次の方法で共有


データベース エンジンのアクセス用に Windows ファイアウォールを構成する

適用対象: SQL Server

この記事では、SQL Server 構成マネージャーを使用して、SQL Server でデータベース エンジンにアクセスできるように、Windows ファイアウォールを構成する方法について説明します。 ファイアウォール システムは、コンピューター リソースへの不正アクセスを防ぐのに役立ちます。 ファイアウォールを経由して SQL Server データベース エンジン のインスタンスにアクセスするには、 SQL Server を実行しているコンピューターで、アクセスを許可するようにファイアウォールを構成する必要があります。

Windows ファイアウォールの既定の設定に関する詳細と、データベース エンジン、Analysis Services、Reporting Services および Integration Services に影響する TCP ポートの説明については、「SQL Server のアクセスを許可するための Windows ファイアウォールの構成」をご覧ください。 多くのファイアウォール システムが市販されています。 システム固有の情報については、ファイアウォールのマニュアルを参照してください。

アクセスを許可するための主な手順を次に示します。

  1. 特定の TCP/IP ポートを使用するように データベース エンジン を構成します。 データベース エンジン の既定のインスタンスはポート 1433 を使用しますが、使用するポートは変更できます。 データベース エンジン で使用されているポートは、 SQL Server エラー ログに記録されます。 SQL Server Express と SQL Server Compact のインスタンス、およびデータベース エンジンの名前付きインスタンスは動的ポートを使用します。 特定のポートを使うようにこれらのインスタンスを構成する方法については、「特定の TCP ポートで受信待ちするようにサーバーを構成する方法 (SQL Server 構成マネージャー)」をご覧ください。

  2. 認証済みのユーザーまたはコンピューターが上記で構成したポートにアクセスできるように、ファイアウォールを構成します。

SQL Server Browser サービスを使用すると、ユーザーはポート番号を意識することなく、ポート 1433 でリッスンしていない データベース エンジンのインスタンスに接続できます。 SQL Server Browser を使用するには、UDP ポート 1434 を開く必要があります。 環境のセキュリティを最大限に強化するには、 SQL Server Browser サービスを停止した状態で、ポート 1434 を使用して接続するようにクライアントを構成します。

Microsoft Windows では、既定で Windows ファイアウォールが有効になっており、ポート 1433 が閉じられ、インターネットからコンピューターの SQL Server の既定のインスタンスに接続できない状態になっています。 TCP/IP を使用して既定のインスタンスに接続するには、ポート 1433 を開く必要があります。 Windows ファイアウォールの基本的な構成手順を次に示します。 詳細については、Windows のマニュアルを参照してください。

上記の方法のように、特定のポートでリッスンするように SQL Server を構成してそのポートを開く代わりに、ブロックするプログラムの例外の一覧に SQL Server の実行可能ファイル (Sqlservr.exe) を追加することもできます。 この方法は、引き続き動的ポートを使用するときに使用します。 この方法でアクセスできる SQL Server のインスタンスは 1 つだけです。

セキュリティ

ファイアウォールのポートを開くと、サーバーが攻撃を受けやすくなります。 ポートを開く前に、ファイアウォール システムについて理解しておいてください。 詳細については、「 Security Considerations for a SQL Server Installation」を参照してください。

セキュリティが強化された Windows ファイアウォールを使用する

次の手順では、セキュリティが強化された Windows ファイアウォールの Microsoft 管理コンソール (MMC) スナップインを使用して Windows ファイアウォールを構成します。 セキュリティが強化された Windows ファイアウォールでは、現在のプロファイルのみを構成できます。 セキュリティが強化された Windows ファイアウォールの詳細については、「SQL Server のアクセスを許可するために Windows ファイアウォールを構成する」を参照してください。

TCP アクセス用に Windows ファイアウォールのポートを開く

  1. [スタート] メニューで [ファイル名を指定して実行] を選択し、「WF.msc」と入力して、 [OK] を選択します。

  2. [セキュリティが強化された Windows ファイアウォール] アプリケーションで、左側のペインの [受信の規則] を右クリックし、[操作] ウィンドウの [新しいルール] を選択します。

  3. [規則の種類] ダイアログ ボックスで、 [ポート] を選択し、 [次へ] を選択します。

  4. [プロトコルおよびポート] ダイアログ ボックスで、 [TCP] をクリックします。 [特定のローカル ポート] をクリックし、データベース エンジンのインスタンスのポート番号を入力します。たとえば、既定のインスタンスの場合は「1433」と入力します。 [次へ] を選択します。

  5. [操作] ダイアログ ボックスで、 [接続を許可する] を選択して、 [次へ] を選択します。

  6. [プロファイル] ダイアログ ボックスで、データベース エンジンに接続するときのコンピューター接続環境を表すプロファイルをすべて選択し、 [次へ] を選択します。

  7. [名前] ダイアログ ボックスで、この規則の名前と説明を入力し、 [完了] を選択します。

動的ポート使用時に SQL Server にアクセスする

  1. [スタート] メニューで [ファイル名を指定して実行] を選択し、「WF.msc」と入力して、 [OK] を選択します。

  2. [セキュリティが強化された Windows ファイアウォール] で、左側のペインの [受信の規則] を右クリックし、[操作] ペインの [新しい規則] を選択します。

  3. [規則の種類] ダイアログ ボックスで、 [プログラム] を選択して、 [次へ] を選択します。

  4. [プログラム] ダイアログ ボックスで、 [このプログラムのパス] をクリックします。 [参照] を選択し、ファイアウォール経由でアクセスする SQL Server のインスタンスに移動して、 [開く] を選択します。 既定では、SQL Server は C:\Program Files\Microsoft SQL Server\MSSQLXX.MSSQLSERVER\MSSQL\Binn\Sqlservr.exe にあります。 [次へ] を選択します。 MSSQLXX バージョンは、使用している SQL Server のバージョンに固有です。

  5. [操作] ダイアログ ボックスで、 [接続を許可する] を選択して、 [次へ] を選択します。

  6. [プロファイル] ダイアログ ボックスで、データベース エンジンに接続するときのコンピューター接続環境を表すプロファイルをすべて選択し、 [次へ] を選択します。

  7. [名前] ダイアログ ボックスで、この規則の名前と説明を入力し、 [完了] を選択します。