INF: Porty TCP wymagane do komunikacji z programem SQL Server przez zaporê

W tym artykule opisano minimalne porty TCP/IP, które s¹ wymagane do komunikacji z programem SQL Server przez zaporê.

Program SQL Server to aplikacja interfejsu Winsock, która komunikuje siê za pomoc¹ protoko³u TCP/IP, u¿ywaj¹c biblioteki sieciowej gniazd. Program SQL Server nas³uchuje po³¹czeñ przychodz¹cych na okreœlonym porcie; port domyœlny programu SQL Server to 1433. Ten port nie musi byæ portem 1433, ale port 1433 to oficjalny numer gniazda programu SQL Server wyznaczony przez organizacjê IANA (Internet Assigned Number Authority).

Aplikacja kliencka komunikuje siê z programem SQL Server za pomoc¹ biblioteki sieciowej po stronie klienta Dbmssocn.dll (lub Dbnetlib.dll dla programu SQL Server 2000) i dowolnego klienta u¿ywaj¹cego programu Microsoft Data Access Components (MDAC) 2.6.

Gdy klient ustanawia po³¹czenie TCP/IP, jest wykonywane trójstopniowe uzgadnianie. Klient otwiera port Ÿród³owy i wysy³a ruch do portu docelowego, którym domyœlnie jest port 1433. Numer portu Ÿród³owego klienta jest wartoœci¹ losow¹ wiêksz¹ ni¿ 1024. Domyœlnie, gdy aplikacja za¿¹da od systemu gniazda do obs³ugi po³¹czenia wychodz¹cego, jest dostarczany port z zakresu od 1024 do 5000. Aby uzyskaæ wiêcej informacji, zobacz sekcjê Microsoft Windows 2000 TCP/IP Implementation Details w nastêpuj¹cej witrynie firmy Microsoft w sieci Web: Nastêpnie serwer (w tym przypadku program SQL Server) komunikuje siê z klientem, wysy³aj¹c ruch z portu 1433 do portu ustanowionego przez klienta.

Najlepsz¹ metod¹ obserwacji tego zachowania jest œledzenie komunikacji miêdzy klientem a serwerem przy u¿yciu programu Microsoft Network Monitor lub szperacza sieciowego. Aby skonfigurowaæ zaporê, nale¿y zezwoliæ na ruch z portu *DOWOLNY* do portu 1433 i z portu 1433 do portu *DOWOLNY*, gdzie port *DOWOLNY* to port o numerze wiêkszym ni¿ 1024. Oprócz korzystania z programu Microsoft Network Monitor mo¿na te¿ u¿yæ narzêdzia Netstat protoko³u TPC/IP, aby obserwowaæ to zachowanie. Wpisanie polecenia netstat -an w oknie polecenia systemu MS-DOS spowoduje wygenerowanie nastêpuj¹cych wyników pokazuj¹cych trzy ustanowione po³¹czenia z programem SQL Server. W tym przyk³adzie adres 157.54.178.42 jest adresem IP serwera programu SQL Server, a adres 157.54.178.31 jest adresem IP klienta. Porty otwarte przez klienta to odpowiednio 1746, 1748 i 1750. Oprogramowanie zapory powinno zezwalaæ na tê dynamiczn¹ alokacjê, u¿ywaj¹c odpowiednich regu³. Jeœli tak jest, mo¿na skonfigurowaæ ustanowione po³¹czenie 1433 -> *DOWOLNY*; umo¿liwi to dynamiczne otwieranie portu odpowiedzi po odebraniu sygna³u synchronizacji i sygna³u synchronizacji/potwierdzenia w ramach stanowej inspekcji pakietów.

Nie istnieje metoda ograniczenia liczby portów Ÿród³owych TCP u¿ywanych przez klienta programu SQL Server w celu nawi¹zywania po³¹czenia; taka metoda mog³aby uniemo¿liwiæ klientowi przydzielenie nowego, nieu¿ywanego portu dynamicznego. Jest to standard protoko³u TCP/IP zdefiniowany dla aplikacji interfejsu Winsocks; nie jest to ograniczenie komunikacji klienta programu SQL Server.

Ponadto nazwane wyst¹pienie programu SQL Server 2000 bêdzie domyœlnie u¿ywaæ dynamicznego portu docelowego. Ten port nale¿y zmieniæ na port sta³y przed skonfigurowaniem zapory. Aby skonfigurowaæ port docelowy, nale¿y u¿yæ narzêdzia SQL Server Network Utility. Zobacz witrynê SQL Server Books Online, aby uzyskaæ informacje dotycz¹ce sposobu u¿ywania narzêdzia SQL Server Network Utility.

W przeciwnym razie komputer kliencki bêdzie musia³ otworzyæ losowy port UDP, a port UDP 1434 serwera bêdzie u¿ywany do wys³ania nazwy wyst¹pienia, a jeœli wyst¹pienie bêdzie nale¿eæ do klastra, wersji wyst¹pienia programu SQL Server, numeru portu, na którym nas³uchuje to wyst¹pienie, oraz potoku nazwanego, którego u¿ywa to wyst¹pienie. Jeœli jednak celem jest minimalizacja liczby otwartych portów zapory, nale¿y wybraæ statyczny numer portu dla wyst¹pienia domyœlnego i wszystkich wyst¹pieñ nazwanych. Komputery klienckie nale¿y skonfigurowaæ do ³¹czenia siê z okreœlonym serwerem lub wyst¹pieniem serwera oraz okreœlonym numerem portu.

Aby uzyskaæ dodatkowe informacje, kliknij nastêpuj¹ce numery artyku³ów w celu wyœwietlenia tych artyku³ów z bazy wiedzy Microsoft Knowledge Base: