Как настроить брандмауэр Windows 11 для SQL Server

TL;DR

Коротко: чтобы разрешить удалённые подключения к SQL Server на Windows 11, откройте порты TCP 1433 и UDP 1434 и добавьте исполняемые файлы SQL в список разрешённых приложений брандмауэра. Проверьте профиль сети, права администратора и правильность TCP/IP-настроек в SQL Server Configuration Manager.

Важно: открывайте только необходимые порты и правила ограничивайте по адресам и профилям, чтобы снизить риск несанкционированного доступа.

Введение

Брандмауэр Windows по умолчанию блокирует неподтверждённые входящие соединения. При настройке SQL Server для удалённого доступа необходимо явно разрешить используемые порты и программы. Этот руководство шаг за шагом объясняет, какие правила создать и какие процессы добавить в исключения, а также даёт рекомендации по безопасности и проверке корректности настроек.

Кому полезно: системным администраторам, DBA и инженерам по безопасности, которые настраивают удалённый доступ к базам данных на Windows 11.

Требования и подготовка

• Локальная учётная запись с правами администратора на сервере/ПК с Windows 11.
• Установленный и корректно настроенный SQL Server (локальная инстанция).
• Доступ к SQL Server Configuration Manager.

Проверьте, включён ли сетевой протокол TCP/IP для нужной инстанции. Если нет — включите.

Быстрая проверка порта в SQL Server

1. Откройте SQL Server Configuration Manager.
2. Раздел SQL Server Network Configuration → Protocols for .
3. Правой кнопкой по TCP/IP → Properties → вкладка IP Addresses → поле TCP Port для соответствующего IP.

Если TCP/IP был выключен — включите его (Enable) и перезапустите службу SQL Server.

Шаг 1 — Создание входящих правил для портов SQL Server

1.1 Определите порт SQL Server

По умолчанию это TCP 1433 для основной инстанции и UDP 1434 для SQL Browser (служба обнаружения). Если у вас нестандартный порт, используйте тот, что указан в настройках SQL Server.

1.2 Настройка правил в Windows Defender Firewall

1. Нажмите клавишу Windows, введите «control panel» и откройте Панель управления.
2. В режиме просмотра Category выберите System and Security.
3. Откройте Windows Defender Firewall.
4. Слева нажмите Advanced settings.
5. В окне Windows Defender Firewall with Advanced Security выберите Inbound Rules и нажмите New Rule.

Шаги создания правила для TCP (порт 1433):

1. В New Inbound Rule выберите Port и Next.
2. Выберите TCP и в Specific local ports укажите 1433, затем Next.
3. Разрешите подключение (Allow the connection) и Next.
4. Отметьте профили Domain, Private и Public в зависимости от вашей сети и Next.
5. Дайте правилу понятное имя и при необходимости описание, затем Finish.

Повторите процесс для UDP 1434 (SQL Browser):

1. New Rule → Port → UDP → Specific local ports: 1434 → Next.
2. Разрешить подключение → выбрать профили → задать имя правила → Finish.

Совет: если у вас динамические или нестандартные порты, создайте дополнительные правила или ограничьте доступ по IP-адресам в свойствах правила.

Шаг 2 — Создание правила для SQL Server Management Studio (SSMS)

Если вы хотите, чтобы SSMS мог подключаться локально через брандмауэр, добавьте правило по программе.

1. New Rule → Program → Next.
2. Укажите путь к исполняемому файлу SSMS (Browse) или вставьте:

C:\Program Files (x86)\Microsoft SQL Server Management Studio 18\Common7\IDE\Ssms.exe

3. Разрешите подключение, выберите профили и завершите создание правила.

Шаг 3 — Добавление приложений в список разрешённых

1. Откройте Windows Defender Firewall → Allow an app or feature through Windows Defender Firewall.
2. Нажмите Change settings, затем Allow another app.
3. Нажмите Browse и укажите sqlbrowser.exe в папке (обычное расположение):

C:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe

4. Нажмите Add, затем OK.

Аналогично добавьте основной исполняемый файл SQL Server (sqlservr.exe), обычно в папке:

C:\Program Files\Microsoft SQL Server\\MSSQL\Binn\sqlservr.exe

Затем сохраните настройки.

Рекомендации по безопасности

• Ограничьте входящие правила по IP-адресам или подсетям, если клиенты подключаются из известных сегментов сети.
• Используйте только необходимые профили (например, Domain и Private) и избегайте открытия правил для Public, если это не требуется.
• Обновляйте Windows и SQL Server, чтобы закрывать уязвимости.
• Применяйте шифрование (TLS) для клиентских подключений к базе данных.

Проверка и тестирование

1. На клиенте попытайтесь подключиться через SSMS, указав имя сервера и порт, если нестандартный: server.example.com,1433
2. Проверяйте слушающие порты командой (PowerShell с правами администратора):

netstat -ano | findstr :1433

3. Убедитесь, что служба SQL Server запущена и TCP/IP включён.
4. Для диагностики используйте SQL Server error log и системные журналы Windows Event Viewer.

Частые причины, если подключение не работает

• TCP/IP отключён в SQL Server Configuration Manager.
• Правило брандмауэра разрешает порт, но ограничено неправильным профилем.
• На промежуточном сетевом оборудовании (маршрутизатор, NAT) порт не проброшен.
• Клиент пытается подключиться к другой инстанции или использует неверный порт.

Полезные контрольные списки

Для администратора Windows

• Имею права администратора на сервере.
• Проверил TCP/IP в SQL Server Configuration Manager.
• Создал входящие правила TCP 1433 и UDP 1434.
• Добавил sqlservr.exe и sqlbrowser.exe в разрешённые приложения.
• Ограничил доступ по IP при возможности.

Для DBA

• Убедился в корректной конфигурации инстанции и порта.
• Настроил аутентификацию и права пользователей.
• Проверил логи ошибок SQL Server.

Модель принятия решений (когда открывать порт)

• Если база должна быть доступна из интернета — сначала рассмотрите VPN или приватную сеть. Открывайте порт напрямую только при крайней необходимости.
• Для внутренних сетей ограничьте правила по подсетям и используйте TLS.

Критерии приёмки

Система считается правильно настроенной, если выполнены все пункты:

1. В SQL Server TCP/IP включён и порт указан в настройках.
2. В брандмауэре создано правило для TCP-порта (например, 1433) и UDP 1434 (при необходимости).
3. sqlservr.exe и sqlbrowser.exe добавлены в разрешённые приложения при помощи Allow another app.
4. Клиент успешно подключается из целевых подсетей (проверено с помощью SSMS).
5. Правила ограничены по профилям и/или IP-диапазонам в соответствии с политикой безопасности.

Таблица ключевых портов

• TCP 1433 — стандартный порт SQL Server (основная инстанция).
• UDP 1434 — SQL Server Browser (служба обнаружения инстанций).

Быстрый план действий (SOP)

1. Проверить TCP/IP и порт в SQL Server Configuration Manager.
2. В Windows Defender Firewall создать входящие правила для TCP и UDP.
3. Добавить sqlservr.exe и sqlbrowser.exe в список разрешённых приложений.
4. Ограничить доступ по IP и выбрать нужные сетевые профили.
5. Перезапустить службы и протестировать подключение.

Устранение неполадок — краткий план

• Если netstat не показывает слушатель на порту — проверьте включён ли TCP/IP и перезапустите службу SQL Server.
• Если netstat показывает слушание, но соединение отклоняется — проверьте правило брандмауэра и проброс портов на уровне маршрутизатора.
• Если подключение проходит частично — проверьте журналы SQL Server и Event Viewer.

Совместимость и примечания

• Инструкции применимы к SQL Server 2008 и выше, но пути установки и имена папок могут отличаться в зависимости от версии и редакции.
• На 64‑битных системах SSMS часто устанавливается в “Program Files (x86)”.

Резюме

Настройка брандмауэра Windows 11 для SQL Server — это комбинация корректной конфигурации TCP/IP в SQL Server и создания минимального набора правил в Windows Defender Firewall. Следуйте принципу наименьших привилегий: открывайте только необходимые порты, ограничивайте доступ по IP и используйте защищённые профили. Тестируйте подключение и мониторьте логи.

Если вам нужна помощь с безопасной конфигурацией или восстановлением повреждённой базы данных SQL Server, обратитесь к специализированным инструкциям или к профессиональной поддержке.

Спасибо за чтение! Оставляйте замечания и опыт в комментариях, это поможет другим читателям.