werden für benannte Instanzen verwendet. Überprüfen Sie das Fehlerprotokoll auf die Portnummer.

Standardmäßig werden Remoteverbindungen über die dedizierte Administratorverbindung (Dedicated Administrator Connection, DAC) nicht aktiviert. Zum Aktivieren der Remote-DAC verwenden Sie das Facet für die Oberflächenkonfiguration. Weitere Informationen finden Sie unter Oberflächenkonfiguration.

SQL Server-Browserdienst

UDP-Port 1434

Der SQL Server-Browserdienst lauscht auf einer benannten Instanz nach eingehenden Verbindungen und liefert dem Client die TCP-Portnummer, die dieser benannten Instanz entspricht. Normalerweise wird der SQL Server-Browserdienst immer dann gestartet, wenn benannte Instanzen von Datenbankmodul verwendet werden. Der SQL Server-Browserdienst muss nicht gestartet werden, wenn der Client so konfiguriert ist, dass er eine Verbindung mit dem speziellen Port der benannten Instanz herstellt.

SQL Server-Instanz, die über einen HTTP-Endpunkt ausgeführt wird.

Kann angegeben werden, wenn ein HTTP-Endpunkt erstellt wird. Als Standard wird TCP-Port 80 für den CLEAR_PORT-Datenverkehr und 443 für den SSL_PORT-Datenverkehr verwendet.

Wird für eine HTTP-Verbindung über eine URL verwendet

SQL Server-Standardinstanz, die über einen HTTPS-Endpunkt ausgeführt wird.

TCP-Port 443

Wird für eine HTTPS-Verbindung über eine URL verwendet. HTTPS ist eine HTTP-Verbindung, die SSL (Secure Sockets Layer) verwendet.

Service Broker

TCP-Port 4022. Führen Sie die folgende Abfrage aus, um den verwendeten Port zu überprüfen:

SELECT name, protocol_desc, port, state_desc

FROM sys.tcp_endpoints

WHERE type_desc = 'SERVICE_BROKER'

Für SQL ServerService Broker ist kein Standardport festgelegt, jedoch ist dies die herkömmliche, in Beispielen der Onlinedokumentation verwendete Konfiguration.

Datenbankspiegelung

Vom Administrator ausgewählter Port. Führen Sie die folgende Abfrage aus, um den Port zu bestimmen:

SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints

WHERE type_desc = 'DATABASE_MIRRORING'

Für die Datenbankspiegelung ist kein Standardport festgelegt, in Beispielen der Onlinedokumentation wird jedoch TCP-Port 7022 verwendet. Es ist sehr wichtig, eine Unterbrechung eines bereits verwendeten Spiegelungsendpunkts zu vermeiden, insbesondere im Modus für hohe Sicherheit mit automatischem Failover. Die Firewallkonfiguration muss eine Unterbrechung des Quorums vermeiden. Weitere Informationen finden Sie unter Angeben einer Servernetzwerkadresse (Datenbankspiegelung).

Replikation

Für Replikationsverbindungen mit SQL Server werden die typischen regulären Datenbankmodul-Ports (TCP-Port 1433 für die Standardinstanz usw.) verwendet.

Die Websynchronisierung und der FTP-/UNC-Zugriff für die Replikationsmomentaufnahme erfordern das Öffnen zusätzlicher Ports auf der Firewall. Zur Übertragung der Anfangsdaten und des Schemas zwischen unterschiedlichen Standorten kann für die Replikation FTP (TCP-Port 21), die Synchronisierung über HTTP (TCP-Port 80) oder die Dateifreigabe verwendet werden. Die Dateifreigabe verwendet die UDP-Ports 137 und 138 und den TCP-Port 139, wenn NetBIOS verwendet wird. Ab Windows 2003 verwendet die Dateifreigabe den TCP-Port 445.

Bei der Synchronisierung über HTTP wird für die Replikation der IIS-Endpunkt (Ports, die dafür konfigurierbar sind, standardmäßig aber Port 80) verwendet, aber der IIS-Prozess stellt eine Verbindung mit Back-End-SQL Server über die Standardports (1433 für die Standardinstanz) her.

Bei der Websynchronisierung mittels FTP findet die FTP-Übertragung zwischen IIS und dem SQL Server-Verleger und nicht zwischen Abonnent und IIS statt.

Transact-SQL-Debugger

TCP-Port 135

Siehe Spezielle Überlegungen zu Port 135

Die IPsec-Ausnahme ist möglicherweise auch erforderlich.

Bei Verwendung von Visual Studio müssen Sie außerdem auf dem Visual Studio-Hostcomputer Devenv.exe zur Ausnahmeliste hinzufügen und den TCP-Port 135 öffnen.

Bei Verwendung von Management Studio müssen Sie außerdem auf dem Management Studio-Hostcomputer ssms.exe zur Ausnahmeliste hinzufügen und TCP-Port 135 öffnen. Weitere Informationen finden Sie unter Konfigurieren des Transact-SQL-Debuggers.

Schrittweise Anweisungen zum Konfigurieren der Windows-Firewall für Datenbankmodul finden Sie unter Konfigurieren einer Windows-Firewall für Datenbankmodulzugriff.

Dynamische Ports

Standardmäßig verwenden benannte Instanzen (einschließlich SQL Server Express) dynamische Ports. Dies bedeutet, dass immer dann, wenn Datenbankmodul startet, ein verfügbarer Port identifiziert und die entsprechende Portnummer verwendet wird. Wenn es sich bei der benannten Instanz um die einzige von Datenbankmodul installierte Instanz handelt, wird wahrscheinlich TCP-Port 1433 verwendet. Wenn weitere Instanzen von Datenbankmodul installiert sind, wird wahrscheinlich ein anderer TCP-Port verwendet. Da sich der ausgewählte Port bei jedem Start von Datenbankmodul ändern kann, ist es schwierig, die Firewall so zu konfigurieren, dass der Zugriff auf die richtige Portnummer ermöglicht wird. Daher wird bei Verwendung einer Firewall eine Neukonfiguration von Datenbankmodul empfohlen, damit jedes Mal dieselbe Portnummer verwendet wird. Der betreffende Port wird als fester oder statischer Port bezeichnet. Weitere Informationen finden Sie unter Konfigurieren eines Servers zum Lauschen an einem bestimmten TCP-Port (SQL Server-Konfigurations-Manager).

Eine Alternative zum Konfigurieren einer benannten Instanz für das Lauschen auf einem festen Port ist die Erstellung einer Ausnahme für ein SQL Server-Programm wie z. B. sqlservr.exe (für Datenbankmodul) in der Firewall. Dies kann zwar zweckmäßig sein, aber die Portnummer wird nicht in der Spalte Lokaler Port auf der Seite Eingehende Regeln angezeigt, wenn Sie das MMC-Snap-In "Windows-Firewall mit erweiterter Sicherheit" verwenden. Dadurch kann es schwieriger werden, zu überwachen, welche Ports geöffnet sind. Ein weiterer Aspekt ist, dass durch ein Service Pack oder kumulatives Update der Pfad zur ausführbaren Datei von SQL Server geändert werden kann, wodurch die Firewallregel ungültig wird.

HinweisHinweis

Im folgenden Verfahren wird das Element Windows-Firewall in der Systemsteuerung verwendet. Mithilfe des MMC-Snap-Ins „Windows-Firewall mit erweiterter Sicherheit“ kann eine komplexere Regel konfiguriert werden. Dazu gehört das Konfigurieren einer Dienstausnahme, was nützlich sein kann, um einen tiefgreifenden Schutz zu ermöglichen. Siehe Verwenden des Snap-Ins „Windows-Firewall mit erweiterter Sicherheit“ weiter unten.

So fügen Sie der Firewall mithilfe des Elements „Windows-Firewall“ in der Systemsteuerung eine Programmausnahme hinzu

  1. Klicken Sie unter dem Element Windows-Firewall in der Systemsteuerung auf der Registerkarte Ausnahmen auf Programm hinzufügen.

  2. Wechseln Sie zum Speicherort der SQL Server-Instanz, für die Sie einen Zugriff über die Firewall erlauben möchten, z. B. C:\Program Files\Microsoft SQL Server\MSSQL11.<instance_name>\MSSQL\Binn, wählen Sie sqlservr.exe, und klicken Sie dann auf Öffnen.

  3. Klicken Sie auf OK.

Weitere Informationen über Endpunkte finden Sie unter Konfigurieren des Datenbankmoduls zum Überwachen mehrerer TCP-Ports und Endpunkte-Katalogsichten (Transact-SQL).

Von Analysis Services verwendete Ports

In der folgenden Tabelle werden die häufig von Analysis Services verwendeten Ports aufgeführt.

Funktion

Port

Kommentare

Analysis Services

TCP-Port 2383 für die Standardinstanz

Der Standardport für die Standardinstanz von Analysis Services.

SQL Server-Browserdienst

TCP-Port 2382, nur für eine benannte Instanz von Analysis Services notwendig

Clientverbindungsanforderungen für eine benannte Instanz von Analysis Services, in denen keine Portnummer angegeben ist, werden an Port 2382 weitergeleitet, dem Port, auf dem der SQL Server-Browser lauscht. SQL Server-Browser leitet dann die Anforderung an den Port um, der von der benannten Instanz verwendet wird.

Analysis Services zur Verwendung durch IIS/HTTP konfiguriert

(Der PivotTable®-Dienst verwendet HTTP oder HTTPS.)

TCP-Port 80

Wird für eine HTTP-Verbindung über eine URL verwendet

Analysis Services zur Verwendung durch IIS/HTTPS konfiguriert

(Der PivotTable®-Dienst verwendet HTTP oder HTTPS.)

TCP-Port 443

Wird für eine HTTPS-Verbindung über eine URL verwendet. HTTPS ist eine HTTP-Verbindung, die SSL (Secure Sockets Layer) verwendet.

Wenn Benutzer über IIS und das Internet auf Analysis Services zugreifen, müssen Sie den Port öffnen, den IIS überwacht, und diesen Port in der Clientverbindungszeichenfolge angeben. In diesem Fall müssen keine Ports für den direkten Zugriff auf Analysis Services geöffnet sein. Der Standardport 2389 und Port 2382 sollten gemeinsam mit allen anderen Ports eingeschränkt werden, die nicht benötigt werden.

Schrittweise Anweisungen zum Konfigurieren der Windows-Firewall für Analysis Services finden Sie unter Konfigurieren der Windows-Firewall, um den Zugriff auf Analysis Services zuzulassen.

Von Reporting Services verwendete Ports

In der folgenden Tabelle werden die häufig von Reporting Services verwendeten Ports aufgeführt.

Funktion

Port

Kommentare

Reporting Services-Webdienste

TCP-Port 80

Wird für eine HTTP-Verbindung mit Reporting Services über eine URL verwendet. Die Verwendung der vorkonfigurierten Regel WWW-Dienste (HTTP) wird nicht empfohlen. Weitere Informationen finden Sie im Abschnitt Interaktion mit anderen Firewallregeln weiter unten.

Reporting Services zur Verwendung durch HTTPS konfiguriert

TCP-Port 443

Wird für eine HTTPS-Verbindung über eine URL verwendet. HTTPS ist eine HTTP-Verbindung, die SSL (Secure Sockets Layer) verwendet. Die Verwendung der vorkonfigurierten Regel WWW-Dienste (HTTP) wird nicht empfohlen. Weitere Informationen finden Sie im Abschnitt Interaktion mit anderen Firewallregeln weiter unten.

Wenn Reporting Services eine Verbindung mit einer Instanz von Datenbankmodul oder Analysis Services herstellt, müssen Sie auch die entsprechenden Ports für diese Dienste öffnen. Schrittweise Anweisungen zum Konfigurieren der Windows-Firewall für Reporting Services finden Sie unter Konfigurieren einer Firewall für den Zugriff auf den Berichtsserver.

Von Integration Services verwendete Ports

In der folgenden Tabelle werden die vom Integration Services-Dienst verwendeten Ports aufgeführt.

Funktion

Port

Kommentare

Microsoft-Remoteprozeduraufrufe (MS RPC)

Wird von der Integration Services-Laufzeit verwendet.

TCP-Port 135

Siehe Spezielle Überlegungen zu Port 135

Der Integration Services-Dienst verwendet DCOM auf Port 135. Der Dienststeuerungs-Manager verwendet Port 135, um Tasks wie das Starten und Beenden des Integration Services-Diensts und das Übertragen von Steuerungsanforderungen an den laufenden Dienst auszuführen. Die Portnummer kann nicht geändert werden.

Dieser Port muss nur dann geöffnet sein, wenn Sie eine Verbindung mit einer Remoteinstanz des Integration Services-Diensts von Management Studio oder einer benutzerdefinierten Anwendung aus herstellen.

Schrittweise Anweisungen zum Konfigurieren der Windows-Firewall für Integration Services finden Sie unter Konfigurieren einer Windows-Firewall für den Zugriff auf den SSIS-Dienst.

Zusätzliche Ports und Dienste

Die folgende Tabelle enthält Ports und Dienste, von denen SQL Server abhängig sein kann.

Szenario

Port

Kommentare

Windows-Verwaltungsinstrumentation (Windows Management Instrumentation)

Weitere Informationen zu WMI finden Sie unter Konzepte des WMI-Anbieters für die Konfigurationsverwaltung.

WMI wird als Teil eines Hosts für gemeinsame Dienste ausgeführt, wobei Ports über DCOM zugewiesen werden. WMI verwendet möglicherweise den TCP-Port 135.

Siehe Spezielle Überlegungen zu Port 135

Der SQL Server-Konfigurations-Manager verwendet WMI zum Auflisten und Verwalten von Diensten. Es wird empfohlen, die vorkonfigurierte Regelgruppe Windows-Verwaltungsinstrumentation (WMI) zu verwenden. Weitere Informationen finden Sie im Abschnitt Interaktion mit anderen Firewallregeln weiter unten.

Microsoft Distributed Transaction Coordinator (MS DTC)

TCP-Port 135

Siehe Spezielle Überlegungen zu Port 135

Wenn Ihre Anwendung verteilte Transaktionen verwendet, müssen Sie die Firewall möglicherweise so konfigurieren, dass Microsoft Distributed Transaction Coordinator (MS DTC)-Datenverkehr zwischen separaten MS DTC-Instanzen sowie zwischen MS DTC und Ressourcen-Managern wie SQL Server übermittelt werden kann. Es wird empfohlen die vorkonfigurierte Regelgruppe Distributed Transaction Coordinator zu verwenden.

Bei Konfiguration eines einzelnen freigegebenen MS-DTCs für den gesamten Cluster in einer separaten Gruppe sollten Sie sqlservr.exe der Firewall als Ausnahme hinzufügen.

Die Schaltfläche zum Durchsuchen in Management Studio verwendet UDP, um eine Verbindung mit dem SQL Server-Browserdienst herzustellen. Weitere Informationen finden Sie unter SQL Server-Browserdienst (Datenbankmodul und SSAS).

UDP-Port 1434

UDP ist ein verbindungsloses Protokoll.

Die Firewall verfügt über eine Einstellung mit dem Namen UnicastResponsesToMulticastBroadcastDisabled Property of the INetFwProfile Interface, die das Verhalten der Firewall in Hinblick auf Unicast-Antworten auf eine Broadcast- (oder Multicast-)UDP-Anforderung steuert. Es sind zwei Verhaltensweisen möglich:

  • Wenn die Einstellung TRUE ist, werden überhaupt keine Unicastantworten auf einen Broadcast zugelassen. Das Auflisten der Dienste schlägt fehl.

  • Wenn die Einstellung FALSE (Standard) ist, werden Unicastantworten 3 Sekunden lang zugelassen. Die Zeitdauer ist nicht konfigurierbar. In einem überlasteten Netzwerk oder einem Netzwerk mit häufiger Latenz oder bei stark ausgelasteten Servern wird bei den Versuchen, Instanzen von SQL Server aufzulisten, möglicherweise eine Teilliste zurückgegeben, die die Benutzer irreführen kann.

IPsec-Datenverkehr

UDP-Port 500 und UDP-Port 4500

Wenn die Domänenrichtlinie eine Netzwerkkommunikation über IPSec erfordert, müssen Sie der Ausnahmeliste auch den UDP-Port 4500 und den UDP-Port 500 hinzufügen. IPsec ist eine Option, die den Assistenten für neue eingehende Regel im Windows-Firewall-Snap-In verwendet. Weitere Informationen finden Sie unter Verwenden des Snap-Ins „Windows-Firewall mit erweiterter Sicherheit“ weiter unten in diesem Thema.

Verwenden der Windows-Authentifizierung mit vertrauenswürdigen Domänen

Firewalls müssen konfiguriert werden, um Authentifizierungsanforderungen zuzulassen.

Weitere Informationen finden Sie unter Konfigurieren einer Firewall für Domänen und Vertrauensstellungen.

SQL Server und Windows-Clusterunterstützung

Die Clusterunterstützung erfordert zusätzliche Ports, die keine direkte Beziehung zu SQL Server aufweisen.

Weitere Informationen finden Sie unter Enable a network for cluster use.

In der HTTP-Server-API (HTTP.SYS) reservierte URL-Namespaces

Wahrscheinlich TCP-Port 80, kann jedoch für andere Ports konfiguriert werden. Allgemeine Informationen finden Sie unter Configuring HTTP and HTTPS.

Spezielle Informationen für SQL Server zum Reservieren eines HTTP.SYS-Endpunkts mittels HttpCfg.exe finden Sie unter Informationen zu Registrierungen und Reservierungen für URLs.

Spezielle Überlegungen zu Port 135

Wenn Sie RPC mit TCP/IP oder mit UDP/IP als Transportprotokoll verwenden, werden eingehende Ports den Systemdiensten häufig dynamisch nach Bedarf zugewiesen; hierbei werden TCP/IP- und UDP/IP-Ports verwendet, die größer als Port 1024 sind. Diese werden informell häufig als „zufällige RPC-Ports“ bezeichnet. In solchen Fällen sind die RPC-Clients auf die Information der RPC-Endpunktzuordnung angewiesen, welche dynamischen Ports dem Server zugeordnet wurden. Für einige RPC-basierte Dienste können Sie einen bestimmten Port konfigurieren, statt RPC einen Port dynamisch zuweisen zu lassen. Außerdem können Sie den Bereich der Ports, die von RPC dynamisch zugewiesen werden, unabhängig vom Dienst verkleinern. Da Port 135 für zahlreiche Dienste verwendet wird, wird dieser häufig von böswilligen Benutzern angegriffen. Wenn Sie Port 135 öffnen, erwägen Sie, den Gültigkeitsbereich der Firewallregel einzuschränken.

Weitere Informationen zu Port 135 finden Sie in den folgenden Ressourcen:

Interaktion mit anderen Firewallregeln

Die Windows-Firewall verwendet Regeln und Regelgruppen, um ihre Konfiguration festzulegen. Jede Regel oder Regelgruppe ist normalerweise mit einem bestimmten Programm oder Dienst verknüpft, und dieses Programm oder dieser Dienst kann diese Regel ohne Ihr Wissen ändern oder löschen. Beispielsweise sind die Regelgruppen WWW-Dienste (HTTP) und Sichere WWW-Dienste (HTTPS) mit IIS verknüpft. Die Aktivierung dieser Regeln öffnet die Ports 80 und 443, und die SQL Server-Funktionen, die auf den Ports 80 und 443 beruhen, werden ausgeführt, wenn diese Regeln aktiviert sind. Administratoren, die IIS konfigurieren, können diese Regeln jedoch ändern oder deaktivieren. Deshalb sollten Sie, wenn Sie Port 80 oder Port 443 für SQL Server verwenden, Ihre eigene Regel oder Regelgruppe erstellen, die Ihre gewünschte Portkonfiguration unabhängig von den anderen IIS-Regeln beibehält.

Das MMC-Snap-In „Windows-Firewall mit erweiterter Sicherheit“ erlaubt jeden Datenverkehr, der mit einer entsprechenden Zulassungsregel übereinstimmt. Wenn also zwei Regeln vorhanden sind, die beide für Port 80 gelten (mit unterschiedlichen Parametern), wird derjenige Datenverkehr zugelassen, der mit einer der beiden Regeln übereinstimmt. Wenn eine Regel den Datenverkehr über Port 80 von einem lokalen Subnetz und eine Regel den Datenverkehr von einer beliebigen Adresse erlaubt, wird letztendlich der gesamte Datenverkehr über Port 80 unabhängig von der Quelle zugelassen. Um den Zugriff auf SQL Server effektiv zu verwalten, sollten Administratoren alle auf dem Server aktivierten Firewallregeln in regelmäßigen Abständen überprüfen.

Übersicht über Firewallprofile

Firewallprofile werden unter Erste Schritte mit der Windows-Firewall mit erweiterter Sicherheit im Abschnitt NLA-Hostfirewall (Network Location Awareness) behandelt. Zusammenfassend gilt: Ab Windows Vista und Windows Server 2008 identifizieren und merken sich die Betriebssysteme alle Netzwerke, mit denen sie eine Verbindung herstellen, in Bezug auf Konnektivität, Verbindungen und Kategorie.

In Windows-Firewall mit erweiterter Sicherheit gibt es drei Netzwerkstandorttypen:

  • Domäne. Windows kann den Zugriff auf den Domänencontroller für die Domäne des Netzwerks, mit dem der Computer verbunden ist, authentifizieren.

  • Öffentlich. Alle neu erkannten Netzwerke, außer Domänennetzwerke, werden zunächst als öffentlich kategorisiert. Netzwerke, die direkte Verbindungen zum Internet darstellen oder sich an öffentlichen Orten wie z. B. auf Flughäfen und in Cafés befinden, sollten auch öffentlich bleiben.

  • Privat. Ein Netzwerk, das von einem Benutzer oder einer Anwendung als privat gekennzeichnet wird. Es sollten nur vertrauenswürdige Netzwerke als private Netzwerke gekennzeichnet werden. Benutzer können Heim- oder kleine Firmennetzwerke als privat kennzeichnen.

Der Administrator kann für jeden Netzwerkstandorttyp ein Profil erstellen. Dabei kann jedes Profil unterschiedliche Firewallrichtlinien enthalten. Es wird immer nur ein Profil angewendet. Die Profilreihenfolge wird wie folgt angewendet:

  1. Wenn alle Schnittstellen gegenüber dem Domänencontroller für die Domäne, deren Mitglied der Computer ist, authentifiziert werden, wird das Domänenprofil angewendet.

  2. Wenn alle Schnittstellen entweder gegenüber dem Domänencontroller authentifiziert oder mit Netzwerken, die als private Netzwerkstandorte klassifiziert sind, verbunden werden, wird das private Profil angewendet.

  3. Andernfalls wird das öffentliche Profil angewendet.

Verwenden Sie das MMC-Snap-In „Windows-Firewall mit erweiterter Sicherheit“, um alle Firewallprofile anzuzeigen und zu konfigurieren. Mithilfe des Elements Windows-Firewall in der Systemsteuerung kann nur das aktuelle Profil konfiguriert werden.

Zusätzliche Firewalleinstellungen mithilfe des Eintrags „Windows-Firewall“ in der Systemsteuerung

Ausnahmen, die Sie der Firewall hinzufügen, können das Öffnen des Ports bei eingehenden Verbindungen von bestimmten Computern oder vom lokalen Subnetz einschränken. Diese Einschränkung des Bereichs der Portöffnung kann den Umfang, in dem Ihr Computer böswilligen Benutzern ausgesetzt ist, verringern und wird daher empfohlen.

HinweisHinweis

Mithilfe des Elements Windows-Firewall in der Systemsteuerung wird nur das aktuelle Firewallprofil konfiguriert.

So ändern Sie den Bereich einer Firewallausnahme mithilfe des Elements „Windows-Firewall“ in der Systemsteuerung

  1. Wählen Sie unter dem Element Windows-Firewall in der Systemsteuerung auf der Registerkarte Ausnahmen ein Programm oder einen Port aus, und klicken Sie dann auf Eigenschaften oder Bearbeiten.

  2. Klicken Sie im Dialogfeld Programm bearbeiten oder Port bearbeiten auf Bereich ändern.

  3. Wählen Sie eine der folgenden Optionen aus:

    • Alle Computer (einschließlich der im Internet)

      Nicht empfohlen. Dies ermöglicht es jedem Computer, der mit Ihrem Computer Kontakt aufnehmen kann, eine Verbindung mit einem bestimmten Programm oder Port herzustellen. Diese Einstellung kann notwendig sein, um die Anzeige von Informationen für anonyme Benutzer im Internet zuzulassen, erhöht aber die Gefahr, die von böswilligen Benutzern ausgeht. Ihre Gefährdung kann sich noch weiter erhöhen, wenn Sie diese Einstellung aktivieren und außerdem NAT-Traversal (Network Address Translation) zulassen, wie z. B. die Option Randüberquerung zulassen.

    • Nur für eigenes Netzwerk (Subnetz)

      Diese Einstellung ist sicherer als Alle Computer. Nur Computer im lokalen Subnetz Ihres Netzwerks können eine Verbindung mit dem Programm oder Port herstellen.

    • Benutzerdefinierte Liste:

    Nur Computer, die über die von Ihnen aufgeführten IP-Adressen verfügen, können eine Verbindung herstellen. Dies kann eine sicherere Einstellung als Nur für eigenes Netzwerk (Subnetz) sein; Clientcomputer, die DHCP verwenden, können jedoch gelegentlich ihre IP-Adresse ändern. Dann kann der beabsichtigte Computer keine Verbindung herstellen. Ein anderer Computer, den Sie nicht autorisieren wollten, könnte die aufgeführte IP-Adresse akzeptieren und dann in der Lage sein, eine Verbindung herzustellen. Die Option Benutzerdefinierte Liste eignet sich möglicherweise zum Auflisten anderer Server, die für eine feste IP-Adresse konfiguriert sind; es besteht jedoch die Möglichkeit, dass IP-Adressen von einem Eindringling gefälscht (gespooft) werden. Restriktive Firewallregeln sind nur so stark wie Ihre Netzwerkinfrastruktur.

Verwenden des Snap-Ins „Windows-Firewall mit erweiterter Sicherheit“

Ab Vista und Windows Server 2008 können mithilfe des MMC-Snap-Ins „Windows-Firewall mit erweiterter Sicherheit“ zusätzliche erweiterte Firewalleinstellungen konfiguriert werden. Das Snap-In enthält einen Regel-Assistenten und bietet Zusatzeinstellungen, die im Element Windows-Firewall in der Systemsteuerung nicht verfügbar sind. Dazu gehören folgende Einstellungen:

  • Verschlüsselungseinstellungen

  • Einschränkungen für Dienste

  • Einschränken von Verbindungen für Computer nach Name

  • Einschränken von Verbindungen für bestimmte Benutzer oder Profile

  • Randüberquerung, die dem Datenverkehr die Umgehung von NAT-Routern (Network Address Translation) erlaubt

  • Konfigurieren von ausgehenden Regeln

  • Konfigurieren von Sicherheitsregeln

  • Erfordern von IPsec für eingehende Verbindungen

So erstellen Sie eine neue Firewallregel mit dem Assistenten für neue Regeln

  1. Klicken Sie im Startmenü auf Ausführen, geben Sie WF.msc ein, und klicken Sie anschließend auf OK.

  2. Klicken Sie im linken Bereich von Windows-Firewall mit erweiterter Sicherheit mit der rechten Maustaste auf Eingehende Regeln, und klicken Sie dann auf Neue Regel.

  3. Schließen Sie den Assistenten für neue eingehende Regel mit den gewünschten Einstellungen ab.

Behandeln von Problemen mit Firewalleinstellungen

Die folgenden Tools und Techniken können bei der Behandlung von Problemen mit der Firewall nützlich sein:

  • Der effektive Portstatus ist die Gesamtheit aller Regeln, die den Port betreffen. Beim Versuch, den Zugriff über einen Port zu blockieren, kann es hilfreich sein, alle Regeln, die die Portnummer nennen, zu überprüfen. Verwenden Sie hierzu das MMC-Snap-In „Windows-Firewall mit erweiterter Sicherheit“, und sortieren Sie die ein- und ausgehenden Regeln nach Portnummer.

  • Überprüfen Sie die Ports, die auf dem Computer aktiv sind, auf dem SQL Server ausgeführt wird. Dazu muss überprüft werden, welche TCP/IP-Ports überwacht werden und welchen Status diese Ports besitzen.

    Um zu überprüfen, welche Ports überwacht werden, verwenden Sie das netstat-Befehlszeilen-Hilfsprogramm. Zusätzlich zur Anzeige der aktiven TCP-Verbindungen werden mit dem netstat-Hilfsprogramm auch eine Reihe von IP-Statistiken und -Informationen angezeigt.

    So führen Sie auf, auf welchen TCP/IP-Ports die Überwachung erfolgt

    1. Öffnen Sie das Eingabeaufforderungsfenster.

    2. Geben Sie an der Eingabeaufforderung netstat -n -a ein.

      Mit dem -n-Schalter wird netstat angewiesen, die Adressen und die Portnummern der aktiven TCP-Verbindungen numerisch anzuzeigen. Mit dem -a-Schalter wird netstat angewiesen, die vom Computer überwachten TCP- und UDP-Ports anzuzeigen.

  • Mit dem PortQry-Hilfsprogramm kann der Status der TCP/IP-Ports als überwacht, nicht überwacht oder gefiltert gemeldet werden. (Der gefilterte Status bedeutet, dass der Port überwacht oder nicht überwacht wird. Dieser Status gibt an, dass das Hilfsprogramm keine Antwort vom Port empfangen hat.) Das Hilfsprogramm PortQry steht im Microsoft-Downloadcenter zum Herunterladen zur Verfügung.

Siehe auch

Andere Ressourcen

Dienste und Netzwerkportanforderungen für das Windows Server-System