Поделиться через

Развертывание нестандартного порта SQL Server и псевдонима в Lync Server 2013

  • Статья

 

Последнее изменение раздела: 2015-09-16

Microsoft Lync Server 2013 поддерживает использование нестандартного порта и псевдонима в SQL Server. Использование SQL Server нестандартного порта и псевдонима повышает безопасность и создает более гибкую среду для развертывания Lync. Эти шаги являются лишь одним шагом в обеспечении правильной защиты среды Lync Server 2013. Необходимо предпринять дополнительные действия для уменьшения направлений атак в реализации Lync Server 2013.

В следующей статье описаны действия, необходимые для настройки SQL Server нестандартного порта и псевдонима в Lync Server 2013.

Развертывание SQL Server нестандартного порта и псевдонима в Lync Server 2013

Lync Server 2013 Topology Builder поддерживает использование псевдонима SQL Server в качестве полного доменного имени (FQDN) вместо фактического полного доменного имени SQL Server при настройке Lync Server 2013. Это позволяет скрыть фактическое SQL Server полного доменного имени от любого злоумышленника. Кроме того, использование нестандартного порта заслоняет фактический порт от любого из них, так как злоумышленник будет пытаться выполнить атаку на базу данных через стандартный порт 1433, как показано на следующем рисунке.

Злоумышленник не знает номер порта для атаки.

Чтобы успешно определить порт, используемый Lync Server 2013 для связи с SQL Server, злоумышленнику потребуется сканировать все порты, чтобы получить сведения о порте. Проверка порта злоумышленником повышает вероятность того, что безопасность сможет обнаружить и остановить инструкцию. Помимо повышения безопасности с помощью нестандартного порта, можно также использовать псевдоним SQL Server для обеспечения гибкости развертывания. Это полезно, чтобы уменьшить изменения конфигурации в ситуациях, когда SQL Server имени требуется изменение имени.

Примечание.

SQL Server предоставляет два метода отказоустойчивости (отказоустойчивая кластеризация и зеркальное отображение). Оба SQL Server отказоустойчивости поддерживаются с SQL Server портом и псевдонимом в Lync Server 2013. Если серверная часть SQL Server, используемая пулом, находится в зеркальной конфигурации, то служба браузера SQL на внутренних серверах SQL Server должна выполняться для серверов переднего плана для подключения к зеркальной базе данных при отработке отказа баз данных на зеркальный SQL Server.

При настройке SQL Server базы данных из построителя топологий или при использовании командлета Install-CsDatabase невозможно явно определить нестандартный номер порта SQL Server и связать его с экземпляром SQL. Чтобы задать нестандартный порт, необходимо использовать SQL Server и windows Server.

Чтобы настроить SQL Server порт и псевдоним для использования с Lync Server 2013, необходимо выполнить три основных шага. Ниже приведены следующие действия.

  • Убедитесь, что в Lync Server 2013 Обновления последняя версия.

  • Настройте SQL Server нестандартного порта и псевдонима.

  • Настройте в Lync Server 2013 псевдоним SQL Server с помощью построителя топологий.

  • Опубликуйте топологию и проверьте базу данных.

Убедитесь, что в Lync Server 2013 применена последняя Обновления

Важно поддерживать Lync Server 2013 в актуальном состоянии. Сведения о последних обновлениях и способах их применения см. в Обновления Lync Server 2013.

Настройка SQL Server нестандартного порта и псевдонима

Для SQL Server нестандартного порта и псевдонима необходимо настроить экземпляр базы данных, чтобы на него можно было ссылаться из построителя топологий Lync Server 2013. Чтобы настроить SQL Server порт и псевдоним, необходимо выполнить три основных шага. Ниже приведены следующие действия.

  • Измените значения протокола TCP/IP по умолчанию.

  • Создание и настройка SQL Server псевдонима.

  • Создайте запись ресурса "Каноническое имя" (CNAME) системы доменных имен (DNS).

Изменение значений протокола TCP/IP по умолчанию

  1. Нажмите кнопку "Пуск" и диспетчер конфигурации SQL Server, как показано на следующем рисунке.

    Значок SQL Server Management Studio

  2. В области навигации разверните экземпляр SQL Server,<> разверните SQL Server и выберите протоколы для имени экземпляра, как показано на следующем рисунке.

    Перейдите к разделу

  3. В области справа щелкните правой кнопкой мыши TCP/IP и выберите пункт "Свойства". Отобразится диалоговое окно "Свойства TCP/IP".

  4. Выберите вкладку "IP-адреса ". На вкладке IP-адресов отображаются все активные IP-адреса на сервере. Они имеют формат IP1, IP2 и до IPAll, как показано на следующем рисунке.

    Откройте свойства TCP/IP.

  5. Очистите поле динамических портов TCP для всех IP-адресов. Если поле содержит нуль-символ, это означает, что SQL Server прослушивает динамические порты. Убедитесь, что эти поля очищены и не содержат нуля.

  6. Для IP-адреса, который Lync Server будет использовать для подключения к базе данных, убедитесь, что для параметра Enabled задано значение "Да", как показано на следующем рисунке.

    Для правильного IP-адреса задайте значение

  7. В разделе IPAll в нижней части диалогового окна введите нужный порт в поле TCP-порта , как показано на следующем рисунке. В этом примере используется порт 50062, но можно использовать любой порт между 49152 и 65535. Это порты, назначенные для динамического и частного использования, и это гарантирует, что вы не конфликтуете с другими портами, используемыми в развертывании Lync Server 2013.

    Задайте порт в разделе IPAll.

  8. Нажмите кнопку " ОК", чтобы выйти из диалогового окна "Свойства TCP/IP".

  9. Перезапустите SQL Server, выбрав SQL Server Services в левой области диспетчер конфигурации SQL Server. Затем щелкните правой кнопкой SQL Server <имя экземпляра> в правой области и выберите "Перезапустить", как показано на следующем рисунке.

    Сбросьте SQL Server, например.

Важно

Обязательно обновите параметры брандмауэра, чтобы вместить новый SQL Server порт.

Создание и настройка псевдонима SQL Server

  1. Нажмите кнопку "Пуск" и диспетчер конфигурации SQL Server, как показано на следующем рисунке.

    Значок SQL Server Management Studio

  2. В левой области разверните SQL Server, разверните конфигурацию версии SQL Native Client<>, а затем выберите псевдонимы, как показано на следующем рисунке.

    Псевдонимы в диспетчер конфигурации SQL Server.

  3. Щелкните правой кнопкой мыши псевдонимы и выберите "Создать псевдоним"....

  4. Введите имя псевдонима, номер порта, протокол и сервер, как показано на следующем рисунке.

    Создание нового псевдонима При

    Осторожностью

    Обязательно введите тот же нестандартный порт, который использовался на предыдущем шаге, так как это порт, SQL Server будет прослушиваться. Если настроенный псевдоним подключается к неправильному SQL Server полного доменного имени или экземпляра, отключите и повторно включите связанный сетевой протокол. Это очищает все кэшированные сведения о подключении и позволяет клиенту правильно подключаться.

Создание записи ресурса CNAME DNS

  1. Войдите на компьютер, управляющий DNS.

  2. Выберите "Пуск" и диспетчер сервера, как показано на следующем рисунке.

    Открытие диспетчер сервера

  3. Выберите раскрывающийся список "Сервис" и выберите DNS, как показано на следующем рисунке.

    Открытие DNS из диспетчер сервера.

  4. В левой области разверните узел имени сервера, узел "Зоны прямого просмотра" и выберите соответствующий домен.

  5. Щелкните правой кнопкой мыши домен и выберите новый псевдоним (CNAME).., как показано на следующем рисунке.

    Выбор параметра для создания нового псевдонима CNAME

  6. Введите имя псевдонима и полное доменное имя SQL Server, как показано на следующем рисунке.

    Заполнение нового псевдонима CNAME.

  7. Нажмите кнопку " ОК", чтобы сохранить запись CNAME и просмотреть ее в диспетчере DNS.

Проверка подключения к базе данных

Существует множество различных способов убедиться, что он работает. Необходимо убедиться, что SQL Server прослушивает указанный порт с помощью псевдонима. Быструю проверку можно выполнить с помощью команд netstatи telnet .

Примечание.

Клиент Telnet — это компонент, который поставляется с Windows Server, но его необходимо установить. Компонент Windows Server можно установить, открыв диспетчер сервера и выбрав пункт "Добавить роли и компоненты" в меню "Управление".

Использование netstat и telnet для проверки подключения к базе данных

  1. Нажмите кнопку "Пуск" и введите командную строку , чтобы открыть командную строку.

  2. Введите netstat -a -f и убедитесь, что SQL Server работает с правильным портом, как показано на следующем рисунке.

    Использование netstat для проверки порта.

  3. Введите порт #псевдонима><telnet<>, чтобы подтвердить подключение к SQL Server экземпляру. Если подключение установлено успешно, telnet подключится, и вы не увидите ошибку. Это показывает, что SQL Server прослушивает правильный порт с правильным псевдонимом. Если возникла проблема с подключением к базе данных SQL Server, telnet выводит сообщение об ошибке, из-за которой невозможно установить подключение. Теперь, когда вы проверили подключение к базе данных на сервере базы данных, вы можете сделать то же самое с Lync Server (по сети) и убедиться, что на этом пути нет брандмауэров, блокирующих доступ.

Заключение

После настройки SQL Server можно использовать его для создания топологии Lync Server 2013 в средстве построителя топологий. Дополнительные сведения о топологиях см. в разделе "Определение и настройка топологии " в Lync Server 2013.