若何将多宿主计算机配置为答应SQL Server拜候[MSSQL防范]

当服务器必须供应与两个或更多个网络或网络子网的衔接时,典型的筹划是利用多宿主计算机.此计算机普通位于外围网络（也称为 DMZ、外围安全区域或屏蔽子网）中.本主题介绍在多宿主环境中若何对 SQL Server 和高级安全 Windows 防火墙举行配置以便为 SQL Server 实例供应多个网络衔接.

注意

多宿主计算机有多个网络适配器大概已配置为一个网络适配器利用多个 IP 地址.双宿主计算机有两个网络适配器大概已配置为一个网络适配器利用两个 IP 地址.
 

在持续本主题之前,您该当熟习配置 Windows 防火墙以答应 SQL Server 拜候主题中供应的信息.本主题包含有关 SQL Server 组件若何与防火墙一同利用的基本信息.

本示例假定:

运行 SQL Server 的计算机安装的是 Windows Server 2008 或 Windows Vista 操作系统.假如运行的是 Windows Server 2003 或 Windows XP,请参阅本主题背面的运行 Windows Server 2003 或 Windows XP 时的注意事项部份.

计算机中安装了两个网络适配器.可以有一个或多个网络适配器是无线的.可以通过利用一个网络适配器的 IP 地址,利用环回 IP 地址 (127.0.0.1) 作为第二个网络适配器来模拟有两个网络适配器.

为简单起见,本示例利用 IPv4 地址.利用 IPv6 地址可履行相同的历程.

注意

IPv4 地址是一串四个数字（称为八位字节）.每个数字小于 255,由句点脱离,比方 127.0.0.1.IPv6 地址是一串八个十六进制数字,由冒号脱离,如 fe80:4898:23:3:49a6:f5c1:2452:b994.

防火墙法则大概答应通过特定端口（如端口 1433）举行拜候,也大概答应拜候 SQL Server 数据库引擎程序 (sqlservr.exe).哪个办法都不会比另一个办法更好.因为外围网络中的服务器比 Intranet 上的服务器更简单遭到攻击,本主题假定您但愿举行更切确的掌握并单独挑选翻开的端口.出于上述缘由,本主题假定您将把 SQL Server 配置为侦听固定端口.有关 SQL Server 利用的端口的具体信息,请参阅配置 Windows 防火墙以答应 SQL Server 拜候.

本示例利用 TCP 端口 1433 配置对数据库引擎的拜候.可以利用相同的通例步骤来配置差别的 SQL Server 组件利用的其他端口.

本示例中的通例步骤以下:

肯定计算机的 IP 地址.

将 SQL Server 配置为侦听特定的 TCP 端口.

配置高级安全 Windows 防火墙.

可选历程

假如您已经知道计算机可用的 IP 地址且 SQL Server 利用该地址,则可以跳过这些历程.

肯定计算机上可用的 IP 地址
在安装 SQL Server 的计算机上,顺次单击“开始”和“运行”,键入 cmd,然后单击“肯定”.

在号令提醒符窗口中,键入 ipconfig,然后按 Enter 列出此计算机上可用的 IP 地址.

注意

ipconfig 号令有时会列出很多大概的衔接,包含已断开的衔接.ipconfig 号令可同时列出 IPv4 和 IPv6 地址.
 

请注意正在利用的 IPv4 地址和 IPv6 地址.列表中的其他信息（比方暂时地址、子网掩码和默许网关）是配置 TCP/IP 网络的重要信息.但是在本示例中未用到这些信息.

肯定 SQL Server 利用的 IP 地址和端口

单击“开始”,顺次指向“全部程序”、Microsoft SQL Server 2008 R2 和“配置工具”,然后单击“SQL Server 配置管理器”.

在 SQL Server 配置管理器的掌握台窗格中,顺次展开“SQL Server 网络配置”和“<实例名> 的协议”,然后双击 TCP/IP.

在“TCP/IP 属性”对话框的“IP 地址”选项卡上,将显示若干个 IP 地址,格局为:IP1、IP2…,一向到 IPAll.这些 IP 地址中有一个是环回适配器的 IP 地址 (127.0.0.1).其他 IP 地址是计算机上配置的各个 IP 地址.

关于肆意 IP 地址,假如“TCP 动态端口”对话框中包含 0,则指导数据库引擎正在侦听动态端口.本示例利用固定端口,而不是利用在重新启动时会发生更改的动态端口.因此,假如“TCP 动态端口”对话框中包含 0,则删除 0.

请注意为要配置的每个 IP 地址列出的 TCP 端口.关于本示例,假定两个 IP 地址都侦听默许端口 1433.

假如不但愿 SQL Server 利用某些可用端口,则请在“协议”选项卡上将“全部侦听”值更改成“否”;在“IP 地址”选项卡上,将不想利用的 IP 地址的“活动”值更改成“否”.

配置高级安全 Windows 防火墙

知道计算机所利用的 IP 地址和 SQL Server 所利用的端口后,便可以成立防火墙法则,然后为特定的 IP 地址配置这些法则.

成立防火墙法则

在安装 SQL Server 的计算机上,以管理员身份登录.

顺次单击“开始”和“运行”,键入 wf.msc,然后单击“肯定”.

在“用户帐户掌握”对话框中,单击“持续”利用管理员凭证翻开高级安全 Windows 防火墙管理单元.

在“概述”页上,确认已启用 Windows 防火墙.

在左窗格中,单击“入站法则”.

右键单击“入站法则”,然后单击“新建法则”以翻开“新建入站法则向导”.

可认为 SQL Server 程序成立法则.但是,由于本示例利用固定端口,所以请挑选“端口”,然后单击“下一步”.

在“协议和端口”页上,挑选 TCP.

挑选“指定的本地端口”.键入端口号（由逗号脱离）,然后单击“下一步”.在本示例中,您将配置默许端口;因此请输入 1433.

在“操作”页上,查看各选项.在本示例中,不利用防火墙强迫举行安全衔接.因此,请单击“答应衔接”,然后单击“下一步”.

注意

您的环境大概要求利用安全衔接.假如挑选此中一个安全衔接选项,则大概必须配置证书和“强行加密”选项.有关安全衔接的具体信息,请参阅加密与 SQL Server 的衔接和若何启用数据库引擎的加密衔接（SQL Server 配置管理器）.
 

在“配置文件”页上,为该法则挑选一个或多个配置文件.假如您不熟习防火墙配置文件,请单击防火墙程序中的“理解有关配置文件的具体信息”链接.

假如计算机是服务器并且仅当衔接到域时才可用,则请挑选“域”,然后单击“下一步”.

假如计算机为移动计算机（比方便携式计算机）,则它在衔接到差别网络时极大概利用多个配置文件.关于移动计算机,可认为差别的配置文件配置差别的拜候功效.比方,可以在计算机利用域配置文件时答应拜候,而在计算机利用大众配置文件时不答应拜候.

在“名称”页上,供应法则的名称和阐明,然后单击“完成”.

反复此历程,为 SQL Server 将利用的每个 IP 地址成立另一个法则.

成立完一个或多个法则后,履行下列步骤以将计算机上的每个 IP 地址配置为利用法则.

为特定的 IP 地址配置防火墙法则

在“高级安全 Windows 防火墙”的“入站法则”页上,右键单击刚成立的法则,然后单击“属性”.

在“法则属性”对话框中,挑选“范围”选项卡.

在“本地 IP 地址”区域中,挑选“下列 IP 地址”,然后单击“增添”.

在“IP 地址”对话框中,挑选“此 IP 地址或子网”,然后键入要配置的 IP 地址之一.

单击“肯定”.

在“远程 IP 地址”区域中,挑选“下列 IP 地址”,然后单击“增添”.

利用“IP 地址”对话框为计算机上选定的 IP 地址配置衔接.可以启用源自特定 IP 地址、某些范围的 IP 地址、整个子网或源自特定计算机的衔接.若要精确配置此选项,您需求非常理解网络.有关网络的信息,请与网络管理员接洽.

若要关闭“IP 地址”对话框,请单击“肯定”;然后单击“肯定”关闭“法则属性”对话框.

若要配置多宿主计算机上的其他 IP 地址,请利用另一 IP 地址和另一法则反复此历程.

运行 Windows Server 2003 或 Windows XP 时的注意事项

配置运行 Windows Server 2003 或 Windows XP 操作系统的多宿主计算机的方法与配置 Windows Server 2003 和 Windows Vista 近似.但是,由于高级安全 Windows 防火墙不可用,因此必须对每个 IP 地址利用差别的端口.通例步骤以下所示.

在 Windows Server 2003 或 Windows XP 中为选定的 IP 地址配置防火墙法则
将数据库引擎配置为侦听多个 TDS 端点.有关具体信息,请参阅若何将数据库引擎配置为侦听多个 TCP 端口.

通过将“全部侦听”选项设置为“否”,利用 SQL Server 配置管理器禁用侦听全部 IP 地址.

将 SQL Server 配置为侦听每个 IP 地址的差别 TCP 端口,然后重新启动 SQL Server.

利用 Windows 防火墙程序为每个端口成立防火墙法则,并利用范围设置将每个端口限定为源自盼望的 IP 地址、某些范围的 IP 地址、整个子网或特定的命名计算机的衔接. 　　以上是“若何将多宿主计算机配置为答应SQL Server拜候[MSSQL防范]”的内容，如果你对以上该文章内容感兴趣，你可以看看七道奇为您推荐以下文章：