Sql server ports

Настройка брандмауэра Windows в режиме повышенной безопасности

После того как стали известны IP-адреса, которые использует компьютер, и применяемые SQL Server порты, можно создать правила брандмауэра, а затем настроить их для конкретных IP-адресов.

Создание правила брандмауэра

1. На компьютере, на котором установлен SQL Server, войдите в систему в качестве администратора.

2. Нажмите кнопку Пуск, выберите команду Выполнить, введите wf.mscи нажмите кнопку ОК.

3. В диалоговом окне Контроль учетных записей пользователей нажмите кнопку Продолжить , чтобы с помощью учетных данных администратора открыть оснастку брандмауэра Windows в режиме повышенной безопасности.

4. На странице Обзор подтвердите, что брандмауэр Windows включен.

5. В левой панели щелкните Правила для входящих подключений.

6. Щелкните правой кнопкой мыши Правила для входящих подключенийи выберите команду Создать правило , чтобы открыть мастер создания правила для входящего подключения.

7. Можно создать правило для программы SQL Server. Так как в этом примере используется фиксированный порт, выберите Порти нажмите кнопку Далее.

8. На странице Протоколы и порты выберите TCP.

9. Выберите Указанные локальные порты. Введите номера портов через запятую и нажмите кнопку Далее. В этом примере настраивается порт по умолчанию, поэтому введите 1433.

10. На странице Действия просмотрите параметры. В этом примере брандмауэр не используется для принудительного включения безопасных соединений. Поэтому выберите Разрешить подключениеи нажмите кнопку Далее.

    Примечание

    Однако среда может потребовать безопасные соединения. Если выбрать один из параметров безопасных соединений, можно настроить сертификат, а затем — параметр Принудительное шифрование . Дополнительные сведения о безопасных соединениях см. в разделах Включение шифрования соединений в ядре СУБД (диспетчер конфигурации SQL Server) и Включение шифрования соединений в ядре СУБД (диспетчер конфигурации SQL Server).

11. На странице Профиль выберите один или несколько профилей для этого правила. Чтобы получить дополнительные сведения о профилях брандмауэра, щелкните ссылку Подробнее о профилях в программе брандмауэра.

    • Если компьютер является сервером и доступен только при соединении с доменом, выберите Домени нажмите кнопку Далее.

    • Если компьютер является мобильным (например, переносным компьютером), он, скорее всего, будет использовать несколько профилей при соединении с разными сетями. В этом случае можно настроить разные возможности доступа для разных профилей. Например, можно разрешить доступ, если компьютер использует профиль домена, и не разрешить — при использовании открытого профиля.

12. На странице Имя введите имя и описание правила и нажмите кнопку Готово.

13. Повторите эту процедуру для создания другого правила для каждого IP-адреса, используемого SQL Server.

После создания одного или нескольких правил выполните следующие шаги, чтобы настроить каждый IP-адрес компьютера для использования правил.

Настройка правила брандмауэра для конкретных IP-адресов

1. На странице Правила для входящих подключений окна Брандмауэр Windows в режиме повышенной безопасностищелкните правой кнопкой мыши только что созданное правило и выберите пункт Свойства.

2. В диалоговом окне Свойства правила перейдите на вкладку Область .

3. В области Локальный IP-адрес выберите Указанные IP-адресаи нажмите кнопку Добавить.

4. В диалоговом окне IP-адрес выберите IP-адрес или подсетьи введите один из IP-адресов, которые нужно настроить.

5. Щелкните ОК.

6. В области Удаленный IP-адрес выберите Указанные IP-адресаи нажмите кнопку Добавить.

7. В диалоговом окне IP-адрес настройте обмен данными для выбранного IP-адреса компьютера. Можно включать соединения через указанные IP-адреса, диапазоны IP-адресов, целые подсети или определенные компьютеры. Чтобы правильно настроить этот параметр, необходимо хорошо понимать работу сети. Сведения о сети можно узнать у администратора сети.

8. Нажмите кнопку ОК , чтобы закрыть диалоговое окно IP-адрес, затем нажмите кнопку ОК , чтобы закрыть диалоговое окно Свойства правила .

9. Чтобы настроить другие IP-адреса на многосетевом компьютере, повторите эту процедуру для каждого IP-адреса, используя другое правило.

Troubleshoot firewall settings

The following tools and techniques can be useful in troubleshooting firewall issues:

• The effective port status is the union of all rules related to the port. It can be helpful to review all the rules that cite the port number, when trying to block access to a port. Review the rules with the Windows Firewall with Advanced Security MMC snap-in and sort the inbound and outbound rules by port number.

• Review the ports that are active on the computer on which SQL Server is running. The review process includes and also verifying the status of the ports.

• The PortQry utility can be used to report the status of TCP/IP ports as listening, not listening, or filtered.
  (The utility may not receive response from the port if it has a filtered status.)
  The PortQry utility is available for download from the Microsoft Download Center.

List which TCP/IP ports are listening

To verify which ports are listening, display active TCP connections and IP statistics use the netstat command-line utility.

1. Open the Command Prompt window.

2. At the command prompt, type .

   The switch instructs netstat to numerically display the address and port number of active TCP connections. The switch instructs netstat to display the TCP and UDP ports on which the computer is listening.

   

   

   

   

   

   

   

   

   

   

Overview of firewall profiles

Firewall profiles are used by the operating systems to identify and remember each of the networks by: connectivity, connections, and category.

There are three network location types in Windows Firewall with Advanced Security:

• Domain: Windows can authenticate access to the domain controller for the domain to which the computer is joined.
• Public: Other than domain networks, all networks are initially categorized as public. Networks that represent direct connections to the Internet or are in public locations, such as airports and coffee shops should be left public.
• Private: A network identified by a user or application as private. Only trusted networks should be identified as private networks. Users will likely want to identify home or small business networks as private.

The administrator can create a profile for each network location type, with each profile containing different firewall policies. Only one profile is applied at any time. Profile order is applied as follows:

1. The domain profile is applied if all interfaces are authenticated to the domain controller where the computer is a member.
2. If all interfaces are either authenticated to the domain controller or are connected to networks that are classified as private network locations, the private profile is applied.
3. Otherwise, the public profile is applied.

Use the Windows Firewall with Advanced Security MMC snap-in to view and configure all firewall profiles. The Windows Firewall item in Control Panel only configures the current profile.

Использовать фиксированный порт для именованного экземпляра или экземпляра по умолчанию служб Analysis Services

В этом разделе объясняется, как настроить службы Analysis Services для прослушивания фиксированного порта. Фиксированный порт обычно используется, если службы Analysis Services установлены как именованный экземпляр, но к этому методу можно также прибегнуть, если требования бизнеса или безопасности указывают, что не следует использовать порты по умолчанию.

Обратите внимание, что при использовании фиксированного порта изменяется синтаксис соединения для экземпляра по умолчанию: необходимо добавить номер порта к имени сервера. Например, при подключении к локальному, используемому по умолчанию экземпляру служб Analysis Services, прослушивающему порт 54321 в среде SQL Server Management Studio, потребуется ввести «localhost:54321» в качестве имени сервера в диалоговом окне «Соединение с сервером» в среде Management Studio

Если вы используете именованный экземпляр, можно назначить фиксированный порт без изменений в указании имени сервера (в частности, можно использовать <имя сервера\имя_экземпляра> для подключения к именованным экземплярам, прослушивающим фиксированный порт). Это применимо, только если служба обозревателя SQL Server работает, а порт, который она прослушивает, разблокирован. SQL Server служба браузера предоставит перенаправление на фиксированный порт на <основе имени_сервера\имя_экземпляра>. Если открыты порты как для службы обозревателя SQL Server, так и для именованного экземпляра Analysis Services, прослушивающего фиксированный порт, служба обозревателя SQL Server разрешит соединение с именованным экземпляром.

1. Определите доступный порт TCP/IP, который можно использовать.

   Список зарезервированных и зарегистрированных портов, которые не следует использовать, см. в разделе Номера портов (IANA). Чтобы просмотреть список портов, которые уже используются в системе, откройте окно командной строки и введите netstat -a -p TCP , чтобы отобразить список открытых в системе TCP-портов.

2. После выбора порта укажите его, изменив настройку конфигурации Port в файле msmdsrv.ini. Указать порт можно также на странице «Общие свойства» экземпляра служб Analysis Services в среде SQL Server Management Studio.

3. Перезапустите службу.

4. Настройте в брандмауэре Windows разблокировку выбранного порта TCP. Или, если для именованного экземпляра используется фиксированный порт, разблокируйте TCP-порт, указанный для этого экземпляра, и TCP-порт 2382 для службы обозревателя SQL Server.

5. Выполните проверку, подключившись локально (в среде Management Studio), а затем удаленно из клиентского приложения на другом компьютере. Чтобы использовать Management Studio, подключитесь к экземпляру служб Analysis Services по умолчанию, указав имя сервера в следующем формате: <имя сервера:<portnumber>>. Для именованного экземпляра укажите имя сервера в качестве <имени сервера\<имя_экземпляра>>.

Параметры брандмауэра по умолчанию

Первым шагом при планировании конфигурации брандмауэра является определение его текущего состояния в операционной системе. Если операционная система была обновлена с предыдущей версии, в ней могли сохраниться старые настройки брандмауэра. Изменять параметры брандмауэра в домене может групповая политика или администратор.

Примечание

Включение брандмауэра может повлиять на общий доступ к файлам и принтерам, подключения к удаленному рабочему столу и работу других программ, которым необходим доступ к компьютеру. Администратор должен просмотреть все приложения, которые работают на компьютере, прежде чем приступать к настройке параметров брандмауэра.

Взаимодействие с другими правилами брандмауэра

Настройка брандмауэра Windows производится на основе правил и групп правил. Каждое правило или группа правил связывается с определенной программой или службой, которая может изменять или удалять это правило без вашего ведома. Например, группы правил Службы Интернета (HTTP) и Защищенные службы Интернета (HTTPS) связаны со службами IIS. При включении этих правил будут открыты порты 80 и 443 и разрешены функции SQL Server , зависящие от этих портов. Однако администратор в процессе настройки служб IIS может изменить или отключить эти правила. Если вы используете для SQL Server порт 80 или 443, создайте собственное правило или группу правил для поддержки необходимой конфигурации портов независимо от других правил IIS.

разрешает любой трафик, соответствующий любому применимому правилу разрешения. Таким образом, если существуют два правила для порта 80 (с разными параметрами), то будет пропускаться трафик, соответствующий любому из них. Например, если одно правило разрешает трафик по порту 80 из локальной подсети, а другое разрешает трафик с любого адреса, то в итоге на порту 80 будет разрешен любой трафик независимо от источника. Чтобы обеспечить эффективное управление доступом к SQL Server, администратор должен периодически проверять все правила брандмауэра, разрешенные на сервере.

Основные сведения о брандмауэре

Брандмауэр проверяет входящие пакеты на соответствие следующему набору правил:

• Если пакет соответствует стандартам, заданным правилами, то брандмауэр передает его протоколу TCP/IP для дальнейшей обработки.
• Пакет не соответствует стандартам, заданным в правилах.

Список разрешенного трафика заполняется одним из следующих способов.

• Автоматически. Когда защищенный брандмауэром компьютер инициирует соединение, брандмауэр добавляет в список запись, чтобы разрешить ответ. Ответ считается запрашиваемым трафиком, и ничего настраивать не требуется.

• Вручную. Работа администратора заключается в настройке исключений в работе брандмауэра. Это открывает доступ к определенным программам или портам на вашем компьютере. В этом случае компьютер принимает весь входящий трафик, выполняя роль сервера, прослушивателя или однорангового узла. Необходимо выполнить настройку для подключения к SQL Server.

Выбор стратегии брандмауэра является более сложной задачей и не сводится лишь к открытию или закрытию портов. При выборе стратегии брандмауэра для предприятия необходимо обязательно рассмотреть все доступные правила и параметры конфигурации. В этой статье не рассматриваются все возможные параметры брандмауэра. Рекомендуем ознакомиться со следующими документами:

• Руководство по развертыванию брандмауэра Windows
• Руководство по проектированию для брандмауэра Windows
• Основные сведения об изоляции серверов и доменов

Параметры

Активно
Указывает на то, что IP-адрес активен на компьютере. Недоступно для параметра Все IP.

Enabled
Если для свойства Прослушивать все в диалоговом окне Свойства TCP/IP (вкладка «Протокол») установлено значение Нет, это свойство указывает на то, что SQL Server прослушивает IP-адрес. Если для свойства Прослушивать все в диалоговом окне Свойства TCP/IP (вкладка «Протокол») установлено значение Да, это свойство не учитывается. Недоступно для параметра Все IP.

IP-адрес;
Позволяет просматривать или изменять IP-адрес, используемый этим соединением. Показывает используемый компьютером IP-адрес и петлевой IP-адрес, 127.0.0.1. Недоступно для параметра Все IP. IP-адрес может иметь формат IPv4 или IPv6.

Все IP
Пусто, если динамические порты не включены. Для использования динамических портов присвойте параметру значение 0.

Для параметра Все IPотображается номер используемого динамического порта.

Динамические TCP-порты
Позволяет просматривать или изменять порт, прослушиваемый SQL Server. По умолчанию экземпляр SQL Server по умолчанию прослушивает порт 1433.

Ядро СУБД может прослушивать несколько портов на одном IP-адресе. Порты в списке разделяются запятыми в следующем формате: 1433,1500,1501. Длина этого поля ограничена 2047 символами.

Для настройки прослушивания нескольких портов на одном IP-адресе параметру Прослушивать все должно быть присвоено значение Нетна вкладке Протоколы диалогового окна Свойства TCP/IP . Дополнительные сведения о том, как настроить ядро СУБД для прослушивания нескольких TCP-портов, см. в электронной документации на SQL Server.

Настройка разрешений для учетной записи развертывания

Если учетная запись, используемая для запуска развертывания, не является администратором SQL Server, вам также потребуется создать имя входа для этой учетной записи. Чтобы создать базу данных, учетная запись должна быть членом роли сервера dbcreator или иметь эквивалентные разрешения.

Примечание

При использовании веб-развертывания или VSDBCMD для развертывания базы данных можно использовать учетные данные Windows или SQL Server учетные данные (если экземпляр SQL Server настроен для поддержки проверки подлинности в смешанном режиме). В следующей процедуре предполагается, что вы хотите использовать учетные данные Windows, но при настройке развертывания ничего не мешает указать SQL Server имя пользователя и пароль в строке подключения.

Настройка разрешений для учетной записи развертывания

1. Откройте SQL Server Management Studio, как и раньше.

2. В области обозреватель объектов щелкните правой кнопкой мыши «Безопасность», наведите указатель мыши на «Создать» и выберите команду «Войти».

3. В диалоговом окне «Вход — создать » в поле «Имя входа » введите имя учетной записи развертывания (например, FABRIKAM\matt).

4. На панели «Выбор страницы » щелкните » Роли сервера».

5. Выберите dbcreator и нажмите кнопку «ОК».

Для поддержки последующих развертываний необходимо также добавить учетную запись развертывания в роль db_owner в базе данных после первого развертывания. Это связано с тем, что при последующих развертываниях вы изменяете схему существующей базы данных, а не создаете новую базу данных. Как описано в предыдущем разделе, вы не можете добавить пользователя в роль базы данных, пока вы не создали базу данных по очевидным причинам.

Сопоставление имени входа учетной записи развертывания с ролью базы данных db_owner

1. Откройте SQL Server Management Studio, как и раньше.

2. В окне обозреватель объектов разверните узел «Безопасность», разверните узел входа и дважды щелкните имя входа учетной записи компьютера (например, FABRIKAM\matt).

3. В диалоговом окне «Свойства входа » щелкните » Сопоставление пользователей».

4. В таблице «Пользователи», сопоставленной с этой таблицей входа, выберите имя базы данных (например, ContactManager).

5. В списке членства в роли базы данных для: выберите роль db_owner .

6. Нажмите кнопку ОК.

Русские Блоги

После установки SQL Server на сервере из-за необходимости обеспечения безопасности сервера все неиспользуемые порты необходимо заблокировать, и открываются только те порты, которые необходимо использовать. Вот введение в порты, используемые в SQL Server 2008:

Прежде всего, наиболее часто используемый и распространенный — это порт 1433. Это порт ядра базы данных. Если мы хотим подключиться к ядру базы данных удаленно, нам нужно открыть этот порт. Этот порт можно изменить. В «Диспетчере конфигурации SQL Server» переключитесь на «Протокол XXX» и выберите его. Порт TCP можно установить в свойствах протокола TCP / IP. как показано на картинке:

SSIS должен вызывать протокол DCOM, поэтому вам нужно открыть порт 135 при использовании SSIS, и этот порт нельзя изменить. Открывайте TCP-порт 135 только для доступа к диспетчеру управления службами (SCM). SCM выполняет следующие задачи: запускает и останавливает службу Integration Services и передает запросы управления работающей службе.

Теперь позвольте мне поговорить о SSAS. Экземпляр SSAS по умолчанию использует порт 2383. Если это именованный экземпляр, то каждый экземпляр будет иметь порт, назначенный администратором. Этот порт также может быть динамически выделен. Из соображений безопасности сети это настоятельно рекомендуется Не используйте схему, которая динамически выделяет порты. Если это динамически назначаемый порт, когда клиент подключается к серверу, он будет подключаться к порту сервера 2382, который является портом, используемым браузером SQL Server. Затем браузер SQL Server сообщает клиенту через порт 2382, что ему необходимо подключиться к фактическому номеру порта указанного экземпляра. (Это официальное заявление, но я не уверен, что здесь требуется порт 2382, но упомянутый ниже UDP-порт 1434 определенно полезен.) Кроме того, браузеру SQL Server необходимо использовать порт 1434 UDP, поэтому, если вам нужно использовать эту службу Если это так, необходимо открыть UDP1434. Чтобы изменить порт SSAS, вам нужно сначала открыть службу SSAS, затем использовать SSMS для подключения к SSAS, щелкнуть правой кнопкой мыши экземпляр в обозревателе объектов, выбрать свойства, и откроется окно свойств службы анализа. Установите для свойства Port требуемый порт. Значение по умолчанию — 0 , Это означает, что настройки отсутствуют, а затем перезапустите службу SSAS.

После перезапуска, если SSMS заставляет других клиентов подключаться к SSAS, тогда ему необходимо использовать метод «имя хоста: порт» в качестве хоста подключения, а если это механизм базы данных, он использует формат «имя хоста, порт», эти два Есть разница.

Служба отчетов предоставляется через Интернет, поэтому служба отчетов по умолчанию использует порт 80. Конечно, пользователи также могут изменить порт службы отчетов. Измените порт веб-службы и диспетчера отчетов в диспетчере конфигурации службы отчетов. как показано на картинке:

Конфигурация порта SSB. Если SSB предполагает связь между компьютерами через сеть, то вам необходимо установить конечную точку (EndPoint). При настройке конечной точки SSB необходимо указать порт прослушивания. Например, мы создаем такую ​​конечную точку:

Затем нам нужно разработать порт 4037.

Таким же образом, если мы хотим настроить зеркальное отображение базы данных, доступ по протоколу SOAP и т. Д., Нам также необходимо создать конечную точку и открыть порт в конечной точке.

В дополнение к портам, представленным выше, если вы хотите выполнить репликацию базы данных и т.п., вам необходимо настроить общую папку на сервере базы данных, чтобы облегчить передачу данных между несколькими серверами, тогда вам также необходимо открыть общие порты Windows, такие как 137, 138, 139, 445 и др.

Выше было представлено так много служб и портов, которые необходимо настроить в соответствии с реальными потребностями. По соображениям безопасности вы можете установить порт по умолчанию как свой собственный порт и не открывать службу браузера SQL Server.

Use the Windows Firewall with Advanced Security snap-in

Advanced firewall settings can be configured by using the Windows Firewall with Advanced Security MMC snap-in. The snap-in includes a rule wizard and settings that aren’t available in the Windows Firewall item in Control Panel. These settings include:

• Encryption settings
• Services restrictions
• Restricting connections for computers by name
• Restricting connections to specific users or profiles
• Edge traversal allowing traffic to bypass Network Address Translation (NAT) routers
• Configuring outbound rules
• Configuring security rules
• Requiring IPsec for incoming connections

Create a new firewall rule using the New Rule wizard

1. On the Start menu, select Run, type , and then select OK.
2. In the Windows Firewall with Advanced Security, in the left pane, right-click Inbound Rules, and then select New Rule.
3. Complete the New Inbound Rule Wizard using the settings that you want.

Add a program exception for the SQL Server executable

1. From the start menu, type wf.msc. Press Enter or select the search result wf.msc to open Windows Defender Firewall with Advanced Security.

2. In the left pane, select Inbound rules.

3. In the right pane, under Actions, select New rule…. New Inbound Rule Wizard opens.

4. On Rule type, select Program. Select Next.

5. On Program, select This program path. Select Browse to locate your instance of . The program is called . It’s normally located at:

   Select Next.

6. On Action, select Allow the connection. Select Next.

   

   

   

   

   

   

   

   

   

7. On Profile, include all three profiles. Select Next.

8. On Name, type a name for the rule. Select Finish.

For more information about endpoints, see:

• Configure the Database Engine to Listen on Multiple TCP Ports
• Endpoints Catalog Views (Transact-SQL)

Безопасность

Права доступа учетной записи

Обозреватель SQL Server прослушивает UDP-порт и принимает запросы без проверки подлинности с использованием протокола разрешения SQL Server (SSRP). Обозреватель SQL Server должен запускаться в контексте безопасности непривилегированного пользователя, чтобы минимизировать ущерб при возможном проникновении злоумышленника. Учетную запись входа можно изменить при помощи диспетчера конфигурации SQL Server.

Права, которые необходимо назначить обозревателю SQL Server:

• Запретить сетевой доступ к этому компьютеру.
• Запретить локальный вход в систему.
• Запретить вход в систему в качестве пакетного задания.
• Запретить вход в систему через службы терминалов.
• Вход в систему в качестве службы.
• Разрешить чтение и запись разделов реестра SQL Server, связанных с сетью (порты и каналы).

Учетная запись по умолчанию

Программа установки настраивает обозреватель SQL Server на использование учетной записи, выбранной для служб при установке. К другим возможным учетным записям относятся:

• Любая учетная запись домена\локальная учетная запись.
• Учетная запись локальной службы.
• Учетная запись локальной системы (не рекомендуется за избыточностью прав доступа).

Скрытие экземпляра SQL Server

Скрытые экземпляры SQL Server — это экземпляры, которые поддерживают только соединения через общую память. Для SQL Server установите флаг, указывающий, что браузер SQL Server не должен отвечать сведениями об этом экземпляре сервера.

Применение брандмауэра

Для связи со службой обозревателя SQL Server на сервере, защищенном брандмауэром, в дополнение к TCP-порту SQL Server (например 1433) откройте UDP-порт 1434. Сведения о работе с брандмауэром см. в статье Настройка брандмауэра Windows для разрешения доступа к SQL Server.

Особые рекомендации для порта 135

При использовании RPC с транспортным протоколом TCP/IP или UDP/IP входящие порты динамически назначаются системным службам по мере надобности. Используются порты TCP/IP и UDP/IP с номерами выше 1024. Эти порты называются «случайными RPC-портами». В этом случае RPC-клиент определяет порт, назначенный серверу, через сопоставитель конечных точек RPC. Для некоторых служб, работающих через протокол RPC, можно настроить использование определенного фиксированного порта. Можно также ограничить диапазон портов, динамически назначаемых RPC и не зависящих от службы. Поскольку порт 135 используется для многих служб, он часто подвергается атакам злоумышленников. В случае открытия порта 135 рекомендуется ограничить область действия правила брандмауэра.

Дополнительные сведения о порте 135 см. в следующих ресурсах.

• Общие сведения о службе и требования к сетевым портам в системе Windows Server
• Удаленный вызов процедур (RPC)
• Настройка динамического выделения портов RPC для работы с брандмауэром

Basic firewall information

Firewalls work by inspecting incoming packets, and comparing them against the following set of rules:

• The packet meets the standards dictated by the rules, then the firewall passes the packet to the TCP/IP protocol for more processing.
• The packet doesn’t meet the standards specified by the rules.

The list of allowed traffic is populated in one of the following ways:

• Automatically: When a computer with a firewall enabled starts communication, the firewall creates an entry in the list so that the response is allowed. The response is considered solicited traffic, and there’s nothing that needs to be configured.

• Manually: An administrator configures exceptions to the firewall. It allows either access to specified programs or ports on your computer. In this case, the computer accepts unsolicited incoming traffic when acting as a server, a listener, or a peer. The configuration must be completed to connect to SQL Server.

Choosing a firewall strategy is more complex than just deciding if a given port should be open or closed. When designing a firewall strategy for your enterprise, make sure you consider all the rules and configuration options available to you. This article doesn’t review all the possible firewall options. We recommend you review the following documents:

• Windows Firewall Deployment Guide
• Windows Firewall Design Guide
• Introduction to Server and Domain Isolation

Как работает служба обозревателя SQL Server

Если SQL Server настроен на использование протокола TCP/IP, то при запуске экземпляра SQL Server серверу назначается порт TCP/IP. Если включен протокол именованных каналов, SQL Server прослушивает указанный именованный канал. Этот порт или «канал», используется конкретным экземпляром для обмена данными с клиентскими приложениями. Экземпляру по умолчанию при установке назначается TCP-порт 1433 и канал , но затем эти значения могут быть изменены администратором сервера с помощью диспетчера конфигурации SQL Server.

Поскольку порт или канал может использоваться только одним экземпляром SQL Server, именованным экземплярам, включая SQL Server Express, назначаются другие номера портов и имена каналов. По умолчанию, если и именованные экземпляры и SQL Server Express настроены для работы с динамическими портами, это означает, что доступный порт назначается при запуске SQL Server.

При необходимости экземпляру SQL Server может быть назначен конкретный порт, и при соединении клиенты смогут указать именно его. Но если порт назначается динамически, то он может измениться в любой момент после перезапуска SQL Server, поэтому клиент может и не знать правильного номера порта.

После запуска открывается обозреватель SQL Server и пытается занять UDP-порт 1434. Обозреватель SQL Server читает реестр, находит все экземпляры SQL Server на данном компьютере и помечает используемые ими порты и именованные каналы. Если сервер имеет несколько сетевых плат, обозреватель SQL Server возвращает первый допустимый порт, который найден для SQL Server. Обозреватель SQL Server поддерживает протоколы ipv6 и ipv4.

При запросе клиентом SQL Server ресурсов SQL Server клиентская сетевая библиотека передает на сервер UDP-сообщение через порт 1434. В ответ обозреватель SQL Server сообщает TCP/IP-порт или именованный канал запрошенного экземпляра. Затем сетевая библиотека клиентского приложения завершает соединение, отправляя запрос на сервер с указанием номера порта или имени канала, относящегося к нужному экземпляру.

Сведения о запуске и остановке службы обозревателя SQL Server в статье Запуск, остановка, приостановка, возобновление, перезапуск служб SQL Server.