Discussion :

[sihem_info]

bonjour a tous

Qui a une idée sur la différence entre ces deux configurations

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
EXEC sys.sp_configure N'remote access', N'1'
GO
RECONFIGURE WITH OVERRIDE
GO

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
EXEC sp_configure 'remote admin connections', 1; 
GO 
RECONFIGURE 
GO

Par défaut la première il est activée et il a la valeur 1 et la deuxième il est désactivé et il a la valeur 0
merci

[François DORIN]

Bonjour,

Comme tu l'auras deviné, il s'agit d'activer ou non des connexions à distance. Le type de connexion autorisé diffère en fonction de la commande.

La première, c'est pour les connexions usuelles au serveur de base de données. En gros, dès que tu souhaites faire une requête (un SELECT, un INSERT, etc...). C'est la connexion qui est utilisée par défaut par les applicatifs (et qui ne doive d'ailleurs utiliser que celle-ci !). Par exemple, si le nombre max de connexion est atteinte, alors un nouvel utilisateur ne pourra pas se connecter au serveur.

La seconde concerne les connexions pour les administrateurs. C'est un canal à part qui sera toujours disponible (même en cas de nombre max de connexion atteint). Son objectif est de permettre à un DBA d'intervenir, notamment en cas d'urgence, sur le serveur. Ce sera dommage que suite à un problème, plus aucune connexion ne soit disponible et qu'il ne puisse donc pas se connecter au serveur afin de rectifier cela !

[sihem_info]

La seconde concerne les connexions pour les administrateurs. C'est un canal à part qui sera toujours disponible (même en cas de nombre max de connexion atteint). Son objectif est de permettre à un DBA d'intervenir, notamment en cas d'urgence, sur le serveur. Ce sera dommage que suite à un problème, plus aucune connexion ne soit disponible et qu'il ne puisse donc pas se connecter au serveur afin de rectifier cela !

Cette canal qui est dédier pour les administrateur est ce qu'il utilise la même port TCP 1433 configurer par défaut ?

[François DORIN]

Non. Par défaut c'est le 1434.

Plus d'info sur la MSDN

[SQLpro]

Et il est extrêmement dangereux de le laisser ouverte aux connexion distantes la connexion DAC (remote admin connections) car vous pourriez perdre votre serveur en cas d'attaque par déni de service.

A +

[janlouk]

Et il est extrêmement dangereux de le laisser ouverte aux connexion distantes la connexion DAC (remote admin connections) car vous pourriez perdre votre serveur en cas d'attaque par déni de service.

A +

Cela veut dire qu'on ne doit pas activer DAC partout ?

[SQLpro]

Cela veut dire qu'on ne doit pas activer DAC partout ?

DAC est toujours disponible en connexion locale. Vous pouvez activer DAC en connexion distante à tout moment. Néanmoins une connexion DAC est une connexion administrateur d'urgence à n'utiliser qu'en dernier recours... Avez-vous besoin d'agir en extrême urgence en permanence et à distance ???

DAC est doté des même pouvoir que toute connexion bénéficiaire du rôle SYSADMIN ou du privilège CONTROL sur le serveur SQL. La seule différence c'est que le moteur lui alloue des ressources mémoire et thread supplémentaire lors de l'activation, au détriment de tous les autres utilisateur !!!!

Ainsi en laissant DAC en connexion à distance, en cas d'attaque DOS, un bon hacker vous met à genoux le serveur de manière définitive et il faudra l'isoler du réseau pour rétablir la situation par un redémarrage !

A +

[janlouk]

DAC est toujours disponible en connexion locale. Vous pouvez activer DAC en connexion distante à tout moment. Néanmoins une connexion DAC est une connexion administrateur d'urgence à n'utiliser qu'en dernier recours... Avez-vous besoin d'agir en extrême urgence en permanence et à distance ???

DAC est doté des même pouvoir que toute connexion bénéficiaire du rôle SYSADMIN ou du privilège CONTROL sur le serveur SQL. La seule différence c'est que le moteur lui alloue des ressources mémoire et thread supplémentaire lors de l'activation, au détriment de tous les autres utilisateur !!!!

Ainsi en laissant DAC en connexion à distance, en cas d'attaque DOS, un bon hacker vous met à genoux le serveur de manière définitive et il faudra l'isoler du réseau pour rétablir la situation par un redémarrage !

A +

Non jamais, je n'ai jamais dû le faire...

Donc si je fais ça sur mon instance:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
EXEC sp_configure 'remote admin connections', 1;
GO
RECONFIGURE
GO

Je le laisse ouvert en permanence et donc c'est dangereux...

Pourquoi est-ce une des recommandations qu'un consultant Microsoft nous avait donnés pour nos instances pour nos migrations de 2008R2 à 2012... C'est une grosse erreur alors ?

[François DORIN]

Pourquoi est-ce une des recommandations qu'un consultant Microsoft nous avait donnés pour nos instances pour nos migrations de 2008R2 à 2012... C'est une grosse erreur alors ?

C'était peut être pendant la durée de la migration. Pour que le consultant puisse intervenir à distance en cas de besoin.

Néanmoins, SQLPro a raison. Et je pense que sa réputation n'est plus à faire dans ce domaine là !

[janlouk]

Néanmoins, SQLPro a raison. Et je pense que sa réputation n'est plus à faire dans ce domaine là !

Pas de soucis, je vais suivre cette recommandation. Mais le consultant Microsoft, sa réputation n'est plus à faire non plus

[SQLpro]

...

Pourquoi est-ce une des recommandations qu'un consultant Microsoft nous avait donnés pour nos instances pour nos migrations de 2008R2 à 2012... C'est une grosse erreur alors ?

Oui c'est une grosse connerie.
Il y a hélas beaucoup de personnes qui s'improvisent consultant en çi ou là... Avant d'en choisir un, mieux vaut vérifier son pédigrée !

A +