如何將多重主目錄電腦配置為允許SQL Server訪問

當伺服器必須提供與兩個或更多個網路或網路子網的串連時，典型的方案是使用多重主目錄電腦。此電腦通常位於周邊網路也稱為 DMZ、外圍安全區域或屏蔽子網）中。本主題介紹在多重主機環境中如何對 SQL Server 和進階安全 Windows 防火牆進行配置以便為 SQL Server 執行個體提供多個網路連接。

注意

多重主目錄電腦有多個網路介面卡或者已配置為一個網路介面卡使用多個 IP 位址。雙宿主要電腦有兩個網路介面卡或者已配置為一個網路介面卡使用兩個 IP 位址。
 

在繼續本主題之前，您應當熟悉配置 Windows 防火牆以允許 SQL Server 訪問主題中提供的資訊。本主題包含有關 SQL Server 元件如何與防火牆一起使用的基本資料。

本樣本假設：

運行 SQL Server 的電腦安裝的是 Windows Server 2008 或 Windows Vista 作業系統。如果啟動並執行是 Windows Server 2003 或 Windows XP，請參閱本主題後面的運行 Windows Server 2003 或 Windows XP 時的注意事項部分。

電腦中安裝了兩個網路介面卡。可以有一個或多個網路介面卡是無線。可以通過使用一個網路介面卡的 IP 位址，使用環回 IP 位址 (127.0.0.1) 作為第二個網路介面卡來類比有兩個網路介面卡。

為簡單起見，本樣本使用 IPv4 地址。使用 IPv6 地址可執行相同的過程。

注意

IPv4 地址是一串四個數字稱為八位位元組）。每個數字小於 255，由句點分隔，例如 127.0.0.1。IPv6 地址是一串八個十六進位數字，由冒號分隔，如 fe80:4898:23:3:49a6:f5c1:2452:b994。

防火牆規則可能允許通過特定連接埠如連接埠 1433）進行訪問，也可能允許訪問 SQL Server 資料庫引擎程式 (sqlservr.exe)。哪個方法都不會比另一個方法更好。因為周邊網路中的伺服器比 Intranet 上的伺服器更容易受到攻擊，本主題假設您希望進行更精確的控制並單獨選擇開啟的連接埠。出於上述原因，本主題假設您將把 SQL Server 配置為偵聽固定連接埠。有關 SQL Server 使用的連接埠的詳細資料，請參閱配置 Windows 防火牆以允許 SQL Server 訪問。

本樣本使用 TCP 通訊埠 1433 配置對資料庫引擎的訪問。可以使用相同的常規步驟來配置不同的 SQL Server 元件使用的其他連接埠。

本樣本中的常規步驟如下：

確定電腦的 IP 位址。

將 SQL Server 配置為偵聽特定的 TCP 通訊埠。

配置進階安全 Windows 防火牆。

可選過程

如果您已經知道電腦可用的 IP 位址且 SQL Server 使用該地址，則可以跳過這些過程。

確定電腦上可用的 IP 位址
在安裝 SQL Server 的電腦上，依次單擊“開始”和“運行”，鍵入 cmd，然後單擊“確定”。

在命令提示字元視窗中，鍵入 ipconfig，然後按 Enter 列出此電腦上可用的 IP 位址。

注意

ipconfig 命令有時會列出許多可能的串連，包括已斷開的串連。ipconfig 命令可同時列出 IPv4 和 IPv6 地址。
 

請注意正在使用的 IPv4 地址和 IPv6 地址。列表中的其他資訊例如臨時地址、子網路遮罩和預設閘道）是配置 TCP/IP 網路的重要訊息。但是在本樣本中未用到這些資訊。

確定 SQL Server 使用的 IP 位址和連接埠

單擊“開始”，依次指向“所有程式”、Microsoft SQL Server 2008 R2 和“組態工具”，然後單擊“SQL Server 組態管理員”。

在 SQL Server 組態管理員的控制台窗格中，依次展開“SQL Server 網路設定”和“<執行個體名> 的協議”，然後雙擊 TCP/IP。

在“TCP/IP 屬性”對話方塊的“IP 位址”選項卡上，將顯示若干個 IP 位址，格式為：IP1、IP2…，一直到 IPAll。這些 IP 位址中有一個是環回適配器的 IP 位址 (127.0.0.1)。其他 IP 位址是電腦上配置的各個 IP 位址。

對於任意 IP 位址，如果“TCP 動態連接埠”對話方塊中包含 0，則指示資料庫引擎正在偵聽動態連接埠。本樣本使用固定連接埠，而不是使用在重新啟動時會發生更改的動態連接埠。因此，如果“TCP 動態連接埠”對話方塊中包含 0，則刪除 0。

請注意為要配置的每個 IP 位址列出的 TCP 通訊埠。對於本樣本，假設兩個 IP 位址都偵聽預設連接埠 1433。

如果不希望 SQL Server 使用某些可用連接埠，則請在“協議”選項卡上將“全部偵聽”值更改為“否”；在“IP 位址”選項卡上，將不想使用的 IP 位址的“活動”值更改為“否”。

配置進階安全 Windows 防火牆

知道電腦所使用的 IP 位址和 SQL Server 所使用的連接埠後，就可以建立防火牆規則，然後為特定的 IP 位址配置這些規則。

建立防火牆規則

在安裝 SQL Server 的電腦上，以管理員身份登入。

依次單擊“開始”和“運行”，鍵入 wf.msc，然後單擊“確定”。

在“使用者帳戶控制”對話方塊中，單擊“繼續”使用管理員憑據開啟進階安全 Windows 防火牆嵌入式管理單元。

在“概述”頁上，確認已啟用 Windows 防火牆。

在左窗格中，單擊“入站規則”。

按右鍵“入站規則”，然後單擊“建立規則”以開啟“建立入站規則嚮導”。

可以為 SQL Server 程式建立規則。但是，由於本樣本使用固定連接埠，所以請選擇“連接埠”，然後單擊“下一步”。

在“協議和連接埠”頁上，選擇 TCP。

選擇“指定的本地連接埠”。鍵入連接埠號碼由逗號分隔），然後單擊“下一步”。在本樣本中，您將配置預設連接埠；因此請輸入 1433。

在“操作”頁上，查看各選項。在本樣本中，不使用防火牆強制進行安全連線。因此，請單擊“允許串連”，然後單擊“下一步”。

注意

您的環境可能要求使用安全連線。如果選擇其中一個安全連線選項，則可能必須配置認證和“強行加密”選項。有關安全連線的詳細資料，請參閱加密與 SQL Server 的串連和如何啟用資料庫引擎的加密串連SQL Server 組態管理員）。
 

在“設定檔”頁上，為該規則選擇一個或多個設定檔。如果您不熟悉防火牆設定檔，請單擊防火牆程式中的“瞭解有關設定檔的詳細資料”連結。

如果電腦是伺服器而且僅當串連到域時才可用，則請選擇“域”，然後單擊“下一步”。

如果電腦為移動電腦例如攜帶型電腦），則它在串連到不同網路時很可能使用多個設定檔。對於移動電腦，可以為不同的設定檔配置不同的訪問功能。例如，可以在電腦使用網域設定檔案時允許訪問，而在電腦使用公用設定檔時不允許訪問。

在“名稱”頁上，提供規則的名稱和說明，然後單擊“完成”。

重複此過程，為 SQL Server 將使用的每個 IP 位址建立另一個規則。

建立完一個或多個規則後，執行下列步驟以將電腦上的每個 IP 位址配置為使用規則。

為特定的 IP 位址配置防火牆規則

在“進階安全 Windows 防火牆”的“入站規則”頁上，按右鍵剛建立的規則，然後單擊“屬性”。

在“規則屬性”對話方塊中，選擇“範圍”選項卡。

在“本地 IP 位址”地區中，選擇“下列 IP 位址”，然後單擊“添加”。

在“IP 位址”對話方塊中，選擇“此 IP 位址或子網”，然後鍵入要配置的 IP 位址之一。

單擊“確定”。

在“遠程 IP 位址”地區中，選擇“下列 IP 位址”，然後單擊“添加”。

使用“IP 位址”對話方塊為電腦上選定的 IP 位址配置串連。可以啟用源自特定 IP 位址、某些範圍的 IP 位址、整個子網或源自特定電腦的串連。若要正確配置此選項，您需要十分瞭解網路。有關網路的資訊，請與網路系統管理員聯絡。

若要關閉“IP 位址”對話方塊，請單擊“確定”；然後單擊“確定”關閉“規則屬性”對話方塊。

若要配置多重主目錄電腦上的其他 IP 位址，請使用另一 IP 位址和另一規則重複此過程。

運行 Windows Server 2003 或 Windows XP 時的注意事項

配置運行 Windows Server 2003 或 Windows XP 作業系統的多重主目錄電腦的方式與配置 Windows Server 2003 和 Windows Vista 類似。但是，由於進階安全 Windows 防火牆不可用，因此必須對每個 IP 位址使用不同的連接埠。常規步驟如下所示。

在 Windows Server 2003 或 Windows XP 中為選定的 IP 位址配置防火牆規則
將資料庫引擎配置為偵聽多個 TDS 端點。有關詳細資料，請參閱如何將資料庫引擎配置為偵聽多個 TCP 通訊埠。

通過將“全部偵聽”選項設定為“否”，使用 SQL Server 組態管理員禁用偵聽全部 IP 位址。

將 SQL Server 配置為偵聽每個 IP 位址的不同 TCP 通訊埠，然後重新啟動 SQL Server。

使用 Windows 防火牆程式為每個連接埠建立防火牆規則，並使用範圍設定將每個連接埠限定為源自期望的 IP 位址、某些範圍的 IP 位址、整個子網或特定的命名電腦的串連。

原文地址

查看更多相關文章

編輯精選】