Konfigurowanie komputera z wieloma domami na potrzeby dostępu do programu SQL Server

Dotyczy:programu SQL Server — tylko system Windows

Gdy serwer musi zapewnić połączenie z co najmniej dwiema sieciami lub podsieciami sieciowymi, typowy scenariusz używa komputera z wieloma komputerami domowymi. Często ten komputer znajduje się w sieci obwodowej (nazywanej również strefą DMZ, strefą zdemilitaryzowaną lub podsiecią ekranowaną). W tym artykule opisano, jak skonfigurować SQL Server i Zaporę systemu Windows z zabezpieczeniami zaawansowanymi, aby umożliwić połączenia sieciowe z instancją SQL Server w środowisku wielohostowym.

Uwaga

Komputer o wielu interfejsach sieciowych ma wiele kart sieciowych lub został skonfigurowany do używania wielu adresów IP dla jednej karty sieciowej. Komputer z podwójnym połączeniem sieciowym ma dwie karty sieciowe lub jest skonfigurowany do używania dwóch adresów IP dla jednej karty sieciowej.

Wymagania wstępne

Przed kontynuowaniem pracy w tym artykule należy zapoznać się z informacjami podanymi w artykule Konfigurowanie zapory systemu Windows w celu zezwolenia na dostęp do programu SQL Server. Ten artykuł zawiera podstawowe informacje o sposobie działania składników programu SQL Server z zaporą.

Założenia dla tego przykładu:

• Na komputerze są zainstalowane dwie karty sieciowe. Co najmniej jedna karta sieciowa może być bezprzewodowa. Można symulować posiadanie dwóch kart sieciowych przy użyciu adresu IP jednej karty sieciowej i przy użyciu adresu IP pętli zwrotnej (127.0.0.1) jako drugiej karty sieciowej.

• Dla uproszczenia w tym przykładzie użyto adresów IPv4. Te same procedury można wykonać przy użyciu adresów IPv6.

  Uwaga

  Adresy IPv4 to seria czterech liczb nazywanych oktetami. Każda liczba jest mniejsza niż 255, oddzielona kropkami, takimi jak 127.0.0.1. Adresy IPv6 to seria ośmiu liczb szesnastkowej rozdzielonych dwukropkami, takich jak fe80:4898:23:3:49a6:f5c1:2452:b994.

• Reguły zapory mogą zezwalać na dostęp za pośrednictwem określonego portu, takiego jak port 1433. Lub reguły zapory mogą zezwalać na dostęp do programu Microsoft SQL Server Database Engine (sqlservr.exe). Żadna z metod nie jest lepsza niż druga. Ponieważ serwer w sieci obwodowej jest bardziej podatny na ataki niż serwery w intranecie, w tym artykule przyjęto założenie, że chcesz mieć bardziej precyzyjną kontrolę i indywidualnie wybierz otwarte porty. Z tego powodu w tym artykule założono, że skonfigurujesz program SQL Server do nasłuchiwania na stałym porcie. Aby uzyskać więcej informacji na temat portów używanych przez program SQL Server, zobacz Konfigurowanie zapory systemu Windows w celu zezwolenia na dostęp do programu SQL Server.

• W tym przykładzie skonfigurowaliśmy dostęp do aparatu bazy danych przy użyciu portu TCP 1433. Inne porty, które są różnymi składnikami programu SQL Server, można skonfigurować przy użyciu tych samych ogólnych kroków.

Ogólne kroki w tym przykładzie są następujące:

• Określ adresy IP na komputerze.

• Skonfiguruj program SQL Server do nasłuchiwania na określonym porcie TCP.

• Skonfiguruj zaporę systemu Windows z zabezpieczeniami zaawansowanymi.

Procedury opcjonalne

Jeśli znasz już adresy IP dostępne dla komputera i używane przez program SQL Server, możesz pominąć te procedury.

Określanie adresów IP dostępnych na komputerze

1. Na komputerze, na którym jest zainstalowany program SQL Server, wybierz pozycję Start, wybierz pozycję Uruchom, wpisz cmd , a następnie wybierz przycisk OK.

2. W oknie wiersza polecenia wpisz ipconfig, a następnie naciśnij ENTER, aby wyświetlić listę adresów IP dostępnych na tym komputerze.

   Polecenie ipconfig czasami wyświetla listę wielu możliwych połączeń, w tym połączeń, które są rozłączone. Polecenie ipconfig może wyświetlić listę adresów IPv4 i IPv6.

3. Zwróć uwagę na używane adresy IPv4 i adresy IPv6. Inne informacje na liście, takie jak adresy tymczasowe, maski podsieci i bramy domyślne, są ważnymi informacjami dotyczącymi konfigurowania sieci TCP/IP. Te informacje nie są jednak używane w tym przykładzie.

Określanie adresów IP i portów używanych przez program SQL Server

1. Wybierz pozycję Start, wskaż pozycję Wszystkie programy, wskaż pozycję Microsoft SQL Server, wskaż pozycję Narzędzia konfiguracji, a następnie wybierz pozycję SQL Server Configuration Manager.

2. W menedżerze konfiguracji programu SQL Server w okienku konsoli rozwiń węzeł Konfiguracja sieci programu SQL Server, rozwiń węzeł Protokoły dla <nazwy> wystąpienia, a następnie kliknij dwukrotnie tcp/IP.

3. W oknie dialogowym właściwości protokołu TCP/IP na karcie Adresy IP kilka adresów IP jest wyświetlanych w formacie IP1IP2do IPAll. Jednym z nich jest adres IP karty sprzężenia zwrotnego, 127.0.0.1. Dodatkowe adresy IP są wyświetlane dla każdego adresu IP skonfigurowanego na komputerze.

4. W przypadku dowolnego adresu IP, jeśli okno dialogowe Porty dynamiczne TCP zawiera 0wartość , oznacza to, że aparat bazy danych nasłuchuje na portach dynamicznych. W tym przykładzie użyto stałych portów zamiast portów dynamicznych, które mogą ulec zmianie po ponownym uruchomieniu. W związku z tym, jeśli okno dialogowe Porty dynamiczne TCP zawiera 0, usuń 0.

5. Zwróć uwagę na port TCP wymieniony dla każdego adresu IP, który chcesz skonfigurować. W tym przykładzie przyjęto założenie, że oba adresy IP nasłuchują na domyślnym porcie 1433.

6. Jeśli nie chcesz, aby program SQL Server używał niektórych dostępnych portów, na karcie Protokół zmień wartość Listen All na Nie; i na karcie Adresy IP zmień wartość Aktywne na Nie dla adresów IP, których nie chcesz używać.

Konfigurowanie zapory systemu Windows z zabezpieczeniami zaawansowanymi

Po zapoznaniu się z adresami IP używanymi przez komputer i portami używanymi przez program SQL Server można utworzyć reguły zapory, a następnie skonfigurować te reguły dla określonych adresów IP.

Utwórz regułę zapory

1. Na komputerze, na którym jest zainstalowany program SQL Server, połącz się jako administrator.

2. Wybierz pozycję Start, wybierz pozycję Uruchom, wpisz wf.msc, a następnie wybierz przycisk OK.

3. W oknie dialogowym Kontrola konta użytkownika wybierz pozycję Kontynuuj , aby użyć poświadczeń administratora, aby otworzyć przystawkę Zapora systemu Windows z zabezpieczeniami zaawansowanymi.

4. Na stronie Przegląd upewnij się, że zapora systemu Windows jest włączona.

5. W okienku po lewej stronie wybierz pozycję Reguły ruchu przychodzącego.

6. Kliknij prawym przyciskiem myszy pozycję Reguły ruchu przychodzącego, a następnie wybierz pozycję Nowa reguła , aby otworzyć Kreatora nowej reguły ruchu przychodzącego.

7. Możesz utworzyć regułę dla programu SQL Server. Jednak ponieważ w tym przykładzie jest używany stały port, wybierz pozycję Port, a następnie wybierz przycisk Dalej.

8. Na stronie Protokoły i porty wybierz pozycję TCP.

9. Wybierz pozycję Określone porty lokalne. Wpisz numery portów rozdzielone przecinkami, a następnie wybierz przycisk Dalej. W tym przykładzie skonfigurujesz port domyślny; w związku z tym wprowadź wartość 1433.

10. Na stronie Akcja przejrzyj opcje. W tym przykładzie nie używasz zapory do wymuszania bezpiecznych połączeń. W związku z tym wybierz pozycję Zezwalaj na połączenie, a następnie wybierz przycisk Dalej.

    Środowisko może wymagać bezpiecznych połączeń. W przypadku wybrania jednej z opcji bezpiecznych połączeń może być konieczne skonfigurowanie certyfikatu i opcji Wymuszanie szyfrowania . Aby uzyskać więcej informacji na temat bezpiecznych połączeń, zobacz Konfigurowanie aparatu bazy danych programu SQL Server pod kątem szyfrowania połączeń i Konfigurowanie aparatu bazy danych programu SQL Server na potrzeby szyfrowania połączeń.

11. Na stronie Profil wybierz jeden lub więcej profili dla reguły. Jeśli nie znasz profili firewalla, wybierz link Dowiedz się więcej o profilach w programie firewalla.

    • Jeśli komputer jest serwerem i jest dostępny tylko wtedy, gdy jest połączony z domeną, wybierz pozycję Domena, a następnie wybierz przycisk Dalej.

    • Jeśli komputer jest komputerem przenośnym (na przykład laptopem), może używać wielu profilów podczas nawiązywania połączenia z różnymi sieciami. W przypadku komputera przenośnego można skonfigurować różne możliwości dostępu dla różnych profilów. Na przykład możesz zezwolić na dostęp, gdy komputer korzysta z profilu domeny, ale nie zezwala na dostęp, gdy korzysta z profilu publicznego.

12. Na stronie Nazwa podaj nazwę i opis reguły, a następnie wybierz pozycję Zakończ.

13. Powtórz tę procedurę, aby utworzyć kolejną regułę dla każdego adresu IP, który będzie używany przez program SQL Server.

Po utworzeniu co najmniej jednej reguły wykonaj następujące kroki, aby skonfigurować każdy adres IP na komputerze do używania reguły.

Konfigurowanie reguły zapory dla określonych adresów IP

1. Na stronie Reguły ruchu przychodzącegozapory systemu Windows z zabezpieczeniami zaawansowanymi kliknij prawym przyciskiem myszy utworzoną regułę, a następnie wybierz pozycję Właściwości.

2. W oknie dialogowym Właściwości reguły wybierz kartę Zakres .

3. W obszarze Lokalny adres IP wybierz pozycję Te adresy IP, a następnie wybierz pozycję Dodaj.

4. W oknie dialogowym Adres IP wybierz pozycję Ten adres IP lub podsieć, a następnie wpisz jeden z adresów IP, które chcesz skonfigurować.

5. Kliknij przycisk OK.

6. W obszarze Zdalny adres IP wybierz pozycję Te adresy IP, a następnie wybierz pozycję Dodaj.

7. Użyj okna dialogowego Adres IP , aby skonfigurować łączność dla wybranego adresu IP na komputerze. Można włączyć połączenia z określonych adresów IP, zakresów adresów IP, całych podsieci lub z określonych komputerów. Aby poprawnie skonfigurować tę opcję, musisz dobrze zrozumieć sieć. Aby uzyskać informacje o sieci, skontaktuj się z administratorem sieci.

8. Aby zamknąć okno dialogowe Adres IP , wybierz przycisk OK; a następnie wybierz przycisk OK , aby zamknąć okno dialogowe Właściwości reguły .

9. Aby skonfigurować inne adresy IP na komputerze z wieloma domami, powtórz tę procedurę przy użyciu innego adresu IP i innej reguły.

Powiązana zawartość

• Usługa przeglądarki programu SQL Server (aparat bazy danych i usługi SSAS)
• Nawiązywanie połączenia z programem SQL Server za pośrednictwem serwera proxy (SQL Server Configuration Manager)