mk-prg-net \ ms-sql \admin \ access-control \tcp-endpoints

Netzwerkzugriff über TCP- Endpunkte einschränken

Die erste Barriere, die beim Zugriff auf den SQL- Server über das Netz zu überwinden ist, ist der TCP- Endpunkt. Seine Konfiguration erfolgt über den Configuration- Manager in der Abteilung Server Netzwerkkonfiguration.

Konfigurations- Manager

TCP- Endpunkte können aktiviert oder deaktiviert werden. Bezüglich des SQL- Servers wirken sie ähnlich wie eine Firewall. Indem die Kommunikation mit dem Server über den Endpunkt eingeschränkt, und bei Bedarf durch Deaktivierung des Endpunktes gekappt wird, kontrolliert man sie.

Ein Endpunkt hat die Zustände started, stopped und disabled. Das Verhalten des Endpunktes in den jeweiligen Zuständen definiert folgende Tabelle:

started Wartet auf Verbindungsanforderungen, und baut Verbindungen auf.

stopped

Wartet auf Verbindungsanforderungen, lehnt aber Verbindungen mit einer Fehlermeldung ab.
disabled Endpunkt ist abgeschaltet, Port nicht aktiv.

Im Con figuration- Manager wird der Zustand eines Endpunktes über die beiden Eigenschaften Aktiv und Aktiviert eingestellt. Folgende Kreuztabelle stellt die Zusammenhänge dar:


Started Stopped Disabled
Aktiv True False ?
Aktiviert True True False

Der Standardport für einen TCP- Endpunkt ist 1433. In der Firewall des Servers muss eine Regel für den eingehenden Verkehr definiert werden, die diesen Port öffnet.

Im Configuration Manager kann der Port für alle Netzwerkschnittstellen (= IP- Adressen) eine Servers als TCP- Endpunkte geöffnet werden. Jedoch sollte die bewusste Aktivierung einzelner Schnittstellen als Endpunkte bevorzugt werden, da so die Angriffsfläche auf den Server minimiert wird.

Weiter besteht die Möglichkeit einer dynamischen Port- Vergabe. Um diese zu nutzen, ist im Configuration Manager unter der Abteilung SQL-Server Dienste der Sql- Server- B rowser zu aktikvieren.

Die Parameter Aktiv und Aktiviert (deutsche Version) beeinflussen den

Endpunkte von SQL Server Azure

Azure- Portal

Azure ist die Cloud- Plattform von Microsoft. Hier werden Dienste über das Internet bereitgestellt wie SQL Server for Azure, Blob Store etc..

Anstelle der Endpunkte eines lokal installierten Servers ist bei SQL Server for Azure die Firewall der VM zu konfigurieren, auf der der SQL- Server in der Cloud läuft.

-- Auflisten aller Firewallregeln
select * from sys.firewall_rules order by Name