Einschränkung des Zugriffs auf Microsoft SQL Server-Datenbanken

Knowledgebase
1

Einleitung

Falls die Standardinstanz des Microsoft SQL Servers (MSSQLSERVER) verwendet wird, muss zwingend der TCP Port 1433 mit Hilfe einer eingehenden Regel in der Firewall freigeschaltet werden, sodass grundsätzlich Zugriff auf den Datenbankserver möglich ist, auch wenn dieser nicht der Domäne des Datenbankservers angehört.

Sollten Sie nicht den Standardinstanznamen MSSQLSERVER verwenden, sondern eine benutzerdefinierte, benannte Instanz (z. B COMBIT) nutzen, dann verwendet der Microsoft SQL Server üblicherweise einen dynamischen TCP Port, welcher sich nach jedem Neustart des Dienstes ändert.

Um nun den Zugriff auf den Microsoft SQL Server so einzuschränken, dass sich ausschließlich Benutzer und/oder PCs aus der gleichen Domäne, wie vom Datenbankserver verwendet, anmelden können, ist es notwendig, zunächst die Verwendung des dynamischen TCP Ports zu deaktivieren und einen festen, benutzerdefinierten TCP Port zu verwenden und diesen festen TCP Port anschließend über eine eingehende Regel in der Firewall zu konfigurieren. In unserem Beispiel wird die Windows Firewall verwendet.

Konfiguration des SQL Servers

  1. Öffnen Sie den SQL Server Konfigurations-Manager (den genauen Pfad zur Anwendung können Sie der Microsoft-Website SQL Server-Konfigurations-Manager entnehmen).
  2. Abhängig von der gewählten Installationsarchitektur (32-Bit oder 64-Bit) des Microsoft SQL Servers wählen Sie entweder SQL Server-Netzwerkkonfiguration (32 Bit) oder SQL Server-Netzwerkkonfiguration.
  3. Wählen Sie anschließend Protokolle für <Instanzname>, z. B. Protokolle für COMBIT.
  4. Mit der Auswahl des Protokolls TCP/IP kann mittels Doppelklick oder einem Rechtsklick und der Auswahl Eigenschaften der Eigenschaftsdialog geöffnet werden.
  5. Bitte stellen Sie sicher, dass im Reiter Protokoll in der Gruppierung Allgemein die Eigenschaft Enabled auf Ja eingestellt wurde.
  6. Wechseln Sie in den Reiter IP-Adressen und scrollen Sie bis zur letzten Gruppierung IPAll, setzen Sie nun den Wert für die Eigenschaft TCP Dynamic Ports auf 0.
  7. Tragen Sie in der Eigenschaft TCP Port den gewünschten TCP Port ein.
  8. Bestätigen Sie die Änderung mittels OK.
  9. Wechseln Sie über die Navigationsleiste zum Menüpunkt SQL Server-Dienste und starten Sie den Dienst für Ihren SQL Server neu (Rechtsklick > Neu starten).

Konfiguration der Windows Firewall

  1. Öffnen Sie die Windows Firewall mit erweiterter Sicherheit über das Startmenü von Windows.
  2. Wechseln Sie in der Navigationsleiste zum Menüpunkt Eingehende Regeln.
  3. Erstellen Sie eine neue Regel mit Hilfe der Aktionen-Leiste im rechten Fensterbereich.
  4. Wählen Sie Port als Regeltyp für die neue Regel, klicken Sie anschließend auf Weiter.
  5. Im nächsten Dialog Protokolle und Ports wählen Sie TCP und den zuvor gewählten TCP Port aus der Konfiguration des SQL Servers (siehe Punkt 7 in der SQL Server-Konfiguration), klicken Sie anschließend auf Weiter.
  6. Im Dialog Aktion wählen Sie Verbindung zulassen, wenn sie sicher ist, klicken Sie anschließend auf Weiter.
  7. Im Dialog Profil setzen Sie einen Haken bei Domäne, klicken Sie anschließend auf Weiter.
  8. Wählen Sie im Dialog Name einen Namen und eine optionale Beschreibung und schließen Sie die Erstellung über die Schaltfläche Fertig stellen ab.
  9. Öffnen Sie die Eigenschaften der soeben angelegten eingehenden Regel per Doppelklick auf diese.
  10. Fügen Sie in den Reitern Remotebenutzer und/oder Remotecomputer nach einem Klick auf die Option Nur Verbindung dieser Benutzer zulassen bzw. Nur Verbindungen der folgenden Computer zulassen aus Ihrem Domänenverzeichnis hinzu.
  11. Beenden Sie die Bearbeitung mit einem Klick auf OK.