強化 SharePoint 環境中的 SQL Server (SharePoint Server 2010)
適用版本: SharePoint Foundation 2010, SharePoint Server 2010
上次修改主題的時間: 2016-11-30
本文說明如何強化 Microsoft SharePoint 2010 產品 環境中的 Microsoft SQL Server。
本文內容:
強化建議摘要
設定 SQL Server 執行個體接聽非預設連接埠
封鎖預設 SQL Server 接聽連接埠
將 Windows 防火牆設定為開啟手動指定的連接埠
設定 SQL 用戶端別名
測試 SQL 用戶端別名
強化建議摘要
為了保護伺服器陣列環境,建議執行下列作業:
封鎖 UDP 連接埠 1434。
將 SQL Server 的具名執行個體設定為在非標準的連接埠上接聽 (TCP 連接埠 1433 或 UDP 連接埠 1434 以外的連接埠)。
若要再提高其安全性,請封鎖 TCP 連接埠 1433,並將預設執行個體使用的連接埠重新指定為不同的連接埠。
在伺服器陣列中的所有前端網頁伺服器和應用程式伺服器中,設定 SQL Server 用戶端別名。在您封鎖 TCP 連接埠 1433 或 UDP 連接埠 1434 之後,要與執行 SQL Server 的電腦通訊的所有電腦都必須使用 SQL Server 用戶端別名。
如需這些建議的詳細資訊,請參閱<規劃安全性強化 (SharePoint Server 2010)>。
設定 SQL Server 執行個體接聽非預設連接埠
使用 SQL Server 組態管理員來變更 SQL Server 執行個體使用的 TCP 連接埠。
在執行 SQL Server 的電腦上,開啟 SQL Server 組態管理員。
在左窗格中,展開 [SQL Server 網路組態]。
按一下所設定之執行個體的對應項目。預設的執行個體會列為 [MSSQLSERVER 的通訊協定]。具名執行個體則會顯示為 [named_instance 的通訊協定]。
在右窗格的 [TCP/IP] 上按一下滑鼠右鍵,然後按一下 [內容]。
按一下 [IP 位址] 索引標籤。每個指派給執行 SQL Server 之電腦的 IP 位址,在此索引標籤上都有對應的項目。根據預設,SQL Server 會接聽指派給電腦的所有 IP 位址。
若要全域變更預設執行個體所接聽的連接埠,請執行下列步驟:
針對 [IPAll] 以外的每個 IP 位址,清除 [TCP 動態通訊埠] 及 [TCP 通訊埠] 的所有值。
針對 [IPAll],清除 [TCP 動態通訊埠] 的值。在 [TCP 通訊埠] 欄位中,輸入您希望 SQL Server 執行個體接聽的連接埠。例如,輸入 40000。
若要全域變更具名執行個體所接聽的連接埠,請執行下列步驟:
針對包括 [IPAll] 在內的每個 IP 位址,清除 [TCP 動態通訊埠] 的所有值。若此欄位的值為 0,表示 SQL Server 的 IP 位址使用動態 TCP 連接埠。若此值為空白項目,則表示 SQL Server 的 IP 位址不會使用動態 TCP 連接埠。
針對除了[IPAll] 以外的每個 IP 位址,清除 [TCP 通訊] 的所有值。
針對 [IPAll],清除 [TCP 動態通訊埠] 的值。在 [TCP 通訊埠] 欄位中,輸入您希望 SQL Server 執行個體接聽的連接埠。例如,輸入 40000。
按一下 [確定],您將會收到訊息,指出 SQL Server 服務重新啟動之前,變更不會生效。按一下 [確定]。
關閉 [SQL Server 組態管理員]。
重新啟動 SQL Server 服務,並確認執行 SQL Server 的電腦正在接聽您選取的連接埠。您可以在重新啟動 SQL Server 服務之後查看事件檢視器記錄來進行確認。請尋找與下列事件類似的資訊事件:
事件類型:資訊
事件來源:MSSQL$MSSQLSERVER
事件類別目錄:(2)
事件識別碼:26022
日期:3/6/2008
時間:下午 1:46:11
使用者:N/A
電腦:電腦名稱
描述:
伺服器正在 [ 'any' <ipv4>50000] 上接聽
封鎖預設 SQL Server 接聽連接埠
具有進階安全性的 Windows 防火牆使用輸入規則和輸出規則,來保護連入及連出網路流量的安全。因為 Windows 防火牆預設會封鎖所有來路不明的連入網路流量,所以您不需要明確封鎖預設 SQL Server 接聽連接埠。如需詳細資訊,請參閱具有進階安全性的 Windows 防火牆 (https://go.microsoft.com/fwlink/?linkid=214109&clcid=0x404) 及將 Windows 防火牆設定成允許 SQL Server 存取 (https://go.microsoft.com/fwlink/?linkid=210584&clcid=0x404)
將 Windows 防火牆設定為開啟手動指定的連接埠
在 [控制台] 中,開啟 [系統及安全性]。
按一下 [Windows 防火牆],然後按一下 [進階設定],以開啟 [具有進階安全性的 Windows 防火牆] 對話方塊。
在功能窗格中,按一下 [輸入規則] 以在 [動作] 窗格中顯示可用選項。
按一下 [新增規則] 開啟 [新增輸入規則精靈]。
使用此精靈,完成允許存取<設定 SQL Server 執行個體接聽非預設連接埠>中所定義連接埠的必要步驟。
注意
您可以透過設定 Windows 防火牆,來設定網際網路通訊協定安全性 (IPsec) 以協助保護執行 SQL Server 之電腦上的通訊安全。做法是在功能窗格的 [具有進階安全性的 Windows 防火牆] 對話方塊中,選取 [連線安全性規則]。
設定 SQL Server 用戶端別名
若在執行 SQL Server 的電腦上封鎖 UDP 連接埠 1434 或 TCP 連接埠 1433,則必須在伺服器陣列中的所有其他電腦上建立 SQL Server 用戶端別名。您可以使用 SQL Server 用戶端元件,為連線至 SQL Server 的電腦建立 SQL Server 用戶端別名。
在目標電腦上執行 SQL Server 的安裝程式,並選取下列用戶端元件進行安裝:
連接元件
管理工具
開啟 SQL Server 組態管理員。
在左窗格中,按一下 [SQL Native Client 組態]。
在右窗格中,以滑鼠右鍵按一下 [別名],然後選取 [新增別名]。
在 [別名] 對話方塊中輸入別名的名稱,然後輸入資料庫執行個體的連接埠號碼。例如,輸入 SharePoint*_alias*。
在 [通訊埠號碼] 欄位中,輸入該資料庫執行個體的連接埠號碼。例如,輸入 40000。請確認通訊協定設定為 TCP/IP。
在 [伺服器] 欄位中,輸入執行 SQL Server 的電腦名稱。
按一下 [套用],然後按一下 [確定]。
測試 SQL Server 用戶端別名
您可以使用 Microsoft SQL Server Management Studio 來測試與執行 SQL Server 電腦之間的連線。只要安裝 SQL Server 用戶端元件即可使用此工具。
開啟 SQL Server Management Studio。
系統提示您輸入伺服器名稱時,請輸入您建立的別名名稱,然後按一下 [連線]。如果連線成功,則 SQL Server Management Studio 會填入與遠端資料庫對應的物件。
注意
若要從 SQL Server Management Studio 中檢查與其他資料庫執行個體的連線,請按一下 [連線],然後再按一下 [Database Engine]。