Bereitstellen eines nicht standardmäßigen SQL Server-Ports und -Alias in Lync Server 2013

  • Artikel

 

Thema Letzte Änderung: 16.09.2015

Microsoft Lync Server 2013 unterstützt die Verwendung eines nicht standardmäßigen Ports und Alias in SQL Server. Die Verwendung eines SQL Server nicht standardmäßigen Ports und eines Alias erhöht die Sicherheit und schafft eine flexiblere Umgebung für die Lync-Bereitstellung. Diese Schritte sind nur ein einziger Schritt zur ordnungsgemäßen Sicherung Ihrer Lync Server 2013-Umgebung. Es sollten weitere Schritte unternommen werden, um die Angriffsfläche einer Lync Server 2013-Implementierung zu reduzieren.

Im folgenden Artikel werden die Schritte beschrieben, die zum Einrichten eines SQL Server nicht standardmäßigen Ports und Alias in Lync Server 2013 erforderlich sind.

Bereitstellen eines SQL Server nicht standardmäßigen Ports und Alias in Lync Server 2013

Der Topologie-Generator von Lync Server 2013 unterstützt die Verwendung eines SQL Server Alias als vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) anstelle des tatsächlichen SQL Server FQDN beim Konfigurieren von Lync Server 2013. Auf diese Weise kann der eigentliche SQL Server FQDN vor böswilligen Angreifern ausgeblendet werden. Darüber hinaus verdeckt die Verwendung eines nicht standardmäßigen Ports den tatsächlichen Port von einem beliebigen Angreifer, der versucht, die Datenbank auf dem Standardport 1433 anzugreifen, wie in der folgenden Abbildung dargestellt.

Ein Hacker kennt nicht die Portnummer, die angegriffen werden soll.

Um den Port, den Lync Server 2013 für die Kommunikation mit SQL Server verwendet, erfolgreich zu ermitteln, müsste der Angreifer alle Ports überprüfen, um die Portinformationen abzurufen. Ein Portscan durch einen Angreifer erhöht die Wahrscheinlichkeit, dass die Sicherheit die Anweisung erkennen und beenden kann. Zusätzlich zur Erhöhung der Sicherheit mit einem nicht standardmäßigen Port können Sie auch einen SQL Server Alias verwenden, um Flexibilität für die Bereitstellung bereitzustellen. Dies ist nützlich, um Konfigurationsänderungen in Situationen zu reduzieren, in denen eine SQL Server Namensänderung erforderlich ist.

Hinweis

SQL Server bietet zwei Fehlertoleranzmethoden (Failoverclustering und Spiegelung). Beide SQL Server Fehlertoleranzmethoden werden mithilfe eines SQL Server nicht standardmäßigen Ports und Alias mit Lync Server 2013 unterstützt. Wenn sich das vom Pool verwendete SQL Server Back-End in einer gespiegelten Konfiguration befindet, sollte der SQL-Browserdienst auf den SQL Server Back-End-Servern ausgeführt werden, damit Front-End-Server eine Verbindung mit der gespiegelten Datenbank herstellen können, wenn die Datenbanken nicht mit dem gespiegelten SQL Server übertragen werden.

Beim Konfigurieren SQL Server Datenbankkonnektivität im Topologie-Generator oder bei Verwendung des Install-CsDatabase-Cmdlets ist es nicht möglich, eine SQL Server nicht standardmäßige Portnummer explizit zu definieren und einer SQL-Instanz zuzuordnen. Um einen nicht standardmäßigen Port festzulegen, müssen Sie SQL Server und Windows Server-Dienstprogramme verwenden.

Um einen SQL Server nicht standardmäßigen Port und Alias für die Verwendung mit Lync Server 2013 einzurichten, müssen Sie drei primäre Schritte ausführen. Die folgenden Schritte sind:

  • Vergewissern Sie sich, dass auf Lync Server 2013 die neueste Aktualisierungen angewendet wurde.

  • Richten Sie den SQL Server nicht standardmäßigen Port und Alias ein.

  • Konfigurieren Sie Lync Server 2013 mit dem alias SQL Server mithilfe des Topologie-Generators.

  • Veröffentlichen Sie die Topologie, und überprüfen Sie die Datenbank.

Vergewissern Sie sich, dass auf Lync Server 2013 die neueste Aktualisierungen angewendet wurde.

Es ist wichtig, Lync Server 2013 auf dem neuesten Stand zu halten. Informationen zur Anwendung der neuesten Updates finden Sie unter Aktualisierungen für Lync Server 2013.

Einrichten des SQL Server nicht standardmäßigen Ports und Alias

Der SQL Server nicht standardmäßigen Port und Alias muss in der Datenbankinstanz eingerichtet werden, bevor über den Lync Server 2013 Topologie-Generator darauf verwiesen werden kann. Um einen SQL Server nicht standardmäßigen Port und Alias einzurichten, müssen Sie drei primäre Schritte ausführen. Die folgenden Schritte sind:

  • Ändern Sie die TCP/IP-Standardprotokollwerte.

  • Erstellen und Konfigurieren eines SQL Server Alias.

  • Erstellen Sie einen DNS-Ressourceneintrag (Kanonischer Name) (Domain Name System, DNS).

Ändern der Standardmäßigen TCP/IP-Protokollwerte

  1. Wählen Sie "Start" und dann SQL Server-Konfigurations-Manager aus, wie in der folgenden Abbildung dargestellt.

    Das SQL Server Management Studio-Symbol

  2. Erweitern Sie im Navigationsbereich die SQL Server Instanz, erweitern Sie SQL Server Netzwerkkonfiguration, und wählen Sie Protokolle für <den Instanznamen> aus, wie in der folgenden Abbildung dargestellt.

    Navigieren zu TCP/IP-Eigenschaften.

  3. Klicken Sie im rechten Bereich mit der rechten Maustaste auf TCP/IP, und wählen Sie "Eigenschaften" aus. Das Dialogfeld "TCP/IP-Eigenschaften" wird angezeigt.

  4. Wählen Sie die Registerkarte "IP-Adressen" aus . Auf der Registerkarte "IP-Adressen" werden alle aktiven IP-Adressen auf dem Server angezeigt. Diese weisen das Format IP1, IP2 bis IPAll auf, wie in der folgenden Abbildung dargestellt.

    Öffnen Sie TCP/IP-Eigenschaften.

  5. Löschen Sie das Feld "Dynamische TCP-Ports " für alle IP-Adressen. Wenn das Feld ein Nullzeichen enthält, bedeutet dies, dass SQL Server dynamische Ports überwachen. Stellen Sie sicher, dass diese Felder gelöscht sind und keine Null enthalten.

  6. Stellen Sie für die IP-Adresse, die Lync Server zum Herstellen einer Verbindung mit der Datenbank verwendet, sicher, dass "Aktiviert " auf "Ja" festgelegt ist, wie in der folgenden Abbildung dargestellt.

    Legen Sie für die richtige IP-Adresse

  7. Geben Sie im Abschnitt "IPAll " am unteren Rand des Dialogfelds den gewünschten Port in das Feld "TCP-Port " ein, wie in der folgenden Abbildung dargestellt. In diesem Beispiel wird Port 50062 verwendet, Sie können jedoch einen beliebigen Port zwischen 49152 und 65535 verwenden. Dies sind die Ports, die der dynamischen und privaten Verwendung zugewiesen sind, und dies stellt sicher, dass Keine Konflikte mit anderen Ports auftreten, die in der Lync Server 2013-Bereitstellung verwendet werden.

    Festlegen des Ports im Abschnitt

  8. Klicken Sie auf "OK ", um das Dialogfeld "TCP/IP-Eigenschaften" zu beenden.

  9. Starten Sie die SQL Server Instanz neu, indem Sie im linken Bereich von SQL Server-Konfigurations-Manager SQL Server Dienste auswählen. Klicken Sie dann im rechten Bereich mit der rechten Maustaste auf SQL Server <Instanznamen>, und wählen Sie "Neu starten" aus, wie in der folgenden Abbildung dargestellt.

    Setzen Sie z. B. den SQL Server-Dienst zurück.

Wichtig

Stellen Sie sicher, dass Sie Ihre Firewalleinstellungen so aktualisieren, dass sie dem neuen SQL Server Port gerecht werden.

Erstellen und Konfigurieren eines SQL Server-Alias

  1. Wählen Sie "Start" und dann SQL Server-Konfigurations-Manager aus, wie in der folgenden Abbildung dargestellt.

    Das SQL Server Management Studio-Symbol

  2. Wählen Sie im linken Bereich aus, SQL Server Instanz zu erweitern, wählen Sie aus, SQL Native Client <Versionskonfiguration> zu erweitern, und wählen Sie dann Aliase aus, wie in der folgenden Abbildung dargestellt.

    Aliase in SQL Server-Konfigurations-Manager.

  3. Klicken Sie mit der rechten Maustaste auf "Aliase", und wählen Sie "Neuer Alias..." aus.

  4. Geben Sie den Aliasnamen, die Portnummer, das Protokoll und den Server ein, wie in der folgenden Abbildung dargestellt.

    Erstellen eines neuen Alias

    Vorsicht

    Stellen Sie sicher, dass Sie den gleichen nicht standardmäßigen Port eingeben, den Sie im vorherigen Schritt verwendet haben, da dies der Port ist, auf den SQL Server lauscht. Wenn ein konfigurierter Alias eine Verbindung mit dem falschen SQL Server FQDN oder Instanz herstellt, deaktivieren Sie das zugeordnete Netzwerkprotokoll, und aktivieren Sie es erneut. Dadurch werden alle zwischengespeicherten Verbindungsinformationen gelöscht, und der Client kann eine ordnungsgemäße Verbindung herstellen.

Erstellen eines DNS-CNAME-Ressourceneintrags

  1. Melden Sie sich beim Computer an, der DNS verwaltet.

  2. Wählen Sie "Start" und dann Server-Manager aus, wie in der folgenden Abbildung dargestellt.

    Öffnen Server-Manager

  3. Wählen Sie die Dropdownliste "Extras " und dann "DNS" aus, wie in der folgenden Abbildung dargestellt.

    Dns wird von Server-Manager geöffnet.

  4. Erweitern Sie im linken Bereich den Servernamensknoten, erweitern Sie den Knoten "Forward Lookup Zones", und wählen Sie die entsprechende Domäne aus.

  5. Klicken Sie mit der rechten Maustaste auf die Domäne, und wählen Sie "Neuer Alias (CNAME)..." aus, wie in der folgenden Abbildung dargestellt.

    Selecting option to create a new alias CNAME

  6. Geben Sie den Aliasnamen und den FQDN für SQL Server ein, wie in der folgenden Abbildung dargestellt.

    Ausfüllen des Neuen Alias-CNAME-Dialogfelds.

  7. Wählen Sie "OK " aus, um den CNAME zu speichern und im DNS-Manager anzuzeigen.

Überprüfen der Datenbankkonnektivität

Es gibt viele verschiedene Möglichkeiten, um sicherzustellen, dass es funktioniert. Sie möchten sicherstellen, dass die SQL Server Datenbank den angegebenen Port mithilfe des Alias abhört. Eine schnelle Überprüfung kann mithilfe der Befehle netstat und telnet abgeschlossen werden.

Hinweis

Telnet-Client ist ein Feature, das im Lieferumfang von Windows Server enthalten ist, aber installiert sein muss. Ein Windows Server-Feature kann installiert werden, indem Sie Server-Manager öffnen und im Menü "Verwalten" die Option "Rollen und Features hinzufügen" auswählen.

Verwenden von netstat und telnet zum Überprüfen der Datenbankkonnektivität

  1. Wählen Sie "Start" aus, und geben Sie cmd ein, um eine Eingabeaufforderung zu öffnen.

  2. Geben Sie netstat -a -f ein, und vergewissern Sie sich, dass SQL Server mit dem richtigen Port ausgeführt wird, wie in der folgenden Abbildung dargestellt.

    Verwenden von netstat zum Überprüfen des Ports.

  3. Geben Sie telnet <alias name><port #> ein, um die Verbindung mit der SQL Server Instanz zu bestätigen. Wenn die Verbindung erfolgreich ist, stellt Telnet eine Verbindung her, und es sollte kein Fehler angezeigt werden. Dies zeigt, dass die SQL Server Instanz den richtigen Port mit dem richtigen Alias abhört. Wenn beim Herstellen einer Verbindung mit der SQL Server Datenbank ein Problem auftritt, zeigt Telnet einen Fehler an, dass die Verbindung nicht hergestellt werden kann. Nachdem Sie die Datenbankkonnektivität auf dem Datenbankserver überprüft haben, können Sie dasselbe von Lync Server (über das Netzwerk) ausführen und sicherstellen, dass auf dem Weg keine Firewalls vorhanden sind, die den Zugriff blockieren.

Fazit

Nachdem der SQL Server Alias konfiguriert wurde, können Sie damit eine Lync Server 2013-Topologie im Topologie-Generator-Tool erstellen. Weitere Informationen zu Topologien finden Sie unter Definieren und Konfigurieren der Topologie in Lync Server 2013.