Applicare a SQL Server la protezione avanzata per gli ambienti SharePoint (SharePoint Server 2010)

Si applica a: SharePoint Foundation 2010, SharePoint Server 2010

Ultima modifica dell'argomento: 2016-11-30

In questo articolo viene descritto come applicare la protezione avanzata a Microsoft SQL Server per gli ambienti Prodotti Microsoft SharePoint 2013.

Contenuto dell'articolo:

• Riepilogo dei consigli per la protezione avanzata

• Configurare un'istanza di SQL Server in modo che rimanga in attesa su una porta non predefinita

• Bloccare le porte di attesa predefinite di SQL Server

• Configurare Windows Firewall per l'apertura di porte assegnate manualmente

• Configurare un alias per client SQL Server

• Eseguire il testing dell'alias per client SQL Server

Riepilogo dei consigli per la protezione avanzata

Per ottenere ambienti server farm sicuri, è consigliabile eseguire le operazioni seguenti:

• Bloccare la porta UDP 1434.

• Configurare le istanze denominate di SQL Server per l'attesa su una porta non standard, ovvero su una porta diversa dalla porta TCP 1433 o dalla porta UDP 1434.

• Per una maggiore sicurezza, bloccare la porta TCP 1433 e riassegnare la porta utilizzata dall'istanza predefinita a un'altra porta.

• Configurare gli alias per client SQL Server in tutti i server Web front-end e in tutti i server applicazioni della server farm. Dopo il blocco della porta TCP 1433 o della porta UDP 1434, gli alias per client SQL Server sono necessari in tutti i computer che comunicano con il computer che esegue SQL Server.

Per ulteriori informazioni su questi consigli, vedere Pianificare la protezione avanzata (SharePoint Server 2010).

Configurare un'istanza di SQL Server in modo che rimanga in attesa su una porta non predefinita

Utilizzare Gestione configurazione SQL Server per cambiare la porta TCP utilizzata da un'istanza di SQL Server.

1. Nel computer che esegue SQL Server aprire Gestione configurazione SQL Server.

2. Nel riquadro a sinistra espandere Configurazione di rete SQL Server.

3. Fare clic sulla voce corrispondente all'istanza che si desidera configurare. L'istanza predefinita è inclusa nell'elenco come Protocolli per MSSQLSERVER. Le istanze denominate vengono invece visualizzate come Protocolli per istanza_denominata.

4. Nel riquadro a destra fare clic con il pulsante destro del mouse su TCP/IP e quindi scegliere Proprietà.

5. Fare clic sulla scheda Indirizzi IP. In questa scheda è contenuta una voce corrispondente a ogni indirizzo IP assegnato al computer che esegue SQL Server. Per impostazione predefinita, SQL Server è in attesa su tutti gli indirizzi IP assegnati al computer.

6. Per cambiare a livello globale la porta su cui è in attesa l'istanza predefinita, eseguire la procedura seguente:

   1. Per ogni indirizzo IP, escluso IPAll, cancellare tutti i valori di Porte dinamiche TCP e Porta TCP.

   2. Per IPAll cancellare il valore di Porte dinamiche TCP. Nel campo Porta TCP immettere la porta su cui deve essere in attesa l'istanza di SQL Server, ad esempio 40000.

7. Per cambiare a livello globale la porta su cui è in attesa un'istanza denominata, eseguire la procedura seguente:

   1. Per ogni indirizzo IP, incluso IPAll, cancellare tutti i valori di Porte dinamiche TCP. Un valore pari a 0 per questo campo indica che SQL Server utilizzerà una porta TCP dinamica per l'indirizzo IP. Se questo campo è vuoto, SQL Server non utilizzerà alcuna porta TCP dinamica per l'indirizzo IP.

   2. Per ogni indirizzo IP, escluso IPAll, cancellare tutti i valori di Porta TCP.

   3. Per IPAll cancellare il valore di Porte dinamiche TCP. Nel campo Porta TCP immettere la porta su cui deve essere in attesa l'istanza di SQL Server, ad esempio 40000.

8. Fare clic su OK. Verrà visualizzato un messaggio in cui viene indicato che la modifica verrà applicata solo dopo il riavvio del servizio SQL Server. Fare clic su OK.

9. Chiudere Gestione configurazione SQL Server.

10. Riavviare il servizio SQL Server e verificare che il computer che esegue SQL Server sia in attesa sulla porta selezionata. A tale scopo, esaminare il visualizzatore eventi dopo il riavvio del servizio SQL Server e cercare informazioni simili all'evento seguente:

    Tipo evento: Informazioni

    Origine evento: MSSQL$MSSQLSERVER

    Categoria evento: (2)

    ID evento: 26022

    Data: 06/03/2008

    Ora: 13.46.11

    Utente: N/D

    Computer: nome_computer

    Descrizione:

    Il server è in attesa su [ 'any' <ipv4>50000]

Bloccare le porte di attesa predefinite di SQL Server

Windows Firewall con protezione avanzata utilizza regole in entrata e in uscita per proteggere il traffico di rete in entrata e in uscita. Poiché Windows Firewall blocca tutto il traffico di rete in entrata indesiderato per impostazione predefinita, non è necessario bloccare in modo esplicito le porte di di attesa predefinite di SQL Server. Per ulteriori informazioni, vedere Windows Firewall con protezione avanzata (https://go.microsoft.com/fwlink/?linkid=214109&clcid=0x410) e Configurazione di Windows Firewall per consentire l'accesso a SQL Server (https://go.microsoft.com/fwlink/?linkid=210584&clcid=0x410)

Configurare Windows Firewall per l'apertura di porte assegnate manualmente

1. Nel Pannello di controllo aprire Sistema e sicurezza.

2. Fare clic su Windows Firewall e quindi su Impostazioni avanzate per aprire la finestra di dialogo Windows Firewall con protezione avanzata.

3. Nel riquadro di spostamento fare clic su Regole in entrata per visualizzare le opzioni disponibili nel riquadro Azioni.

4. Fare clic su Nuova regola per aprire la Creazione guidata nuova regola connessioni in entrata.

5. Utilizzare la procedura guidata per eseguire i passaggi necessari per consentire l'accesso alla porta definita in Configurare un'istanza di SQL Server in modo che rimanga in attesa su una porta non predefinita.

Configurare un alias per client SQL Server

Se si blocca la porta UDP 1434 o la porta TCP 1433 nel computer che esegue SQL Server, è necessario creare un alias per client SQL Server in tutti gli altri computer della server farm. È possibile utilizzare i componenti client SQL Server per creare un alias per client SQL Server per computer che si connettono a SQL Server.

1. Eseguire il programma di installazione di SQL Server nel computer di destinazione e selezionare i componenti client seguenti per l'installazione:

   1. Componenti di connettività

   2. Strumenti di gestione

2. Aprire Gestione configurazione SQL Server.

3. Nel riquadro a sinistra fare clic su Configurazione SQL Native Client.

4. Nel riquadro a destra fare clic con il pulsante destro del mouse su Alias e quindi scegliere Nuovo alias.

5. Nella finestra di dialogo Alias immettere un nome per l'alias e quindi specificare il numero di porta per l'istanza di database, ad esempio SharePoint*_alias*.

6. Nel campo Numero porta immettere il numero di porta per l'istanza di database, ad esempio 40000. Verificare che il protocollo sia impostato su TCP/IP.

7. Nel campo Server immettere il nome del computer che esegue SQL Server.

8. Fare clic su Applica e quindi su OK.

Eseguire il testing dell'alias per client SQL Server

Eseguire il testing della connettività con il computer che esegue SQL Server utilizzando Microsoft SQL Server Management Studio, disponibile con l'installazione dei componenti client di SQL Server.

1. Aprire SQL Server Management Studio.

2. Quando viene richiesta l'immissione di un nome di server, specificare il nome dell'alias creato e quindi fare clic su Connetti. Se la connessione ha esito positivo, in SQL Server Management Studio vengono indicati gli oggetti corrispondenti al database remoto.

   Nota

   Per verificare la connettività ad altre istanze di database da SQL Server Management Studio, fare clic Connetti e quindi su Motore di database.