Как открыть порт 1433
Перейти к содержимому

Как открыть порт 1433

  • автор:

Configure the Windows Firewall to allow SQL Server access

Firewall systems help prevent unauthorized access to computer resources. If a firewall is turned on but not correctly configured, attempts to connect to SQL Server might be blocked.

To access an instance of the SQL Server through a firewall, you must configure the firewall on the computer that is running SQL Server. The firewall is a component of Microsoft Windows. You can also install a firewall from another vendor. This article discusses how to configure the Windows Firewall, but the basic principles apply to other firewall programs.

This article provides an overview of firewall configuration and summarizes information of interest to a SQL Server administrator. For more information about the firewall and for authoritative firewall information, see the firewall documentation, such as Windows Firewall security deployment guide.

Users familiar with managing the Windows Firewall, and know which firewall settings they want to configure can move directly to the more advanced articles:

  • Configure a Windows Firewall for Database Engine Access
  • Configure the Windows Firewall to Allow Analysis Services Access
  • Configure a Firewall for Report Server Access

Basic firewall information

Firewalls work by inspecting incoming packets, and comparing them against the following set of rules:

  • The packet meets the standards dictated by the rules, then the firewall passes the packet to the TCP/IP protocol for more processing.
  • The packet doesn’t meet the standards specified by the rules.
    • The firewall then discards the packet.- If logging is enabled, an entry is created in the firewall logging file.

    The list of allowed traffic is populated in one of the following ways:

    • Automatically: When a computer with a firewall enabled starts communication, the firewall creates an entry in the list so that the response is allowed. The response is considered solicited traffic, and there’s nothing that needs to be configured.
    • Manually: An administrator configures exceptions to the firewall. It allows either access to specified programs or ports on your computer. In this case, the computer accepts unsolicited incoming traffic when acting as a server, a listener, or a peer. The configuration must be completed to connect to SQL Server.

    Choosing a firewall strategy is more complex than just deciding if a given port should be open or closed. When designing a firewall strategy for your enterprise, make sure you consider all the rules and configuration options available to you. This article doesn’t review all the possible firewall options. We recommend you review the following documents:

    • Windows Firewall Deployment Guide
    • Windows Firewall Design Guide
    • Introduction to Server and Domain Isolation

    Default firewall settings

    The first step in planning your firewall configuration is to determine the current status of the firewall for your operating system. If the operating system was upgraded from a previous version, the earlier firewall settings might have been preserved. The Group Policy or Administrator can change the firewall settings in the domain.

    Turning on the firewall will affect other programs that access this computer, such as file and print sharing, and remote desktop connections. Administrators should consider all applications that are running on the computer before adjusting the firewall settings.

    Programs to configure the firewall

    Configure the Windows Firewall settings with either Microsoft Management Console or netsh.

    • Microsoft Management Console (MMC) The Windows Firewall with Advanced Security MMC snap-in lets you configure more advanced firewall settings. This snap-in presents most of the firewall options in an easy-to-use manner, and presents all firewall profiles. For more information, see Using the Windows Firewall with Advanced Security Snap-in later in this article.
    • netsh The netsh.exe is an Administrator tool to configure and monitor Windows-based computers at a command prompt or using a batch file. By using the netsh tool, you can direct the context commands you enter to the appropriate helper, and the helper does the command. A helper is a Dynamic Link Library (.dll) file that extends the functionality. The helper provides: configuration, monitoring, and support for one or more services, utilities, or protocols for the netsh tool. All operating systems that support SQL Server have a firewall helper. Windows Server 2008 also has an advanced firewall helper called advfirewall. Many of the configuration options described can be configured by using netsh. For example, run the following script at a command prompt to open TCP port 1433:

    netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT

    A similar example using the Windows Firewall for Advanced Security helper:

    netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN
    • Netsh Command Syntax, Contexts, and Formatting
    • How to use the «netsh advfirewall firewall» context instead of the «netsh firewall» context to control Windows Firewall behavior in Windows Server 2008 and in Windows Vista
    New-NetFirewallRule -DisplayName "SQLServer default instance" -Direction Inbound -LocalPort 1433 -Protocol TCP -Action Allow New-NetFirewallRule -DisplayName "SQLServer Browser service" -Direction Inbound -LocalPort 1434 -Protocol UDP -Action Allow

    Ports used by SQL Server

    The following tables can help you identify the ports being used by SQL Server.

    Ports used by the Database Engine

    By default, the typical ports used by SQL Server and associated database engine services are: TCP 1433, 4022, 135, 1434, UDP 1434. The table below explains these ports in greater detail. A named instance uses Dynamic ports.

    The following table lists the ports that are frequently used by the Database Engine.

    Scenario Port Comments
    Default instance running over TCP TCP port 1433 The most common port allowed through the firewall. It applies to routine connections to the default installation of the Database Engine, or a named instance that is the only instance running on the computer. (Named instances have special considerations. See Dynamic ports later in this article.)
    Named instances with default port The TCP port is a dynamic port determined at the time the Database Engine starts. See the discussion below in the section Dynamic ports. UDP port 1434 might be required for the SQL Server Browser Service when you’re using named instances.
    Named instances with fixed port The port number configured by the administrator. See the discussion below in the section Dynamic ports.
    Dedicated Admin Connection TCP port 1434 for the default instance. Other ports are used for named instances. Check the error log for the port number. By default, remote connections to the Dedicated Administrator Connection (DAC) aren’t enabled. To enable remote DAC, use the Surface Area Configuration facet. For more information, see Surface Area Configuration.
    SQL Server Browser service UDP port 1434 The SQL Server browser service listens for incoming connections to a named instance.

    SELECT name, protocol_desc, port, state_desc

    SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints

    For step-by-step instructions to configure the Windows Firewall for the Database Engine, see Configure a Windows Firewall for Database Engine Access.

    Dynamic ports

    By default, named instances (including SQL Server Express) use dynamic ports. Each time Database Engine starts, it identifies an available port and uses that port number. If the named instance is the only instance of the Database Engine installed, it will probably use TCP port 1433. If other instances of the Database Engine are installed, it will probably use a different TCP port. Because the port selected might change every time that the Database Engine is started, it’s difficult to configure the firewall to enable access to the correct port number. If a firewall is used, we recommend reconfiguring the Database Engine to use the same port number every time. A fixed port or a static port is recommended. For more information, see Configure a Server to Listen on a Specific TCP Port (SQL Server Configuration Manager).

    An alternative to configuring a named instance to listen on a fixed port is to create an exception in the firewall for a SQL Server program such as sqlservr.exe (for the Database Engine). The port number won’t appear in the Local Port column of the Inbound Rules page when you’re using the Windows Firewall with Advanced Security MMC snap-in. It can be difficult to audit which ports are open. Another consideration is that a service pack or cumulative update can change the path to the SQL Server executable file and invalidate the firewall rule.

    To add an exception for SQL Server using Windows Firewall with Advanced Security, see Use the Windows Firewall with Advanced Security snap-in later in this article.

    Ports used by Analysis Services

    By default, the typical ports used by SQL Server Analysis Services and associated services are: TCP 2382, 2383, 80, 443. The table below explains these ports in greater detail.

    The following table lists the ports that are frequently used by Analysis Services.

    Feature Port Comments
    Analysis Services TCP port 2383 for the default instance The standard port for the default instance of Analysis Services.
    SQL Server Browser service TCP port 2382 only needed for an Analysis Services named instance Client connection requests for a named instance of Analysis Services that don’t specify a port number are directed to port 2382, the port on which SQL Server Browser listens. SQL Server Browser then redirects the request to the port that the named instance uses.
    Analysis Services configured for use through IIS/HTTP

    If users access Analysis Services through IIS and the Internet, you must open the port on which IIS is listening. Next, specify port in the client connection string. In this case, no ports have to be open for direct access to Analysis Services. The default port 2389, and port 2382, should be restricted together with all other ports that aren’t required.

    For step-by-step instructions to configure the Windows Firewall for Analysis Services, see Configure the Windows Firewall to Allow Analysis Services Access.

    Ports used By Reporting Services

    By default, the typical ports used by SQL Server Reporting Services and associated services are: TCP 80, 443. The table below explains these ports in greater detail.

    The following table lists the ports that are frequently used by Reporting Services.

    Feature Port Comments
    Reporting Services Web Services TCP port 80 Used for an HTTP connection to Reporting Services through a URL. We recommend that you don’t use the preconfigured rule World Wide Web Services (HTTP). For more information, see the Interaction with Other Firewall Rules section below.
    Reporting Services configured for use through HTTPS TCP port 443 Used for an HTTPS connection through a URL. HTTPS is an HTTP connection that uses TLS. We recommend that you don’t use the preconfigured rule Secure World Wide Web Services (HTTPS). For more information, see the Interaction with Other Firewall Rules section below.

    When Reporting Services connects to an instance of the Database Engine or Analysis Services, you must also open the appropriate ports for those services. For step-by-step instructions to configure the Windows Firewall for Reporting Services, Configure a Firewall for Report Server Access.

    Ports used by Integration Services

    The following table lists the ports that are used by the Integration Services service.

    For step-by-step instructions to configure the Windows Firewall for Integration Services, see Integration Services Service (SSIS Service).

    Other ports and services

    The following table lists ports and services that SQL Server might depend on.

    The firewall has a setting (UnicastResponsesToMulticastBroadcastDisabled Property of the INetFwProfile Interface) which controls the behavior of the firewall and unicast responses to a broadcast (or multicast) UDP request. It has two behaviors:

    If the setting is TRUE, no unicast responses to a broadcast are permitted at all. Enumerating services will fail.

    Special considerations for port 135

    When you use RPC with TCP/IP or with UDP/IP as the transport, inbound ports are dynamically assigned to system services as required. TCP/IP and UDP/IP ports that are larger than port 1024 are used. The ports are referred to as «random RPC ports.» In these cases, RPC clients rely on the RPC endpoint mapper to tell them which dynamic ports were assigned to the server. For some RPC-based services, you can configure a specific port instead of letting RPC assign one dynamically. You can also restrict the range of ports that RPC dynamically assigns to a small range, independent of the service. Because port 135 is used for many services, it’s frequently attacked by malicious users. When opening port 135, consider restricting the scope of the firewall rule.

    For more information about port 135, see the following references:

    • Service overview and network port requirements for the Windows Server system
    • Remote procedure call (RPC)
    • How to configure RPC dynamic port allocation to work with firewalls

    Interaction with other firewall rules

    The Windows Firewall uses rules and rule groups to establish its configuration. Each rule or rule group is associated with a particular program or service, and that program or service might modify or delete that rule without your knowledge. For example, the rule groups World Wide Web Services (HTTP) and World Wide Web Services (HTTPS) are associated with IIS. Enabling those rules will open ports 80 and 443, and SQL Server features that depend on ports 80 and 443 will function if those rules are enabled. However, administrators configuring IIS might modify or disable those rules. If you’re using port 80 or port 443 for SQL Server, you should create your own rule or rule group that maintains your preferred port configuration independently of the other IIS rules.

    The Windows Firewall with Advanced Security MMC snap-in allows any traffic that matches any applicable allow rule. So if there are two rules that both apply to port 80 (with different parameters). Traffic that matches either rule will be permitted. So if one rule allows traffic over port 80 from local subnet and one rule allows traffic from any address, the net effect is that all traffic to port 80 is independent of the source. To effectively manage access to SQL Server, administrators should periodically review all firewall rules enabled on the server.

    Overview of firewall profiles

    Firewall profiles are used by the operating systems to identify and remember each of the networks by: connectivity, connections, and category.

    There are three network location types in Windows Firewall with Advanced Security:

    • Domain: Windows can authenticate access to the domain controller for the domain to which the computer is joined.
    • Public: Other than domain networks, all networks are initially categorized as public. Networks that represent direct connections to the Internet or are in public locations, such as airports and coffee shops should be left public.
    • Private: A network identified by a user or application as private. Only trusted networks should be identified as private networks. Users will likely want to identify home or small business networks as private.

    The administrator can create a profile for each network location type, with each profile containing different firewall policies. Only one profile is applied at any time. Profile order is applied as follows:

    1. The domain profile is applied if all interfaces are authenticated to the domain controller where the computer is a member.
    2. If all interfaces are either authenticated to the domain controller or are connected to networks that are classified as private network locations, the private profile is applied.
    3. Otherwise, the public profile is applied.

    Use the Windows Firewall with Advanced Security MMC snap-in to view and configure all firewall profiles. The Windows Firewall item in Control Panel only configures the current profile.

    Additional firewall settings using the Windows Firewall item in Control Panel

    The added firewall can restrict the opening of the port to incoming connections from specific computers or local subnet. Limit the scope of the port opening to reduce how much your computer is exposed to malicious users.

    Using the Windows Firewall item in Control Panel only configures the current firewall profile.

    Change the scope of a firewall exception using the Windows Firewall item in Control Panel

    1. In the Windows Firewall item in Control Panel, select a program or port on the Exceptions tab, and then select Properties or Edit.
    2. In the Edit a Program or Edit a Port dialog box, select Change Scope.
    3. Choose one of the following options:
      • Any computer (including computers on the Internet): Not recommended. Any computer that can address your computer to connect to the specified program or port. This setting might be necessary to allow information to be presented to anonymous users on the internet, but increases your exposure to malicious users. Enabling this setting allows Network Address Translation (NAT) traversal, such as the Edge Traversal option increases exposure.
      • My network (subnet) only: A more secure setting than Any computer. Only computers on the local subnet of your network can connect to the program or port.
      • Custom list: Only computers that have the IP addresses listed can connect. A secure setting can be more secure than My network (subnet) only, however, client computers using DHCP can occasionally change their IP address; will disable the ability to connect. Another computer, which you had not intended to authorize, might accept the listed IP address and connect to it. The Custom list is appropriate for listing other servers that are configured to use a fixed IP address. IP addresses can be spoofed by an intruder. Restricting firewall rules are only as strong as your network infrastructure.

    Use the Windows Firewall with Advanced Security snap-in

    Advanced firewall settings can be configured by using the Windows Firewall with Advanced Security MMC snap-in. The snap-in includes a rule wizard and settings that aren’t available in the Windows Firewall item in Control Panel. These settings include:

    • Encryption settings
    • Services restrictions
    • Restricting connections for computers by name
    • Restricting connections to specific users or profiles
    • Edge traversal allowing traffic to bypass Network Address Translation (NAT) routers
    • Configuring outbound rules
    • Configuring security rules
    • Requiring IPsec for incoming connections

    Create a new firewall rule using the New Rule wizard

    1. On the Start menu, select Run, type WF.msc , and then select OK.
    2. In the Windows Firewall with Advanced Security, in the left pane, right-click Inbound Rules, and then select New Rule.
    3. Complete the New Inbound Rule Wizard using the settings that you want.

    Add a program exception for the SQL Server executable

    1. From the start menu, type wf.msc. Press Enter or select the search result wf.msc to open Windows Defender Firewall with Advanced Security.
    2. In the left pane, select Inbound rules.
    3. In the right pane, under Actions, select New rule. . New Inbound Rule Wizard opens.
    4. On Rule type, select Program. Select Next.
    5. On Program, select This program path. Select Browse to locate your instance of SQL Server. The program is called sqlservr.exe . It’s normally located at: C:\Program Files\Microsoft SQL Server\MSSQL.\MSSQL\Binn\sqlservr.exe Select Next.
    6. On Action, select Allow the connection. Select Next.
    7. On Profile, include all three profiles. Select Next.
    8. On Name, type a name for the rule. Select Finish.

    For more information about endpoints, see:

    • Configure the Database Engine to Listen on Multiple TCP Ports
    • Endpoints Catalog Views (Transact-SQL)

    Troubleshoot firewall settings

    The following tools and techniques can be useful in troubleshooting firewall issues:

    • The effective port status is the union of all rules related to the port. It can be helpful to review all the rules that cite the port number, when trying to block access to a port. Review the rules with the Windows Firewall with Advanced Security MMC snap-in and sort the inbound and outbound rules by port number.
    • Review the ports that are active on the computer on which SQL Server is running. The review process includes verifying which TCP/IP ports are listening and also verifying the status of the ports.
    • The PortQry utility can be used to report the status of TCP/IP ports as listening, not listening, or filtered. (The utility might not receive response from the port if it has a filtered status.) The PortQry utility is available for download from the Microsoft Download Center.

    List which TCP/IP ports are listening

    To verify which ports are listening, display active TCP connections and IP statistics use the netstat command-line utility.

    1. Open the Command Prompt window.
    2. At the command prompt, type netstat -n -a . The -n switch instructs netstat to numerically display the address and port number of active TCP connections. The -a switch instructs netstat to display the TCP and UDP ports on which the computer is listening.

    Related content

    • Service overview and network port requirements for the Windows Server system
    • How to: Configure Firewall Settings (Azure SQL Database)

    Настройка брандмауэра Windows для доступа к компоненту Database Engine

    В этой статье описывается настройка брандмауэра Windows для ядро СУБД доступа в SQL Server с помощью диспетчер конфигурации SQL Server. Системы брандмауэра помогают предотвратить несанкционированный доступ к ресурсам компьютера. Чтобы получить доступ к экземпляру SQL Server ядро СУБД через брандмауэр, необходимо настроить брандмауэр на компьютере под управлением SQL Server, чтобы разрешить доступ.

    Дополнительные сведения о параметрах брандмауэра Windows по умолчанию и описании TCP-портов, влияющих на ядро СУБД, Службы Analysis Services, Службы Reporting Services и службы Integration Services, см. в разделе «Настройка брандмауэра Windows для разрешения доступа к SQL Server». Существует множество систем брандмауэров. За сведениями о конкретном брандмауэре следует обратиться к документации по этому брандмауэру.

    Основные шаги для разрешения доступа.

    1. Настройте ядро СУБД для использования определенного порта TCP/IP. Экземпляр ядро СУБД по умолчанию использует порт 1433, но его можно изменить. Порт, используемый ядро СУБД, указан в журнале ошибок SQL Server. Экземпляры SQL Server Express, SQL Server Compact и именованные экземпляры ядро СУБД используют динамические порты. Сведения по настройке этих экземпляров для использования конкретного порта см. в разделе Настройка сервера для прослушивания указанного TCP-порта (диспетчер конфигурации SQL Server).
    2. Настройка брандмауэра, чтобы разрешить доступ к порту для авторизованных пользователей или компьютеров.

    Служба браузера SQL Server позволяет пользователям подключаться к экземплярам ядро СУБД, которые не прослушиваются через порт 1433, не зная номер порта. Чтобы использовать браузер SQL Server, необходимо открыть порт UDP 1434. Чтобы повысить безопасность среды, оставьте службу браузера SQL Server остановленной и настройте клиенты для подключения с помощью номера порта.

    По умолчанию Microsoft Windows включает брандмауэр Windows, который закрывает порт 1433, чтобы предотвратить подключение интернет-компьютеров к экземпляру SQL Server по умолчанию на компьютере. Подключение для экземпляра по умолчанию с помощью TCP/IP невозможно, если не открыть порт 1433. Основные шаги настройки брандмауэра Windows приведены в следующих процедурах. Дополнительные сведения см. в документации по Windows.

    В качестве альтернативы настройке SQL Server для прослушивания фиксированного порта и открытия порта можно перечислить исполняемый файл SQL Server (Sqlservr.exe) в качестве исключения для заблокированных программ. Используйте этот метод, чтобы продолжить использовать динамические порты. Таким образом можно получить доступ только к одному экземпляру SQL Server.

    Безопасность

    Открытие портов на брандмауэре может привести к незащищенности сервера от вредоносных атак. Перед открытием портов убедитесь в том, что знаете принципы работы брандмауэров. Дополнительные сведения см. в разделе Security Considerations for a SQL Server Installation.

    Использование брандмауэра Защитника Windows с расширенной безопасностью

    В следующих процедурах выполняется настройка брандмауэра Windows с помощью оснастки «Брандмауэр Защитника Windows с расширенными функциями безопасности» консоли управления (MMC). В оснастке «Брандмауэр Защитника Windows с расширенными функциями безопасности» выполняется настройка только текущего профиля. Дополнительные сведения о брандмауэре Защитника Windows с расширенной безопасностью см. в разделе «Настройка брандмауэра Windows для разрешения доступа к SQL Server».

    Открытие порта в брандмауэре Windows для доступа к TCP

    1. В меню Пуск выберите Выполнить, введите WF.msc и щелкните ОК.
    2. В брандмауэре Windows с приложением «Расширенная безопасность » в левой области щелкните правой кнопкой мыши правила входящего трафика и выберите «Создать правило » в области действий.
    3. В диалоговом окне Тип правила выберите Порт и щелкните Далее.
    4. В диалоговом окне Протокол и порты выберите протокол TCP. Выберите определенные локальные порты и введите номер порта экземпляра ядро СУБД, например 1433 для экземпляра по умолчанию. Выберите Далее.
    5. В диалоговом окне Действие выберите Разрешить соединение и щелкните Далее.
    6. В диалоговом окне «Профиль» выберите все профили, описывающие среду подключения к компьютеру, когда требуется подключиться к ядро СУБД, а затем нажмите кнопку «Далее«.
    7. В диалоговом окне Имя введите имя и описание правила и щелкните Готово.

    Открытие доступа к SQL Server при использовании динамических портов

    1. В меню Пуск выберите Выполнить, введите WF.msc и щелкните ОК.
    2. Слева в области окна Брандмауэр Windows в режиме повышенной безопасности щелкните правой кнопкой мыши Правила для входящих подключений и выберите Создать правило на панели действий.
    3. В диалоговом окне Тип правила выберите Программа и щелкните Далее.
    4. В диалоговом окне Программа выберите пункт Путь программы. Выберите «Обзор» и перейдите к экземпляру SQL Server, к которому требуется получить доступ через брандмауэр, и нажмите кнопку «Открыть«. По умолчанию SQL Server находится в C:\Program Files\Microsoft SQL Server\MSSQLXX. MSSQLSERVER\MSSQL\Binn\Sqlservr.exe. Выберите Далее. Версия MSSQLXX будет соответствовать версии SQL Server.
    5. В диалоговом окне Действие выберите Разрешить соединение и щелкните Далее.
    6. В диалоговом окне «Профиль» выберите все профили, описывающие среду подключения к компьютеру, когда требуется подключиться к ядро СУБД, а затем нажмите кнопку «Далее«.
    7. В диалоговом окне Имя введите имя и описание правила и щелкните Готово.

    См. также

    Обратная связь

    Были ли сведения на этой странице полезными?

    Настройка брандмауэра Windows для разрешения доступа к SQL Server

    Системы брандмауэра помогают предотвратить несанкционированный доступ к ресурсам компьютера. Если брандмауэр включен, но неправильно настроен, попытки подключения к SQL Server могут быть заблокированы.

    Чтобы получить доступ к экземпляру SQL Server через брандмауэр, необходимо настроить брандмауэр на компьютере под управлением SQL Server. Брандмауэр является компонентом Microsoft Windows. Вы также можете установить брандмауэр от другого поставщика. В этой статье описывается настройка брандмауэра Windows, но основные принципы применяются к другим программам брандмауэра.

    В этой статье представлен обзор конфигурации брандмауэра и приведены сведения, интересующие администратора SQL Server. Дополнительные сведения и официальные данные о брандмауэрах см. в документации по брандмауэру, например в разделе Руководство по безопасности для развертывания брандмауэра Windows.

    Пользователи, знакомые с управлением брандмауэром Windows и знающие, какие параметры брандмауэра они хотят настроить, могут перейти напрямую к более сложным статьям:

    • Настройка брандмауэра Windows для доступа к компоненту Database Engine
    • Настройка брандмауэра Windows на разрешение доступа к службам Analysis Services
    • настроить брандмауэр для доступа к серверу отчетов

    Основные сведения о брандмауэре

    Брандмауэр проверяет входящие пакеты на соответствие следующему набору правил:

    • Если пакет соответствует стандартам, заданным правилами, то брандмауэр передает его протоколу TCP/IP для дальнейшей обработки.
    • Пакет не соответствует стандартам, заданным в правилах.
      • В этом случае брандмауэр отклоняет пакет. Если включено ведение журнала, в файле журнала брандмауэра создается соответствующая запись.

      Список разрешенного трафика заполняется одним из следующих способов.

      • Автоматически. Когда защищенный брандмауэром компьютер инициирует соединение, брандмауэр добавляет в список запись, чтобы разрешить ответ. Ответ считается запрашиваемым трафиком, и ничего настраивать не требуется.
      • Вручную: администратор настраивает исключения для брандмауэра. Это открывает доступ к определенным программам или портам на вашем компьютере. В этом случае компьютер принимает весь входящий трафик, выполняя роль сервера, прослушивателя или однорангового узла. Необходимо выполнить настройку для подключения к SQL Server.

      Выбор стратегии брандмауэра является более сложной задачей и не сводится лишь к открытию или закрытию портов. При выборе стратегии брандмауэра для предприятия необходимо обязательно рассмотреть все доступные правила и параметры конфигурации. В этой статье не рассматриваются все возможные параметры брандмауэра. Рекомендуем ознакомиться со следующими документами:

      • Руководство по развертыванию брандмауэра Windows
      • Руководство по проектированию для брандмауэра Windows
      • Основные сведения об изоляции серверов и доменов

      Параметры брандмауэра по умолчанию

      Первым шагом при планировании конфигурации брандмауэра является определение его текущего состояния в операционной системе. Если операционная система была обновлена с предыдущей версии, возможно, были сохранены предыдущие параметры брандмауэра. Изменять параметры брандмауэра в домене может групповая политика или администратор.

      Включение брандмауэра может повлиять на общий доступ к файлам и принтерам, подключения к удаленному рабочему столу и работу других программ, которым необходим доступ к компьютеру. Администратор должен просмотреть все приложения, которые работают на компьютере, прежде чем приступать к настройке параметров брандмауэра.

      Программы для настройки брандмауэра

      Настройте параметры брандмауэра Windows с помощью консоли управления (MMC) или netsh.

      • Консоль управления (MMC) Оснастка «Брандмауэр Windows в режиме повышенной безопасности» позволяет настраивать дополнительные параметры брандмауэра. Эта оснастка представляет большинство параметров брандмауэра и в удобной форме, а также все профили брандмауэра. Дополнительные сведения см. в разделе Использование оснастки «Брандмауэр Windows в режиме повышенной безопасности» далее в этой статье.
      • netshNetsh.exe — это средство Администратор istrator для настройки и мониторинга компьютеров под управлением Windows в командной строке или с помощью пакетного файла. При использовании средства netsh вводимые контекстные команды направляются соответствующим вспомогательным приложениям, которые их выполняют. Вспомогательное приложение — это файл библиотеки динамической компоновки (DLL) для расширения функциональных возможностей. Вспомогательное приложение обеспечивает настройку, мониторинг и поддержку различных служб, служебных программ и протоколов для средства netsh. Все операционные системы, поддерживающие SQL Server, имеют вспомогательный сервер брандмауэра. Windows Server 2008 также имеет расширенный вспомогательный сервер брандмауэра с именем advfirewall. Многие из описанных параметров конфигурации можно настроить с помощью средства netsh. Например, выполните в командной строке следующий скрипт, чтобы открыть TCP-порт 1433:

      netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT

      Аналогичный пример, использующий брандмауэр Windows для модуля поддержки повышенной безопасности:

      netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN
      • Синтаксис, контексты и форматирование команд Netsh
      • Использование контекста netsh advfirewall firewall вместо контекста netsh firewall для управления работой брандмауэра Windows в операционной системе Windows Server 2008 или Windows Vista
      New-NetFirewallRule -DisplayName "SQLServer default instance" -Direction Inbound -LocalPort 1433 -Protocol TCP -Action Allow New-NetFirewallRule -DisplayName "SQLServer Browser service" -Direction Inbound -LocalPort 1434 -Protocol UDP -Action Allow

      Порты, используемые SQL Server

      В следующих таблицах можно определить порты, используемые SQL Server.

      Порты, используемые ядро СУБД

      По умолчанию типичные порты, используемые SQL Server и связанными службами ядра СУБД: TCP 1433, 4022, 135, 1434, UDP 1434. В таблице ниже эти порты описаны подробно. Именованный экземпляр использует динамические порты.

      В следующей таблице перечислены порты, которые часто используются ядро СУБД.

      Сценарий Порт Комментарии
      Экземпляр по умолчанию, работающий по протоколу TCP TCP-порт 1433 Этот порт открывают в брандмауэре чаще всего. Он применяется к стандартным подключениям к установке ядро СУБД по умолчанию или именованным экземпляром, который является единственным экземпляром, запущенным на компьютере. (Именованные экземпляры имеют особые рекомендации. См . динамические порты далее в этой статье.)
      Именованные экземпляры с портом по умолчанию TCP-порт — это динамический порт, определенный во время запуска ядро СУБД. См. обсуждение ниже в разделе «Динамические порты». Порт UDP 1434 может потребоваться для службы браузера SQL Server при использовании именованных экземпляров.
      Именованные экземпляры с фиксированным портом Номер порта настраивается администратором. См. обсуждение ниже в разделе «Динамические порты».
      Выделенное административное соединение TCP-порт 1434 предназначен для экземпляра по умолчанию. Другие порты используются для именованных экземпляров. Номер порта проверьте по журналу ошибок. По умолчанию удаленные подключения по выделенному административному соединению (DAC) не активированы. Разрешить удаленное выделенное административное соединение можно при помощи средства настройки контактной зоны. Дополнительные сведения см. в разделе Surface Area Configuration.
      служба «SQL Server, браузер» UDP-порт 1434 Служба браузера SQL Server прослушивает входящие соединения с именованным экземпляром.

      SELECT name, protocol_desc, port, state_desc

      SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints

      Пошаговые инструкции по настройке брандмауэра Windows для ядро СУБД см. в разделе «Настройка брандмауэра Windows для ядро СУБД Access».

      Динамические порты

      По умолчанию именованные экземпляры (включая SQL Server Express) используют динамические порты. При каждом запуске ядро СУБД он определяет доступный порт и использует этот номер порта. Если именованный экземпляр является единственным экземпляром установленного ядро СУБД, он, вероятно, будет использовать TCP-порт 1433. Если установлены другие экземпляры ядро СУБД, он, вероятно, будет использовать другой TCP-порт. Так как выбранный порт может изменяться при каждом запуске ядро СУБД, сложно настроить брандмауэр для включения доступа к правильному номеру порта. Если используется брандмауэр, мы рекомендуем перенастроить ядро СУБД для использования одного и того же номера порта каждый раз. Рекомендуется использовать фиксированный или статический порт. Дополнительные сведения см. в разделе Настройка сервера для прослушивания указанного TCP-порта (диспетчер конфигурации SQL Server).

      Альтернативой настройке именованного экземпляра для прослушивания фиксированного порта является создание исключения в брандмауэре для программы SQL Server, например sqlservr.exe (для ядро СУБД). Номер порта не будет отображаться в столбце Локальный порт на странице Правила для входящего трафика при использовании оснастки MMC «Брандмауэр Windows в режиме повышенной безопасности». Аудит открытых портов может быть сложной задачей. Еще одно соображение заключается в том, что пакет обновления или накопительное обновление может изменить путь к исполняемому файлу SQL Server и сделать правило брандмауэра недействительным.

      Чтобы добавить исключение для SQL Server с помощью брандмауэра Windows с расширенной безопасностью, см . статью «Использование брандмауэра Windows с оснасткой расширенной безопасности» далее в этой статье.

      Порты, используемые службами Analysis Services

      По умолчанию типичные порты, используемые службами SQL Server Analysis Services и связанными службами: TCP 2382, 2383, 80, 443. В таблице ниже эти порты описаны подробно.

      В следующей таблице перечислены порты, которые часто используются службами Analysis Services.

      Компонент Порт Комментарии
      Службы Analysis Services TCP-порт 2383 для экземпляра по умолчанию Стандартный порт для экземпляра служб Analysis Services по умолчанию.
      служба «SQL Server, браузер» TCP-порт 2382, необходимый только для именованного экземпляра служб Analysis Services Запросы на подключение клиента для именованного экземпляра служб Analysis Services, которые не указывают номер порта, направляются в порт 2382, порт, на котором прослушивается браузер SQL Server. Затем браузер SQL Server перенаправляет запрос на порт, используемый именованным экземпляром.
      Службы Analysis Services, настроенные для использования с помощью IIS/HTTP

      Если пользователи получают доступ к службам Analysis Services через IIS и Интернет, необходимо открыть порт, на котором выполняется прослушивание СЛУЖБ IIS. Затем нужно указать порт в строке подключения клиента. В этом случае для прямого доступа к службам Analysis Services не нужно открывать порты. Необходимо ограничить доступ к порту по умолчанию 2389, порту 2382 и другим портам, доступ к которым не требуется.

      Пошаговые инструкции по настройке брандмауэра Windows для служб Analysis Services см. в разделе «Настройка брандмауэра Windows для разрешения доступа к службам Analysis Services».

      Порты, используемые службами Reporting Services

      По умолчанию SQL Server Reporting Services и связанные службы обычно используют порты TCP 80 и 443. В таблице ниже эти порты описаны подробно.

      В следующей таблице перечислены порты, которые часто используются службами Reporting Services.

      Компонент Порт Комментарии
      Веб-службы Reporting Services TCP-порт 80 Используется для HTTP-подключения к службам Reporting Services по URL-адресу. Не рекомендуется использовать предварительно настроенное правило Службы Интернета (HTTP). Дополнительные сведения см. в разделе Взаимодействие с другими правилами брандмауэра ниже.
      Службы Reporting Services, настроенные для использования через HTTPS TCP-порт 443 Используется для HTTPS-соединения по URL-адресу. HTTPS представляет собой HTTP-соединение, защищенное по протоколу TSL. Не рекомендуется использовать предварительно настроенное правило Защищенные службы Интернета (HTTP). Дополнительные сведения см. в разделе Взаимодействие с другими правилами брандмауэра ниже.

      При подключении служб Reporting Services к экземпляру ядро СУБД или служб Analysis Services необходимо также открыть соответствующие порты для этих служб. Пошаговые инструкции по настройке брандмауэра Windows для служб Reporting Services позволяют настроить брандмауэр для доступа к серверу отчетов.

      Порты, используемые службами Integration Services

      В следующей таблице перечислены порты, используемые службой Integration Services.

      Пошаговые инструкции по настройке брандмауэра Windows для службы Integration Services см. в статье Служба Integration Services (служба SSIS).

      Другие порты и службы

      В следующей таблице перечислены порты и службы, от которые может зависеть SQL Server.

      Свойство UnicastResponsesToMulticastBroadcastDisabled интерфейса INetFwProfile управляет работой брандмауэра и одноадресными ответами на широковещательные (или многоадресные) UDP-запросы. Возможны два варианта.

      Если этот параметр имеет значение TRUE, то одноадресные ответы на широковещательные запросы запрещены. Перечисление служб завершится ошибкой.

      Особые вопросы для порта 135

      При использовании RPC с транспортным протоколом TCP/IP или UDP/IP входящие порты динамически назначаются системным службам по мере надобности. Используются порты TCP/IP и UDP/IP с номерами выше 1024. Эти порты называются «случайными RPC-портами». В этом случае RPC-клиент определяет порт, назначенный серверу, через сопоставитель конечных точек RPC. Для некоторых служб, работающих через протокол RPC, можно настроить использование определенного фиксированного порта. Можно также ограничить диапазон портов, динамически назначаемых RPC и не зависящих от службы. Поскольку порт 135 используется для многих служб, он часто подвергается атакам злоумышленников. В случае открытия порта 135 рекомендуется ограничить область действия правила брандмауэра.

      Дополнительные сведения о порте 135 см. в следующих ресурсах.

      • Общие сведения о службе и требования к сетевым портам в системе Windows Server
      • Удаленный вызов процедур (RPC)
      • Настройка динамического выделения портов RPC для работы с брандмауэром

      Взаимодействие с другими правилами брандмауэра

      Настройка брандмауэра Windows производится на основе правил и групп правил. Каждое правило или группа правил связывается с определенной программой или службой, которая может изменять или удалять это правило без вашего ведома. Например, группы правил Службы Интернета (HTTP) и Защищенные службы Интернета (HTTPS) связаны со службами IIS. Включение этих правил открывает порты 80 и 443, а функции SQL Server, зависящие от портов 80 и 443, будут работать, если эти правила включены. Однако администратор в процессе настройки служб IIS может изменить или отключить эти правила. Если вы используете порт 80 или порт 443 для SQL Server, необходимо создать собственное правило или группу правил, которая поддерживает предпочитаемую конфигурацию порта независимо от других правил IIS.

      Брандмауэр Windows с оснасткой MMC расширенной безопасности разрешает любой трафик, соответствующий любому применимому правилу разрешения. Таким образом, если существуют два правила для порта 80 (с разными параметрами), то будет пропускаться трафик, соответствующий любому из них. Например, если одно правило разрешает трафик по порту 80 из локальной подсети, а другое разрешает трафик с любого адреса, то в итоге на порту 80 будет разрешен любой трафик независимо от источника. Чтобы эффективно управлять доступом к SQL Server, администраторы должны периодически проверять все правила брандмауэра, включенные на сервере.

      Обзор профилей брандмауэра

      В соответствии с профилями брандмауэра операционная система определяет и запоминает каждую из сетей по следующим параметрам: возможность подключения, имеющиеся подключения и категория.

      Брандмауэр Windows в режиме повышенной безопасности делит сети на три типа.

      • Домен: Windows может пройти проверку подлинности доступа к контроллеру домена для домена, к которому присоединен компьютер.
      • Общедоступный: кроме доменных сетей все сети изначально классифицируются как общедоступные. Сети, которые представляют прямые соединения с Интернетом, являются открытыми (аэропорты, кафе и другие места открытого доступа).
      • Частный: сеть, определяемая пользователем или приложением как частная. Только доверенные сети могут быть определены как частные. Обычно в качестве частной сети определяется сеть малого предприятия, домашняя сеть и т. п.

      Администратор может создать профиль для каждого типа сети и задать для этих профилей разные политики брандмауэра. Одномоментно применим только один профиль. Профили применяются в следующем порядке.

      1. Профиль домена применяется, когда все интерфейсы проходят проверку подлинности на контроллере домена, членом которого является компьютер.
      2. Если все интерфейсы либо прошли проверку подлинности к контроллеру домена, либо соединены с сетями, которые определены как частные, применяется частный профиль.
      3. В противном случае применяется открытый профиль.

      Просмотреть и настроить профили брандмауэра можно с помощью оснастки «Брандмауэр Windows в режиме повышенной безопасности». Элемент Брандмауэр Windows на панели управления позволяет настраивать только текущий профиль.

      Дополнительные параметры брандмауэра с помощью элемента брандмауэра Windows в панель управления

      Добавление брандмауэра позволяет ограничить открытие порта для входящих подключений с определенных компьютеров или из локальной подсети. Ограничьте область открытия портов, чтобы сделать компьютер менее уязвимым для злоумышленников.

      Элемент Брандмауэр Windows на панели управления позволяет настроить только текущий профиль.

      Изменение область исключения брандмауэра с помощью элемента брандмауэра Windows в панель управления

      1. В панели управления в элементе Брандмауэр Windows выберите на вкладке Исключения программу или порт, а затем нажмите Свойства или Изменить.
      2. В диалоговом окне Изменение программы или Изменение порта нажмите Изменить область.
      3. Выберите один из следующих параметров:
        • Любой компьютер (включая компьютеры в Интернете): не рекомендуется. В этом случае любой компьютер, способный обращаться к вашему, сможет подключаться к указанной программе или порту. Этот параметр может пригодиться для передачи данных анонимным пользователям Интернета, однако он повышает уязвимость компьютера. Включение этого параметра позволяет переходить по сетевым адресам (NAT), например параметр обхода пограничных адресов, увеличивает экспозицию.
        • Только моя сеть (подсеть): это более безопасный вариант по сравнению с режимом Любой компьютер. Только компьютеры локальной подсети могут производить соединение с программой или портом.
        • Пользовательский список: только компьютеры с IP-адресами, которые указаны, могут подключаться. Этот режим может быть более безопасным по сравнению с вариантом Только моя сеть (подсеть), однако клиентские компьютеры, использующие протокол DHCP, могут иногда менять IP-адреса, что приводит к невозможности подключения. При этом другой компьютер, которому не предоставлялся доступ, может принять указанный в списке IP-адрес и подключиться к нему. Вариант Настраиваемый список подходит для получения списков других серверов, для которых настроены фиксированные IP-адреса. IP-адреса могут быть подделаны злоумышленником. Эффект ограничения правил брандмауэра напрямую зависит от уровня защиты сетевой инфраструктуры.

      Использование брандмауэра Windows с оснасткой «Расширенная безопасность»

      Оснастка MMC «Брандмауэр Windows в режиме повышенной безопасности» позволяет настроить расширенные параметры брандмауэра. Эта оснастка включает мастер настройки правил и позволяет изменять параметры, недоступные в элементе Брандмауэр Windows из панели управления. К этим параметрам относятся:

      • Параметры шифрования
      • Ограничения служб.
      • Ограничение соединений для компьютеров по именам.
      • Ограничение соединений для определенных пользователей или профилей.
      • Разрешение просмотра узлов для исключения маршрутизаторов NAT.
      • Настройка правил исходящих соединений.
      • Настройка правил безопасности.
      • Требование протокола IPsec для входящих соединений.

      Создание правила брандмауэра с помощью мастера создания правил

      1. В меню нажмите кнопку «Выполнить«, введите WF.msc и нажмите кнопку «ОК«.
      2. В левой части панели Брандмауэр Windows в режиме повышенной безопасностищелкните правой кнопкой мыши элемент Правила для входящих подключенийи выберите пункт Создать правило.
      3. Завершите мастер создания правила для нового входящего подключения , задав все необходимые параметры.

      Добавление исключения программы для исполняемого файла SQL Server

      1. В меню «Пуск» наберите wf.msc. Нажмите клавишу ВВОД или выберите результат поиска «wf.msc», чтобы открыть Брандмауэр Защитника Windows в режиме повышенной безопасности.
      2. В левой панели щелкните Правила для входящих подключений.
      3. В области справа в разделе «Действия» выберите «Создать правило. «. Откроется мастер нового правила для входящего трафика.
      4. В разделе Тип правилавыберите Программа. Выберите Далее.
      5. В разделе Программа выберите Путь к программе. Нажмите кнопку Обзор и найдите файл программы SQL Server. Программа называется sqlservr.exe . Обычно он находится здесь: C:\Program Files\Microsoft SQL Server\MSSQL.\MSSQL\Binn\sqlservr.exe Выберите Далее.
      6. В разделе Действие выберите вариант Разрешить подключение. Выберите Далее.
      7. В разделе Профиль включите все три профиля. Выберите Далее.
      8. В поле Имявведите имя правила. Выберите Готово.

      Дополнительные сведения о конечных точках см. в следующем разделе:

      • Настройка компонента Database Engine на прослушивание нескольких портов TCP
      • Представления каталога конечных точек (Transact-SQL)

      Устранение неполадок параметров брандмауэра

      Следующие средства и методы могут оказаться полезными при устранении неполадок брандмауэра.

      • Действующее состояние порта является объединением всех правил, связанных с этим портом. Чтобы заблокировать доступ к порту, бывает полезно просмотреть все правила, в которых он упоминается. Просмотрите правила с помощью оснастки MMC «Брандмауэр Windows в режиме повышенной безопасности» и отсортируйте правила для входящего и исходящего трафика по номеру порта.
      • Просмотрите порты, активные на компьютере, на котором работает SQL Server. Процесс проверки включает проверку того, какие порты TCP/IP прослушивают , а также проверяют состояние портов.
      • Служебную программу PortQry можно использовать для вывода состояния портов TCP/IP (прослушивается, не прослушивается, фильтруется). (Программа может не получать ответ от порта, если она имеет отфильтрованное состояние.) Программа PortQry доступна для скачивания из Центра загрузки Майкрософт.

      Список прослушивающих портов TCP/IP

      Для определения, на каких портах ожидается передача данных, отобразите активные TCP-подключения и статистику IP-адресов, используя программу командной строки netstat.

      1. Откройте окно командной строки.
      2. В командной строке введите netstat -n -a . Элемент -n служебная программа netstat выводит адреса и номера портов активных подключений TCP в числовом виде. Коммутатор -a указывает netstat отображать порты TCP и UDP, на которых компьютер прослушивает.

      Связанный контент

      • Общие сведения о службе и требования к сетевым портам в системе Windows Server
      • Руководство. Настройка параметров брандмауэра (база данных SQL Microsoft Azure)

      Занятие 2. Подключение с другого компьютера

      Чтобы повысить безопасность, ядро СУБД выпусков SQL Server Developer, Express и Evaluation не могут быть доступны с другого компьютера при первоначальной установке. В этом занятии показано, как включить протоколы, настроить порты и брандмауэр Windows для соединения, используя другие компьютеры.

      Это занятие содержит следующие задачи.

      • Включение протоколов
      • Настройка фиксированного порта
      • Открытие портов в брандмауэре
      • Соединение с компонентом Database Engine с другого компьютера
      • Соединение с помощью службы обозревателя SQL Server

      Включение протоколов

      Чтобы повысить безопасность, выпуски SQL Server Express, Developer и Evaluation Edition устанавливаются только с ограниченным сетевым подключением. Подключение в ядро СУБД можно сделать из средств, работающих на том же компьютере, но не с других компьютеров, если вы планируете выполнять разработку на том же компьютере, что и ядро СУБД, вам не нужно включать дополнительные протоколы. Management Studio подключается к ядро СУБД с помощью протокола общей памяти. Этот протокол уже включен.

      Если вы планируете подключиться к ядро СУБД с другого компьютера, необходимо включить протокол, например TCP/IP.

      Разрешение соединений по протоколу TCP/IP с других компьютеров
      1. В меню «Пуск» наведите указатель на все программы, наведите указатель на Microsoft SQL Server, наведите указатель на средства настройки и выберите диспетчер конфигурации SQL Server.

      Примечание. Проверьте наличие доступных 32-разрядных и 64-разрядных параметров.

      Версия Путь
      SQL Server 2022 (16.x) C:\Windows\SysWOW64\SQLServerManager16.msc
      SQL Server 2019 (15.x) C:\Windows\SysWOW64\SQLServerManager15.msc
      SQL Server 2017 (14.x) C:\Windows\SysWOW64\SQLServerManager14.msc
      SQL Server 2016 (13.x) C:\Windows\SysWOW64\SQLServerManager13.msc
      SQL Server 2014 (12.x) C:\Windows\SysWOW64\SQLServerManager12.msc
      SQL Server 2012 (11.x) C:\Windows\SysWOW64\SQLServerManager11.msc

      Примечание. Перезапустите службу SQL Server после внесения изменений в сетевые протоколы; однако это выполняется в следующей задаче.

      Настройка фиксированного порта

      Чтобы повысить безопасность, Windows и Windows Server включите брандмауэр Windows. При подключении к этому экземпляру из другого компьютера необходимо открыть порт соединения в брандмауэре. Экземпляр по умолчанию ядро СУБД прослушивает порт 1433; поэтому не нужно настраивать фиксированный порт. Однако именованные экземпляры, включая SQL Server Express, прослушивают динамические порты. Прежде чем открыть порт в брандмауэре, необходимо сначала настроить ядро СУБД для прослушивания определенного порта, известного как фиксированный порт или статический порт. В противном случае ядро СУБД может прослушивать другой порт при каждом запуске. Дополнительные сведения о брандмауэрах, параметрах брандмауэра Windows по умолчанию и описании TCP-портов, влияющих на ядро СУБД, службы Analysis Services, Reporting Services и службы Integration Services, см. в разделе «Настройка брандмауэра Windows для разрешения доступа к SQL Server».

      Назначения номеров портов управляются центром назначения номеров в Интернете и перечислены по https://www.iana.orgадресу. Номера портов должны назначаться от номеров 49152 до 65535.

      Настройка SQL Server для подключения через определенный порт

      1. В диспетчер конфигурации SQL Server разверните конфигурацию сети SQL Server и выберите экземпляр сервера, который требуется настроить.
      2. На правой панели дважды щелкните TCP/IP.
      3. В диалоговом окне «Свойства TCP/IP» перейдите на вкладку «IP-адреса«.
      4. В поле TCP-порта раздела «Все IP-адреса» введите доступный номер порта. В этом руководстве мы используем 49172 .
      5. Нажмите кнопку «ОК», чтобы закрыть диалоговое окно, и нажмите кнопку «ОК» для предупреждения о том, что служба должна быть перезапущена.
      6. На левой панели выберите Службы SQL Server.
      7. В правой области щелкните правой кнопкой мыши экземпляр SQL Server, а затем нажмите кнопку «Перезапустить«. При перезапуске ядро СУБД он прослушивает порт 49172 .

      Открытие портов в брандмауэре

      Системы брандмауэра помогают предотвратить несанкционированный доступ к ресурсам компьютера. Чтобы подключиться к SQL Server с другого компьютера при включении брандмауэра, необходимо открыть порт в брандмауэре.

      Открытие портов брандмауэра может предоставлять серверу вредоносные атаки. Поэтому для открытия портов требуется понимание работы систем брандмауэров. Дополнительные сведения см. в разделе Security Considerations for a SQL Server Installation.

      После настройки ядро СУБД использовать фиксированный порт выполните следующие инструкции, чтобы открыть этот порт в брандмауэре Windows. (Вам не нужно настраивать фиксированный порт для экземпляра по умолчанию, так как по умолчанию используется TCP-порт 1433.)

      Открытие порта в брандмауэре Windows для доступа к TCP (Windows 7)

      1. В меню Пуск выберите Выполнить, введите WF.msc и щелкните ОК.
      2. На левой панели окна Брандмауэр Windows в режиме повышенной безопасностищелкните правой кнопкой мыши раздел Правила для входящих подключенийи выберите на панели действий пункт Создать правило .
      3. В диалоговом окне Тип правила выберите Порт и щелкните Далее.
      4. В диалоговом окне Протокол и порты выберите протокол TCP. Выберите определенные локальные порты и введите номер порта экземпляра ядро СУБД. Для экземпляра по умолчанию введите 1433. Введите 49172 , если вы настраиваете именованный экземпляр и настраиваете фиксированный порт в предыдущей задаче. Выберите Далее.
      5. В диалоговом окне Действие выберите Разрешить соединение и щелкните Далее.
      6. В диалоговом окне «Профиль» выберите все профили, описывающие среду подключения к компьютеру, когда требуется подключиться к ядро СУБД, а затем нажмите кнопку «Далее«.
      7. В диалоговом окне Имя введите имя и описание правила и щелкните Готово.

      Открытие порта в брандмауэре Windows для доступа к TCP (Windows 10)

      Чтобы открыть порт в брандмауэре Windows для tcp-доступа на компьютере с Windows 10, выполните следующие действия.

      1. Доступ к брандмауэру Windows Параметры:
        • Выберите клавишу Windows на клавиатуре или значок Windows на панели задач, чтобы открыть меню .
      2. Тип Windows Security :
        • В строке поиска меню введите Безопасность Windows и нажмите клавишу ВВОД. Откроется приложение Безопасность Windows.
      3. Откройте брандмауэр Безопасность Windows и защиту сети:
        • Выберите брандмауэр и защиту сети в приложении Безопасность Windows на левой боковой панели.
      4. Выберите «Разрешить приложение через брандмауэр»:
        • В разделе «Брандмауэр и защита сети» выберите «Разрешить приложение через брандмауэр«.
      5. Изменение параметров (разрешение администратора):
        • Для внесения изменений может потребоваться разрешение администратора. Нажмите кнопку «Изменить параметры», если появится запрос и укажите учетные данные администратора.
      6. Найдите программу или порт:
        • В разделе «Разрешенные приложения и функции» прокрутите вниз, чтобы найти программу или порт, который вы хотите открыть. Если вы открываете порт для конкретного приложения, найдите приложение в списке. При открытии пользовательского порта необходимо создать правило, в противном случае перейдите к шагу 12.
      7. Создайте новое правило (для пользовательских портов):
        • Необходимо создать новое правило, если программа или порт, который требуется открыть, не указан. Выберите «Разрешить другое приложение» или «Разрешить другую программу» в зависимости от конкретного требования.
      8. Выберите программу или порт:
        • Если вы открываете порт, выберите порты и укажите номер порта, а также tcp или UDP. Если вы разрешаете приложение, перейдите к исполняемому файлу приложения.
      9. Присвойте правилу имя:
        • Присвойте правилу имя, чтобы быстро определить его.
      10. Укажите действие:
        • Выберите «Разрешить подключение «, чтобы открыть порт для tcp-доступа.
      11. Сохраните правило:
        • Нажмите кнопку «Далее«, а затем «Готово«, чтобы создать правило.
      12. Проверьте новое правило:
        • В разделе «Разрешенные приложения и функции» убедитесь, что созданное правило отображается с нужным портом или программой и включен.
      13. Закройте Безопасность Windows:
        • Закройте приложение Безопасность Windows.
      14. Проверьте доступ к портам:
        • Чтобы убедиться, что порт открыт, можно использовать сетевую программу или приложение, которое использует конкретный порт, чтобы узнать, может ли он установить подключение.

      Следуя этим инструкциям, вы можете открыть определенный порт в брандмауэре Windows для доступа к TCP на компьютере с Windows 10. Не забудьте соблюдать осторожность при изменении параметров брандмауэра, так как это может повлиять на безопасность системы. Открыты только порты при необходимости и для доверенных приложений или служб.

      Дополнительные сведения о настройке брандмауэра, включая инструкции по Windows Vista, см. в статье «Настройка брандмауэра Windows для ядро СУБД Access». Дополнительные сведения о параметрах брандмауэра Windows по умолчанию и описании TCP-портов, влияющих на ядро СУБД, Службы Analysis Services, Reporting Services и службы Integration Services, см. в разделе «Настройка брандмауэра Windows для разрешения доступа к SQL Server».

      Подключение к ядру СУБД с другого компьютера

      Теперь, когда вы настроили ядро СУБД прослушивать фиксированный порт и открыли этот порт в брандмауэре, вы можете подключиться к SQL Server с другого компьютера.

      С помощью службы браузера SQL Server, работающей на серверном компьютере, когда брандмауэр открыл порт UDP 1434, подключение можно сделать с помощью имени компьютера и имени экземпляра. Для повышения безопасности в нашем примере не используется служба браузера SQL Server.

      Подключение к ядру СУБД с другого компьютера

      1. На втором компьютере, который содержит клиентские средства SQL Server, войдите с учетной записью, авторизованной для подключения к SQL Server, и откройте Management Studio.
      2. В диалоговом окне Соединение с сервером выберите Компонент Database Engine в списке Тип сервера .
      3. В поле имени сервера введите tcp: , чтобы указать протокол, а затем имя компьютера, запятую и номер порта. Для подключения к экземпляру по умолчанию подразумевается порт 1433 и может быть опущен; следовательно, введите tcp: имя компьютера. В нашем примере для именованного экземпляра введите tcp:,49172 . Если не указано tcp: в поле имени сервера, клиент пытается выполнить все включенные протоколы в порядке, указанном в конфигурации клиента. Дополнительные сведения см. в Подключение ядро СУБД. Если предпринята попытка установить соединение с именем экземпляра при подключении к удаленному серверу, служба браузера SQL Server должна работать на удаленном сервере. Сопоставление портов имени экземпляра не работает, если служба браузера SQL Server не запущена.
      4. В поле проверки подлинности подтвердите проверку подлинности Windows и выберите Подключение.

      Подключение с помощью службы браузера SQL Server

      Служба браузера SQL Server прослушивает входящие запросы для ресурсов SQL Server и предоставляет сведения об экземплярах SQL Server, установленных на компьютере. При запуске службы браузера SQL Server пользователи могут подключаться к именованным экземплярам, указав имя компьютера и имя экземпляра вместо имени компьютера и номера порта. Так как браузер SQL Server получает запросы UDP без проверки подлинности, он не всегда включен во время установки. Описание службы и описание включения службы см. в статье SQL Server Browser Service (ядро СУБД и SSAS).

      Чтобы использовать браузер SQL Server, необходимо выполнить те же действия, что и раньше, и открыть порт UDP 1434 в брандмауэре.

      На этом краткий учебник по базовым возможностям подключения связи заканчивается.

      Похожие публикации:
      1. 0х80070002 как исправить windows 7
      2. 2000w сколько киловатт в час потребляет
      3. Как выровнять текст по ширине страницы
      4. Как проверить загрузку оперативной памяти windows 10

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *