Konfigurieren der Windows-Firewall für den SQL Server-Zugriff
Durch Firewallsysteme kann der nicht autorisierte Zugriff auf Computerressourcen verhindert werden. Wenn eine Firewall aktiviert, aber nicht richtig konfiguriert ist, können Versuche der Verbindungsherstellung mit SQL Server blockiert werden.
Um über eine Firewall auf eine Instanz von SQL Server zugreifen zu können, müssen Sie die Firewall auf dem Computer mit SQL Server entsprechend konfigurieren. Die Firewall ist eine Komponente von Microsoft Windows. Sie können auch eine Firewall von einem anderen Unternehmen installieren. In diesem Thema wird erläutert, wie die Windows-Firewall konfiguriert wird. Die Grundprinzipien gelten jedoch auch für andere Firewallprogramme.
Hinweis |
---|
Dieses Thema gewährt einen Überblick über die Firewallkonfiguration und fasst Informationen zusammen, die für einen SQL Server-Administrator interessant sind. Weitere Informationen zur Firewall sowie autorisierende Informationen für diese finden Sie in der Dokumentation der Firewall, wie z. B. Windows Firewall with Advanced Security and IPsec und Windows Firewall with Advanced Security - Content Roadmap. |
Benutzer, die mit dem Element Windows-Firewall in der Systemsteuerung und mit dem MMC-Snap-In (Microsoft Management Console) „Windows Firewall mit erweiterter Sicherheit“ vertraut sind und wissen, welche Firewalleinstellungen sie konfigurieren möchten, können direkt zu den Themen in der folgenden Liste wechseln:
Vorgehensweise: Konfigurieren einer Windows-Firewall für Datenbankmodulzugriff
Vorgehensweise: Konfigurieren der Windows-Firewall für Analysis Services-Zugriff
Vorgehensweise: Konfigurieren einer Firewall für den Zugriff auf den Berichtsserver
Vorgehensweise: Konfigurieren einer Windows-Firewall für Integration Services
In diesem Thema
Dieses Thema enthält die folgenden Abschnitte:
Grundlegende Firewallinformationen
Standardeinstellungen der Firewall
Programme zur Konfiguration der Firewall
Vom Datenbankmodul verwendete Ports
Von Analysis Services verwendete Ports
Von Reporting Services verwendete Ports
Von Integration Services verwendete Ports
Zusätzliche Ports und Dienste
Interaktion mit anderen Firewallregeln
Übersicht über Firewallprofile
Zusätzliche Firewalleinstellungen mithilfe des Eintrags „Windows-Firewall“ in der Systemsteuerung
Verwenden des Snap-Ins „Windows-Firewall mit erweiterter Sicherheit“
Behandeln von Problemen mit Firewalleinstellungen
Grundlegende Firewallinformationen
Firewalls überprüfen eingehende Pakete und vergleichen diese mit einer Gruppe von Regeln. Wenn die Regeln das Paket zulassen, leitet die Firewall das Paket an das TCP/IP-Protokoll zur zusätzlichen Verarbeitung weiter. Wenn die Regeln das Paket nicht zulassen, verwirft die Firewall das Paket und erstellt, wenn die Protokollierung aktiviert ist, einen Eintrag in der Firewallprotokolldatei.
Die Liste des zugelassenen Datenverkehrs wird auf eine der folgenden Arten aufgefüllt:
Wenn der Computer, auf dem die Firewall aktiviert ist, die Kommunikation startet, erstellt die Firewall einen Eintrag in der Liste, sodass die Antwort zugelassen wird. Da die eingehende Antwort als angeforderter Datenverkehr betrachtet wird, müssen Sie dies nicht konfigurieren.
Ein Administrator konfiguriert Ausnahmen für die Firewall. Dies ermöglicht entweder den Zugriff auf angegebene Programme, die auf dem Computer ausgeführt werden, oder den Zugriff auf angegebene Verbindungsports auf dem Computer. In diesem Fall akzeptiert der Computer den unangefordert eingehenden Datenverkehr, wenn er als Server, Listener oder Peer fungiert. Dieser Typ der Konfiguration muss durchgeführt werden, damit eine Verbindung mit SQL Server hergestellt werden kann.
Das Festlegen einer Firewallstrategie ist komplexer als die bloße Entscheidung, ob ein bestimmter Port geöffnet oder geschlossen werden sollte. Beim Entwickeln einer Firewallstrategie für Ihr Unternehmen sollten Sie sicherstellen, dass Sie alle Regeln und Konfigurationsoptionen berücksichtigen, die Ihnen zur Verfügung stehen. In diesem Thema werden nicht alle möglichen Firewalloptionen behandelt. Es wird empfohlen, die folgenden Dokumente zu beachten:
Standardeinstellungen der Firewall
Der erste Schritt bei der Planung der Firewallkonfiguration ist die Bestimmung des aktuellen Status der Firewall Ihres Betriebssystems. Wenn das Betriebssystem aus einer vorherigen Version aktualisiert wurde, wurden die früheren Firewalleinstellungen möglicherweise beibehalten. Außerdem kann es sein, dass die Firewalleinstellungen von einem anderen Administrator oder von einer Gruppenrichtlinie in Ihrer Domäne geändert wurden. Die Standardeinstellungen lauten jedoch wie folgt:
Windows Server 2008
Die Firewall ist eingeschaltet und blockiert Remoteverbindungen.
Windows Server 2003
Die Firewall ist ausgeschaltet. Administratoren sollten die Firewall einschalten.
Windows Vista
Die Firewall ist eingeschaltet und blockiert Remoteverbindungen.
Windows XP, Service Pack 2 oder höher
Die Firewall ist eingeschaltet und blockiert Remoteverbindungen.
Windows XP, Service Pack 1 oder früher
Die Firewall ist ausgeschaltet und sollte eingeschaltet werden.
Hinweis |
---|
Das Einschalten der Firewall wirkt sich auf andere Programme aus, die auf diesen Computer zugreifen, wie z. B. die Datei- und Druckerfreigabe und Remotedesktopverbindungen. Administratoren sollten vor dem Anpassen der Firewalleinstellungen alle auf dem Computer ausgeführten Anwendungen berücksichtigen. |
Programme zur Konfiguration der Firewall
Es gibt drei Möglichkeiten, die Einstellungen der Windows-Firewall zu konfigurieren.
Das Element Windows-Firewall in der Systemsteuerung
Das Element Windows-Firewall kann in der Systemsteuerung geöffnet werden.
Wichtig Änderungen, die in der Systemsteuerung am Element Windows-Firewall vorgenommenen werden, wirken sich nur auf das aktuelle Profil aus. Für mobile Geräte, wie z. B. einen Laptop, sollte das Element Windows-Firewall in der Systemsteuerung nicht verwendet werden, da sich das Profil ändern kann, wenn es in einer anderen Konfiguration angeschlossen wird. Dann ist das zuvor konfigurierte Profil nicht wirksam. Weitere Informationen über Profile finden Sie unter Getting Started with Windows Firewall with Advanced Security in Windows Vista and Windows Server 2008.
Das Element Windows-Firewall in der Systemsteuerung ermöglicht Ihnen die Konfiguration grundlegender Optionen. Dabei handelt es sich um folgende:
Ein- oder Ausschalten des Elements Windows-Firewall in der Systemsteuerung
Aktivieren und Deaktivieren von Regeln
Gewähren von Ausnahmen für Ports und Programme
Festlegen einiger Bereichseinschränkungen
Das Element Windows-Firewall in der Systemsteuerung eignet sich am besten für Benutzer, die mit der Konfiguration einer Firewall keine Erfahrung haben und grundlegende Firewalloptionen für nicht mobile Computer konfigurieren. Sie können das Element Windows-Firewall in der Systemsteuerung auch mit dem Befehl run öffnen. Gehen Sie hierzu wie folgt vor:
So öffnen Sie das Element „Windows-Firewall“
Klicken Sie im Menü Start auf Ausführen, und geben Sie dann firewall.cpl ein.
Klicken Sie auf OK.
Microsoft Management Console (MMC)
Mithilfe des MMC-Snap-Ins „Windows-Firewall mit erweiterter Sicherheit“ können Sie erweiterte Firewalleinstellungen konfigurieren. Dieses Snap-In ist nur für Microsoft Vista und Windows Server 2008 verfügbar; es stellt jedoch die meisten Firewalloptionen in benutzerfreundlicher Form dar und bietet sämtliche Firewallprofile. Weitere Informationen finden Sie unter Verwenden des Snap-Ins „Windows-Firewall mit erweiterter Sicherheit“ weiter unten in diesem Thema.
netsh
Das Tool netsh.exe kann von einem Administrator verwendet werden, um Windows-basierte Computer an der Eingabeaufforderung oder mittels einer Batchdatei zu konfigurieren und zu überwachen**.** Mithilfe des Tools netsh können Sie die eingegebenen Kontextbefehle an das entsprechende Hilfsprogramm weiterleiten, und das Hilfsprogramm führt dann den Befehl aus. Ein Hilfsprogramm ist eine DLL-Datei (Dynamic Link Library), die die Funktionalität des Tools netsh erweitert, indem sie die Konfiguration, Überwachung und Unterstützung eines oder mehrerer Dienste, Dienstprogramme oder Protokolle ermöglicht. Alle Betriebssysteme, die SQL Server unterstützen, verfügen über ein Firewallhilfsprogramm. MicrosoftWindows Vista und Windows Server 2008 besitzen darüber hinaus noch ein erweitertes Firewallhilfsprogramm namens advfirewall. Die Details der Verwendung von netsh werden in diesem Thema nicht erläutert. Viele der beschriebenen Konfigurationsoptionen können jedoch mit netsh konfiguriert werden. Führen Sie beispielsweise über eine Eingabeaufforderung das folgende Skript aus, um TCP-Port 1433 zu öffnen:
netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT
Im Folgenden finden Sie ein ähnliches Beispiel, in dem die Windows-Firewall für das Hilfsprogramm für die erweiterte Sicherheit verwendet wird:
netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN
Skripts zur Konfiguration von SQL Server mittels netsh finden Sie unter Wie Verwenden eines Skripts programmgesteuert zu dem Öffnen von Ports SQL Server Ports auf Systemen, die Windows XP Service Pack 2 ausführen, zu verwenden. Weitere Informationen zu netsh finden Sie unter den folgenden Links:
Von SQL Server verwendete Ports
Die folgenden Tabellen können Sie dabei unterstützen, die von SQL Server verwendeten Ports zu identifizieren.
Vom Datenbankmodul verwendete Ports
In der folgenden Tabelle werden die häufig von Database Engine (Datenbankmodul) verwendeten Ports aufgeführt.
Szenario |
Port |
Anmerkungen |
---|---|---|
SQL Server-Standardinstanz, die über TCP ausgeführt wird |
TCP-Port 1433 |
Dies ist der häufigste für die Firewall zulässige Port. Er gilt für Routineverbindungen mit der Standardinstallation von Database Engine (Datenbankmodul) oder einer benannten Instanz, bei der es sich um die einzige auf dem Computer ausgeführte Instanz handelt. (Für benannte Instanzen gelten spezielle Bedingungen. Weitere Informationen finden Sie unter Dynamische Ports weiter unten in diesem Thema.) |
Benannte Instanzen von SQL Server in der Standardkonfiguration |
Der TCP-Port ist ein dynamischer Port, der zu dem Zeitpunkt bestimmt wird, zu dem Database Engine (Datenbankmodul) startet. |
Weitere Informationen finden Sie in den Ausführungen im Abschnitt Dynamische Ports weiter unten. Wenn Sie benannte Instanzen verwenden, ist möglicherweise UDP-Port 1434 für den SQL Server-Browserdienst erforderlich. |
Benannte Instanzen von SQL Server, wenn sie für die Verwendung eines festen Ports konfiguriert sind |
Die vom Administrator konfigurierte Portnummer. |
Weitere Informationen finden Sie in den Ausführungen im Abschnitt Dynamische Ports weiter unten. |
Dedizierte Administratorverbindung |
TCP-Port 1434 für die Standardinstanz. Andere Ports werden für benannte Instanzen verwendet. Überprüfen Sie das Fehlerprotokoll auf die Portnummer. |
Standardmäßig werden Remoteverbindungen über die dedizierte Administratorverbindung (Dedicated Administrator Connection, DAC) nicht aktiviert. Zum Aktivieren der Remote-DAC verwenden Sie das Facet für die Oberflächenkonfiguration. Weitere Informationen finden Sie unter Grundlegendes zur Oberflächenkonfiguration. |
SQL Server-Browserdienst |
UDP-Port 1434 |
Der SQL Server-Browserdienst überwacht eine benannte Instanz auf eingehende Verbindungen und liefert dem Client die TCP-Portnummer, die dieser benannten Instanz entspricht. Normalerweise wird der SQL Server-Browserdienst immer dann gestartet, wenn benannte Instanzen von Database Engine (Datenbankmodul) verwendet werden. Der SQL Server-Browserdienst muss nicht gestartet werden, wenn der Client so konfiguriert ist, dass er eine Verbindung mit dem speziellen Port der benannten Instanz herstellt. |
SQL Server-Instanz, die über einen HTTP-Endpunkt ausgeführt wird. |
Kann angegeben werden, wenn ein HTTP-Endpunkt erstellt wird. Als Standard wird TCP-Port 80 für den CLEAR_PORT-Datenverkehr und 443 für den SSL_PORT-Datenverkehr verwendet. |
Wird für eine HTTP-Verbindung über eine URL verwendet |
SQL Server-Standardinstanz, die über einen HTTPS-Endpunkt ausgeführt wird. |
TCP-Port 443 |
Wird für eine HTTPS-Verbindung über eine URL verwendet. HTTPS ist eine HTTP-Verbindung, die SSL (Secure Sockets Layer) verwendet. |
Service Broker |
TCP-Port 4022. Führen Sie die folgende Abfrage aus, um den verwendeten Port zu überprüfen: SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'SERVICE_BROKER' |
Für SQL ServerService Broker ist kein Standardport festgelegt, jedoch ist dies die herkömmliche, in Beispielen der Onlinedokumentation verwendete Konfiguration. |
Datenbankspiegelung |
Vom Administrator ausgewählter Port. Führen Sie die folgende Abfrage aus, um den Port zu bestimmen: SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'DATABASE_MIRRORING' |
Für die Datenbankspiegelung ist kein Standardport festgelegt, in Beispielen der Onlinedokumentation wird jedoch TCP-Port 7022 verwendet. Es ist sehr wichtig, eine Unterbrechung eines bereits verwendeten Spiegelungsendpunkts zu vermeiden, insbesondere im Modus für hohe Sicherheit mit automatischem Failover. Die Firewallkonfiguration muss eine Unterbrechung des Quorums vermeiden. Weitere Informationen finden Sie unter Angeben einer Server-Netzwerkadresse (Datenbankspiegelung). |
Replikation |
Für Replikationsverbindungen mit SQL Server werden die typischen regulären Database Engine (Datenbankmodul)-Ports (TCP-Port 1433 für die Standardinstanz usw.) verwendet. Die Websynchronisierung und der FTP-/UNC-Zugriff für den Replikationssnapshot erfordern das Öffnen zusätzlicher Ports auf der Firewall. Zur Übertragung der Anfangsdaten und des Schemas zwischen unterschiedlichen Standorten kann für die Replikation FTP (TCP-Port 21), die Synchronisierung über HTTP (TCP-Port 80) oder die Datei- und Druckerfreigabe (TCP-Port 137, 138 oder 139) verwendet werden. |
Bei der Synchronisierung über HTTP wird für die Replikation der IIS-Endpunkt (Ports, die dafür konfigurierbar sind, standardmäßig aber Port 80) verwendet, aber der IIS-Prozess stellt eine Verbindung mit Back-End-SQL Server über die Standardports (1433 für die Standardinstanz) her. Bei der Websynchronisierung mittels FTP findet die FTP-Übertragung zwischen IIS und dem SQL Server-Verleger und nicht zwischen Abonnent und IIS statt. Weitere Informationen finden Sie unter Configuring Microsoft Internet Security and Acceleration Server for Microsoft SQL Server 2000 Replication over the Internet. |
Transact-SQL-Debugger |
TCP-Port 135 Siehe Spezielle Überlegungen zu Port 135 Die IPsec-Ausnahme ist möglicherweise auch erforderlich. |
Bei Verwendung von Visual Studio müssen Sie außerdem auf dem Visual Studio-Hostcomputer Devenv.exe zur Ausnahmeliste hinzufügen und den TCP-Port 135 öffnen. Bei Verwendung von Management Studio müssen Sie außerdem auf dem Management Studio-Hostcomputer ssms.exe zur Ausnahmeliste hinzufügen und TCP-Port 135 öffnen. Weitere Informationen finden Sie unter Konfigurieren und Starten des Transact-SQL-Debuggers. |
Schrittweise Anweisungen zum Konfigurieren der Windows-Firewall für Database Engine (Datenbankmodul) finden Sie unter Vorgehensweise: Konfigurieren einer Windows-Firewall für Datenbankmodulzugriff.
Dynamische Ports
Standardmäßig verwenden benannte Instanzen (einschließlich SQL Server Express) dynamische Ports. Dies bedeutet, dass immer dann, wenn Database Engine (Datenbankmodul) startet, ein verfügbarer Port identifiziert und die entsprechende Portnummer verwendet wird. Wenn es sich bei der benannten Instanz um die einzige von Database Engine (Datenbankmodul) installierte Instanz handelt, wird wahrscheinlich TCP-Port 1433 verwendet. Wenn weitere Instanzen von Database Engine (Datenbankmodul) installiert sind, wird wahrscheinlich ein anderer TCP-Port verwendet. Da sich der ausgewählte Port bei jedem Start von Database Engine (Datenbankmodul) ändern kann, ist es schwierig, die Firewall so zu konfigurieren, dass der Zugriff auf die richtige Portnummer ermöglicht wird. Daher wird bei Verwendung einer Firewall eine Neukonfiguration von Database Engine (Datenbankmodul) empfohlen, damit jedesmal dieselbe Portnummer verwendet wird. Der betreffende Port wird als fester oder statischer Port bezeichnet. Weitere Informationen finden Sie unter Konfigurieren eines festen Ports.
Eine Alternative zum Konfigurieren einer benannten Instanz für die Überwachung eines festen Ports ist die Erstellung einer Ausnahme für ein SQL Server-Programm wie z. B. sqlservr.exe (für Database Engine (Datenbankmodul)) in der Firewall. Dies kann zwar zweckmäßig sein, aber die Portnummer wird nicht in der Spalte Lokaler Port auf der Seite Eingehende Regeln angezeigt, wenn Sie das MMC-Snap-In „Windows-Firewall mit erweiterter Sicherheit“ verwenden. Damit kann es schwieriger werden, zu verfolgen, welche Ports geöffnet sind. Ein weiterer Aspekt ist, dass ein Service Pack oder kumulatives Update den Pfad zur ausführbaren SQL Server-Datei ändern kann, wodurch die Firewallregel ungültig wird.
Hinweis |
---|
Im folgenden Verfahren wird das Element Windows-Firewall in der Systemsteuerung verwendet. Mithilfe des MMC-Snap-Ins „Windows-Firewall mit erweiterter Sicherheit“ kann eine komplexere Regel konfiguriert werden. Dazu gehört das Konfigurieren einer Dienstausnahme, was nützlich sein kann, um einen tiefgreifenden Schutz zu ermöglichen. Siehe Verwenden des Snap-Ins „Windows-Firewall mit erweiterter Sicherheit“ weiter unten. |
So fügen Sie der Firewall mithilfe des Elements „Windows-Firewall“ in der Systemsteuerung eine Programmausnahme hinzu
Klicken Sie unter dem Element Windows-Firewall in der Systemsteuerung auf der Registerkarte Ausnahmen auf Programm hinzufügen.
Navigieren Sie zum Speicherort der Instanz von SQL Server, die Sie über die Firewall zulassen möchten, z. B. C:\Programme\Microsoft SQL Server\MSSQL10.<instance_name>\MSSQL\Binn, wählen Sie sqlservr.exe aus, und klicken Sie anschließend auf Öffnen.
Klicken Sie auf OK.
Weitere Informationen über Endpunkte finden Sie unter Netzwerkprotokolle und TDS-Endpunkte und Endpunkte-Katalogsichten (Transact-SQL).
Von Analysis Services verwendete Ports
In der folgenden Tabelle werden die häufig von Analysis Services verwendeten Ports aufgeführt.
Feature |
Port |
Anmerkungen |
---|---|---|
Analysis Services |
TCP-Port 2383 für die Standardinstanz |
Der Standardport für die Standardinstanz von Analysis Services. |
SQL Server-Browserdienst |
TCP-Port 2382, nur für eine benannte Instanz von Analysis Services notwendig |
Clientverbindungsanforderungen für eine benannte Instanz von Analysis Services, in denen keine Portnummer angegeben ist, werden an Port 2382 weitergeleitet, dem Port, der vom SQL Server-Browser überwacht wird. SQL Server-Browser leitet dann die Anforderung an den Port um, der von der benannten Instanz verwendet wird. |
Analysis Services zur Verwendung durch IIS/HTTP konfiguriert (Der PivotTable®-Dienst verwendet HTTP oder HTTPS.) |
TCP-Port 80 |
Wird für eine HTTP-Verbindung über eine URL verwendet |
Analysis Services zur Verwendung durch IIS/HTTPS konfiguriert (Der PivotTable®-Dienst verwendet HTTP oder HTTPS.) |
TCP-Port 443 |
Wird für eine HTTPS-Verbindung über eine URL verwendet. HTTPS ist eine HTTP-Verbindung, die SSL (Secure Sockets Layer) verwendet. |
Wenn Benutzer über IIS und das Internet auf Analysis Services zugreifen, müssen Sie den Port öffnen, den IIS überwacht, und diesen Port in der Clientverbindungszeichenfolge angeben. In diesem Fall müssen keine Ports für den direkten Zugriff auf Analysis Services geöffnet sein. Der Standardport 2389 und Port 2382 sollten gemeinsam mit allen anderen Ports eingeschränkt werden, die nicht benötigt werden.
Schrittweise Anweisungen zum Konfigurieren der Windows-Firewall für Analysis Services finden Sie unter Vorgehensweise: Konfigurieren der Windows-Firewall für Analysis Services-Zugriff.
Von Reporting Services verwendete Ports
In der folgenden Tabelle werden die häufig von Reporting Services verwendeten Ports aufgeführt.
Feature |
Port |
Anmerkungen |
---|---|---|
Reporting Services-Webdienste |
TCP-Port 80 |
Wird für eine HTTP-Verbindung mit Reporting Services über eine URL verwendet. Die Verwendung der vorkonfigurierten Regel WWW-Dienste (HTTP) wird nicht empfohlen. Weitere Informationen finden Sie im Abschnitt Interaktion mit anderen Firewallregeln weiter unten. |
Reporting Services zur Verwendung durch HTTPS konfiguriert |
TCP-Port 443 |
Wird für eine HTTPS-Verbindung über eine URL verwendet. HTTPS ist eine HTTP-Verbindung, die SSL (Secure Sockets Layer) verwendet. Die Verwendung der vorkonfigurierten Regel WWW-Dienste (HTTP) wird nicht empfohlen. Weitere Informationen finden Sie im Abschnitt Interaktion mit anderen Firewallregeln weiter unten. |
Wenn Reporting Services eine Verbindung mit einer Instanz von Database Engine (Datenbankmodul) oder Analysis Services herstellt, müssen Sie auch die entsprechenden Ports für diese Dienste öffnen. Schrittweise Anweisungen zum Konfigurieren der Windows-Firewall für Reporting Services finden Sie unter Vorgehensweise: Konfigurieren einer Firewall für den Zugriff auf den Berichtsserver.
Von Integration Services verwendete Ports
In der folgenden Tabelle werden die vom Integration Services-Dienst verwendeten Ports aufgeführt.
Feature |
Port |
Anmerkungen |
---|---|---|
Microsoft-Remoteprozeduraufrufe (MS RPC) Wird von der Integration Services-Laufzeit verwendet |
TCP-Port 135 Siehe Spezielle Überlegungen zu Port 135 |
Der Integration Services-Dienst verwendet DCOM auf Port 135. Der Dienstkontroll-Manager verwendet Port 135, um Tasks wie z. B. das Starten und Beenden des Integration Services-Diensts und das Übertragen von Kontrollanforderungen an den laufenden Dienst auszuführen. Die Portnummer kann nicht geändert werden. Dieser Port muss nur dann geöffnet sein, wenn Sie eine Verbindung mit einer Remoteinstanz des Integration Services-Diensts von Management Studio oder einer benutzerdefinierten Anwendung aus herstellen. |
Schrittweise Anweisungen zum Konfigurieren der Windows-Firewall für Integration Services finden Sie unter Konfigurieren einer Windows-Firewall für Integration Services-Zugriff und Vorgehensweise: Konfigurieren einer Windows-Firewall für Integration Services.
Zusätzliche Ports und Dienste
Die folgende Tabelle enthält Ports und Dienste, von denen SQL Server abhängig sein kann.
Szenario |
Port |
Anmerkungen |
---|---|---|
Windows-Verwaltungsinstrumentation (Windows Management Instrumentation) Weitere Informationen zu WMI finden Sie unter Konzepte des WMI-Anbieters für die Konfigurationsverwaltung. |
WMI wird als Teil eines Hosts für gemeinsame Dienste ausgeführt, wobei Ports über DCOM zugewiesen werden. WMI verwendet möglicherweise den TCP-Port 135. Siehe Spezielle Überlegungen zu Port 135 |
Der SQL Server-Konfigurations-Manager verwendet WMI zum Auflisten und Verwalten von Diensten. Es wird empfohlen, die vorkonfigurierte Regelgruppe Windows-Verwaltungsinstrumentation (WMI) zu verwenden. Weitere Informationen finden Sie im Abschnitt Interaktion mit anderen Firewallregeln weiter unten. |
Microsoft Distributed Transaction Coordinator (MS DTC) |
TCP-Port 135 Siehe Spezielle Überlegungen zu Port 135 |
Wenn Ihre Anwendung verteilte Transaktionen verwendet, müssen Sie die Firewall möglicherweise so konfigurieren, dass MS DTC-Datenverkehr (Microsoft Distributed Transaction Coordinator) zwischen separaten MS DTC-Instanzen sowie zwischen MS DTC und Ressourcen-Managern wie SQL Server übermittelt werden kann. Es wird empfohlen, die vorkonfigurierte Regelgruppe Distributed Transaction Coordinator zu verwenden. Bei Konfiguration eines einzelnen freigegebenen MS-DTCs für den gesamten Cluster in einer separaten Gruppe sollten Sie sqlservr.exe der Firewall als Ausnahme hinzufügen. |
Die Schaltfläche zum Durchsuchen in Management Studio verwendet UDP, um eine Verbindung mit dem SQL Server-Browserdienst herzustellen. Weitere Informationen finden Sie unter SQL Server-Browserdienst. |
UDP-Port 1434 |
UDP ist ein verbindungsloses Protokoll. Die Firewall verfügt über eine Einstellung mit dem Namen UnicastResponsesToMulticastBroadcastDisabled Property of the INetFwProfile Interface, die das Verhalten der Firewall in Hinblick auf Unicast-Antworten auf eine Broadcast- (oder Multicast-)UDP-Anforderung steuert. Es sind zwei Verhaltensweisen möglich:
|
IPsec-Datenverkehr |
UDP-Port 500 und UDP-Port 4500 |
Wenn die Domänenrichtlinie eine Netzwerkkommunikation über IPSec erfordert, müssen Sie auch den UDP-Port 4500 und den UDP-Port 500 der Ausnahmeliste hinzufügen. IPsec ist eine Option, die den Assistenten für neue eingehende Regel im Windows-Firewall-Snap-In verwendet. Weitere Informationen finden Sie unter Verwenden des Snap-Ins „Windows-Firewall mit erweiterter Sicherheit“ weiter unten in diesem Thema. |
Verwenden der Windows-Authentifizierung mit vertrauenswürdigen Domänen |
Firewalls müssen konfiguriert werden, um Authentifizierungsanforderungen zuzulassen. |
Weitere Informationen finden Sie unter Konfigurieren einer Firewall für Domänen und Vertrauensstellungen. |
SQL Server und Windows-Clusterunterstützung |
Die Clusterunterstützung erfordert zusätzliche Ports, die keine direkte Beziehung zu SQL Server aufweisen. |
Weitere Informationen finden Sie unter Enable a network for cluster use. |
In der HTTP-Server-API (HTTP.SYS) reservierte URL-Namespaces |
Wahrscheinlich TCP-Port 80, kann jedoch für andere Ports konfiguriert werden. Allgemeine Informationen finden Sie unter Configuring HTTP and HTTPS. |
Spezielle Informationen für SQL Server zum Reservieren eines HTTP.SYS-Endpunkts mittels HttpCfg.exe finden Sie unter Reservieren von URL-Namespaces mithilfe von HTTP.SYS. |
Spezielle Überlegungen zu Port 135
Wenn Sie RPC mit TCP/IP oder mit UDP/IP als Transportprotokoll verwenden, werden eingehende Ports den Systemdiensten häufig dynamisch nach Bedarf zugewiesen; hierbei werden TCP/IP- und UDP/IP-Ports verwendet, die größer als Port 1024 sind. Diese werden informell häufig als „zufällige RPC-Ports“ bezeichnet. In solchen Fällen sind die RPC-Clients auf die Information der RPC-Endpunktzuordnung angewiesen, welche dynamischen Ports dem Server zugeordnet wurden. Für einige RPC-basierte Dienste können Sie einen bestimmten Port konfigurieren, statt RPC einen Port dynamisch zuweisen zu lassen. Außerdem können Sie den Bereich der Ports, die von RPC dynamisch zugewiesen werden, unabhängig vom Dienst verkleinern. Da Port 135 für zahlreiche Dienste verwendet wird, wird dieser häufig von böswilligen Benutzern angegriffen. Wenn Sie Port 135 öffnen, erwägen Sie, den Gültigkeitsbereich der Firewallregel einzuschränken.
Weitere Informationen zu Port 135 finden Sie in den folgenden Ressourcen:
Interaktion mit anderen Firewallregeln
Die Windows-Firewall verwendet Regeln und Regelgruppen, um ihre Konfiguration festzulegen. Jede Regel oder Regelgruppe ist normalerweise mit einem bestimmten Programm oder Dienst verknüpft, und dieses Programm oder dieser Dienst kann diese Regel ohne Ihr Wissen ändern oder löschen. Beispielsweise sind die Regelgruppen WWW-Dienste (HTTP) und Sichere WWW-Dienste (HTTPS) mit IIS verknüpft. Die Aktivierung dieser Regeln öffnet die Ports 80 und 443, und die SQL Server-Features, die auf den Ports 80 und 443 beruhen, werden ausgeführt, wenn diese Regeln aktiviert sind. Administratoren, die IIS konfigurieren, können diese Regeln jedoch ändern oder deaktivieren. Deshalb sollten Sie, wenn Sie Port 80 oder Port 443 für SQL Server verwenden, Ihre eigene Regel oder Regelgruppe erstellen, die Ihre gewünschte Portkonfiguration unabhängig von den anderen IIS-Regeln beibehält.
Das MMC-Snap-In „Windows-Firewall mit erweiterter Sicherheit“ erlaubt jeden Datenverkehr, der mit einer entsprechenden Zulassungsregel übereinstimmt. Wenn also zwei Regeln vorhanden sind, die beide für Port 80 gelten (mit unterschiedlichen Parametern), wird derjenige Datenverkehr zugelassen, der mit einer der beiden Regeln übereinstimmt. Wenn eine Regel den Datenverkehr über Port 80 von einem lokalen Subnetz und eine Regel den Datenverkehr von einer beliebigen Adresse erlaubt, wird letztendlich der gesamte Datenverkehr über Port 80 unabhängig von der Quelle zugelassen. Um den Zugriff auf SQL Server effektiv zu verwalten, sollten Administratoren alle auf dem Server aktivierten Firewallregeln in regelmäßigen Abständen überprüfen.
Übersicht über Firewallprofile
Firewallprofile werden unter Getting Started with Windows Firewall with Advanced Security in Windows Vista and Windows Server 2008 im Abschnitt Network location-aware host firewall behandelt. Zusammenfassend gilt: Windows Vista und Windows Server 2008 identifizieren und merken sich alle Netzwerke, mit denen sie eine Verbindung herstellen, in Bezug auf Konnektivität, Verbindungen und Kategorie.
In Windows-Firewall mit erweiterter Sicherheit gibt es drei Netzwerkstandorttypen:
Domäne. Windows kann den Zugriff auf den Domänencontroller für die Domäne des Netzwerks, mit dem der Computer verbunden ist, authentifizieren.
Öffentlich. Alle neu erkannten Netzwerke, außer Domänennetzwerke, werden zunächst als öffentlich kategorisiert. Netzwerke, die direkte Verbindungen zum Internet darstellen oder sich an öffentlichen Orten wie z. B. auf Flughäfen und in Cafés befinden, sollten auch öffentlich bleiben.
Privat. Ein Netzwerk, das von einem Benutzer oder einer Anwendung als privat gekennzeichnet wird. Es sollten nur vertrauenswürdige Netzwerke als private Netzwerke gekennzeichnet werden. Benutzer können Heim- oder kleine Firmennetzwerke als privat kennzeichnen.
Der Administrator kann für jeden Netzwerkstandorttyp ein Profil erstellen. Dabei kann jedes Profil unterschiedliche Firewallrichtlinien enthalten. Es wird immer nur ein Profil angewendet. Die Profilreihenfolge wird wie folgt angewendet:
Wenn alle Schnittstellen gegenüber dem Domänencontroller für die Domäne, deren Mitglied der Computer ist, authentifiziert werden, wird das Domänenprofil angewendet.
Wenn alle Schnittstellen entweder gegenüber dem Domänencontroller authentifiziert oder mit Netzwerken, die als private Netzwerkstandorte klassifiziert sind, verbunden werden, wird das private Profil angewendet.
Andernfalls wird das öffentliche Profil angewendet.
Verwenden Sie das MMC-Snap-In „Windows-Firewall mit erweiterter Sicherheit“, um alle Firewallprofile anzuzeigen und zu konfigurieren. Mithilfe des Elements Windows-Firewall in der Systemsteuerung kann nur das aktuelle Profil konfiguriert werden.
Zusätzliche Firewalleinstellungen mithilfe des Eintrags „Windows-Firewall“ in der Systemsteuerung
Ausnahmen, die Sie der Firewall hinzufügen, können das Öffnen des Ports bei eingehenden Verbindungen von bestimmten Computern oder vom lokalen Subnetz einschränken. Diese Einschränkung des Bereichs der Portöffnung kann den Umfang, in dem Ihr Computer böswilligen Benutzern ausgesetzt ist, verringern und wird daher empfohlen.
Hinweis |
---|
Mithilfe des Elements Windows-Firewall in der Systemsteuerung wird nur das aktuelle Firewallprofil konfiguriert. |
So ändern Sie den Bereich einer Firewallausnahme mithilfe des Elements „Windows-Firewall“ in der Systemsteuerung
Wählen Sie unter dem Element Windows-Firewall in der Systemsteuerung auf der Registerkarte Ausnahmen ein Programm oder einen Port aus, und klicken Sie dann auf Eigenschaften oder Bearbeiten.
Klicken Sie im Dialogfeld Programm bearbeiten oder Port bearbeiten auf Bereich ändern.
Wählen Sie eine der folgenden Optionen aus:
Alle Computer (einschließlich der im Internet)
Nicht empfohlen. Dies ermöglicht es jedem Computer, der mit Ihrem Computer Kontakt aufnehmen kann, eine Verbindung mit einem bestimmten Programm oder Port herzustellen. Diese Einstellung kann notwendig sein, um die Anzeige von Informationen für anonyme Benutzer im Internet zuzulassen, erhöht aber die Gefahr, die von böswilligen Benutzern ausgeht. Ihre Gefährdung kann sich noch weiter erhöhen, wenn Sie diese Einstellung aktivieren und außerdem NAT-Traversal (Network Address Translation) zulassen, wie z. B. die Option Randüberquerung zulassen.
Nur für eigenes Netzwerk (Subnetz)
Diese Einstellung ist sicherer als Alle Computer. Nur Computer im lokalen Subnetz Ihres Netzwerks können eine Verbindung mit dem Programm oder Port herstellen.
Benutzerdefinierte Liste:
Nur Computer, die über die von Ihnen aufgeführten IP-Adressen verfügen, können eine Verbindung herstellen. Dies kann eine sicherere Einstellung als Nur für eigenes Netzwerk (Subnetz) sein; Clientcomputer, die DHCP verwenden, können jedoch gelegentlich ihre IP-Adresse ändern. Dann kann der beabsichtigte Computer keine Verbindung herstellen. Ein anderer Computer, den Sie nicht autorisieren wollten, könnte die aufgeführte IP-Adresse akzeptieren und dann in der Lage sein, eine Verbindung herzustellen. Die Option Benutzerdefinierte Liste eignet sich möglicherweise zum Auflisten anderer Server, die für eine feste IP-Adresse konfiguriert sind; es besteht jedoch die Möglicht, dass IP-Adressen von einem Eindringling gefälscht (gespooft) werden. Restriktive Firewallregeln sind nur so stark wie Ihre Netzwerkinfrastruktur.
Verwenden des Snap-Ins „Windows-Firewall mit erweiterter Sicherheit“
Auf Computern, auf denen Vista oder Windows Server 2008 ausgeführt wird, können mithilfe des MMC-Snap-Ins „Windows-Firewall mit erweiterter Sicherheit“ zusätzliche erweiterte Firewalleinstellungen konfiguriert werden. Das Snap-In enthält einen Regel-Assistenten und bietet Zusatzeinstellungen, die im Element Windows-Firewall in der Systemsteuerung nicht verfügbar sind. Dazu gehören folgende Einstellungen:
Verschlüsselungseinstellungen
Einschränkungen für Dienste
Einschränken von Verbindungen für Computer nach Name
Einschränken von Verbindungen für bestimmte Benutzer oder Profile
Randüberquerung, die dem Datenverkehr die Umgehung von NAT-Routern (Network Address Translation) erlaubt
Konfigurieren von ausgehenden Regeln
Konfigurieren von Sicherheitsregeln
Erfordern von IPsec für eingehende Verbindungen
So erstellen Sie eine neue Firewallregel mit dem Assistenten für neue Regeln
Klicken Sie im Startmenü auf Ausführen, geben Sie WF.msc ein, und klicken Sie anschließend auf OK.
Klicken Sie im linken Bereich von Windows-Firewall mit erweiterter Sicherheit mit der rechten Maustaste auf Eingehende Regeln, und klicken Sie dann auf Neue Regel.
Schließen Sie den Assistenten für neue eingehende Regel mit den gewünschten Einstellungen ab.
Behandeln von Problemen mit Firewalleinstellungen
Die folgenden Tools und Techniken können bei der Behandlung von Problemen mit der Firewall nützlich sein:
Der effektive Portstatus ist die Gesamtheit aller Regeln, die den Port betreffen. Beim Versuch, den Zugriff über einen Port zu blockieren, kann es hilfreich sein, alle Regeln, die die Portnummer nennen, zu überprüfen. Verwenden Sie hierzu das MMC-Snap-In „Windows-Firewall mit erweiterter Sicherheit“, und sortieren Sie die ein- und ausgehenden Regeln nach Portnummer.
Überprüfen Sie die Ports, die auf dem Computer aktiv sind, auf dem SQL Server ausgeführt wird. Dazu muss überprüft werden, welche TCP/IP-Ports überwacht werden und welchen Status diese Ports besitzen.
Um zu überprüfen, welche Ports überwacht werden, verwenden Sie das netstat-Befehlszeilen-Dienstprogramm. Zusätzlich zur Anzeige der aktiven TCP-Verbindungen werden mit dem netstat-Dienstprogramm auch eine Reihe von IP-Statistiken und -Informationen angezeigt.
So führen Sie auf, auf welchen TCP/IP-Ports die Überwachung erfolgt
Öffnen Sie das Eingabeaufforderungsfenster.
Geben Sie an der Eingabeaufforderung netstat -n -a ein.
Mit dem -n-Schalter wird netstat angewiesen, die Adressen und die Portnummern der aktiven TCP-Verbindungen numerisch anzuzeigen. Mit dem -a-Schalter wird netstat angewiesen, die vom Computer überwachten TCP- und UDP-Ports anzuzeigen.
Mit dem PortQry-Dienstprogramm kann der Status der TCP/IP-Ports als überwacht, nicht überwacht oder gefiltert gemeldet werden. (Der gefilterte Status bedeutet, dass der Port überwacht oder nicht überwacht wird. Dieser Status gibt an, dass das Dienstprogramm keine Antwort vom Port empfangen hat.) Das Dienstprogramm PortQry steht im Microsoft-Downloadcenter zum Herunterladen zur Verfügung.
Weiterführende Themen zur Problembehandlung: