Как узнать порт sql server
Перейти к содержимому

Как узнать порт sql server

  • автор:

Как изменить порт экземпляра Microsoft SQL Server?

date

09.07.2020

user

insci

directory

SQL Server

comments

Один комментарий

В этой статье мы разберемся как узнать текущий TCP порт, на котором слушает и ожидает подключения именованный или default экземпляр MS SQL Server, как изменить порт подключения SQL Server на статический/динамический и как используется служба SQL Server Browser клиентами при подключении к SQL.

  • Default экземпляр SQL Server (MSSQLSERVER) работает на статическом порту TCP 1433. Именно к этому порту подключаются клиенты, или консоль SQL Server Management Studio (SSMS);
  • Именованные экземпляры MSSQL и SQL Server Compact по-умолчанию настроены на использование динамического TCP порта из диапазона RPC (49152 – 65535).

Динамической порт означает, что номер порта, на котором принимает подключение экземпляр MSSQL назначается при запуске службы SQL Server. В большинстве случаев, даже после перезагрузки сервера, SQL Server начнет слушать тот же самый динамический TCP порт, который был назначен до перезагрузки. Но если этот порт занят, SQL Server запустится на новом порту TCP (приложение, которое использует SQL обычно без проблем получит номер нового порта от службы SQL Server Browser, об этом чуть ниже). Динамический порты SQLServer удобны с точки зрения простоты администрирования нескольких экземпляров SQL на одном сервере, но вызывают множество проблем, если в вашей сети используются межсетевые экраны.

Изменение номера TCP порта экземпляра SQL Server

Вы можете перенастроить ваш сервер так, чтобы он слушал на другом статическом TCP или динамическом порту. Как правило это нужно, когда на одном SQL Server-e запушено несколько экземпляров, или у вас используются межсетевые экраны.

Для управления портами подключения нам потребуется SQL Server Configuration Manager. Обычно эта оснастка устанавливается вместе с экземпляром MSSQL.

Запустите SQL Server Configuration Manager и разверните секцию SQL Server Network Configuration.

В моём случае на сервере установлен всего 1 экземпляр MSSQL– NODE1, поэтому настраивать порты я буду для него. В списке доступных протоколов для данного экземпляра имеются:

  • Протокол Shared Memory используется для подключения с локального компьютера (с того, где установлен экземпляр MSSQL). Отключать его не рекомендуется;
  • Named Pipes может использоваться по протоколу TCP/IP, но его использования не несёт особой выгоды, поэтому оставим его выключенным;

SQL Server Network Configuration

Щелкните дважды по TCP/IP.

настройки протокола tcpip для sql server

На вкладке Protocol всего 3 параметра:

  • Enabled – убедитесь, что протокол TCP/IP включен;
  • Keep Alive – частота проверки того, что соединение еще актуально (в миллисекундах). Не меняйте этот параметр без необходимости;
  • Listen All – неочевидная настройка, которая отвечает за секцию IPAll во вкладке IP Addresses. Если Listen All выставлена в No, то секция IPAll будет игнорироваться.

На вкладке IP Addresses вы увидите перечисление всех IP адресов машины (включая IPv6 и локальные) и соответствующие им настройки. Здесь вы можете задать разные TCP порты для локального и внешнего адреса подключения, или разные порты для разных внешних адресов (если у вас сервер с несколькими сетевыми интерфейсами в разных сегментах).

TCP Dynamic Ports в sql server

Скорее всего вы захотите изменить порт сразу для всех IP, поэтому нужно изменить его секции IPAll.

IPAll настройка экземпляра sql server

Параметр TCP Dynamic Ports отвечает за использование динамических портов.

  • Пустое значение TCP Dynamic Ports отключает использование динамических портов SQL Server;
  • 0 включает использование динамических TCP портовиз диапазона RPC 49152 – 65535;

Чтобы установить статический TCP порт для данного экземпляра SQL Server, отключите TCP Dynamic Ports, и задайте новый номер статического порта в параметре TCP Port.

сменить номер порта sql server на другой статический

Для применения изменений перезапустите службу SQL Server. Обратите внимание на отключенную службу SQL Server Browser.

перезапуск службы экземпляра sql server

Проверьте, что теперь к вашему экземпляру SQL можно подключиться через SSMS. Формат строки подключения такой:

sql server срока подключения к статическому tcp порту

Подключиться без указания порта не получится, поскольку SQL Browser выключен.

TCP порты и служба SQL Server Browser

До версии MSSQL 2000 нельзя было установить больше одного экземпляра СУБД на один компьютер. Такая возможность появилась в более новых версиях MSSQL. Служба SQL Server Browser впервые появилась в SQL Server 2005 и использовалась как посредник для распределения подключений между различными экземплярами MSSQL, установленными на одном компьютере.

Также SQL Server Browser отвечает за подключение к MSSQL (например, из SQL Server Management Studio) без указания порта, например testnode1\node1 . Служба SQL Server Browser узнает номер текущего динамического порта экземпляра из реестра и сообщает его клиенту.

Если вы отключите службу SQL Server Browser, то для подключения к экземпляру необходимо вручную указывать TCP порт. Например, testnode1\node1, 1440 .

При отключенной службе SQL Server Browser и использовании динамических портов приложения не смогут узнать номер порта, к которому нужно обращаться.

Стандартные порты SQL Server

  • TCP 1433 — Стандартный порт SQL Server
  • UDP 1433 – порт, используемый SQL Server Browser

Другие порты настраиваются при установке/настройке конкретного сервиса. Так что по умолчанию, Вам достаточно открыть в файерволе только два порта: 1433 TCP/UDP.

Если у вас используются строгие настройки фаервола, или если вы хотите максимально ограничить SQL Server, рекомендуется отключить Dynamic Ports (выставить пустое значение) и отключить службу SQL Server Browser.

Если же ваши SQL Server’a находятся в публичном доступе, то будет хорошей идеей поменять порт на нестандартный. Это не защитит от атак полностью, но снизит их число.

Предыдущая статьяПредыдущая статья Следующая статья Следующая статья

Как узнать, на каком порту работает SQL Server

SQL Server — это система управления базами данных от компании Microsoft. Важно знать, на каком порту работает SQL Server, чтобы установить соединение с сервером или изменить настройки подключения. В этой статье будет рассмотрено несколько способов определить порт, на котором работает SQL Server.

1. Через SQL Server Configuration Manager

SQL Server Configuration Manager — это инструмент для настройки и управления экземплярами SQL Server на компьютере. С помощью этого инструмента можно легко определить порт, на котором работает SQL Server. Вот как это сделать:

1. Откройте SQL Server Configuration Manager. 2. Разверните "SQL Server Network Configuration" и выберите "Protocols for [имя экземпляра SQL Server]". 3. Щелкните правой кнопкой мыши на "TCP/IP" и выберите "Properties". 4. Во вкладке "IP Addresses" прокрутите вниз до раздела "IPAll". 5. В поле "TCP Port" будет указан номер порта SQL Server. 

2. Через SQL Server Management Studio

SQL Server Management Studio — это графическая среда для управления SQL Server. В ней также можно узнать, на каком порту работает SQL Server. Вот как это сделать:

1. Откройте SQL Server Management Studio. 2. Подключитесь к серверу SQL Server. 3. Щелкните правой кнопкой мыши на экземпляре SQL Server в окне "Object Explorer" и выберите "Properties". 4. Во вкладке "Connection" найдите поле "Server name" и порт будет указан после двоеточия. 

3. Через командную строку

Если у вас есть доступ к командной строке, вы можете использовать следующую команду для определения порта SQL Server:

1. Откройте командную строку. 2. Введите команду: netstat -ano | findstr "PID :[ID процесса SQL Server]" 3. В результате будет указан порт SQL Server. 

4. Через SQL скрипт

Вы также можете использовать SQL скрипт для определения порта SQL Server. Вот пример скрипта:

SELECT local_tcp_port FROM sys.dm_exec_connections WHERE session_id = @@SPID 

Заключение

Знание порта, на котором работает SQL Server, является важным для настройки и установки соединения с сервером. В этой статье были рассмотрены различные способы определения порта SQL Server, включая использование SQL Server Configuration Manager, SQL Server Management Studio, командной строки и SQL скрипта. Вы можете использовать любой из этих способов в зависимости от ваших предпочтений и доступных инструментов.

Как проверка, если SQL Server прослушивает динамический или статический порт

В этой статье описывается, как определить, прослушивает ли именованный экземпляр Microsoft SQL Server динамический и статический порт. Эти сведения могут быть полезны при устранении различных проблем с подключением, связанных с SQL Server.

По умолчанию экземпляр SQL Server с именем настроен для прослушивания динамических портов. Он получает доступный порт из операционной системы. Вы также можете настроить SQL Server именованные экземпляры для запуска с определенного порта. Это называется статическим портом. Дополнительные сведения о статических и динамических портах в контексте SQL Server см. в разделе Статические и динамические порты.

Используйте следующую процедуру, чтобы определить, прослушивает ли SQL Server именованный экземпляр динамический и статический порт.

Вариант 1. Использование диспетчер конфигурации SQL Server

  1. В диспетчер конфигурации SQL Server разверните узел SQL Server Конфигурация сети, разверните узел Протоколы для имени экземпляра, а затем дважды щелкните TCP/IP.
  2. В разделе Свойства TCP/IP выберите Протокол.
  3. Проверьте значение в параметре Прослушивание всех . Если задано значение Да, перейдите к шагу 4. Если для него задано значение Нет, перейдите к шагу 6.
  4. Перейдите в раздел IP-адреса и прокрутите страницу свойств TCP/IP вниз.
  5. Проверьте значения в разделе ВСЕ IP-адреса и используйте следующую таблицу, чтобы определить, прослушивает ли именованный экземпляр динамический или статический порт.
Динамические порты TCP TCP-порт SQL Server экземпляр, использующий динамические или статические порты?
«Пустой». «Пустой». Динамические порты
«Пустой». Динамические порты — динамический порт, который SQL Server в настоящее время прослушивает.
Одновременный прослушивание динамического и статического портов
Динамические порты TCP TCP-порт SQL Server экземпляр, использующий динамические или статические порты?
«Пустой». «Пустой». Динамические порты
«Пустой». Динамические порты — это динамический порт, который SQL Server в настоящее время прослушивает.
Одновременный прослушивание динамического и статического портов

Значение 0 в динамических портах TCP указывает, что именованный экземпляр в настоящее время не запущен и настроен для динамических портов. После запуска экземпляра поле значения будет отражать динамический порт, используемый экземпляром в данный момент.

Вариант 2. Использование PowerShell

  1. Выполните следующий скрипт в интегрированной среде сценариев PowerShell. В окне консоли отображаются все соответствующие tcp/IP-адреса для всех экземпляров SQL Server (SQL Server 2014–SQL Server 2019), которые в настоящее время установлены в системе.
clear Write-Host "SQL Server 2019" Write-Host "=====================" Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL15.*\MSSQLServer\SuperSocketNetLib\Tcp" | Select-Object -Property Enabled, KeepAlive, ListenOnAllIps,@> |Format-Table -AutoSize Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL15.*\MSSQLServer\SuperSocketNetLib\Tcp\IP*\" | Select-Object -Property TcpDynamicPorts,TcpPort,DisplayName, @>, IpAddress |Format-Table -AutoSize Write-Host "SQL Server 2017" Write-Host "=====================" Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL14.*\MSSQLServer\SuperSocketNetLib\Tcp" | Select-Object -Property Enabled, KeepAlive, ListenOnAllIps,@> |Format-Table -AutoSize Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL14.*\MSSQLServer\SuperSocketNetLib\Tcp\IP*\" | Select-Object -Property TcpDynamicPorts,TcpPort, DisplayName, @>, IpAddress |Format-Table -AutoSize Write-Host "SQL Server 2016" Write-Host "=====================" Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL13.*\MSSQLServer\SuperSocketNetLib\Tcp" | Select-Object -Property Enabled, KeepAlive, ListenOnAllIps,@> |Format-Table -AutoSize Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL13.*\MSSQLServer\SuperSocketNetLib\Tcp\IP*\" | Select-Object -Property TcpDynamicPorts,TcpPort, DisplayName, @>, IpAddress |Format-Table -AutoSize Write-Host "SQL Server 2014" Write-Host "=====================" Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL12.*\MSSQLServer\SuperSocketNetLib\Tcp" | Select-Object -Property Enabled, KeepAlive, ListenOnAllIps,@> |Format-Table -AutoSize Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL12.*\MSSQLServer\SuperSocketNetLib\Tcp\IP*\" | Select-Object -Property TcpDynamicPorts,TcpPort, DisplayName, @>, IpAddress |Format-Table -AutoSize 
Динамические порты TCP TCP-порт SQL Server экземпляр, использующий динамические или статические порты?
«Пустой». «Пустой». Динамические порты
«Пустой». Динамические порты — это динамический порт, прослушиваемый SQL в настоящее время.
Одновременный прослушивание динамического и статического портов
Динамические порты TCP TCP-порт SQL Server экземпляр, использующий динамические или статические порты?
«Пустой». «Пустой». Динамические порты
«Пустой». Динамические порты — это динамический порт, который SQL Server в настоящее время прослушивает.
Одновременный прослушивание динамического и статического портов

Значение 0 в динамических портах TCP указывает, что именованный экземпляр в настоящее время не запущен и настроен для динамических портов. После запуска экземпляра поле значения будет отражать динамический порт, используемый экземпляром в данный момент.

См. также

  • Проблема с согласованной проверкой подлинности 0400.
  • Настройка сервера для прослушивания определенного TCP-порта
  • Свойства TCP/IP (вкладка «IP-адреса»)

Настройка брандмауэра Windows для разрешения доступа к SQL Server

Системы брандмауэра помогают предотвратить несанкционированный доступ к ресурсам компьютера. Если брандмауэр включен, но неправильно настроен, попытки подключения к SQL Server могут быть заблокированы.

Чтобы получить доступ к экземпляру SQL Server через брандмауэр, необходимо настроить брандмауэр на компьютере под управлением SQL Server. Брандмауэр является компонентом Microsoft Windows. Вы также можете установить брандмауэр от другого поставщика. В этой статье описывается настройка брандмауэра Windows, но основные принципы применяются к другим программам брандмауэра.

В этой статье представлен обзор конфигурации брандмауэра и приведены сведения, интересующие администратора SQL Server. Дополнительные сведения и официальные данные о брандмауэрах см. в документации по брандмауэру, например в разделе Руководство по безопасности для развертывания брандмауэра Windows.

Пользователи, знакомые с управлением брандмауэром Windows и знающие, какие параметры брандмауэра они хотят настроить, могут перейти напрямую к более сложным статьям:

  • Настройка брандмауэра Windows для доступа к компоненту Database Engine
  • Настройка брандмауэра Windows на разрешение доступа к службам Analysis Services
  • настроить брандмауэр для доступа к серверу отчетов

Основные сведения о брандмауэре

Брандмауэр проверяет входящие пакеты на соответствие следующему набору правил:

  • Если пакет соответствует стандартам, заданным правилами, то брандмауэр передает его протоколу TCP/IP для дальнейшей обработки.
  • Пакет не соответствует стандартам, заданным в правилах.
    • В этом случае брандмауэр отклоняет пакет. Если включено ведение журнала, в файле журнала брандмауэра создается соответствующая запись.

    Список разрешенного трафика заполняется одним из следующих способов.

    • Автоматически. Когда защищенный брандмауэром компьютер инициирует соединение, брандмауэр добавляет в список запись, чтобы разрешить ответ. Ответ считается запрашиваемым трафиком, и ничего настраивать не требуется.
    • Вручную: администратор настраивает исключения для брандмауэра. Это открывает доступ к определенным программам или портам на вашем компьютере. В этом случае компьютер принимает весь входящий трафик, выполняя роль сервера, прослушивателя или однорангового узла. Необходимо выполнить настройку для подключения к SQL Server.

    Выбор стратегии брандмауэра является более сложной задачей и не сводится лишь к открытию или закрытию портов. При выборе стратегии брандмауэра для предприятия необходимо обязательно рассмотреть все доступные правила и параметры конфигурации. В этой статье не рассматриваются все возможные параметры брандмауэра. Рекомендуем ознакомиться со следующими документами:

    • Руководство по развертыванию брандмауэра Windows
    • Руководство по проектированию для брандмауэра Windows
    • Основные сведения об изоляции серверов и доменов

    Параметры брандмауэра по умолчанию

    Первым шагом при планировании конфигурации брандмауэра является определение его текущего состояния в операционной системе. Если операционная система была обновлена с предыдущей версии, возможно, были сохранены предыдущие параметры брандмауэра. Изменять параметры брандмауэра в домене может групповая политика или администратор.

    Включение брандмауэра может повлиять на общий доступ к файлам и принтерам, подключения к удаленному рабочему столу и работу других программ, которым необходим доступ к компьютеру. Администратор должен просмотреть все приложения, которые работают на компьютере, прежде чем приступать к настройке параметров брандмауэра.

    Программы для настройки брандмауэра

    Настройте параметры брандмауэра Windows с помощью консоли управления (MMC) или netsh.

    • Консоль управления (MMC) Оснастка «Брандмауэр Windows в режиме повышенной безопасности» позволяет настраивать дополнительные параметры брандмауэра. Эта оснастка представляет большинство параметров брандмауэра и в удобной форме, а также все профили брандмауэра. Дополнительные сведения см. в разделе Использование оснастки «Брандмауэр Windows в режиме повышенной безопасности» далее в этой статье.
    • netshNetsh.exe — это средство Администратор istrator для настройки и мониторинга компьютеров под управлением Windows в командной строке или с помощью пакетного файла. При использовании средства netsh вводимые контекстные команды направляются соответствующим вспомогательным приложениям, которые их выполняют. Вспомогательное приложение — это файл библиотеки динамической компоновки (DLL) для расширения функциональных возможностей. Вспомогательное приложение обеспечивает настройку, мониторинг и поддержку различных служб, служебных программ и протоколов для средства netsh. Все операционные системы, поддерживающие SQL Server, имеют вспомогательный сервер брандмауэра. Windows Server 2008 также имеет расширенный вспомогательный сервер брандмауэра с именем advfirewall. Многие из описанных параметров конфигурации можно настроить с помощью средства netsh. Например, выполните в командной строке следующий скрипт, чтобы открыть TCP-порт 1433:

    netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT 

    Аналогичный пример, использующий брандмауэр Windows для модуля поддержки повышенной безопасности:

    netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN 
    • Синтаксис, контексты и форматирование команд Netsh
    • Использование контекста netsh advfirewall firewall вместо контекста netsh firewall для управления работой брандмауэра Windows в операционной системе Windows Server 2008 или Windows Vista
    New-NetFirewallRule -DisplayName "SQLServer default instance" -Direction Inbound -LocalPort 1433 -Protocol TCP -Action Allow New-NetFirewallRule -DisplayName "SQLServer Browser service" -Direction Inbound -LocalPort 1434 -Protocol UDP -Action Allow 

    Порты, используемые SQL Server

    В следующих таблицах можно определить порты, используемые SQL Server.

    Порты, используемые ядро СУБД

    По умолчанию типичные порты, используемые SQL Server и связанными службами ядра СУБД: TCP 1433, 4022, 135, 1434, UDP 1434. В таблице ниже эти порты описаны подробно. Именованный экземпляр использует динамические порты.

    В следующей таблице перечислены порты, которые часто используются ядро СУБД.

    Сценарий Порт Комментарии
    Экземпляр по умолчанию, работающий по протоколу TCP TCP-порт 1433 Этот порт открывают в брандмауэре чаще всего. Он применяется к стандартным подключениям к установке ядро СУБД по умолчанию или именованным экземпляром, который является единственным экземпляром, запущенным на компьютере. (Именованные экземпляры имеют особые рекомендации. См . динамические порты далее в этой статье.)
    Именованные экземпляры с портом по умолчанию TCP-порт — это динамический порт, определенный во время запуска ядро СУБД. См. обсуждение ниже в разделе «Динамические порты». Порт UDP 1434 может потребоваться для службы браузера SQL Server при использовании именованных экземпляров.
    Именованные экземпляры с фиксированным портом Номер порта настраивается администратором. См. обсуждение ниже в разделе «Динамические порты».
    Выделенное административное соединение TCP-порт 1434 предназначен для экземпляра по умолчанию. Другие порты используются для именованных экземпляров. Номер порта проверьте по журналу ошибок. По умолчанию удаленные подключения по выделенному административному соединению (DAC) не активированы. Разрешить удаленное выделенное административное соединение можно при помощи средства настройки контактной зоны. Дополнительные сведения см. в разделе Surface Area Configuration.
    служба «SQL Server, браузер» UDP-порт 1434 Служба браузера SQL Server прослушивает входящие соединения с именованным экземпляром.

    SELECT name, protocol_desc, port, state_desc

    SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints

    Пошаговые инструкции по настройке брандмауэра Windows для ядро СУБД см. в разделе «Настройка брандмауэра Windows для ядро СУБД Access».

    Динамические порты

    По умолчанию именованные экземпляры (включая SQL Server Express) используют динамические порты. При каждом запуске ядро СУБД он определяет доступный порт и использует этот номер порта. Если именованный экземпляр является единственным экземпляром установленного ядро СУБД, он, вероятно, будет использовать TCP-порт 1433. Если установлены другие экземпляры ядро СУБД, он, вероятно, будет использовать другой TCP-порт. Так как выбранный порт может изменяться при каждом запуске ядро СУБД, сложно настроить брандмауэр для включения доступа к правильному номеру порта. Если используется брандмауэр, мы рекомендуем перенастроить ядро СУБД для использования одного и того же номера порта каждый раз. Рекомендуется использовать фиксированный или статический порт. Дополнительные сведения см. в разделе Настройка сервера для прослушивания указанного TCP-порта (диспетчер конфигурации SQL Server).

    Альтернативой настройке именованного экземпляра для прослушивания фиксированного порта является создание исключения в брандмауэре для программы SQL Server, например sqlservr.exe (для ядро СУБД). Номер порта не будет отображаться в столбце Локальный порт на странице Правила для входящего трафика при использовании оснастки MMC «Брандмауэр Windows в режиме повышенной безопасности». Аудит открытых портов может быть сложной задачей. Еще одно соображение заключается в том, что пакет обновления или накопительное обновление может изменить путь к исполняемому файлу SQL Server и сделать правило брандмауэра недействительным.

    Чтобы добавить исключение для SQL Server с помощью брандмауэра Windows с расширенной безопасностью, см . статью «Использование брандмауэра Windows с оснасткой расширенной безопасности» далее в этой статье.

    Порты, используемые службами Analysis Services

    По умолчанию типичные порты, используемые службами SQL Server Analysis Services и связанными службами: TCP 2382, 2383, 80, 443. В таблице ниже эти порты описаны подробно.

    В следующей таблице перечислены порты, которые часто используются службами Analysis Services.

    Компонент Порт Комментарии
    Службы Analysis Services TCP-порт 2383 для экземпляра по умолчанию Стандартный порт для экземпляра служб Analysis Services по умолчанию.
    служба «SQL Server, браузер» TCP-порт 2382, необходимый только для именованного экземпляра служб Analysis Services Запросы на подключение клиента для именованного экземпляра служб Analysis Services, которые не указывают номер порта, направляются в порт 2382, порт, на котором прослушивается браузер SQL Server. Затем браузер SQL Server перенаправляет запрос на порт, используемый именованным экземпляром.
    Службы Analysis Services, настроенные для использования с помощью IIS/HTTP

    Если пользователи получают доступ к службам Analysis Services через IIS и Интернет, необходимо открыть порт, на котором выполняется прослушивание СЛУЖБ IIS. Затем нужно указать порт в строке подключения клиента. В этом случае для прямого доступа к службам Analysis Services не нужно открывать порты. Необходимо ограничить доступ к порту по умолчанию 2389, порту 2382 и другим портам, доступ к которым не требуется.

    Пошаговые инструкции по настройке брандмауэра Windows для служб Analysis Services см. в разделе «Настройка брандмауэра Windows для разрешения доступа к службам Analysis Services».

    Порты, используемые службами Reporting Services

    По умолчанию SQL Server Reporting Services и связанные службы обычно используют порты TCP 80 и 443. В таблице ниже эти порты описаны подробно.

    В следующей таблице перечислены порты, которые часто используются службами Reporting Services.

    Компонент Порт Комментарии
    Веб-службы Reporting Services TCP-порт 80 Используется для HTTP-подключения к службам Reporting Services по URL-адресу. Не рекомендуется использовать предварительно настроенное правило Службы Интернета (HTTP). Дополнительные сведения см. в разделе Взаимодействие с другими правилами брандмауэра ниже.
    Службы Reporting Services, настроенные для использования через HTTPS TCP-порт 443 Используется для HTTPS-соединения по URL-адресу. HTTPS представляет собой HTTP-соединение, защищенное по протоколу TSL. Не рекомендуется использовать предварительно настроенное правило Защищенные службы Интернета (HTTP). Дополнительные сведения см. в разделе Взаимодействие с другими правилами брандмауэра ниже.

    При подключении служб Reporting Services к экземпляру ядро СУБД или служб Analysis Services необходимо также открыть соответствующие порты для этих служб. Пошаговые инструкции по настройке брандмауэра Windows для служб Reporting Services позволяют настроить брандмауэр для доступа к серверу отчетов.

    Порты, используемые службами Integration Services

    В следующей таблице перечислены порты, используемые службой Integration Services.

    Пошаговые инструкции по настройке брандмауэра Windows для службы Integration Services см. в статье Служба Integration Services (служба SSIS).

    Другие порты и службы

    В следующей таблице перечислены порты и службы, от которые может зависеть SQL Server.

    Свойство UnicastResponsesToMulticastBroadcastDisabled интерфейса INetFwProfile управляет работой брандмауэра и одноадресными ответами на широковещательные (или многоадресные) UDP-запросы. Возможны два варианта.

    Если этот параметр имеет значение TRUE, то одноадресные ответы на широковещательные запросы запрещены. Перечисление служб завершится ошибкой.

    Особые вопросы для порта 135

    При использовании RPC с транспортным протоколом TCP/IP или UDP/IP входящие порты динамически назначаются системным службам по мере надобности. Используются порты TCP/IP и UDP/IP с номерами выше 1024. Эти порты называются «случайными RPC-портами». В этом случае RPC-клиент определяет порт, назначенный серверу, через сопоставитель конечных точек RPC. Для некоторых служб, работающих через протокол RPC, можно настроить использование определенного фиксированного порта. Можно также ограничить диапазон портов, динамически назначаемых RPC и не зависящих от службы. Поскольку порт 135 используется для многих служб, он часто подвергается атакам злоумышленников. В случае открытия порта 135 рекомендуется ограничить область действия правила брандмауэра.

    Дополнительные сведения о порте 135 см. в следующих ресурсах.

    • Общие сведения о службе и требования к сетевым портам в системе Windows Server
    • Удаленный вызов процедур (RPC)
    • Настройка динамического выделения портов RPC для работы с брандмауэром

    Взаимодействие с другими правилами брандмауэра

    Настройка брандмауэра Windows производится на основе правил и групп правил. Каждое правило или группа правил связывается с определенной программой или службой, которая может изменять или удалять это правило без вашего ведома. Например, группы правил Службы Интернета (HTTP) и Защищенные службы Интернета (HTTPS) связаны со службами IIS. Включение этих правил открывает порты 80 и 443, а функции SQL Server, зависящие от портов 80 и 443, будут работать, если эти правила включены. Однако администратор в процессе настройки служб IIS может изменить или отключить эти правила. Если вы используете порт 80 или порт 443 для SQL Server, необходимо создать собственное правило или группу правил, которая поддерживает предпочитаемую конфигурацию порта независимо от других правил IIS.

    Брандмауэр Windows с оснасткой MMC расширенной безопасности разрешает любой трафик, соответствующий любому применимому правилу разрешения. Таким образом, если существуют два правила для порта 80 (с разными параметрами), то будет пропускаться трафик, соответствующий любому из них. Например, если одно правило разрешает трафик по порту 80 из локальной подсети, а другое разрешает трафик с любого адреса, то в итоге на порту 80 будет разрешен любой трафик независимо от источника. Чтобы эффективно управлять доступом к SQL Server, администраторы должны периодически проверять все правила брандмауэра, включенные на сервере.

    Обзор профилей брандмауэра

    В соответствии с профилями брандмауэра операционная система определяет и запоминает каждую из сетей по следующим параметрам: возможность подключения, имеющиеся подключения и категория.

    Брандмауэр Windows в режиме повышенной безопасности делит сети на три типа.

    • Домен: Windows может пройти проверку подлинности доступа к контроллеру домена для домена, к которому присоединен компьютер.
    • Общедоступный: кроме доменных сетей все сети изначально классифицируются как общедоступные. Сети, которые представляют прямые соединения с Интернетом, являются открытыми (аэропорты, кафе и другие места открытого доступа).
    • Частный: сеть, определяемая пользователем или приложением как частная. Только доверенные сети могут быть определены как частные. Обычно в качестве частной сети определяется сеть малого предприятия, домашняя сеть и т. п.

    Администратор может создать профиль для каждого типа сети и задать для этих профилей разные политики брандмауэра. Одномоментно применим только один профиль. Профили применяются в следующем порядке.

    1. Профиль домена применяется, когда все интерфейсы проходят проверку подлинности на контроллере домена, членом которого является компьютер.
    2. Если все интерфейсы либо прошли проверку подлинности к контроллеру домена, либо соединены с сетями, которые определены как частные, применяется частный профиль.
    3. В противном случае применяется открытый профиль.

    Просмотреть и настроить профили брандмауэра можно с помощью оснастки «Брандмауэр Windows в режиме повышенной безопасности». Элемент Брандмауэр Windows на панели управления позволяет настраивать только текущий профиль.

    Дополнительные параметры брандмауэра с помощью элемента брандмауэра Windows в панель управления

    Добавление брандмауэра позволяет ограничить открытие порта для входящих подключений с определенных компьютеров или из локальной подсети. Ограничьте область открытия портов, чтобы сделать компьютер менее уязвимым для злоумышленников.

    Элемент Брандмауэр Windows на панели управления позволяет настроить только текущий профиль.

    Изменение область исключения брандмауэра с помощью элемента брандмауэра Windows в панель управления

    1. В панели управления в элементе Брандмауэр Windows выберите на вкладке Исключения программу или порт, а затем нажмите Свойства или Изменить.
    2. В диалоговом окне Изменение программы или Изменение порта нажмите Изменить область.
    3. Выберите один из следующих параметров:
      • Любой компьютер (включая компьютеры в Интернете): не рекомендуется. В этом случае любой компьютер, способный обращаться к вашему, сможет подключаться к указанной программе или порту. Этот параметр может пригодиться для передачи данных анонимным пользователям Интернета, однако он повышает уязвимость компьютера. Включение этого параметра позволяет переходить по сетевым адресам (NAT), например параметр обхода пограничных адресов, увеличивает экспозицию.
      • Только моя сеть (подсеть): это более безопасный вариант по сравнению с режимом Любой компьютер. Только компьютеры локальной подсети могут производить соединение с программой или портом.
      • Пользовательский список: только компьютеры с IP-адресами, которые указаны, могут подключаться. Этот режим может быть более безопасным по сравнению с вариантом Только моя сеть (подсеть), однако клиентские компьютеры, использующие протокол DHCP, могут иногда менять IP-адреса, что приводит к невозможности подключения. При этом другой компьютер, которому не предоставлялся доступ, может принять указанный в списке IP-адрес и подключиться к нему. Вариант Настраиваемый список подходит для получения списков других серверов, для которых настроены фиксированные IP-адреса. IP-адреса могут быть подделаны злоумышленником. Эффект ограничения правил брандмауэра напрямую зависит от уровня защиты сетевой инфраструктуры.

    Использование брандмауэра Windows с оснасткой «Расширенная безопасность»

    Оснастка MMC «Брандмауэр Windows в режиме повышенной безопасности» позволяет настроить расширенные параметры брандмауэра. Эта оснастка включает мастер настройки правил и позволяет изменять параметры, недоступные в элементе Брандмауэр Windows из панели управления. К этим параметрам относятся:

    • Параметры шифрования
    • Ограничения служб.
    • Ограничение соединений для компьютеров по именам.
    • Ограничение соединений для определенных пользователей или профилей.
    • Разрешение просмотра узлов для исключения маршрутизаторов NAT.
    • Настройка правил исходящих соединений.
    • Настройка правил безопасности.
    • Требование протокола IPsec для входящих соединений.

    Создание правила брандмауэра с помощью мастера создания правил

    1. В меню нажмите кнопку «Выполнить«, введите WF.msc и нажмите кнопку «ОК«.
    2. В левой части панели Брандмауэр Windows в режиме повышенной безопасностищелкните правой кнопкой мыши элемент Правила для входящих подключенийи выберите пункт Создать правило.
    3. Завершите мастер создания правила для нового входящего подключения , задав все необходимые параметры.

    Добавление исключения программы для исполняемого файла SQL Server

    1. В меню «Пуск» наберите wf.msc. Нажмите клавишу ВВОД или выберите результат поиска «wf.msc», чтобы открыть Брандмауэр Защитника Windows в режиме повышенной безопасности.
    2. В левой панели щелкните Правила для входящих подключений.
    3. В области справа в разделе «Действия» выберите «Создать правило. «. Откроется мастер нового правила для входящего трафика.
    4. В разделе Тип правилавыберите Программа. Выберите Далее.
    5. В разделе Программа выберите Путь к программе. Нажмите кнопку Обзор и найдите файл программы SQL Server. Программа называется sqlservr.exe . Обычно он находится здесь: C:\Program Files\Microsoft SQL Server\MSSQL.\MSSQL\Binn\sqlservr.exe Выберите Далее.
    6. В разделе Действие выберите вариант Разрешить подключение. Выберите Далее.
    7. В разделе Профиль включите все три профиля. Выберите Далее.
    8. В поле Имявведите имя правила. Выберите Готово.

    Дополнительные сведения о конечных точках см. в следующем разделе:

    • Настройка компонента Database Engine на прослушивание нескольких портов TCP
    • Представления каталога конечных точек (Transact-SQL)

    Устранение неполадок параметров брандмауэра

    Следующие средства и методы могут оказаться полезными при устранении неполадок брандмауэра.

    • Действующее состояние порта является объединением всех правил, связанных с этим портом. Чтобы заблокировать доступ к порту, бывает полезно просмотреть все правила, в которых он упоминается. Просмотрите правила с помощью оснастки MMC «Брандмауэр Windows в режиме повышенной безопасности» и отсортируйте правила для входящего и исходящего трафика по номеру порта.
    • Просмотрите порты, активные на компьютере, на котором работает SQL Server. Процесс проверки включает проверку того, какие порты TCP/IP прослушивают , а также проверяют состояние портов.
    • Служебную программу PortQry можно использовать для вывода состояния портов TCP/IP (прослушивается, не прослушивается, фильтруется). (Программа может не получать ответ от порта, если она имеет отфильтрованное состояние.) Программа PortQry доступна для скачивания из Центра загрузки Майкрософт.

    Список прослушивающих портов TCP/IP

    Для определения, на каких портах ожидается передача данных, отобразите активные TCP-подключения и статистику IP-адресов, используя программу командной строки netstat.

    1. Откройте окно командной строки.
    2. В командной строке введите netstat -n -a . Элемент -n служебная программа netstat выводит адреса и номера портов активных подключений TCP в числовом виде. Коммутатор -a указывает netstat отображать порты TCP и UDP, на которых компьютер прослушивает.

    Связанный контент

    • Общие сведения о службе и требования к сетевым портам в системе Windows Server
    • Руководство. Настройка параметров брандмауэра (база данных SQL Microsoft Azure)

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *