強化 SharePoint 環境中的 SQL Server (SharePoint Server 2010)

 

適用版本: SharePoint Foundation 2010, SharePoint Server 2010

上次修改主題的時間: 2016-11-30

本文說明如何強化 Microsoft SharePoint 2010 產品 環境中的 Microsoft SQL Server。

本文內容:

  • 強化建議摘要

  • 設定 SQL Server 執行個體接聽非預設連接埠

  • 封鎖預設 SQL Server 接聽連接埠

  • 將 Windows 防火牆設定為開啟手動指定的連接埠

  • 設定 SQL 用戶端別名

  • 測試 SQL 用戶端別名

強化建議摘要

為了保護伺服器陣列環境,建議執行下列作業:

  • 封鎖 UDP 連接埠 1434。

  • 將 SQL Server 的具名執行個體設定為在非標準的連接埠上接聽 (TCP 連接埠 1433 或 UDP 連接埠 1434 以外的連接埠)。

  • 若要再提高其安全性,請封鎖 TCP 連接埠 1433,並將預設執行個體使用的連接埠重新指定為不同的連接埠。

  • 在伺服器陣列中的所有前端網頁伺服器和應用程式伺服器中,設定 SQL Server 用戶端別名。在您封鎖 TCP 連接埠 1433 或 UDP 連接埠 1434 之後,要與執行 SQL Server 的電腦通訊的所有電腦都必須使用 SQL Server 用戶端別名。

如需這些建議的詳細資訊,請參閱<規劃安全性強化 (SharePoint Server 2010)>。

設定 SQL Server 執行個體接聽非預設連接埠

使用 SQL Server 組態管理員來變更 SQL Server 執行個體使用的 TCP 連接埠。

  1. 在執行 SQL Server 的電腦上,開啟 SQL Server 組態管理員。

  2. 在左窗格中,展開 [SQL Server 網路組態]。

  3. 按一下所設定之執行個體的對應項目。預設的執行個體會列為 [MSSQLSERVER 的通訊協定]。具名執行個體則會顯示為 [named_instance 的通訊協定]。

  4. 在右窗格的 [TCP/IP] 上按一下滑鼠右鍵,然後按一下 [內容]。

  5. 按一下 [IP 位址] 索引標籤。每個指派給執行 SQL Server 之電腦的 IP 位址,在此索引標籤上都有對應的項目。根據預設,SQL Server 會接聽指派給電腦的所有 IP 位址。

  6. 若要全域變更預設執行個體所接聽的連接埠,請執行下列步驟:

    1. 針對 [IPAll] 以外的每個 IP 位址,清除 [TCP 動態通訊埠] 及 [TCP 通訊埠] 的所有值。

    2. 針對 [IPAll],清除 [TCP 動態通訊埠] 的值。在 [TCP 通訊埠] 欄位中,輸入您希望 SQL Server 執行個體接聽的連接埠。例如,輸入 40000。

  7. 若要全域變更具名執行個體所接聽的連接埠,請執行下列步驟:

    1. 針對包括 [IPAll] 在內的每個 IP 位址,清除 [TCP 動態通訊埠] 的所有值。若此欄位的值為 0,表示 SQL Server 的 IP 位址使用動態 TCP 連接埠。若此值為空白項目,則表示 SQL Server 的 IP 位址不會使用動態 TCP 連接埠。

    2. 針對除了[IPAll] 以外的每個 IP 位址,清除 [TCP 通訊] 的所有值。

    3. 針對 [IPAll],清除 [TCP 動態通訊埠] 的值。在 [TCP 通訊埠] 欄位中,輸入您希望 SQL Server 執行個體接聽的連接埠。例如,輸入 40000。

  8. 按一下 [確定],您將會收到訊息,指出 SQL Server 服務重新啟動之前,變更不會生效。按一下 [確定]。

  9. 關閉 [SQL Server 組態管理員]。

  10. 重新啟動 SQL Server 服務,並確認執行 SQL Server 的電腦正在接聽您選取的連接埠。您可以在重新啟動 SQL Server 服務之後查看事件檢視器記錄來進行確認。請尋找與下列事件類似的資訊事件:

    事件類型:資訊

    事件來源:MSSQL$MSSQLSERVER

    事件類別目錄:(2)

    事件識別碼:26022

    日期:3/6/2008

    時間:下午 1:46:11

    使用者:N/A

    電腦:電腦名稱

    描述:

    伺服器正在 [ 'any' <ipv4>50000] 上接聽

封鎖預設 SQL Server 接聽連接埠

具有進階安全性的 Windows 防火牆使用輸入規則和輸出規則,來保護連入及連出網路流量的安全。因為 Windows 防火牆預設會封鎖所有來路不明的連入網路流量,所以您不需要明確封鎖預設 SQL Server 接聽連接埠。如需詳細資訊,請參閱具有進階安全性的 Windows 防火牆 (https://go.microsoft.com/fwlink/?linkid=214109&clcid=0x404) 及將 Windows 防火牆設定成允許 SQL Server 存取 (https://go.microsoft.com/fwlink/?linkid=210584&clcid=0x404)

將 Windows 防火牆設定為開啟手動指定的連接埠

  1. 在 [控制台] 中,開啟 [系統及安全性]。

  2. 按一下 [Windows 防火牆],然後按一下 [進階設定],以開啟 [具有進階安全性的 Windows 防火牆] 對話方塊。

  3. 在功能窗格中,按一下 [輸入規則] 以在 [動作] 窗格中顯示可用選項。

  4. 按一下 [新增規則] 開啟 [新增輸入規則精靈]。

  5. 使用此精靈,完成允許存取<設定 SQL Server 執行個體接聽非預設連接埠>中所定義連接埠的必要步驟。

注意

您可以透過設定 Windows 防火牆,來設定網際網路通訊協定安全性 (IPsec) 以協助保護執行 SQL Server 之電腦上的通訊安全。做法是在功能窗格的 [具有進階安全性的 Windows 防火牆] 對話方塊中,選取 [連線安全性規則]。

設定 SQL Server 用戶端別名

若在執行 SQL Server 的電腦上封鎖 UDP 連接埠 1434 或 TCP 連接埠 1433,則必須在伺服器陣列中的所有其他電腦上建立 SQL Server 用戶端別名。您可以使用 SQL Server 用戶端元件,為連線至 SQL Server 的電腦建立 SQL Server 用戶端別名。

  1. 在目標電腦上執行 SQL Server 的安裝程式,並選取下列用戶端元件進行安裝:

    1. 連接元件

    2. 管理工具

  2. 開啟 SQL Server 組態管理員。

  3. 在左窗格中,按一下 [SQL Native Client 組態]。

  4. 在右窗格中,以滑鼠右鍵按一下 [別名],然後選取 [新增別名]。

  5. 在 [別名] 對話方塊中輸入別名的名稱,然後輸入資料庫執行個體的連接埠號碼。例如,輸入 SharePoint*_alias*。

  6. 在 [通訊埠號碼] 欄位中,輸入該資料庫執行個體的連接埠號碼。例如,輸入 40000。請確認通訊協定設定為 TCP/IP。

  7. 在 [伺服器] 欄位中,輸入執行 SQL Server 的電腦名稱。

  8. 按一下 [套用],然後按一下 [確定]。

測試 SQL Server 用戶端別名

您可以使用 Microsoft SQL Server Management Studio 來測試與執行 SQL Server 電腦之間的連線。只要安裝 SQL Server 用戶端元件即可使用此工具。

  1. 開啟 SQL Server Management Studio。

  2. 系統提示您輸入伺服器名稱時,請輸入您建立的別名名稱,然後按一下 [連線]。如果連線成功,則 SQL Server Management Studio 會填入與遠端資料庫對應的物件。

    注意

    若要從 SQL Server Management Studio 中檢查與其他資料庫執行個體的連線,請按一下 [連線],然後再按一下 [Database Engine]。