TechNet
Exportieren (0) Drucken
Alle erweitern

Konfigurieren der Windows-Firewall für den SQL Server-Zugriff

 

**DIESES THEMA GILT FÜR:** ![yes](../Image/Applies%20to/yes.png "yes")SQL Server \(ab 2016\) ![no](../Image/Applies%20to/no.png "no")Azure SQL\-Datenbank ![no](../Image/Applies%20to/no.png "no")Azure SQL Data Warehouse ![no](../Image/Applies%20to/no.png "no")Parallel Data Warehouse

<_caps3a_sxs _xmlns3a_caps="http://schemas.microsoft.com/build/caps/2013/11"><_caps3a_sxstarget locale="de-DE">Durch Firewallsysteme kann der nicht autorisierte Zugriff auf Computerressourcen verhindert werden. Wenn eine Firewall aktiviert, aber nicht richtig konfiguriert ist, können Versuche der Verbindungsherstellung mit SQL Server blockiert werden.Um über eine Firewall auf eine Instanz von SQL Server zugreifen zu können, müssen Sie die Firewall auf dem Computer mit SQL Server entsprechend konfigurieren. Die Firewall ist eine Komponente von Microsoft Windows. Sie können auch eine Firewall von einem anderen Unternehmen installieren. In diesem Thema wird erläutert, wie die Windows-Firewall konfiguriert wird. Die Grundprinzipien gelten jedoch auch für andere Firewallprogramme.Dieses Thema bietet einen Überblick über die Firewallkonfiguration und fasst Informationen zusammen, die für einen SQL Server-Administrator interessant sind. Weitere Informationen zur Firewall sowie autorisierende Informationen für diese finden Sie in der Dokumentation der Firewall, z. B. in Windows-Firewall mit erweiterter Sicherheit und IPsechttp://go.microsoft.com/fwlink/?LinkID=116904.Benutzer, die mit dem Element Windows-Firewall in der Systemsteuerung und mit dem MMC-Snap-In (Microsoft Management Console) „Windows Firewall mit erweiterter Sicherheit“ vertraut sind und wissen, welche Firewalleinstellungen sie konfigurieren möchten, können direkt zu den Themen in der folgenden Liste wechseln:How to: Configure a Windows Firewall for Database Engine Access How to: Configure Windows Firewall for Analysis Services Access How to: Configure a Firewall for Report Server Access In diesem ThemaDieses Thema enthält die folgenden Abschnitte:Grundlegende FirewallinformationenStandardeinstellungen der FirewallProgramme zur Konfiguration der FirewallVom Datenbankmodul verwendete PortsVon Analysis Services verwendete PortsVon Reporting Services verwendete PortsVon Integration Services verwendete PortsZusätzliche Ports und DiensteInteraktion mit anderen FirewallregelnÜbersicht über FirewallprofileZusätzliche Firewalleinstellungen mithilfe des Eintrags „Windows-Firewall“ in der SystemsteuerungVerwenden des Snap-Ins „Windows-Firewall mit erweiterter Sicherheit“Behandeln von Problemen mit FirewalleinstellungenGrundlegende FirewallinformationenFirewalls überprüfen eingehende Pakete und vergleichen diese mit einer Gruppe von Regeln. Wenn die Regeln das Paket zulassen, leitet die Firewall das Paket an das TCP/IP-Protokoll zur zusätzlichen Verarbeitung weiter. Wenn die Regeln das Paket nicht zulassen, verwirft die Firewall das Paket und erstellt, wenn die Protokollierung aktiviert ist, einen Eintrag in der Firewallprotokolldatei.Die Liste des zugelassenen Datenverkehrs wird auf eine der folgenden Arten aufgefüllt:Wenn der Computer, auf dem die Firewall aktiviert ist, die Kommunikation startet, erstellt die Firewall einen Eintrag in der Liste, sodass die Antwort zugelassen wird. Da die eingehende Antwort als angeforderter Datenverkehr betrachtet wird, müssen Sie dies nicht konfigurieren.Ein Administrator konfiguriert Ausnahmen für die Firewall. Dies ermöglicht entweder den Zugriff auf angegebene Programme, die auf dem Computer ausgeführt werden, oder den Zugriff auf angegebene Verbindungsports auf dem Computer. In diesem Fall akzeptiert der Computer den unangefordert eingehenden Datenverkehr, wenn er als Server, Listener oder Peer fungiert. Dieser Typ der Konfiguration muss durchgeführt werden, damit eine Verbindung mit SQL Server hergestellt werden kann.Das Festlegen einer Firewallstrategie ist komplexer als die bloße Entscheidung, ob ein bestimmter Port geöffnet oder geschlossen werden sollte. Beim Entwickeln einer Firewallstrategie für Ihr Unternehmen sollten Sie sicherstellen, dass Sie alle Regeln und Konfigurationsoptionen berücksichtigen, die Ihnen zur Verfügung stehen. In diesem Thema werden nicht alle möglichen Firewalloptionen behandelt. Es wird empfohlen, die folgenden Dokumente zu beachten:Erste Schritte mit der Windows-Firewall mit erweiterter Sicherheithttp://go.microsoft.com/fwlink/?LinkId=116080Windows Firewall with Advanced Security Design Guidehttp://go.microsoft.com/fwlink/?LinkId=116904Introduction to Server and Domain Isolationhttp://go.microsoft.com/fwlink/?LinkId=116081Standardeinstellungen der FirewallDer erste Schritt bei der Planung der Firewallkonfiguration ist die Bestimmung des aktuellen Status der Firewall Ihres Betriebssystems. Wenn das Betriebssystem aus einer vorherigen Version aktualisiert wurde, wurden die früheren Firewalleinstellungen möglicherweise beibehalten. Außerdem kann es sein, dass die Firewalleinstellungen von einem anderen Administrator oder von einer Gruppenrichtlinie in Ihrer Domäne geändert wurden.Das Einschalten der Firewall wirkt sich auf andere Programme aus, die auf diesen Computer zugreifen, wie z. B. die Datei- und Druckerfreigabe und Remotedesktopverbindungen. Administratoren sollten vor dem Anpassen der Firewalleinstellungen alle auf dem Computer ausgeführten Anwendungen berücksichtigen.Programme zur Konfiguration der FirewallEs gibt drei Möglichkeiten, die Einstellungen der Windows-Firewall zu konfigurieren.Das Element Windows-Firewall in der SystemsteuerungDas Element Windows-Firewall kann in der Systemsteuerung geöffnet werden.Änderungen, die in der Systemsteuerung am Element Windows-Firewall vorgenommenen werden, wirken sich nur auf das aktuelle Profil aus. Für mobile Geräte, wie z. B. einen Laptop, sollte das Element Windows-Firewall in der Systemsteuerung nicht verwendet werden, da sich das Profil ändern kann, wenn es in einer anderen Konfiguration angeschlossen wird. Dann ist das zuvor konfigurierte Profil nicht wirksam. Weitere Informationen zu Profilen finden Sie unter Erste Schritte mit der Windows-Firewall mit erweiterter Sicherheithttp://go.microsoft.com/fwlink/?LinkId=116080.Das Element Windows-Firewall in der Systemsteuerung ermöglicht Ihnen die Konfiguration grundlegender Optionen. Dabei handelt es sich z. B. um:Ein- oder Ausschalten des Elements Windows-Firewall in der SystemsteuerungAktivieren und Deaktivieren von RegelnGewähren von Ausnahmen für Ports und ProgrammeFestlegen einiger BereichseinschränkungenDas Element Windows-Firewall in der Systemsteuerung eignet sich am besten für Benutzer, die mit der Konfiguration einer Firewall keine Erfahrung haben und grundlegende Firewalloptionen für nicht mobile Computer konfigurieren. Sie können das Element Windows-Firewall in der Systemsteuerung auch mit dem Befehl run öffnen. Gehen Sie hierzu wie folgt vor:So öffnen Sie das Element „Windows-Firewall“Klicken Sie im Menü Start auf Ausführen, und geben Sie dann firewall.cpl ein. Klicken Sie auf OK. Microsoft Management Console (MMC)Mithilfe des MMC-Snap-Ins „Windows-Firewall mit erweiterter Sicherheit“ können Sie erweiterte Firewalleinstellungen konfigurieren. Dieses Snap-In stellt die meisten Firewalloptionen in einer benutzerfreundlichen Form sowie alle Firewallprofile bereit. Weitere Informationen finden Sie unter Verwenden des Snap-Ins "Windows-Firewall mit erweiterter Sicherheit" weiter unten in diesem Thema.netsh Das Tool netsh.exe kann von einem Administrator verwendet werden, um Windows-basierte Computer an der Eingabeaufforderung oder mittels einer Batchdatei zu konfigurieren und zu überwachen. Mithilfe des Tools netsh können Sie die eingegebenen Kontextbefehle an das entsprechende Hilfsprogramm weiterleiten, und das Hilfsprogramm führt dann den Befehl aus. Ein Hilfsprogramm ist eine DLL-Datei (Dynamic Link Library), die die Funktionalität des Tools netsh erweitert, indem sie die Konfiguration, Überwachung und Unterstützung eines oder mehrerer Dienste, Hilfsprogramme oder Protokolle ermöglicht. Alle Betriebssysteme, die SQL Server unterstützen, haben ein Firewallhilfsprogramm.Windows Server 2008 weist zudem eine erweiterte Firewall-Hilfe namens advfirewall auf. Die Details der Verwendung von netsh werden in diesem Thema nicht erläutert. Viele der beschriebenen Konfigurationsoptionen können jedoch mit netsh konfiguriert werden. Führen Sie beispielsweise über eine Eingabeaufforderung das folgende Skript aus, um TCP-Port 1433 zu öffnen:netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENTIm Folgenden finden Sie ein ähnliches Beispiel, in dem die Windows-Firewall für das Hilfsprogramm für die erweiterte Sicherheit verwendet wird:netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAINWeitere Informationen zu netsh finden Sie unter den folgenden Links:Verwenden des Tools "Netsh.exe" und Befehlszeilenoptionenhttp://support.microsoft.com/kb/242468Die Verwendung des “netsh advfirewall firewall”-Kontexts anstelle des “netsh firewall”-Kontexts, um das Verhalten der Windows-Firewall in Windows Server 2008 und Windows Vista zu kontrollierenhttp://support.microsoft.com/kb/947709Der "netsh firewall"-Befehl in Verbindung mit dem Parameter "profile=all" konfiguriert nicht das öffentliche Profil auf einem Windows Vista-Computerhttp://support.microsoft.com/kb/947213Von SQL Server verwendete PortsDie folgenden Tabellen können Sie dabei unterstützen, die von SQL Server verwendeten Ports zu identifizieren.Vom Datenbankmodul verwendete PortsIn der folgenden Tabelle werden die häufig von Datenbankmodul verwendeten Ports aufgeführt.SzenarioPortKommentareSQL Server-Standardinstanz, die über TCP ausgeführt wirdTCP-Port 1433Dies ist der häufigste für die Firewall zulässige Port. Er gilt für Routineverbindungen mit der Standardinstallation von Datenbankmodul oder einer benannten Instanz, bei der es sich um die einzige auf dem Computer ausgeführte Instanz handelt. (Für benannte Instanzen gelten spezielle Bedingungen. Weitere Informationen finden Sie unter Dynamische Ports weiter unten in diesem Thema.)Benannte Instanzen von SQL Server in der StandardkonfigurationDer TCP-Port ist ein dynamischer Port, der zu dem Zeitpunkt bestimmt wird, zu dem Datenbankmodul startet. Weitere Informationen finden Sie in den Ausführungen im Abschnitt Dynamische Ports weiter unten. Wenn Sie benannte Instanzen verwenden, ist möglicherweise UDP-Port 1434 für den SQL Server-Browserdienst erforderlich.Benannte Instanzen von SQL Server, wenn sie für die Verwendung eines festen Ports konfiguriert sindDie vom Administrator konfigurierte Portnummer.Weitere Informationen finden Sie in den Ausführungen im Abschnitt Dynamische Ports weiter unten.Dedizierte AdministratorverbindungTCP-Port 1434 für die Standardinstanz. Andere Ports werden für benannte Instanzen verwendet. Überprüfen Sie das Fehlerprotokoll auf die Portnummer.Standardmäßig werden Remoteverbindungen über die dedizierte Administratorverbindung (Dedicated Administrator Connection, DAC) nicht aktiviert. Zum Aktivieren der Remote-DAC verwenden Sie das Facet für die Oberflächenkonfiguration. Weitere Informationen finden Sie unter Understanding Surface Area Configuration.SQL Server-BrowserdienstUDP-Port 1434Der SQL Server-Browserdienst lauscht auf einer benannten Instanz nach eingehenden Verbindungen und liefert dem Client die TCP-Portnummer, die dieser benannten Instanz entspricht. Normalerweise wird der SQL Server-Browserdienst immer dann gestartet, wenn benannte Instanzen von Datenbankmodul verwendet werden. Der SQL Server-Browserdienst muss nicht gestartet werden, wenn der Client so konfiguriert ist, dass er eine Verbindung mit dem speziellen Port der benannten Instanz herstellt.SQL Server-Instanz, die über einen HTTP-Endpunkt ausgeführt wird.Kann angegeben werden, wenn ein HTTP-Endpunkt erstellt wird. Als Standard wird TCP-Port 80 für den CLEAR_PORT-Datenverkehr und 443 für den SSL_PORT-Datenverkehr verwendet.Wird für eine HTTP-Verbindung über eine URL verwendetSQL Server-Standardinstanz, die über einen HTTPS-Endpunkt ausgeführt wird.TCP-Port 443Wird für eine HTTPS-Verbindung über eine URL verwendet. HTTPS ist eine HTTP-Verbindung, die SSL (Secure Sockets Layer) verwendet.Service BrokerTCP-Port 4022. Führen Sie die folgende Abfrage aus, um den verwendeten Port zu überprüfen:SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'SERVICE_BROKER'Für SQL Server Service Broker ist kein Standardport festgelegt, jedoch ist dies die herkömmliche, in Beispielen der Onlinedokumentation verwendete Konfiguration.DatenbankspiegelungVom Administrator ausgewählter Port. Führen Sie die folgende Abfrage aus, um den Port zu bestimmen:SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'DATABASE_MIRRORING'Für die Datenbankspiegelung ist kein Standardport festgelegt, in Beispielen der Onlinedokumentation wird jedoch TCP-Port 7022 verwendet. Es ist sehr wichtig, eine Unterbrechung eines bereits verwendeten Spiegelungsendpunkts zu vermeiden, insbesondere im Modus für hohe Sicherheit mit automatischem Failover. Die Firewallkonfiguration muss eine Unterbrechung des Quorums vermeiden. Weitere Informationen finden Sie unter Specifying a Server Network Address (Database Mirroring).ReplikationFür Replikationsverbindungen mit SQL Server werden die typischen regulären Datenbankmodul-Ports (TCP-Port 1433 für die Standardinstanz usw.) verwendet.Die Websynchronisierung und der FTP-/UNC-Zugriff für die Replikationsmomentaufnahme erfordern das Öffnen zusätzlicher Ports auf der Firewall. Zur Übertragung der Anfangsdaten und des Schemas zwischen unterschiedlichen Standorten kann für die Replikation FTP (TCP-Port 21), die Synchronisierung über HTTP (TCP-Port 80) oder die Dateifreigabe verwendet werden. Die Dateifreigabe verwendet die UDP-Ports 137 und 138 und den TCP-Port 139, wenn NetBIOS verwendet wird. Für die Dateifreigabe wird der TCP-Port 445 verwendet.Bei der Synchronisierung über HTTP wird für die Replikation der IIS-Endpunkt (Ports, die dafür konfigurierbar sind, standardmäßig aber Port 80) verwendet, aber der IIS-Prozess stellt eine Verbindung mit Back-End-SQL Server über die Standardports (1433 für die Standardinstanz) her.Bei der Websynchronisierung mittels FTP findet die FTP-Übertragung zwischen IIS und dem SQL Server-Verleger und nicht zwischen Abonnent und IIS statt.Transact-SQL-DebuggerTCP-Port 135Siehe Spezielle Überlegungen zu Port 135Die IPsec-Ausnahme ist möglicherweise auch erforderlich.Bei Verwendung von Visual Studio müssen Sie außerdem auf dem Visual Studio-Hostcomputer Devenv.exe zur Ausnahmeliste hinzufügen und den TCP-Port 135 öffnen.Bei Verwendung von Management Studio müssen Sie außerdem auf dem Management Studio-Hostcomputer ssms.exe zur Ausnahmeliste hinzufügen und TCP-Port 135 öffnen. Weitere Informationen finden Sie unter Configuring and Starting the Transact-SQL Debugger.Schrittweise Anweisungen zum Konfigurieren der Windows-Firewall für Datenbankmodul finden Sie unter How to: Configure a Firewall for SQL Server Access.Dynamische PortsStandardmäßig verwenden benannte Instanzen (einschließlich SQL Server Express) dynamische Ports. Dies bedeutet, dass immer dann, wenn Datenbankmodul startet, ein verfügbarer Port identifiziert und die entsprechende Portnummer verwendet wird. Wenn es sich bei der benannten Instanz um die einzige von Datenbankmodul installierte Instanz handelt, wird wahrscheinlich TCP-Port 1433 verwendet. Wenn weitere Instanzen von Datenbankmodul installiert sind, wird wahrscheinlich ein anderer TCP-Port verwendet. Da sich der ausgewählte Port bei jedem Start von Datenbankmodul ändern kann, ist es schwierig, die Firewall so zu konfigurieren, dass der Zugriff auf die richtige Portnummer ermöglicht wird. Daher wird bei Verwendung einer Firewall eine Neukonfiguration von Datenbankmodul empfohlen, damit jedes Mal dieselbe Portnummer verwendet wird. Der betreffende Port wird als fester oder statischer Port bezeichnet. Weitere Informationen finden Sie unter How to: Configure a Server to Listen on a Specific TCP Port (SQL Server Configuration Manager).Eine Alternative zum Konfigurieren einer benannten Instanz für das Lauschen auf einem festen Port ist die Erstellung einer Ausnahme für ein SQL Server-Programm wie z. B. sqlservr.exe (für Datenbankmodul) in der Firewall. Dies kann zwar zweckmäßig sein, aber die Portnummer wird nicht in der Spalte Lokaler Port auf der Seite Eingehende Regeln angezeigt, wenn Sie das MMC-Snap-In "Windows-Firewall mit erweiterter Sicherheit" verwenden. Damit kann es schwieriger werden, zu verfolgen, welche Ports geöffnet sind. Ein weiterer Aspekt ist, dass ein Service Pack oder kumulatives Update den Pfad zur ausführbaren SQL Server-Datei ändern kann, wodurch die Firewallregel ungültig wird.Im folgenden Verfahren wird das Element Windows-Firewall in der Systemsteuerung verwendet. Mithilfe des MMC-Snap-Ins „Windows-Firewall mit erweiterter Sicherheit“ kann eine komplexere Regel konfiguriert werden. Dazu gehört das Konfigurieren einer Dienstausnahme, was nützlich sein kann, um einen tiefgreifenden Schutz zu ermöglichen. Siehe Verwenden des Snap-Ins „Windows-Firewall mit erweiterter Sicherheit“ weiter unten.So fügen Sie der Firewall mithilfe des Elements „Windows-Firewall“ in der Systemsteuerung eine Programmausnahme hinzuKlicken Sie unter dem Element Windows-Firewall in der Systemsteuerung auf der Registerkarte Ausnahmen auf Programm hinzufügen.Navigieren Sie zum Speicherort der Instanz von SQL Server die Sie durch die Firewall zulassen möchten, zum Beispiel C:\Programme\Microsoft SQL Server\MSSQL13.<Instanzname> \MSSQL\Binn. Wählen Sie sqlservr.exe aus, und klicken Sie dann auf Öffnen. Klicken Sie auf OK. Weitere Informationen über Endpunkte finden Sie unter Configure the Database Engine to Listen on Multiple TCP Ports und Endpoints Catalog Views (Transact-SQL).Von Analysis Services verwendete PortsIn der folgenden Tabelle werden die häufig von Analysis Services verwendeten Ports aufgeführt.FunktionPortKommentareAnalysis ServicesTCP-Port 2383 für die StandardinstanzDer Standardport für die Standardinstanz von Analysis Services.SQL Server-BrowserdienstTCP-Port 2382, nur für eine benannte Instanz von Analysis Services notwendigClientverbindungsanforderungen für eine benannte Instanz von Analysis Services, in denen keine Portnummer angegeben ist, werden an Port 2382 weitergeleitet, dem Port, auf dem der SQL Server-Browser lauscht.SQL Server-Browser leitet dann die Anforderung an den Port um, der von der benannten Instanz verwendet wird.Analysis Services zur Verwendung durch IIS/HTTP konfiguriert(Der PivotTable®-Dienst verwendet HTTP oder HTTPS.)TCP-Port 80Wird für eine HTTP-Verbindung über eine URL verwendetAnalysis Services zur Verwendung durch IIS/HTTPS konfiguriert(Der PivotTable®-Dienst verwendet HTTP oder HTTPS.)TCP-Port 443Wird für eine HTTPS-Verbindung über eine URL verwendet. HTTPS ist eine HTTP-Verbindung, die SSL (Secure Sockets Layer) verwendet.Wenn Benutzer über IIS und das Internet auf Analysis Services zugreifen, müssen Sie den Port öffnen, den IIS überwacht, und diesen Port in der Clientverbindungszeichenfolge angeben. In diesem Fall müssen keine Ports für den direkten Zugriff auf Analysis Services geöffnet sein. Der Standardport 2389 und Port 2382 sollten gemeinsam mit allen anderen Ports eingeschränkt werden, die nicht benötigt werden.Schrittweise Anweisungen zum Konfigurieren der Windows-Firewall für Analysis Services finden Sie unter How to: Configure Windows Firewall for Analysis Services Access.Von Reporting Services verwendete PortsIn der folgenden Tabelle werden die häufig von Reporting Services verwendeten Ports aufgeführt.FunktionPortKommentareReporting Services-WebdiensteTCP-Port 80Wird für eine HTTP-Verbindung mit Reporting Services über eine URL verwendet. Die Verwendung der vorkonfigurierten Regel WWW-Dienste (HTTP) wird nicht empfohlen. Weitere Informationen finden Sie im Abschnitt Interaktion mit anderen Firewallregeln weiter unten.Reporting Services zur Verwendung durch HTTPS konfiguriertTCP-Port 443Wird für eine HTTPS-Verbindung über eine URL verwendet. HTTPS ist eine HTTP-Verbindung, die SSL (Secure Sockets Layer) verwendet. Die Verwendung der vorkonfigurierten Regel WWW-Dienste (HTTP) wird nicht empfohlen. Weitere Informationen finden Sie im Abschnitt Interaktion mit anderen Firewallregeln weiter unten.Wenn Reporting Services eine Verbindung mit einer Instanz von Datenbankmodul oder Analysis Services herstellt, müssen Sie auch die entsprechenden Ports für diese Dienste öffnen. Schrittweise Anweisungen zum Konfigurieren der Windows-Firewall für Reporting Services finden Sie unter How to: Configure a Firewall for Report Server Access.Von Integration Services verwendete PortsIn der folgenden Tabelle werden die vom Integration Services-Dienst verwendeten Ports aufgeführt.FunktionPortKommentareMicrosoft-Remoteprozeduraufrufe (MS RPC)Wird von der Integration Services-Laufzeit verwendet.TCP-Port 135Siehe Spezielle Überlegungen zu Port 135Der Integration Services-Dienst verwendet DCOM auf Port 135. Der Dienstkontroll-Manager verwendet Port 135, um Tasks wie z. B. das Starten und Beenden des Integration Services-Diensts und das Übertragen von Kontrollanforderungen an den laufenden Dienst auszuführen. Die Portnummer kann nicht geändert werden.Dieser Port muss nur dann geöffnet sein, wenn Sie eine Verbindung mit einer Remoteinstanz des Integration Services-Diensts von Management Studio oder einer benutzerdefinierten Anwendung aus herstellen.Schrittweise Anweisungen zum Konfigurieren der Windows-Firewall für Integration Services finden Sie unter Configuring a Windows Firewall for Integration Services Access.Zusätzliche Ports und DiensteDie folgende Tabelle enthält Ports und Dienste, von denen SQL Server abhängig sein kann.SzenarioPortKommentareWindows-VerwaltungsinstrumentationWeitere Informationen zu WMI finden Sie unter WMI Provider for Configuration Management Concepts.WMI wird als Teil eines Hosts für gemeinsame Dienste ausgeführt, wobei Ports über DCOM zugewiesen werden. WMI verwendet möglicherweise den TCP-Port 135.Siehe Spezielle Überlegungen zu Port 135Der SQL Server-Konfigurations-Manager verwendet WMI zum Auflisten und Verwalten von Diensten. Es wird empfohlen, die vorkonfigurierte Regelgruppe Windows-Verwaltungsinstrumentation (WMI) zu verwenden. Weitere Informationen finden Sie im Abschnitt Interaktion mit anderen Firewallregeln weiter unten.Microsoft Distributed Transaction Coordinator (MS DTC)TCP-Port 135Siehe Spezielle Überlegungen zu Port 135Wenn Ihre Anwendung verteilte Transaktionen verwendet, müssen Sie die Firewall möglicherweise so konfigurieren, dass MS DTC-Datenverkehr (Microsoft Distributed Transaction Coordinator) zwischen separaten MS DTC-Instanzen sowie zwischen MS DTC und Ressourcen-Managern wie SQL Server übermittelt werden kann. Es wird empfohlen, die vorkonfigurierte Regelgruppe Distributed Transaction Coordinator zu verwenden.Bei Konfiguration eines einzelnen freigegebenen MS-DTCs für den gesamten Cluster in einer separaten Gruppe sollten Sie sqlservr.exe der Firewall als Ausnahme hinzufügen.Die Schaltfläche zum Durchsuchen in Management Studio verwendet UDP, um eine Verbindung mit dem SQL Server-Browserdienst herzustellen. Weitere Informationen finden Sie unter SQL Server Browser Service (Database Engine and SSAS).UDP-Port 1434UDP ist ein verbindungsloses Protokoll.Die Firewall verfügt über eine Einstellung mit dem Namen UnicastResponsesToMulticastBroadcastDisabled Property of the INetFwProfile Interfacehttp://go.microsoft.com/fwlink/?LinkId=118371, die das Verhalten der Firewall in Hinblick auf Unicast-Antworten auf eine Broadcast- (oder Multicast-)UDP-Anforderung steuert. Es sind zwei Verhaltensweisen möglich:Wenn die Einstellung TRUE ist, werden überhaupt keine Unicastantworten auf einen Broadcast zugelassen. Das Auflisten der Dienste schlägt fehl.Wenn die Einstellung FALSE (Standard) ist, werden Unicastantworten 3 Sekunden lang zugelassen. Die Zeitdauer ist nicht konfigurierbar. In einem überlasteten Netzwerk oder einem Netzwerk mit häufiger Latenz oder bei stark ausgelasteten Servern wird bei den Versuchen, Instanzen von SQL Server aufzulisten, möglicherweise eine Teilliste zurückgegeben, die die Benutzer irreführen kann.IPsec-DatenverkehrUDP-Port 500 und UDP-Port 4500Wenn die Domänenrichtlinie eine Netzwerkkommunikation über IPSec erfordert, müssen Sie auch den UDP-Port 4500 und den UDP-Port 500 der Ausnahmeliste hinzufügen. IPsec ist eine Option, die den Assistenten für neue eingehende Regel im Windows-Firewall-Snap-In verwendet. Weitere Informationen finden Sie unter Verwenden des Snap-Ins „Windows-Firewall mit erweiterter Sicherheit“ weiter unten in diesem Thema.Verwenden der Windows-Authentifizierung mit vertrauenswürdigen DomänenFirewalls müssen konfiguriert werden, um Authentifizierungsanforderungen zuzulassen.Weitere Informationen finden Sie unter Konfigurieren einer Firewall für Domänen und Vertrauensstellungenhttp://support.microsoft.com/kb/179442/.SQL Server und Windows-ClusterunterstützungDie Clusterunterstützung erfordert zusätzliche Ports, die keine direkte Beziehung zu SQL Server aufweisen.Weitere Informationen finden Sie unter Enable a network for cluster usehttp://go.microsoft.com/fwlink/?LinkId=118372.In der HTTP-Server-API (HTTP.SYS) reservierte URL-NamespacesWahrscheinlich TCP-Port 80, kann jedoch für andere Ports konfiguriert werden. Allgemeine Informationen finden Sie unter Configuring HTTP and HTTPShttp://go.microsoft.com/fwlink/?LinkId=118373.Spezielle Informationen für SQL Server zum Reservieren eines HTTP.SYS-Endpunkts mittels HttpCfg.exe finden Sie unter About URL Reservations and Registration.Spezielle Überlegungen zu Port 135Wenn Sie RPC mit TCP/IP oder mit UDP/IP als Transportprotokoll verwenden, werden eingehende Ports den Systemdiensten häufig dynamisch nach Bedarf zugewiesen; hierbei werden TCP/IP- und UDP/IP-Ports verwendet, die größer als Port 1024 sind. Diese werden informell häufig als „zufällige RPC-Ports“ bezeichnet. In solchen Fällen sind die RPC-Clients auf die Information der RPC-Endpunktzuordnung angewiesen, welche dynamischen Ports dem Server zugeordnet wurden. Für einige RPC-basierte Dienste können Sie einen bestimmten Port konfigurieren, statt RPC einen Port dynamisch zuweisen zu lassen. Außerdem können Sie den Bereich der Ports, die von RPC dynamisch zugewiesen werden, unabhängig vom Dienst verkleinern. Da Port 135 für zahlreiche Dienste verwendet wird, wird dieser häufig von böswilligen Benutzern angegriffen. Wenn Sie Port 135 öffnen, erwägen Sie, den Gültigkeitsbereich der Firewallregel einzuschränken.Weitere Informationen zu Port 135 finden Sie in den folgenden Ressourcen:Dienste und Netzwerkportanforderungen für das Windows Server-Systemhttp://support.microsoft.com/kb/832017Beheben von Fehlern bei der RPC-Endpunktzuordnunghttp://support.microsoft.com/kb/839880Remoteprozeduraufruf (RPC)http://go.microsoft.com/fwlink/?LinkId=118375Konfigurieren der dynamischen RPC-Portzuweisung für Firewall-Einsatzhttp://support.microsoft.com/kb/154596/Interaktion mit anderen FirewallregelnDie Windows-Firewall verwendet Regeln und Regelgruppen, um ihre Konfiguration festzulegen. Jede Regel oder Regelgruppe ist normalerweise mit einem bestimmten Programm oder Dienst verknüpft, und dieses Programm oder dieser Dienst kann diese Regel ohne Ihr Wissen ändern oder löschen. Beispielsweise sind die Regelgruppen WWW-Dienste (HTTP) und Sichere WWW-Dienste (HTTPS) mit IIS verknüpft. Die Aktivierung dieser Regeln öffnet die Ports 80 und 443, und die SQL Server-Funktionen, die auf den Ports 80 und 443 beruhen, werden ausgeführt, wenn diese Regeln aktiviert sind. Administratoren, die IIS konfigurieren, können diese Regeln jedoch ändern oder deaktivieren. Deshalb sollten Sie, wenn Sie Port 80 oder Port 443 für SQL Server verwenden, Ihre eigene Regel oder Regelgruppe erstellen, die Ihre gewünschte Portkonfiguration unabhängig von den anderen IIS-Regeln beibehält.Das MMC-Snap-In „Windows-Firewall mit erweiterter Sicherheit“ erlaubt jeden Datenverkehr, der mit einer entsprechenden Zulassungsregel übereinstimmt. Wenn also zwei Regeln vorhanden sind, die beide für Port 80 gelten (mit unterschiedlichen Parametern), wird derjenige Datenverkehr zugelassen, der mit einer der beiden Regeln übereinstimmt. Wenn eine Regel den Datenverkehr über Port 80 von einem lokalen Subnetz und eine Regel den Datenverkehr von einer beliebigen Adresse erlaubt, wird letztendlich der gesamte Datenverkehr über Port 80 unabhängig von der Quelle zugelassen. Um den Zugriff auf SQL Server effektiv zu verwalten, sollten Administratoren alle auf dem Server aktivierten Firewallregeln in regelmäßigen Abständen überprüfen.Übersicht über FirewallprofileFirewallprofile werden unter Erste Schritte mit der Windows-Firewall mit erweiterter Sicherheithttp://go.microsoft.com/fwlink/?LinkId=116080 im Abschnitt NLA-Hostfirewall (Network Location Awareness) behandelt. Zusammenfassend gilt: Die Betriebssysteme identifizieren und "erinnern" alle Netzwerke, mit denen sie eine Verbindung herstellen, in Bezug auf die Konnektivität, Verbindungen und Kategorie.In Windows-Firewall mit erweiterter Sicherheit gibt es drei Netzwerkstandorttypen:Domäne. Windows kann den Zugriff auf den Domänencontroller für die Domäne des Netzwerks, mit dem der Computer verbunden ist, authentifizieren.Öffentlich. Alle neu erkannten Netzwerke, außer Domänennetzwerke, werden zunächst als öffentlich kategorisiert. Netzwerke, die direkte Verbindungen zum Internet darstellen oder sich an öffentlichen Orten wie z. B. auf Flughäfen und in Cafés befinden, sollten auch öffentlich bleiben.Privat. Ein Netzwerk, das von einem Benutzer oder einer Anwendung als privat gekennzeichnet wird. Es sollten nur vertrauenswürdige Netzwerke als private Netzwerke gekennzeichnet werden. Benutzer können Heim- oder kleine Firmennetzwerke als privat kennzeichnen.Der Administrator kann für jeden Netzwerkstandorttyp ein Profil erstellen. Dabei kann jedes Profil unterschiedliche Firewallrichtlinien enthalten. Es wird immer nur ein Profil angewendet. Die Profilreihenfolge wird wie folgt angewendet:Wenn alle Schnittstellen gegenüber dem Domänencontroller für die Domäne, deren Mitglied der Computer ist, authentifiziert werden, wird das Domänenprofil angewendet.Wenn alle Schnittstellen entweder gegenüber dem Domänencontroller authentifiziert oder mit Netzwerken, die als private Netzwerkstandorte klassifiziert sind, verbunden werden, wird das private Profil angewendet.Andernfalls wird das öffentliche Profil angewendet.Verwenden Sie das MMC-Snap-In „Windows-Firewall mit erweiterter Sicherheit“, um alle Firewallprofile anzuzeigen und zu konfigurieren. Mithilfe des Elements Windows-Firewall in der Systemsteuerung kann nur das aktuelle Profil konfiguriert werden.Zusätzliche Firewalleinstellungen mithilfe des Eintrags „Windows-Firewall“ in der SystemsteuerungAusnahmen, die Sie der Firewall hinzufügen, können das Öffnen des Ports bei eingehenden Verbindungen von bestimmten Computern oder vom lokalen Subnetz einschränken. Diese Einschränkung des Bereichs der Portöffnung kann den Umfang, in dem Ihr Computer böswilligen Benutzern ausgesetzt ist, verringern und wird daher empfohlen.Mithilfe des Elements Windows-Firewall in der Systemsteuerung wird nur das aktuelle Firewallprofil konfiguriert.So ändern Sie den Bereich einer Firewallausnahme mithilfe des Elements „Windows-Firewall“ in der SystemsteuerungWählen Sie unter dem Element Windows-Firewall in der Systemsteuerung auf der Registerkarte Ausnahmen ein Programm oder einen Port aus, und klicken Sie dann auf Eigenschaften oder Bearbeiten.Klicken Sie im Dialogfeld Programm bearbeiten oder Port bearbeiten auf Bereich ändern.Wählen Sie eine der folgenden Optionen aus:Alle Computer (einschließlich der im Internet)Nicht empfohlen. Dies ermöglicht es jedem Computer, der mit Ihrem Computer Kontakt aufnehmen kann, eine Verbindung mit einem bestimmten Programm oder Port herzustellen. Diese Einstellung kann notwendig sein, um die Anzeige von Informationen für anonyme Benutzer im Internet zuzulassen, erhöht aber die Gefahr, die von böswilligen Benutzern ausgeht. Ihre Gefährdung kann sich noch weiter erhöhen, wenn Sie diese Einstellung aktivieren und außerdem NAT-Traversal (Network Address Translation) zulassen, wie z. B. die Option Randüberquerung zulassen.Nur für eigenes Netzwerk (Subnetz)Diese Einstellung ist sicherer als Alle Computer. Nur Computer im lokalen Subnetz Ihres Netzwerks können eine Verbindung mit dem Programm oder Port herstellen.Benutzerdefinierte Liste:Nur Computer, die über die von Ihnen aufgeführten IP-Adressen verfügen, können eine Verbindung herstellen. Dies kann eine sicherere Einstellung als Nur für eigenes Netzwerk (Subnetz) sein; Clientcomputer, die DHCP verwenden, können jedoch gelegentlich ihre IP-Adresse ändern. Dann kann der beabsichtigte Computer keine Verbindung herstellen. Ein anderer Computer, den Sie nicht autorisieren wollten, könnte die aufgeführte IP-Adresse akzeptieren und dann in der Lage sein, eine Verbindung herzustellen. Die Option Benutzerdefinierte Liste eignet sich möglicherweise zum Auflisten anderer Server, die für eine feste IP-Adresse konfiguriert sind; es besteht jedoch die Möglichkeit, dass IP-Adressen von einem Eindringling gefälscht (gespooft) werden. Restriktive Firewallregeln sind nur so stark wie Ihre Netzwerkinfrastruktur.Verwenden des Snap-Ins „Windows-Firewall mit erweiterter Sicherheit“Mithilfe des MMC-Snap-Ins Windows-Firewall mit erweiterter Sicherheit können zusätzliche erweiterte Firewalleinstellungen konfiguriert werden. Das Snap-In enthält einen Regel-Assistenten und bietet Zusatzeinstellungen, die im Element Windows-Firewall in der Systemsteuerung nicht verfügbar sind. Dazu gehören folgende Einstellungen:VerschlüsselungseinstellungenEinschränkungen für DiensteEinschränken von Verbindungen für Computer nach NameEinschränken von Verbindungen für bestimmte Benutzer oder ProfileRandüberquerung, die dem Datenverkehr die Umgehung von NAT-Routern (Network Address Translation) erlaubtKonfigurieren von ausgehenden RegelnKonfigurieren von SicherheitsregelnErfordern von IPsec für eingehende VerbindungenSo erstellen Sie eine neue Firewallregel mit dem Assistenten für neue RegelnKlicken Sie im Startmenü auf Ausführen, geben Sie WF.msc ein, und klicken Sie anschließend auf OK.Klicken Sie im linken Bereich von Windows-Firewall mit erweiterter Sicherheit mit der rechten Maustaste auf Eingehende Regeln, und klicken Sie dann auf Neue Regel.Schließen Sie den Assistenten für neue eingehende Regel mit den gewünschten Einstellungen ab.Behandeln von Problemen mit FirewalleinstellungenDie folgenden Tools und Techniken können bei der Behandlung von Problemen mit der Firewall nützlich sein:Der effektive Portstatus ist die Gesamtheit aller Regeln, die den Port betreffen. Beim Versuch, den Zugriff über einen Port zu blockieren, kann es hilfreich sein, alle Regeln, die die Portnummer nennen, zu überprüfen. Verwenden Sie hierzu das MMC-Snap-In „Windows-Firewall mit erweiterter Sicherheit“, und sortieren Sie die ein- und ausgehenden Regeln nach Portnummer.Überprüfen Sie die Ports, die auf dem Computer aktiv sind, auf dem SQL Server ausgeführt wird. Dazu muss überprüft werden, welche TCP/IP-Ports überwacht werden und welchen Status diese Ports besitzen.Um zu überprüfen, welche Ports überwacht werden, verwenden Sie das Befehlszeilen-Hilfsprogramm netstat. Zusätzlich zur Anzeige der aktiven TCP-Verbindungen werden mit dem netstat-Hilfsprogramm auch eine Reihe von IP-Statistiken und -Informationen angezeigt.So führen Sie auf, auf welchen TCP/IP-Ports die Überwachung erfolgtÖffnen Sie das Eingabeaufforderungsfenster.Geben Sie an der Eingabeaufforderung netstat -n -a ein:Mit dem -n-Schalter wird netstat angewiesen, die Adressen und die Portnummern der aktiven TCP-Verbindungen numerisch anzuzeigen. Mit dem -a-Schalter wird netstat angewiesen, die vom Computer überwachten TCP- und UDP-Ports anzuzeigen.Mit dem PortQry-Hilfsprogramm kann der Status der TCP/IP-Ports als überwacht, nicht überwacht oder gefiltert gemeldet werden. (Der gefilterte Status bedeutet, dass der Port überwacht oder nicht überwacht wird. Dieser Status gibt an, dass das Hilfsprogramm keine Antwort vom Port empfangen hat.) Das Hilfsprogramm PortQry steht im Microsoft-Downloadcenterhttp://go.microsoft.com/fwlink/?LinkId=28590 zum Herunterladen zur Verfügung.Dienste und Netzwerkportanforderungen für das Windows Server-Systemhttp://support.microsoft.com/kb/832017Gewusst wie: Konfigurieren von Firewalleinstellungen (Azure SQL-Datenbank)https://azure.microsoft.com/documentation/articles/sql-database-configure-firewall-settings/<_caps3a_sxssource locale="en-US">Firewall systems help prevent unauthorized access to computer resources. If a firewall is turned on but not correctly configured, attempts to connect to SQL Server might be blocked.To access an instance of the SQL Server through a firewall, you must configure the firewall on the computer that is running SQL Server to allow access. The firewall is a component of Microsoft Windows. You can also install a firewall from another company. This topic discusses how to configure the Windows firewall, but the basic principles apply to other firewall programs.This topic provides an overview of firewall configuration and summarizes information of interest to a SQL Server administrator. For more information about the firewall and for authoritative firewall information, see the firewall documentation, such as Windows Firewall with Advanced Security and IPsechttp://go.microsoft.com/fwlink/?LinkID=116904.Users familiar with the Windows Firewall item in Control Panel and with the Windows Firewall with Advanced Security Microsoft Management Console (MMC) snap-in and who know which firewall settings they want to configure can move directly to the topics in the following list:How to: Configure a Windows Firewall for Database Engine Access How to: Configure Windows Firewall for Analysis Services Access How to: Configure a Firewall for Report Server Access In this TopicThis topic has the following sections:Basic Firewall InformationDefault Firewall SettingsPrograms to Configure the FirewallPorts Used by the Database EnginePorts Used By Analysis ServicesPorts Used By Reporting ServicesPorts Used By Integration ServicesAdditional Ports and ServicesInteraction with Other Firewall RulesOverview of Firewall ProfilesAdditional Firewall Settings Using the Windows Firewall Item in Control PanelUsing the Windows Firewall with Advanced Security Snap-inTroubleshooting Firewall SettingsBasic Firewall InformationFirewalls work by inspecting incoming packets, and comparing them against a set of rules. If the rules allow the packet, the firewall passes the packet to the TCP/IP protocol for additional processing. If the rules do not allow the packet, the firewall discards the packet and, if logging is enabled, creates an entry in the firewall logging file.The list of allowed traffic is populated in one of the following ways:When the computer that has the firewall enabled initiates communication, the firewall creates an entry in the list so that the response is allowed. The incoming response is considered solicited traffic and you do not have to configure this.An administrator configures exceptions to the firewall. This allows either access to specified programs running on your computer, or access to specified connection ports on your computer. In this case, the computer accepts unsolicited incoming traffic when acting as a server, a listener, or a peer. This is the type of configuration that must be completed to connect to SQL Server.Choosing a firewall strategy is more complex than just deciding if a given port should be open or closed. When designing a firewall strategy for your enterprise, make sure that you consider all the rules and configuration options available to you. This topic does not review all the possible firewall options. We recommend that you review the following documents:Windows Firewall with Advanced Security Getting Started Guidehttp://go.microsoft.com/fwlink/?LinkId=116080Windows Firewall with Advanced Security Design Guidehttp://go.microsoft.com/fwlink/?LinkId=116904Introduction to Server and Domain Isolationhttp://go.microsoft.com/fwlink/?LinkId=116081Default Firewall SettingsThe first step in planning your firewall configuration is to determine the current status of the firewall for your operating system. If the operating system was upgraded from a previous version, the earlier firewall settings may have been preserved. Also, the firewall settings could have been changed by another administrator or by a Group Policy in your domain.Turning on the firewall will affect other programs that access this computer, such as file and print sharing, and remote desktop connections. Administrators should consider all applications that are running on the computer before adjusting the firewall settings.Programs to Configure the FirewallThere are three ways to configure the Windows Firewall settings.Windows Firewall item in Control PanelThe Windows Firewall item can be opened from Control Panel.Changes made in the Windows Firewall item in Control Panel only affect the current profile. Mobile devices, for example a laptop, should not use the Windows Firewall item in Control Panel as the profile might change when it is connected in a different configuration. Then the previously-configured profile will not be in effect. For more information about profiles, see Windows Firewall with Advanced Security Getting Started Guidehttp://go.microsoft.com/fwlink/?LinkId=116080.The Windows Firewall item in Control Panel allows you to configure basic options. These include the following:Turning the Windows Firewall item in Control Panel on or offEnabling and disabling rulesGranting exceptions for ports and programsSetting some scope restrictionsThe Windows Firewall item in Control Panel is most appropriate for users who are not experienced in firewall configuration, and who are configuring basic firewall options for computers that are not mobile. You can also open the Windows Firewall item in Control Panel from the run command by using the following procedure:To open the Windows Firewall itemOn the Start menu, click Run, and then enter firewall.cpl. Klicken Sie auf OK. Microsoft Management Console (MMC)The Windows Firewall with Advanced Security MMC snap-in lets you configure more advanced firewall settings. This snap-in presents most of the firewall options in an easy-to-use manner, and presents all firewall profiles. For more information, see Using the Windows Firewall with Advanced Security Snap-in later in this topic.netsh The netsh.exe tool can be used by an administrator to configure and monitor Windows-based computers at a command prompt or using a batch file. By using the netsh tool, you can direct the context commands you enter to the appropriate helper, and the helper then performs the command. A helper is a Dynamic Link Library (.dll) file that extends the functionality of the netsh tool by providing configuration, monitoring, and support for one or more services, utilities, or protocols. All operating systems that support SQL Server have a firewall helper.Windows Server 2008 also has an advanced firewall helper called advfirewall. The details of using netsh are not discussed in this topic. However, many of the configuration options described can be configured by using netsh. For example, run the following script at a command prompt to open TCP port 1433:netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENTA similar example using the Windows Firewall for Advanced Security helper:netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAINFor more information about netsh, see the following links:How to Use the Netsh.exe Tool and Command-Line Switcheshttp://support.microsoft.com/kb/242468How to use the “netsh advfirewall firewall” context instead of the “netsh firewall” context to control Windows Firewall behavior in Windows Server 2008 and in Windows Vistahttp://support.microsoft.com/kb/947709The "netsh firewall" command together with the "profile=all" parameter does not configure the public profile on a Windows Vista-based computerhttp://support.microsoft.com/kb/947213Ports Used By SQL ServerThe following tables can help you identify the ports being used by SQL Server.Ports Used By the Database EngineThe following table lists the ports that are frequently used by the Datenbankmodul.ScenarioPortCommentsSQL Server default instance running over TCPTCP port 1433This is the most common port allowed through the firewall. It applies to routine connections to the default installation of the Datenbankmodul, or a named instance that is the only instance running on the computer. (Named instances have special considerations. See Dynamic Ports later in this topic.)SQL Server named instances in the default configurationThe TCP port is a dynamic port determined at the time the Datenbankmodul starts. See the discussion below in the section Dynamic Ports. UDP port 1434 might be required for the SQL Server Browser Service when you are using named instances.SQL Server named instances when they are configured to use a fixed portThe port number configured by the administrator.See the discussion below in the section Dynamic Ports.Dedicated Admin ConnectionTCP port 1434 for the default instance. Other ports are used for named instances. Check the error log for the port number.By default, remote connections to the Dedicated Administrator Connection (DAC) are not enabled. To enable remote DAC, use the Surface Area Configuration facet. For more information, see Understanding Surface Area Configuration.SQL Server Browser serviceUDP port 1434The SQL Server Browser service listens for incoming connections to a named instance and provides the client the TCP port number that corresponds to that named instance. Normally the SQL Server Browser service is started whenever named instances of the Datenbankmodul are used. The SQL Server Browser service does not have to be started if the client is configured to connect to the specific port of the named instance.SQL Server instance running over an HTTP endpoint.Can be specified when an HTTP endpoint is created. The default is TCP port 80 for CLEAR_PORT traffic and 443 for SSL_PORT traffic.Used for an HTTP connection through a URL.SQL Server default instance running over an HTTPS endpoint.TCP port 443Used for an HTTPS connection through a URL. HTTPS is an HTTP connection that uses secure sockets layer (SSL).Service BrokerTCP port 4022. To verify the port used, execute the following query:SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'SERVICE_BROKER'There is no default port for SQL Server Service Broker, but this is the conventional configuration used in Books Online examples.Database MirroringAdministrator chosen port. To determine the port, execute the following query:SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'DATABASE_MIRRORING'There is no default port for database mirroring however Books Online examples use TCP port 7022. It is very important to avoid interrupting an in-use mirroring endpoint, especially in high-safety mode with automatic failover. Your firewall configuration must avoid breaking quorum. For more information, see Specifying a Server Network Address (Database Mirroring).ReplicationReplication connections to SQL Server use the typical regular Datenbankmodul ports (TCP port 1433 for the default instance, etc.)Web synchronization and FTP/UNC access for replication snapshot require additional ports to be opened on the firewall. To transfer initial data and schema from one location to another, replication can use FTP (TCP port 21), or sync over HTTP (TCP port 80) or File Sharing. File sharing uses UDP port 137 and 138, and TCP port 139 if it using NetBIOS. File Sharing uses TCP port 445.For sync over HTTP, replication uses the IIS endpoint (ports for which are configurable but is port 80 by default), but the IIS process connects to the backend SQL Server through the standard ports (1433 for the default instance.During Web synchronization using FTP, the FTP transfer is between IIS and the SQL Server publisher, not between subscriber and IIS.Transact-SQL debuggerTCP port 135See Special Considerations for Port 135The IPsec exception might also be required.If using Visual Studio, on the Visual Studio host computer, you must also add Devenv.exe to the Exceptions list and open TCP port 135.If using Management Studio, on the Management Studio host computer, you must also add ssms.exe to the Exceptions list and open TCP port 135. For more information, see Configuring and Starting the Transact-SQL Debugger.For step by step instructions to configure the Windows Firewall for the Datenbankmodul, see How to: Configure a Firewall for SQL Server Access.Dynamic PortsBy default, named instances (including SQL Server Express) use dynamic ports. That means that every time that the Datenbankmodul starts, it identifies an available port and uses that port number. If the named instance is the only instance of the Datenbankmodul installed, it will probably use TCP port 1433. If other instances of the Datenbankmodul are installed, it will probably use a different TCP port. Because the port selected might change every time that the Datenbankmodul is started, it is difficult to configure the firewall to enable access to the correct port number. Therefore, if a firewall is used, we recommend reconfiguring the Datenbankmodul to use the same port number every time. This is called a fixed port or a static port. For more information, see How to: Configure a Server to Listen on a Specific TCP Port (SQL Server Configuration Manager).An alternative to configuring a named instance to listen on a fixed port is to create an exception in the firewall for a SQL Server program such as sqlservr.exe (for the Datenbankmodul). This can be convenient, but the port number will not appear in the Local Port column of the Inbound Rules page when you are using the Windows Firewall with Advanced Security MMC snap-in. This can make it more difficult to audit which ports are open. Another consideration is that a service pack or cumulative update can change the path to the SQL Server executable which will invalidate the firewall rule.The following procedure uses the Windows Firewall item in Control Panel. The Windows Firewall with Advanced Security MMC snap-in can configure a more complex rule. This includes configuring a service exception which can be useful for providing defense in depth. See Using the Windows Firewall with Advanced Security Snap-in below.To add a program exception to the firewall using the Windows Firewall item in Control Panel.On the Exceptions tab of the Windows Firewall item in Control Panel, click Add a program.Browse to the location of the instance of SQL Server that you want to allow through the firewall, for example C:\Program Files\Microsoft SQL Server\MSSQL13.<instance_name>\MSSQL\Binn, select sqlservr.exe, and then click Open. Klicken Sie auf OK. For more information about endpoints, see Configure the Database Engine to Listen on Multiple TCP Ports and Endpoints Catalog Views (Transact-SQL).Ports Used By Analysis ServicesThe following table lists the ports that are frequently used by Analysis Services.FeaturePortCommentsAnalysis ServicesTCP port 2383 for the default instanceThe standard port for the default instance of Analysis Services.SQL Server Browser serviceTCP port 2382 only needed for an Analysis Services named instanceClient connection requests for a named instance of Analysis Services that do not specify a port number are directed to port 2382, the port on which SQL Server Browser listens.SQL Server Browser then redirects the request to the port that the named instance uses.Analysis Services configured for use through IIS/HTTP(The PivotTable® Service uses HTTP or HTTPS)TCP port 80Used for an HTTP connection through a URL.Analysis Services configured for use through IIS/HTTPS(The PivotTable® Service uses HTTP or HTTPS)TCP port 443Used for an HTTPS connection through a URL. HTTPS is an HTTP connection that uses secure sockets layer (SSL).If users access Analysis Services through IIS and the Internet, you must open the port on which IIS is listening and specify that port in the client connection string. In this case, no ports have to be open for direct access to Analysis Services. The default port 2389, and port 2382, should be restricted together with all other ports that are not required.For step by step instructions to configure the Windows Firewall for Analysis Services, see How to: Configure Windows Firewall for Analysis Services Access.Ports Used By Reporting ServicesThe following table lists the ports that are frequently used by Reporting Services.FeaturePortCommentsReporting Services Web ServicesTCP port 80Used for an HTTP connection to Reporting Services through a URL. We recommend that you do not use the preconfigured rule World Wide Web Services (HTTP). For more information, see the Interaction with Other Firewall Rules section below.Reporting Services configured for use through HTTPSTCP port 443Used for an HTTPS connection through a URL. HTTPS is an HTTP connection that uses secure sockets layer (SSL). We recommend that you do not use the preconfigured rule Secure World Wide Web Services (HTTPS). For more information, see the Interaction with Other Firewall Rules section below.When Reporting Services connects to an instance of the Datenbankmodul or Analysis Services, you must also open the appropriate ports for those services. For step-by-step instructions to configure the Windows Firewall for Reporting Services, How to: Configure a Firewall for Report Server Access.Ports Used By Integration ServicesThe following table lists the ports that are used by the Integration Services service.FeaturePortCommentsMicrosoft remote procedure calls (MS RPC)Used by the Integration Services runtime.TCP port 135See Special Considerations for Port 135The Integration Services service uses DCOM on port 135. The Service Control Manager uses port 135 to perform tasks such as starting and stopping the Integration Services service and transmitting control requests to the running service. The port number cannot be changed.This port is only required to be open if you are connecting to a remote instance of the Integration Services service from Management Studio or a custom application.For step-by-step instructions to configure the Windows Firewall for Integration Services, see Configuring a Windows Firewall for Integration Services Access.Additional Ports and ServicesThe following table lists ports and services that SQL Server might depend on.ScenarioPortCommentsWindows Management InstrumentationFor more information about WMI, see WMI Provider for Configuration Management ConceptsWMI runs as part of a shared service host with ports assigned through DCOM. WMI might be using TCP port 135.See Special Considerations for Port 135SQL Server Configuration Manager uses WMI to list and manage services. We recommend that you use the preconfigured rule group Windows Management Instrumentation (WMI). For more information, see the Interaction with Other Firewall Rules section below.Microsoft Distributed Transaction Coordinator (MS DTC)TCP port 135See Special Considerations for Port 135If your application uses distributed transactions, you might have to configure the firewall to allow Microsoft Distributed Transaction Coordinator (MS DTC) traffic to flow between separate MS DTC instances, and between the MS DTC and resource managers such as SQL Server. We recommend that you use the preconfigured Distributed Transaction Coordinator rule group.When a single shared MS DTC is configured for the entire cluster in a separate resource group you should add sqlservr.exe as an exception to the firewall.The browse button in Management Studio uses UDP to connect to the SQL Server Browser Service. For more information, see SQL Server Browser Service (Database Engine and SSAS).UDP port 1434UDP is a connectionless protocol.The firewall has a setting, which is named UnicastResponsesToMulticastBroadcastDisabled Property of the INetFwProfile Interfacehttp://go.microsoft.com/fwlink/?LinkId=118371 which controls the behavior of the firewall with respect to unicast responses to a broadcast (or multicast) UDP request. It has two behaviors:If the setting is TRUE, no unicast responses to a broadcast are permitted at all. Enumerating services will fail.If the setting is FALSE (default), unicast responses are permitted for 3 seconds. The length of time is not configurable. in a congested or high-latency network, or for heavily loaded servers, tries to enumerate instances of SQL Server might return a partial list, which might mislead users.IPsec trafficUDP port 500 and UDP port 4500If the domain policy requires network communications to be done through IPsec, you must also add UDP port 4500 and UDP port 500 to the exception list. IPsec is an option using the New Inbound Rule Wizard in the Windows Firewall snap-in. For more information, see Using the Windows Firewall with Advanced Security Snap-in below.Using Windows Authentication with Trusted DomainsFirewalls must be configured to allow authentication requests.For more information, see How to configure a firewall for domains and trustshttp://support.microsoft.com/kb/179442/.SQL Server and Windows ClusteringClustering requires additional ports that are not directly related to SQL Server.For more information, see Enable a network for cluster usehttp://go.microsoft.com/fwlink/?LinkId=118372.URL namespaces reserved in the HTTP Server API (HTTP.SYS)Probably TCP port 80, but can be configured to other ports. For general information, see Configuring HTTP and HTTPShttp://go.microsoft.com/fwlink/?LinkId=118373.For SQL Server specific information about reserving an HTTP.SYS endpoint using HttpCfg.exe, see About URL Reservations and Registration.Special Considerations for Port 135When you use RPC with TCP/IP or with UDP/IP as the transport, inbound ports are frequently dynamically assigned to system services as required; TCP/IP and UDP/IP ports that are larger than port 1024 are used. These are frequently informally referred to as "random RPC ports." In these cases, RPC clients rely on the RPC endpoint mapper to tell them which dynamic ports were assigned to the server. For some RPC-based services, you can configure a specific port instead of letting RPC assign one dynamically. You can also restrict the range of ports that RPC dynamically assigns to a small range, regardless of the service. Because port 135 is used for many services it is frequently attacked by malicious users. When opening port 135, consider restricting the scope of the firewall rule.For more information about port 135, see the following references:Service overview and network port requirements for the Windows Server systemhttp://support.microsoft.com/kb/832017Troubleshooting RPC Endpoint Mapper errors using the Windows Server 2003 Support Tools from the product CDhttp://support.microsoft.com/kb/839880Remote procedure call (RPC)http://go.microsoft.com/fwlink/?LinkId=118375How to configure RPC dynamic port allocation to work with firewallshttp://support.microsoft.com/kb/154596/Interaction with Other Firewall RulesThe Windows Firewall uses rules and rule groups to establish its configuration. Each rule or rule group is generally associated with a particular program or service, and that program or service might modify or delete that rule without your knowledge. For example, the rule groups World Wide Web Services (HTTP) and World Wide Web Services (HTTPS) are associated with IIS. Enabling those rules will open ports 80 and 443, and SQL Server features that depend on ports 80 and 443 will function if those rules are enabled. However, administrators configuring IIS might modify or disable those rules. Therefore, if you are using port 80 or port 443 for SQL Server, you should create your own rule or rule group that maintains your desired port configuration independently of the other IIS rules.The Windows Firewall with Advanced Security MMC snap-in allows any traffic that matches any applicable allow rule. So if there are two rules that both apply to port 80 (with different parameters), traffic that matches either rule will be permitted. So if one rule allows traffic over port 80 from local subnet and one rule allows traffic from any address, the net effect is that all traffic to port 80 is permitted regardless of the source. To effectively manage access to SQL Server, administrators should periodically review all firewall rules enabled on the server.Overview of Firewall ProfilesFirewall profiles are discussed in Windows Firewall with Advanced Security Getting Started Guidehttp://go.microsoft.com/fwlink/?LinkId=116080 in the section Network location-aware host firewall. To summarize, the operating systems identify and remember each of the networks to which they connect with regard to connectivity, connections, and category.There are three network location types in Windows Firewall with Advanced Security:Domain. Windows can authenticate access to the domain controller for the domain to which the computer is joined.Public. Other than domain networks, all networks are initially categorized as public. Networks that represent direct connections to the Internet or are in public locations, such as airports and coffee shops should be left public.Private. A network identified by a user or application as private. Only trusted networks should be identified as private networks. Users will likely want to identify home or small business networks as private.The administrator can create a profile for each network location type, with each profile containing different firewall policies. Only one profile is applied at any time. Profile order is applied as follows:If all interfaces are authenticated to the domain controller for the domain of which the computer is a member, the domain profile is applied.If all interfaces are either authenticated to the domain controller or are connected to networks that are classified as private network locations, the private profile is applied.Otherwise, the public profile is applied.Use the Windows Firewall with Advanced Security MMC snap-in to view and configure all firewall profiles. The Windows Firewall item in Control Panel only configures the current profile.Additional Firewall Settings Using the Windows Firewall Item in Control PanelExceptions that you add to the firewall can restrict the opening of the port to incoming connections from specific computers or the local subnet. This restriction of the scope of the port opening can reduce how much your computer is exposed to malicious users, and is recommended.Using the Windows Firewall item in Control Panel only configures the current firewall profile.To change the scope of a firewall exception using the Windows Firewall item in Control PanelIn the Windows Firewall item in Control Panel, select a program or port on the Exceptions tab, and then click Properties or Edit.In the Edit a Program or Edit a Port dialog box, click Change Scope.Choose one of the following options:Any computer (including those on the Internet)Not recommended. This will allow any computer that can address your computer to connect to the specified program or port. This setting might be necessary to allow information to be presented to anonymous users on the internet, but increases your exposure to malicious users. Your exposure can be further increased if you enable this setting and also allow Network Address Translation (NAT) traversal, such as the Allow edge traversal option.My network (subnet) onlyThis is a more secure setting than Any computer. Only computers on the local subnet of your network can connect to the program or port.Custom list:Only computers that have the IP addresses you list can connect. This can be a more secure setting than My network (subnet) only, however, client computers using DHCP can occasionally change their IP address. Then the intended computer will not be able to connect. Another computer, which you had not intended to authorize, might accept the listed IP address and then be able to connect. The Custom list option might be appropriate for listing other servers which are configured to use a fixed IP address; however, IP addresses might be spoofed by an intruder. Restricting firewall rules are only as strong as your network infrastructure.Using the Windows Firewall with Advanced Security Snap-inAdditional advanced firewall settings can be configured by using the Windows Firewall with Advanced Security MMC snap-in. The snap-in includes a rule wizard and exposes additional settings that are not available in the Windows Firewall item in Control Panel. These settings include the following:Encryption settingsServices restrictionsRestricting connections for computers by nameRestricting connections to specific users or profilesEdge traversal allowing traffic to bypass Network Address Translation (NAT) routersConfiguring outbound rulesConfiguring security rulesRequiring IPsec for incoming connectionsTo create a new firewall rule using the New Rule wizardOn the Start menu, click Run, type WF.msc, and then click OK.In the Windows Firewall with Advanced Security, in the left pane, right-click Inbound Rules, and then click New Rule.Complete the New Inbound Rule Wizard using the settings that you want.Troubleshooting Firewall SettingsThe following tools and techniques can be useful in troubleshooting firewall issues:The effective port status is the union of all rules related to the port. When trying to block access through a port, it can be helpful to review all the rules which cite the port number. To do this, use the Windows Firewall with Advanced Security MMC snap-in and sort the inbound and outbound rules by port number.Review the ports that are active on the computer on which SQL Server is running. This review process includes verifying which TCP/IP ports are listening and also verifying the status of the ports.To verify which ports are listening, use the netstat command-line utility. In addition to displaying active TCP connections, the netstat utility also displays a variety of IP statistics and information.To list which TCP/IP ports are listeningOpen the Command Prompt window.At the command prompt, type netstat -n -a.The -n switch instructs netstat to numerically display the address and port number of active TCP connections. The -a switch instructs netstat to display the TCP and UDP ports on which the computer is listening.The PortQry utility can be used to report the status of TCP/IP ports as listening, not listening, or filtered. (With a filtered status, the port might or might not be listening; this status indicates that the utility did not receive a response from the port.) The PortQry utility is available for download from the Microsoft Download Centerhttp://go.microsoft.com/fwlink/?LinkId=28590.Service overview and network port requirements for the Windows Server systemhttp://support.microsoft.com/kb/832017How to: Configure Firewall Settings (Azure SQL Database)https://azure.microsoft.com/documentation/articles/sql-database-configure-firewall-settings/
Anzeigen:
© 2016 Microsoft