Netzwerkzugriff für SQL-Server

Firewallregeln für SQL Server steuern

| Autor: Thomas Joos

https://pixabay.com/
https://pixabay.com/ (https://pixabay.com/)

Beim Betrieb von Microsoft SQL Server 2012/2014, aber auch SQL Server 2016, müssen Administratoren einiges im Bereich der Firewallregeln beachten.

Um die entsprechenden Ausnahmen für die Remoteverwaltung einzutragen, verwenden Sie zum Beispiel folgenden Befehl:

netsh advfirewall firewall add rule name="SQL Server" dir=in action=allow program="C:\Program Files\Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQL\Binn\sqlservr.exe" enable=yes profile=domain

Sie müssen die Windows-Firewall auf dem Server konfigurieren, damit SQL-Server kommunizieren kann:

netsh advfirewall firewall add rule name = SQLPorttcp dir = in protocol = tcp action = allow localport = 1433-1434 remoteip = localsubnet profile = DOMAIN

netsh advfirewall firewall add rule name = SQLPortudp dir = in protocol = udp action = allow localport = 1433-1434 remoteip = localsubnet profile = DOMAIN

Damit Anwendungen wie SharePoint auf einen Server zugreifen dürfen, um zum Beispiel selbst Datenbanken zu erstellen, müssen Sie Firewallregeln erstellen und im Konfigurations-Manager Protokolle freischalten. Dazu muss auf dem SQL-Server eine neue Firewallregel erstellt werden, da die Firewall die beiden TCP Ports 1433 und 1434 blockiert. Mit diesen Ports bauen Clients eine Verbindung zum Server auf. Sie können die beschriebenen Wege in der Powershell verwenden, aber auch die grafische Oberfläche:

  1. Geben Sie dazu auf dem SQL-Server im Suchfeld des Startmenüs msc ein.
  2. Klicken Sie auf Eingehende Regeln.
  3. Klicken Sie dann rechts auf Neue Regel.
  4. Aktivieren Sie auf der ersten Seite des Assistenten zum Erstellen von neuen Firewallregeln die Option Port.
  5. Aktivieren Sie auf der nächsten Seite die Optionen TCP und Bestimmte lokale Ports.
  6. Geben Sie im Feld neben der Option Bestimmte lokale Ports den Wert „1433-1434“ ein.
  7. Aktivieren Sie auf der nächsten Seite die Option Verbindung zulassen und auf der folgenden Seite die Profile, für die Sie den Zugriff gestatten wollen. In sicheren Umgebungen reicht es auch aus, wenn Sie nur das Domänenprofil aktivieren.
  8. Weisen Sie abschließend der Regel einen passenden Namen zu und bestätigen Sie die Erstellung.

Auf dem gleichen Weg erstellen Sie Regeln auch über die Konfiguration in den Gruppenrichtlinien. Haben Sie auf dem Server noch benannte Instanzen installiert, und wollen auf diese über das Netzwerk mit dem Management Studio zugreifen, erstellen Sie eine weitere Regel, welche die Ports UDP 1433-1434 zulässt.

Außerdem muss für die Verbindung der Systemdienst SQL Server-Browser gestartet sein. Dieser nimmt Abfragen aus dem Netzwerk entgegen und verteilt diese an die entsprechende Instanz oder Server. Dazu ist es notwendig, dass der Server über das Netzwerk mit TCP/UDP erreichbar ist und die Ports TCP/UDP 1433-1434 in der Firewall freigeschaltet sind.