Januar 18, 2021

Konfigurieren Sie die Windows-Firewall so, dass SQL Server-Zugriff möglich ist.

  • 22.07.2020
  • 22 Minuten zum Lesen
    • c
    • D
    • k
    • l
    • v
    • +13

Gilt für: SQL Server (alle unterstützte Versionen) – Nur Windows Verwaltete Azure SQL-Instanz

Firewall-Systeme verhindern den unbefugten Zugriff auf Computerressourcen. Wenn eine Firewall aktiviert, aber nicht korrekt konfiguriert ist, werden möglicherweise Versuche, eine Verbindung zu SQL Server herzustellen, blockiert.

Um über eine Firewall auf eine Instanz des SQL Servers zuzugreifen, müssen Sie die Firewall auf dem Computer konfigurieren SQL Server ausführen. Die Firewall ist eine Komponente von Microsoft Windows. Sie können auch eine Firewall eines anderen Unternehmens installieren. In diesem Artikel wird die Konfiguration der Windows-Firewall erläutert. Die Grundprinzipien gelten jedoch auch für andere Firewall-Programme.

Hinweis

Dieser Artikel bietet einen Überblick über die Firewall-Konfiguration und fasst Informationen zu zusammen Interesse an einem SQL Server-Administrator. Weitere Informationen zur Firewall und maßgebliche Informationen zur Firewall finden Sie in der Firewall-Dokumentation, z. B. im Handbuch zur Bereitstellung der Windows-Firewall-Sicherheit.

Benutzer, die mit der Verwaltung der Windows-Firewall vertraut sind und wissen, welche Firewall-Einstellungen sie verwenden Wenn Sie konfigurieren möchten, können Sie direkt zu den erweiterten Artikeln wechseln:

  • Konfigurieren einer Windows-Firewall für den Zugriff auf das Datenbankmodul
  • Konfigurieren Sie die Windows-Firewall so, dass sie den Zugriff auf Analysis Services

    • ermöglicht

  • Konfigurieren einer Firewall für den Berichtsserverzugriff

Grundlegende Firewall-Informationen

Firewalls überprüfen eingehende Pakete und vergleichen sie mit einer Reihe von Regeln. Wenn das Paket den in den Regeln festgelegten Standards entspricht, leitet die Firewall das Paket zur weiteren Verarbeitung an das TCP / IP-Protokoll weiter. Wenn das Paket nicht den in den Regeln festgelegten Standards entspricht, verwirft die Firewall das Paket und erstellt bei aktivierter Protokollierung einen Eintrag in der Firewall-Protokolldatei.

Die Liste des zulässigen Datenverkehrs wird ausgefüllt auf eine der folgenden Arten:

  • Automatisch: Wenn ein Computer mit aktivierter Firewall die Kommunikation initiiert, erstellt die Firewall einen Eintrag in der Liste, damit die Antwort zulässig ist. Diese Antwort wird als angeforderter Datenverkehr betrachtet, und es muss nichts konfiguriert werden.

  • Manuell: Ein Administrator konfiguriert Ausnahmen für die Firewall. Dies ermöglicht entweder den Zugriff auf bestimmte Programme oder Ports auf Ihrem Computer. In diesem Fall akzeptiert der Computer unerwünschten eingehenden Datenverkehr, wenn er als Server, Listener oder Peer fungiert. Dies ist die Art der Konfiguration, die abgeschlossen sein muss, um eine Verbindung zu SQL Server herzustellen.

Die Auswahl einer Firewall-Strategie ist komplexer als nur die Entscheidung, ob ein bestimmter Port geöffnet oder geschlossen werden soll . Stellen Sie beim Entwerfen einer Firewall-Strategie für Ihr Unternehmen sicher, dass Sie alle verfügbaren Regeln und Konfigurationsoptionen berücksichtigen. In diesem Artikel werden nicht alle möglichen Firewall-Optionen beschrieben. Es wird empfohlen, die folgenden Dokumente zu lesen:

Windows-Firewall-Bereitstellungshandbuch
Windows-Firewall-Entwurfshandbuch
Einführung in die Server- und Domänenisolation

Standard-Firewall-Einstellungen

Der erste Schritt bei der Planung Ihrer Firewall-Konfiguration besteht darin, den aktuellen Status der Firewall für Ihr Betriebssystem zu ermitteln. Wenn das Betriebssystem von einer früheren Version aktualisiert wurde, wurden möglicherweise die früheren Firewall-Einstellungen beibehalten. Die Firewall-Einstellungen wurden möglicherweise auch von einem anderen Administrator oder von einer Gruppenrichtlinie in Ihrer Domäne geändert.

Hinweis

Das Aktivieren der Firewall wirkt sich auf andere Programme aus, die darauf zugreifen Computer wie Datei- und Druckfreigabe sowie Remotedesktopverbindungen. Administratoren sollten alle Anwendungen berücksichtigen, die auf dem Computer ausgeführt werden, bevor die Firewall-Einstellungen angepasst werden.

Programme zum Konfigurieren der Firewall

Konfigurieren Sie die Windows-Firewall-Einstellungen mit einer der beiden Microsoft Management Console oder netsh.

  • Microsoft Management Console (MMC)

    Mit dem MMC-Snap-In Windows-Firewall mit erweiterter Sicherheit können Sie erweiterte Firewall-Einstellungen konfigurieren. Dieses Snap-In präsentiert die meisten Firewall-Optionen auf benutzerfreundliche Weise und präsentiert alle Firewall-Profile. Weitere Informationen finden Sie unter Verwenden der Windows-Firewall mit Snap-In für erweiterte Sicherheit weiter unten in diesem Artikel.

  • netsh

    Das Tool netsh.exe kann verwendet werden von einem Administrator zum Konfigurieren und Überwachen von Windows-basierten Computern an einer Eingabeaufforderung oder mithilfe einer Batchdatei **.** Mit dem Netsh-Tool können Sie die von Ihnen eingegebenen Kontextbefehle an den entsprechenden Helfer weiterleiten, und der Helfer führt dann den Befehl aus. Ein Helfer ist eine DLL-Datei (Dynamic Link Library), die die Funktionalität des Netsh-Tools erweitert, indem sie Konfiguration, Überwachung und Unterstützung für einen oder mehrere Dienste, Dienstprogramme oder Protokolle bereitstellt. Alle Betriebssysteme, die SQL Server unterstützen, verfügen über einen Firewall-Helfer. Windows Server 2008 verfügt außerdem über einen erweiterten Firewall-Helfer namens advfirewall. Die Details zur Verwendung von Netsh werden in diesem Artikel nicht behandelt. Viele der beschriebenen Konfigurationsoptionen können jedoch mithilfe von netsh konfiguriert werden. Führen Sie beispielsweise das folgende Skript an einer Eingabeaufforderung aus, um den TCP-Port 1433 zu öffnen:

    Ein ähnliches Beispiel mit dem Windows Firewall for Advanced Security-Helfer:

    Weitere Informationen zu netsh finden Sie unter den folgenden Links:

    • Syntax, Kontexte und Formatierung von Netsh-Befehlen
    • Verwendung des Kontexts „Netsh Advfirewall Firewall“ anstelle des Kontexts „Netsh Firewall“ zur Steuerung des Verhaltens der Windows Firewall in Windows Server 2008 und Windows Vista

  • Für Linux: Unter Linux müssen Sie auch die Ports öffnen, die den Diensten zugeordnet sind, auf die Sie Zugriff benötigen. Verschiedene Linux-Distributionen und verschiedene Firewalls haben ihre eigenen Prozeduren. Zwei Beispiele finden Sie unter SQL Server unter Red Hat und SQL Server unter SUSE.

Von SQL Server verwendete Ports

Die folgenden Tabellen können Ihnen dabei helfen Identifizieren Sie die von SQL Server verwendeten Ports.

Vom Datenbankmodul verwendete Ports

Standardmäßig werden von SQL Server und den zugehörigen Datenbankmoduldiensten typische Ports verwendet: TCP 1433, 4022 , 135, 1434, UDP 1434. In der folgenden Tabelle werden diese Ports ausführlicher erläutert. Eine benannte Instanz verwendet dynamische Ports.

In der folgenden Tabelle sind die Ports aufgeführt, die häufig vom Datenbankmodul verwendet werden.

Szenario Port
Standardinstanz, die über TCP ausgeführt wird TCP-Port 1433 Dies ist der am häufigsten durch die Firewall zugelassene Port. Dies gilt für Routineverbindungen zur Standardinstallation des Datenbankmoduls oder für eine benannte Instanz, die als einzige Instanz auf dem Computer ausgeführt wird. (Bei benannten Instanzen gelten besondere Überlegungen. Siehe Dynamische Ports weiter unten in diesem Artikel.)
Benannte Instanzen mit Standardport Der TCP-Port ist ein dynamischer Port Zum Zeitpunkt des Starts des Datenbankmoduls. Weitere Informationen finden Sie in der folgenden Diskussion im Abschnitt Dynamische Ports. Der UDP-Port 1434 ist möglicherweise für den SQL Server-Browserdienst erforderlich, wenn Sie benannte Instanzen verwenden.
Benannte Instanzen mit festem Port Die von konfigurierte Portnummer der Administrator. Siehe die folgende Diskussion im Abschnitt Dynamische Ports.
Dedizierte Administratorverbindung TCP-Port 1434 für die Standardeinstellung Beispiel. Andere Ports werden für benannte Instanzen verwendet. Überprüfen Sie das Fehlerprotokoll auf die Portnummer. Standardmäßig sind Remoteverbindungen zur Dedicated Administrator Connection (DAC) nicht aktiviert. Verwenden Sie zum Aktivieren des Remote-DAC die Facette Oberflächenkonfiguration. Weitere Informationen finden Sie unter Oberflächenkonfiguration.
SQL Server-Browserdienst UDP-Port 1434 Der SQL Server-Browserdienst lauscht für eingehende Verbindungen zu einer benannten Instanz und stellt dem Client die TCP-Portnummer zur Verfügung, die dieser benannten Instanz entspricht. Normalerweise wird der SQL Server-Browserdienst immer dann gestartet, wenn benannte Instanzen des Datenbankmoduls verwendet werden. Der SQL Server-Browserdienst muss nicht gestartet werden, wenn der Client für die Verbindung mit dem spezifischen Port der benannten Instanz konfiguriert ist.
Instanz mit HTTP-Endpunkt. Kann angegeben werden, wenn ein HTTP-Endpunkt erstellt wird. Der Standardwert ist TCP-Port 80 für CLEAR_PORT-Verkehr und 443 für SSL_PORT-Verkehr. Wird für eine HTTP-Verbindung über eine URL verwendet.
Standardinstanz mit HTTPS-Endpunkt TCP-Port 443 Wird für eine HTTPS-Verbindung über eine URL verwendet. HTTPS ist eine HTTP-Verbindung, die TLS (Transport Layer Security) verwendet, die zuvor als SSL (Secure Sockets Layer) bezeichnet wurde.
Service Broker TCP-Port 4022 Führen Sie die folgende Abfrage aus, um den verwendeten Port zu überprüfen:
SELECT name, protocol_desc, port, state_desc
FROM sys.tcp_endpoints
WHERE type_desc = "SERVICE_BROKER" 		Es gibt keinen Standardport für SQL ServerService Broker, dies ist jedoch die herkömmliche Konfiguration, die in Books Online-Beispielen verwendet wird.
Datenbankspiegelung Vom Administrator gewählter Port.Führen Sie die folgende Abfrage aus, um den Port zu ermitteln:
SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints
WHERE type_desc = "DATABASE_MIRRORING" 		Es gibt keine Der Standardport für die Datenbankspiegelung verwendet jedoch in den Beispielen von Books Online den TCP-Port 5022 oder 7022. Es ist wichtig, die Unterbrechung eines verwendeten Spiegelungsendpunkts zu vermeiden, insbesondere im Hochsicherheitsmodus mit automatischem Failover. Ihre Firewall-Konfiguration muss verhindern, dass das Quorum unterbrochen wird. Weitere Informationen finden Sie unter Angeben einer Servernetzwerkadresse (Datenbankspiegelung).
Replikation Replikationsverbindungen zu SQL Server verwenden die typischen regulären Database Engine-Ports ( TCP-Port 1433 für die Standardinstanz usw.)
Für die Websynchronisierung und den FTP / UNC-Zugriff für den Replikations-Snapshot müssen zusätzliche Ports in der Firewall geöffnet werden. Um die anfänglichen Daten und das Schema von einem Speicherort an einen anderen zu übertragen, kann die Replikation über FTP (TCP-Port 21) oder über HTTP (TCP-Port 80) oder Dateifreigabe synchronisiert werden. Die Dateifreigabe verwendet die UDP-Ports 137 und 138 und den TCP-Port 139, wenn NetBIOS verwendet wird. Die Dateifreigabe verwendet den TCP-Port 445. 		Für die Synchronisierung über HTTP verwendet die Replikation den IIS-Endpunkt (Ports, die konfigurierbar sind, aber standardmäßig Port 80 sind), aber der IIS-Prozess stellt über den eine Verbindung zum SQL Server des Backends her Standardports (1433 für die Standardinstanz.
Während der Websynchronisierung über FTP erfolgt die FTP-Übertragung zwischen IIS und dem SQL Server-Herausgeber, nicht zwischen Abonnent und IIS.
Transact-SQL-Debugger TCP-Port 135
Siehe Besondere Überlegungen zu Port 135
Möglicherweise ist auch die IPSec-Ausnahme erforderlich. 		Bei Verwendung von Visual Studio in Visual Studio Auf dem Hostcomputer müssen Sie außerdem Devenv.exe zur Ausnahmeliste hinzufügen und den TCP-Port 135 öffnen.
Wenn Sie Management Studio verwenden, müssen Sie auf dem Management Studio-Hostcomputer auch ssms.exe zur Ausnahmeliste hinzufügen und den TCP-Port öffnen Weitere Informationen finden Sie unter Konfigurieren von Firewall-Regeln vor dem Ausführen des TSQL-Debuggers.

Eine schrittweise Anleitung zum Konfigurieren der Windows-Firewall für das Datenbankmodul finden Sie unter Konfigurieren einer Windows-Firewall für den Zugriff auf das Datenbankmodul.

Dynamische Ports

Standardmäßig benannte Instanzen ( einschließlich SQL Server Express) verwenden dynamische Ports. Dies bedeutet, dass jedes Mal, wenn das Datenbankmodul gestartet wird, ein verfügbarer Port identifiziert und diese Portnummer verwendet wird. Wenn die genannte Instanz die einzige installierte Instanz des Datenbankmoduls ist, wird wahrscheinlich der TCP-Port 1433 verwendet. Wenn andere Instanzen des Datenbankmoduls installiert sind, wird wahrscheinlich ein anderer TCP-Port verwendet. Da sich der ausgewählte Port bei jedem Start des Datenbankmoduls ändern kann, ist es schwierig, die Firewall so zu konfigurieren, dass der Zugriff auf die richtige Portnummer möglich ist. Wenn eine Firewall verwendet wird, empfehlen wir daher, das Datenbankmodul so zu konfigurieren, dass jedes Mal dieselbe Portnummer verwendet wird. Dies wird als fester oder statischer Port bezeichnet. Weitere Informationen finden Sie unter Konfigurieren eines Servers zum Abhören eines bestimmten TCP-Ports (SQL Server Configuration Manager).

Eine Alternative zum Konfigurieren einer benannten Instanz zum Abhören eines festen Ports besteht darin, eine Ausnahme in der Firewall zu erstellen für ein SQL Server-Programm wie sqlservr.exe (für das Datenbankmodul). Dies kann praktisch sein, aber die Portnummer wird nicht in der Spalte Lokaler Port der Seite Eingehende Regeln angezeigt, wenn Sie das MMC-Snap-In für Windows-Firewall mit erweiterter Sicherheit verwenden. Dies kann es schwieriger machen zu prüfen, welche Ports geöffnet sind. Eine weitere Überlegung ist, dass ein Service Pack oder ein kumulatives Update den Pfad zur ausführbaren SQL Server-Datei ändern kann, wodurch die Firewall-Regel ungültig wird.

Hinzufügen einer Programmausnahme zur Firewall mithilfe der Windows Defender-Firewall mit erweiterter Sicherheit

  1. Geben Sie im Startmenü wf.msc ein. Drücken Sie die Eingabetaste oder wählen Sie das Suchergebnis wf.msc aus, um die Windows Defender-Firewall mit erweiterter Sicherheit zu öffnen.

  2. Wählen Sie im linken Bereich die Option Eingehende Regeln aus.

  3. Wählen Sie im rechten Bereich unter Aktionen die Option Neue Regel aus. Der Assistent für neue eingehende Regeln wird geöffnet.

  4. Wählen Sie unter Regeltyp die Option Programm aus. Wählen Sie Weiter.

  5. Wählen Sie unter Programm Diesen Programmpfad aus. Wählen Sie Durchsuchen, um Ihre Instanz von SQL Server zu suchen. Das Programm heißt sqlservr.exe. Es befindet sich normalerweise unter:

    C:\Program Files\Microsoft SQL Server\MSSQL15.<InstanceName>\MSSQL\Binn\sqlservr.exe

    Wählen Sie Weiter.

  6. Ein Aktion, wählen Sie Verbindung zulassen. Wählen Sie Weiter.

  7. Schließen Sie unter Profil alle drei Profile ein. Wählen Sie Weiter.

  8. Geben Sie unter Name einen Namen für die Regel ein. Wählen Sie Fertig stellen.

Weitere Informationen zu Endpunkten finden Sie unter Konfigurieren des Datenbankmoduls zum Abhören mehrerer TCP-Ports und Endpunktkatalogansichten (Transact-SQL).

Von Analysis Services verwendete Ports

Standardmäßig werden von SQL Server Analysis Services und zugehörigen Services typische Ports verwendet: TCP 2382, 2383, 80, 443. In der folgenden Tabelle werden diese Ports ausführlicher erläutert.

In der folgenden Tabelle sind die Ports aufgeführt, die häufig von Analysis Services verwendet werden.

Feature Port
Analysis Services TCP-Port 2383 für die Standardinstanz Der Standardport für die Standardinstanz von Analysis Services.
SQL Server-Browserdienst TCP-Port 2382, der nur für eine Analysis Services-Instanz mit Namen Clientverbindungsanforderungen für eine benannte Instanz von Analysis Services benötigt wird, die nicht angegeben sind Eine Portnummer wird an Port 2382 geleitet, den Port, den der SQL Server-Browser überwacht. Der SQL Server-Browser leitet die Anforderung dann an den Port um, den die benannte Instanz verwendet.
Analysis Services, die für die Verwendung über IIS / HTTP konfiguriert sind
(Der PivotTable®-Dienst verwendet HTTP oder HTTPS) 		TCP-Port 80 Wird für eine HTTP-Verbindung über eine URL verwendet.
Analysis Services, die für die Verwendung über IIS / konfiguriert sind HTTPS
(Der PivotTable®-Dienst verwendet HTTP oder HTTPS) 		TCP-Port 443 Wird für eine HTTPS-Verbindung über eine URL verwendet. HTTPS ist eine HTTP-Verbindung, die TLS verwendet.

Wenn Benutzer über Analysis Services zugreifen IIS und das Internet müssen Sie den Port öffnen, den IIS überwacht, und diesen Port in der Clientverbindungszeichenfolge angeben. In diesem Fall müssen keine Ports geöffnet sein, um direkt auf Analysis Services zugreifen zu können. Der Standardport 2389 und der Standardport 2382 sollten zusammen mit allen anderen nicht erforderlichen Ports eingeschränkt werden.

Eine schrittweise Anleitung zum Konfigurieren der Windows-Firewall für Analysis Services finden Sie unter Konfigurieren der zulässigen Windows-Firewall Zugriff auf Analysis Services.

Von Reporting Services verwendete Ports

Standardmäßig werden von SQL Server Reporting Services und zugehörigen Services typische Ports verwendet: TCP 80, 443. In der folgenden Tabelle werden diese erläutert Ports detaillierter.

In der folgenden Tabelle sind die Ports aufgeführt, die häufig von Reporting Services verwendet werden.

Wird für eine HTTPS-Verbindung über eine URL verwendet. HTTPS ist eine HTTP-Verbindung, die TLS verwendet. Wir empfehlen, dass Sie nicht die vorkonfigurierte Regel Secure World Wide Web Services (HTTPS) verwenden. Weitere Informationen finden Sie im Abschnitt Interaktion mit anderen Firewall-Regeln weiter unten.

Feature Port
Reporting Services-Webdienste TCP-Port 80 Wird für eine HTTP-Verbindung zu Reporting Services über eine URL verwendet. Wir empfehlen, dass Sie nicht die vorkonfigurierte Regel World Wide Web Services (HTTP) verwenden. Weitere Informationen finden Sie im Abschnitt Interaktion mit anderen Firewallregeln.
Reporting Services, die für die Verwendung über HTTPS TCP-Port 443

Wann Reporting Services stellt eine Verbindung zu einer Instanz des Datenbankmoduls oder der Analysedienste her. Sie müssen auch die entsprechenden Ports für diese Dienste öffnen. Konfigurieren Sie eine Firewall für den Berichtsserverzugriff, um schrittweise Anweisungen zum Konfigurieren der Windows-Firewall für Reporting Services zu erhalten.

Von Integration Services verwendete Ports

In der folgenden Tabelle sind die Ports aufgeführt, die werden vom Integration Services-Dienst verwendet.

Feature Port
Microsoft-Remoteprozeduraufrufe (MS RPC)
Wird von der Integration Services-Laufzeit verwendet. 		TCP-Port 135
Siehe Besondere Überlegungen zu Port 135 		Der Integration Services-Dienst verwendet DCOM an Port 135. Der Service Control Manager verwendet Port 135, um Aufgaben wie das Starten und Stoppen des Integration Services-Dienstes und das Übertragen von Steuerungsanforderungen an den ausgeführten Dienst auszuführen. Die Portnummer kann nicht geändert werden.
Dieser Port muss nur geöffnet sein, wenn Sie über Management Studio oder eine benutzerdefinierte Anwendung eine Verbindung zu einer Remoteinstanz des Integration Services-Dienstes herstellen.

Eine schrittweise Anleitung zum Konfigurieren der Windows-Firewall für Integration Services finden Sie unter Integration Services Service (SSIS-Dienst).

Zusätzliche Ports und Dienste

In der folgenden Tabelle sind die Ports und Dienste aufgeführt, von denen SQL Server möglicherweise abhängig ist.

Szenario Port
Windows-Verwaltungsinstrumentierung
Weitere Informationen zu WMI finden Sie unter WMI-Anbieter für Konfigurationsverwaltungskonzepte 		WMI wird als Teil von ausgeführt Ein Shared Service Host mit über DCOM zugewiesenen Ports.WMI verwendet möglicherweise TCP-Port 135.
Siehe Besondere Überlegungen zu Port 135 		SQL Server Configuration Manager verwendet WMI zum Auflisten und Verwalten von Diensten. Es wird empfohlen, die vorkonfigurierte Regelgruppe Windows Management Instrumentation (WMI) zu verwenden. Weitere Informationen finden Sie im Abschnitt Interaktion mit anderen Firewall-Regeln weiter unten.
Microsoft Distributed Transaction Coordinator (MS DTC) TCP-Port 135
Siehe Besondere Überlegungen für Port 135 		Wenn Ihre Anwendung verteilte Transaktionen verwendet, müssen Sie möglicherweise die Firewall so konfigurieren, dass der MS DTC-Verkehr (Microsoft Distributed Transaction Coordinator) zwischen separaten MS DTC-Instanzen und zwischen dem MS DTC fließen kann und Ressourcenmanager wie SQL Server. Es wird empfohlen, die vorkonfigurierte Regelgruppe Distributed Transaction Coordinator zu verwenden.
Wenn ein einzelner gemeinsam genutzter MS-DTC für den gesamten Cluster in einer separaten Ressourcengruppe konfiguriert ist, sollten Sie sqlservr.exe als Ausnahme zur Firewall hinzufügen.
Die Schaltfläche zum Durchsuchen in Management Studio verwendet UDP, um eine Verbindung zum SQL Server-Browserdienst herzustellen. Weitere Informationen finden Sie unter SQL Server-Browserdienst (Datenbankmodul und SSAS). UDP-Port 1434 UDP ist ein verbindungsloses Protokoll.
Die Firewall verfügt über eine Einstellung (UnicastResponsesToMulticastBroadcastDisabled-Eigenschaft) der INetFwProfile-Schnittstelle), die das Verhalten der Firewall in Bezug auf Unicast-Antworten auf eine Broadcast- (oder Multicast-) UDP-Anforderung steuert. Es gibt zwei Verhaltensweisen:
Wenn die Einstellung TRUE ist, sind überhaupt keine Unicast-Antworten auf eine Sendung zulässig. Das Aufzählen von Diensten schlägt fehl.
Wenn die Einstellung FALSE (Standard) ist, sind Unicast-Antworten 3 Sekunden lang zulässig. Die Zeitdauer ist nicht konfigurierbar. In einem überlasteten Netzwerk oder Netzwerk mit hoher Latenz oder bei stark ausgelasteten Servern wird beim Versuch, Instanzen von SQL Server aufzulisten, möglicherweise eine Teilliste zurückgegeben, die Benutzer irreführen kann.
IPSec-Verkehr UDP-Port 500 und UDP-Port 4500 Wenn die Domänenrichtlinie eine Netzwerkkommunikation über IPsec erfordert, müssen Sie der Ausnahmeliste auch UDP-Port 4500 und UDP-Port 500 hinzufügen. IPsec ist eine Option, die den Assistenten für neue eingehende Regeln im Windows-Firewall-Snap-In verwendet. Weitere Informationen finden Sie unter Verwenden der Windows-Firewall mit erweitertem Sicherheits-Snap-In weiter unten.
Verwenden der Windows-Authentifizierung mit vertrauenswürdigen Domänen Firewalls müssen so konfiguriert sein, dass sie dies zulassen Authentifizierungsanforderungen. Weitere Informationen finden Sie unter Konfigurieren einer Firewall für Domänen und Vertrauensstellungen.
SQL Server- und Windows-Clustering Für das Clustering sind zusätzliche Ports erforderlich, die nicht direkt mit SQL Server zusammenhängen. Weitere Informationen finden Sie unter Aktivieren eines Netzwerks für die Clusterverwendung.
URL-Namespaces reserviert in der HTTP-Server-API (HTTP.SYS) Wahrscheinlich TCP-Port 80, kann aber für andere Ports konfiguriert werden. Allgemeine Informationen finden Sie unter Konfigurieren von HTTP und HTTPS. SQL Server-spezifische Informationen zum Reservieren eines HTTP.SYS-Endpunkts mithilfe von HttpCfg.exe finden Sie unter Informationen zu URL-Reservierungen und -Registrierung (SSRS Configuration Manager).

Besondere Überlegungen für Port 135

Wenn Sie RPC mit TCP / verwenden IP oder mit UDP / IP als Transport werden eingehende Ports häufig nach Bedarf dynamisch den Systemdiensten zugewiesen. Es werden TCP / IP- und UDP / IP-Ports verwendet, die größer als Port 1024 sind. Diese werden häufig informell als „zufällige RPC-Ports“ bezeichnet. In diesen Fällen verlassen sich RPC-Clients auf den RPC-Endpunkt-Mapper, um ihnen mitzuteilen, welche dynamischen Ports dem Server zugewiesen wurden. Bei einigen RPC-basierten Diensten können Sie einen bestimmten Port konfigurieren, anstatt RPC einen dynamisch zuweisen zu lassen. Sie können auch den Bereich der Ports, die RPC dynamisch einem kleinen Bereich zuweist, unabhängig vom Dienst einschränken. Da Port 135 für viele Dienste verwendet wird, wird er häufig von böswilligen Benutzern angegriffen. Berücksichtigen Sie beim Öffnen von Port 135 den Umfang der Firewall-Regel.

Weitere Informationen zu Port 135 finden Sie in den folgenden Referenzen:

  • Dienstübersicht und Netzwerkportanforderungen für Das Windows Server-System
  • Fehlerbehebung bei RPC-Endpoint Mapper-Fehlern mithilfe der Windows Server 2003-Supporttools von der Produkt-CD
  • Remoteprozeduraufruf (RPC)
  • Konfigurieren Dynamische RPC-Portzuweisung für die Arbeit mit Firewalls

Interaktion mit anderen Firewallregeln

Die Windows-Firewall verwendet Regeln und Regelgruppen, um ihre Konfiguration festzulegen. Jede Regel oder Regelgruppe ist im Allgemeinen einem bestimmten Programm oder Dienst zugeordnet, und dieses Programm oder dieser Dienst kann diese Regel ohne Ihr Wissen ändern oder löschen. Beispielsweise sind die Regelgruppen World Wide Web Services (HTTP) und World Wide Web Services (HTTPS) mit IIS verknüpft.Durch Aktivieren dieser Regeln werden die Ports 80 und 443 geöffnet, und SQL Server-Funktionen, die von den Ports 80 und 443 abhängen, funktionieren, wenn diese Regeln aktiviert sind. Administratoren, die IIS konfigurieren, können diese Regeln jedoch ändern oder deaktivieren. Wenn Sie Port 80 oder Port 443 für SQL Server verwenden, sollten Sie daher eine eigene Regel oder Regelgruppe erstellen, die Ihre gewünschte Portkonfiguration unabhängig von den anderen IIS-Regeln beibehält.

Die Windows-Firewall mit erweiterter Sicherheit Das MMC-Snap-In ermöglicht jeden Datenverkehr, der einer anwendbaren Zulassungsregel entspricht. Wenn also zwei Regeln für Port 80 gelten (mit unterschiedlichen Parametern), ist Datenverkehr zulässig, der mit beiden Regeln übereinstimmt. Wenn also eine Regel Datenverkehr über Port 80 aus dem lokalen Subnetz zulässt und eine Regel Datenverkehr von einer beliebigen Adresse zulässt, besteht der Nettoeffekt darin, dass der gesamte Datenverkehr zu Port 80 unabhängig von der Quelle zulässig ist. Um den Zugriff auf SQL Server effektiv zu verwalten, sollten Administratoren regelmäßig alle auf dem Server aktivierten Firewall-Regeln überprüfen.

Übersicht über Firewall-Profile

Firewall-Profile werden von den Betriebssystemen zum Identifizieren und Speichern verwendet Jedes der Netzwerke, mit denen sie in Bezug auf Konnektivität, Verbindungen und Kategorie verbunden sind.

In der Windows-Firewall mit erweiterter Sicherheit gibt es drei Netzwerkspeicherorttypen:

  • Domäne: Windows kann den Zugriff auf den Domänencontroller für die Domäne authentifizieren, zu der der Computer gehört.
  • Öffentlich: Mit Ausnahme von Domänennetzwerken werden alle Netzwerke zunächst als öffentlich kategorisiert. Netzwerke, die direkte Verbindungen zum Internet darstellen oder sich an öffentlichen Orten wie Flughäfen und Cafés befinden, sollten öffentlich bleiben.
  • Privat: Ein Netzwerk, das von einem Benutzer oder einer Anwendung als privat identifiziert wird. Nur vertrauenswürdige Netzwerke sollten als private Netzwerke identifiziert werden. Benutzer möchten wahrscheinlich Heim- oder Kleinunternehmensnetzwerke als privat identifizieren.

Der Administrator kann für jeden Netzwerkstandorttyp ein Profil erstellen, wobei jedes Profil unterschiedliche Firewall-Richtlinien enthält. Es wird immer nur ein Profil angewendet. Die Profilreihenfolge wird wie folgt angewendet:

  1. Wenn alle Schnittstellen beim Domänencontroller für die Domäne authentifiziert sind, zu der der Computer gehört, wird das Domänenprofil angewendet.
  2. Wenn alle Schnittstellen entweder beim Domänencontroller authentifiziert oder mit Netzwerken verbunden sind, die als private Netzwerkspeicherorte klassifiziert sind, wird das private Profil angewendet.
  3. Andernfalls wird das öffentliche Profil angewendet.

Verwenden Sie das MMC-Snap-In Windows-Firewall mit erweiterter Sicherheit, um alle Firewall-Profile anzuzeigen und zu konfigurieren. Das Windows-Firewall-Element in der Systemsteuerung konfiguriert nur das aktuelle Profil.

Zusätzliche Firewall-Einstellungen Verwenden des Windows-Firewall-Elements in der Systemsteuerung

Ausnahmen, die Sie der Firewall hinzufügen, können das Öffnen von einschränken der Port zu eingehenden Verbindungen von bestimmten Computern oder dem lokalen Subnetz. Diese Einschränkung des Umfangs der Portöffnung kann die Gefährdung Ihres Computers durch böswillige Benutzer verringern und wird empfohlen.

Hinweis

Verwenden des Windows-Firewall-Elements in Control Das Bedienfeld konfiguriert nur das aktuelle Firewall-Profil.

So ändern Sie den Umfang einer Firewall-Ausnahme mithilfe des Windows-Firewall-Elements in der Systemsteuerung

  1. In der Wählen Sie in der Systemsteuerung unter Windows-Firewall ein Programm oder einen Port auf der Registerkarte Ausnahmen aus und klicken Sie dann auf Eigenschaften oder Bearbeiten.

  2. Klicken Sie im Dialogfeld Programm bearbeiten oder Port bearbeiten auf. Klicken Sie auf Bereich ändern.

  3. Wählen Sie eine der folgenden Optionen:

    • Jeder Computer (einschließlich der im Internet): Nicht empfohlen . Auf diese Weise kann jeder Computer, der Ihren Computer ansprechen kann, eine Verbindung zum angegebenen Programm oder Port herstellen. Diese Einstellung ist möglicherweise erforderlich, damit anonyme Benutzer Informationen im Internet anzeigen können, erhöht jedoch die Gefährdung durch böswillige Benutzer. Ihre Exposition kann weiter erhöht werden, wenn Sie diese Einstellung aktivieren und auch die NAT-Durchquerung (Network Address Translation) zulassen, z. B. die Option Edge-Traversal zulassen.

    • Nur mein Netzwerk (Subnetz) : Dies ist eine sicherere Einstellung als bei jedem anderen Computer. Nur Computer im lokalen Subnetz Ihres Netzwerks können eine Verbindung zum Programm oder Port herstellen.

    • Benutzerdefinierte Liste: Nur Computer mit den aufgeführten IP-Adressen können eine Verbindung herstellen. Dies kann eine sicherere Einstellung sein als nur Mein Netzwerk (Subnetz). Client-Computer, die DHCP verwenden, können jedoch gelegentlich ihre IP-Adresse ändern. Dann kann der vorgesehene Computer keine Verbindung herstellen. Ein anderer Computer, den Sie nicht autorisieren wollten, akzeptiert möglicherweise die angegebene IP-Adresse und kann dann eine Verbindung herstellen. Die Option Benutzerdefinierte Liste ist möglicherweise geeignet, um andere Server aufzulisten, die für die Verwendung einer festen IP-Adresse konfiguriert sind. IP-Adressen können jedoch von einem Eindringling gefälscht werden. Das Einschränken von Firewall-Regeln ist nur so stark wie Ihre Netzwerkinfrastruktur.

Verwenden der Windows-Firewall mit erweitertem Sicherheits-Snap-In

Zusätzliche erweiterte Firewall-Einstellungen können mithilfe von konfiguriert werden Windows-Firewall mit MMC-Snap-In für erweiterte Sicherheit. Das Snap-In enthält einen Regelassistenten und stellt zusätzliche Einstellungen bereit, die im Element Windows-Firewall in der Systemsteuerung nicht verfügbar sind. Diese Einstellungen umfassen Folgendes:

  • Verschlüsselungseinstellungen
  • Diensteinschränkungen
  • Einschränken von Verbindungen für Computer nach Namen
  • Einschränken von Verbindungen zu Bestimmte Benutzer oder Profile
  • Edge-Traversal, mit dem der Datenverkehr NAT-Router (Network Address Translation) umgehen kann
  • Ausgehende Regeln konfigurieren
  • Sicherheitsregeln konfigurieren
  • IPSec für eingehende Verbindungen erforderlich

Um eine neue Firewall-Regel mit dem Assistenten für neue Regeln zu erstellen

  1. Wählen Sie im Startmenü Ausführen und geben Sie WF.msc ein Klicken Sie in der Windows-Firewall mit erweiterter Sicherheit im linken Bereich mit der rechten Maustaste auf Eingehende Regeln, und wählen Sie dann Neue Regel aus.
  2. Vervollständigen Sie die Neue Eingehende Regel Assistent, der die gewünschten Einstellungen verwendet.

Fehlerbehebung bei Firewall-Einstellungen

Die folgenden Tools und Techniken können bei der Fehlerbehebung bei Firewall-Problemen hilfreich sein:

  • Der effektive Hafenstatus ist die Vereinigung aller Regeln es bezieht sich auf den Hafen. Wenn Sie versuchen, den Zugriff über einen Port zu blockieren, kann es hilfreich sein, alle Regeln zu überprüfen, in denen die Portnummer angegeben ist. Verwenden Sie dazu das MMC-Snap-In Windows-Firewall mit erweiterter Sicherheit und sortieren Sie die eingehenden und ausgehenden Regeln nach Portnummer.

  • Überprüfen Sie die Ports, die auf dem Computer aktiv sind welcher SQL Server läuft. Dieser Überprüfungsprozess umfasst die Überprüfung, welche TCP / IP-Ports empfangsbereit sind, sowie die Überprüfung des Status der Ports.

    Verwenden Sie das Befehlszeilenprogramm netstat, um zu überprüfen, welche Ports empfangsbereit sind. Neben der Anzeige aktiver TCP-Verbindungen zeigt das Dienstprogramm netstat auch eine Reihe von IP-Statistiken und -Informationen an.

    Zum Auflisten der TCP / IP-Ports, die überwacht werden

    1. Öffnen Sie das Eingabeaufforderungsfenster.

    2. Geben Sie an der Eingabeaufforderung netstat -n -a ein.

      Der Schalter -n weist netstat an, die Adresse numerisch anzuzeigen und Portnummer der aktiven TCP-Verbindungen. Der Schalter -a weist netstat an, die TCP- und UDP-Ports anzuzeigen, die der Computer überwacht.

  • Das Dienstprogramm PortQry kann zum Melden verwendet werden Der Status von TCP / IP-Ports als lauschend, nicht lauschend oder gefiltert. (Bei einem gefilterten Status hört der Port möglicherweise zu oder nicht. Dieser Status zeigt an, dass das Dienstprogramm keine Antwort vom Port erhalten hat.) Das Dienstprogramm PortQry kann vom Microsoft Download Center heruntergeladen werden.

Siehe auch

Dienstübersicht und Netzwerkportanforderungen für das Windows Server-System
Gewusst wie: Konfigurieren der Firewall-Einstellungen (Azure SQL-Datenbank)

admin
0

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Archive

Neueste Beiträge