SharePoint Configuration Best Practices - Benamte SQL Instanzen und dedizierte Ports

  • Article

SharePoint Adventskalender - 14. Türchen

Performance Tuning - Performance Monitoring - Best-Practices für SP-SQL-Konfigurationen - BLOB Management - Backup & Recovery

-------------------------------------------------------------

Bei der Installation von SQL kann man sicherlich auch die Standardinstanz ohne eigenen Namen und mit dem Standard TCP/IP Port 1433 verwenden, aber dies ist nicht praktikabel und auch nicht zu empfehlen für produktive Systeme. Schon allein, wenn mehr als eine Instanz auf einem SQL laufen sollen, muss logischerweise mindestens ein Name oder ein anderer dedizierter Port vergeben werden. Zudem können Sie mit dedizierten Namen Ihre Infrastruktur besser verwalten und überblicken. Neben der einfacheren Verwaltung spielt in diesem Kontext aber auch die Sicherheit der Infrastruktur eine Rolle.

Sicherheit:

Da Port 1433 der Standardport ist, wird dieser gern von Hackern als einer der ersten abgefragt, um Zugriff auf die Datenbanken zu erhalten. Es ist daher ratsam, der Instanz einen dedizierten Port zu vergeben, der nicht 1433 ist.

Verwaltbarkeit:

Für SQL können dynamische Ports verwendet werden, sodass wir uns nicht auf einen festlegen müssen. Der Nachteil liegt aber auf der Hand. Eine Firewall-Konfiguration anhand von Ports wird dadurch nahezu unmöglich. Sollte nämlich nach einem Restart der Instanz ein neuer Port vergeben werdnen, weil der vorherige einem anderen Service mit dynamischer Portvergabe zugewiesen wurde, so kann im schlimmsten Falle der SharePoint (weiterhin) nicht verfügbar sein. Der Grund ist, der neue Port wurde vermutlich noch nicht in der Firewall geöffnet. Empfehlenswert ist hierbei eine Firewall-Regel, die programmbasiert ankommende Verbindungen am SQL erlaubt. Dafür müssen Sie aber auch alle Programme kennen, die auf den SQL zugreifen können und dürfen. Dies kann umständlich sein, weshalb ich daher empfehle, einen festen Port zu wählen und die Firewall entsprechend zu konfigurieren.

Denken Sie auch daran, dass Sie bei benamten Instanzen auch den Port 1434 für das UDP Protokoll öffnen – unabhängig davon, ob Sie fixe oder dynamische Ports nutzen. Warum ist das so? Nur bei nicht benamten Standard-Instanzen hört der SQL Server selbst auf Port 1433. Bei allen anderen Szenarien hört der SQL Browser Service auf ankommende Verbindungen und weist diesen dann die jeweiligen dynamischen oder fixen Ports zu. Erst danach kommt die Verbindung am tatsächlichen Port an, auf den die SQL Instanz hört. Logischer Weise muss dafür auch immer der SQL Browser Service laufen, da sonst die ankommenden Verbindung nicht zugewiesen werden können.

Im SQL Konfigurationsmanager empfehle ich daher, den fixen Port für die TCP/IP Konfiguration zu setzen und den Dynamischen Port komplett zu löschen (also auch den standardmäßig hinterlegten Wert „0“ zu entfernen, wie im Screenshot zu sehen ist). Achten Sie auch darauf, dass Sie den Port für den Alias im Konfigurationsmanager oder über das cliconfg.exe Tool korrekt setzen.

 

Ist dies alles erledigt, so ist auch die Firewall-Konfiguration ein leichtes Spiel und schließt die SQL Instanz- und Portkonfiguration ab.

Viel Spaß beim „SharePointen“!

-------------------------------------------------------------

Weitere Türchen: