La connexion distante à une instance de SQL Server implique plusieurs étapes techniques et exigences de sécurité. Les étapes essentielles sont listées ensuite pour un accès rapide.
Avant toute modification, vérifiez les prérequis matériels, la connectivité réseau et les droits administrateur. Des outils comme SSMS, Azure VPN et solutions Redgate facilitent le diagnostic et la mise en œuvre.
A retenir :
- Activation du protocole TCP/IP sur l’instance SQL Server
- Ouverture du port 1433 dans le pare-feu Windows
- Vérification des comptes, des permissions et des modes d’authentification
- Surveillance continue via outils Redgate, Datadog ou SolarWinds
Activer les protocoles réseau pour SQL Server
Après la liste des actions, la priorité consiste à activer les protocoles réseau nécessaires sur l’instance. Cette activation passe par le gestionnaire de configuration et par le redémarrage contrôlé du service.
Étape
Description
Outil recommandé
Activer TCP/IP
Permet les connexions réseau au moteur de base de données
SQL Server Configuration Manager
Configurer les ports
Aligner le port d’écoute avec la politique réseau
Pare-feu Windows ou appliance réseau
Ouvrir le pare-feu
Autoriser le trafic entrant sur les ports SQL nécessaires
Pare-feu Windows, règles réseau
Redémarrer le service
Appliquer les modifications des protocoles et des ports
Services MMC ou PowerShell
Configurer TCP/IP et Named Pipes pour l’accès distant
Cette étape précise comment activer TCP/IP et Named Pipes via SQL Server Configuration Manager. Les paramètres d’écoute et d’adresse IP se règlent dans les propriétés du protocole pour chaque instance.
Selon Microsoft, l’activation correcte du protocole TCP/IP est la base des connexions distantes fiables. Une vérification systématique évite les erreurs d’écoute et les conflits de port.
Vérifications réseau :
- Adresse IP de l’hôte et interface réseau
- Résolution DNS fonctionnelle pour le nom d’hôte
- Routage et règles NAT adaptées pour accès distant
- Absence de conflit de ports avec d’autres services
Redémarrer le service et vérifier les points d’écoute
Cette section explique comment effectuer un redémarrage contrôlé du service et tester les points d’écoute avec outils standards. La méthode évite les interruptions imprévues des applications en production.
Étapes de redémarrage :
- Arrêt du service SQL Server via Services MMC
- Application des modifications de protocole et configuration
- Relevé des ports via netstat ou équivalents
- Validation des logs d’erreur pour détections rapides
« J’ai activé TCP/IP puis redémarré le service, la connexion distante s’est stabilisée rapidement »
« J’ai activé TCP/IP puis redémarré le service, la connexion distante s’est stabilisée rapidement »
Alice D.
Selon Redgate, tester l’écoute avant l’ouverture de ports réduit les allers-retours d’intervention. Après ces vérifications, l’enjeu suivant consiste à ouvrir et sécuriser les ports au niveau du pare-feu.
Ouvrir et sécuriser les ports dans le pare-feu Windows pour SQL Server
Une fois les protocoles actifs, l’ouverture des ports rend possible le routage des connexions entrantes vers l’instance. La gestion du pare-feu doit concilier accessibilité et mesures de réduction de la surface d’attaque.
Comprendre le rôle du port 1433 et du SQL Browser
Cette sous-partie clarifie pourquoi le port 1433 est central pour le moteur de base de données et le rôle du service SQL Browser UDP. Les instances nommées et dynamiques reposent souvent sur le SQL Browser pour l’aiguillage.
Selon Microsoft, le port 1433 reste le port TCP par défaut pour les connexions directes, tandis que 1434 dessert le service SQL Browser en UDP. Adapter la règle pare-feu aux ports effectifs évite l’exposition inutile.
Mesures pare-feu :
- Autoriser TCP 1433 uniquement depuis sous-réseaux autorisés
- Limiter l’accès UDP 1434 aux segments de management
- Utiliser des règles basées sur l’adresse source et l’heure
- Journaliser les connexions entrantes pour audits futurs
Outils et règles avancées pour filtrage et NAT
Cette partie présente des outils et règles pour filtrer, NATer et journaliser le trafic SQL vers l’instance. Les appliances réseau et le pare-feu Windows offrent des fonctions complémentaires selon l’architecture.
Outil
Usage principal
Utilité pour accès distant
Redgate
Déploiement et audit de schéma
Audit des changements pouvant affecter l’accès
Datadog
Supervision métriques et traces
Alerting sur échecs de connexion et latence
Navicat
Administration et accès client
Tests de connexion et migration distante
SolarWinds
Monitoring réseau et serveurs
Détection de congestion et problèmes de routage
Veeam
Sauvegarde et restauration
Protection des données accessibles à distance
Quest
Administration sécurité et permissions
Gestion centralisée des comptes et audits
« Nous avons ouvert le port 1433 uniquement aux VLAN d’application et réduit les incidents de sécurité »
« Nous avons ouvert le port 1433 uniquement aux VLAN d’application et réduit les incidents de sécurité »
Marc N.
Selon SolarWinds, une surveillance réseau fine détecte rapidement les anomalies de flux et facilite la remédiation. Après sécurisation des ports, l’attention se porte naturellement sur la gestion des comptes et permissions.
Gérer l’accès distant et sécuriser les comptes SQL Server
Après la sécurisation réseau, la gestion des comptes et permissions devient prioritaire pour limiter les accès non autorisés. La mise en œuvre combine politiques d’authentification, rôles serveur et contrôles applicatifs.
Modifier l’option remote access et bonnes pratiques
Cette partie décrit l’option remote access et son impact sur l’exécution de procédures entre serveurs liés. La valeur par défaut autorise les appels distants, mais ce comportement peut être révisé selon le besoin.
Selon Microsoft, l’option remote access est dépréciée et son usage doit être évité pour les nouveaux développements. Pour la désactiver, sp_configure permet d’ajuster l’option puis d’effectuer RECONFIGURE pour appliquer la valeur.
« J’ai désactivé remote access sur des instances non concernées par des serveurs liés, la surface d’appel distant a diminué »
« J’ai désactivé remote access sur des instances non concernées par des serveurs liés, la surface d’appel distant a diminué »
Clara P.
Surveillance, audits et outils pour maintien de l’accès distant
Cette section propose une approche de surveillance et d’audit pour garder le contrôle des connexions distantes. Les logs, métriques et alertes doivent être centralisés pour des réponses rapides.
Outils de surveillance :
- Datadog pour métriques et alertes sur connexions
- SolarWinds pour supervision réseau et topologie
- Redgate pour déploiement et contrôle des changements
- Quest pour audits de sécurité et gestion permissions
« L’utilisation conjointe de Datadog et SolarWinds a réduit nos temps de diagnostic réseau »
« L’utilisation conjointe de Datadog et SolarWinds a réduit nos temps de diagnostic réseau »
Paul M.
Selon Datadog, la corrélation des logs et des traces permet d’identifier rapidement les échecs d’authentification et les goulots d’accès applicatifs. La suite logique consiste à intégrer la sauvegarde et la supervision continue pour maintenir la disponibilité.
« Un audit régulier des permissions a permis d’identifier des comptes orphelins et de réduire les risques d’accès non autorisés »
« Un audit régulier des permissions a permis d’identifier des comptes orphelins et de réduire les risques d’accès non autorisés »
Simon L.
Pour compléter, un flux public de la communauté IT peut apporter des indicateurs opérationnels et des retours d’expérience utiles.
Source : Microsoft, « Se connecter à SQL Server », Microsoft Docs, 2024 ; Redgate, « Remote connections in SQL Server », Redgate Blog, 2023 ; SolarWinds, « SQL Server monitoring guide », SolarWinds, 2022.