Angeben und Einschränken von Ports
Es gibt eine Vielzahl von Ports, die für den Zugriff auf MicrosoftSQL ServerAnalysis Services verwendet werden. Welchen Port ein Client verwendet, richtet sich nach der Analysis Services-Konfiguration.
Die folgenden Ports stehen zum Zugreifen auf Analysis Services zur Verfügung:
Der von Analysis Services verwendete Port. Jede Instanz von Analysis Services überwacht einen bestimmten TCP/IP-Port auf eingehende Clientanforderungen. Die Standardinstanz von Analysis Services überwacht den TCP/IP-Port 2383, dagegen verwenden benannte Instanzen von Analysis Services keinen Standardport. Benannte Instanzen können eine Vielzahl von Ports verwenden. Verwenden Sie zur Erhöhung der Sicherheit eine Firewall, um den Zugriff auf Analysis Services aus dem Internet einzuschränken.
Der Port, der von den Internetinformationsdiensten (IIS) verwendet wird. Benutzer können über IIS auch eine Verbindung zu einer Instanz von Analysis Services herstellen. Wenn Sie eine Firewall verwenden, um den direkten Zugriff auf Analysis Services aus dem Internet zu verhindern, können Sie IIS zum Authentifizieren von Internetbenutzern verwenden, bevor diese Benutzer eine Verbindung zur Instanz von Analysis Services herstellen können. Wenn Sie IIS verwenden, muss nur der IIS-Port auf der Internetfirewall offen sein.
Einschränken der von Analysis Services verwendeten TCP/IP-Ports
Obwohl die Standardinstanz von Analysis Services den Port 2383 überwacht, variiert der Port, den eine benannte Instanz von Analysis Services verwendet. Jede benannte Instanz überwacht entweder den Port, den ein Administrator angibt, oder den Port, der beim Starten dynamisch zugewiesen wird. Diese Variabilität innerhalb der Ports bedeutet, dass Clients nicht automatisch wissen, welchen Port eine bestimmte benannte Instanz von Analysis Services verwendet, und deshalb auch nicht wissen können, wohin die Anforderungen gesendet werden müssen.
Damit Clients auf einfache Weise Anforderungen an benannte Instanzen von Analysis Services senden können, verfügt SQL Server über einen Dienst namens SQL Server-Browser. SQL Server-Browser verfolgt nach, welche Ports von den einzelnen benannten Instanzen überwacht werden. Clientverbindungsanforderungen für eine benannte Instanz, in denen keine Portnummer angegeben ist, werden zu Port 2382 geleitet, dem Port, der von SQL Server-Browser überwacht wird. SQL Server-Browser leitet dann die Anforderung an den Port um, der von der benannten Instanz verwendet wird.
Benutzer können auch eine Ermittlungsanforderung an SQL Server-Browser für eine Liste der auf dem Computer ausgeführten benannten Instanzen ausgeben. In einer sicheren Intranetumgebung erleichtert diese Fähigkeit, von SQL Server-Browser eine Liste von benannten Instanzen abzufragen, Benutzern das Herstellen einer Verbindung mit den entsprechenden Instanzen und stellt nur ein geringes Sicherheitsrisiko dar. Diese Fähigkeit zum Abfragen von SQL Server-Browser stellt jedoch ein Sicherheitsproblem dar, wenn Clients über das Internet auf Analysis Services zugreifen können. Deaktivieren Sie SQL Server-Browser, und verhindern Sie so, dass Benutzer benannte Instanzen von Analysis Services ermitteln können. Dadurch wird die Sicherheit erhöht, wenn über das Internet auf Instanzen von Analysis Services zugegriffen werden kann.
Einschränken der von Analysis Services nicht verwendeten TCP/IP-Ports
Um die TCP/IP-Ports einzuschränken, die Analysis Services nicht verwendet, müssen Sie zunächst die Ports überprüfen, die auf dem Computer aktiv sind, auf dem Analysis Services ausgeführt wird. Dazu muss überprüft werden, welche TCP/IP-Ports überwacht werden und welchen Status diese Ports besitzen.
Um zu überprüfen, welche Ports überwacht werden, verwenden Sie das netstat-Befehlszeilen-Dienstprogramm. Zusätzlich zur Anzeige der aktiven TCP-Verbindungen werden mit dem netstat-Dienstprogramm auch eine Reihe von IP-Statistiken und -Informationen angezeigt.
So überprüfen Sie, auf welchen TCP/IP-Ports die Überwachung erfolgt
Öffnen Sie das Eingabeaufforderungsfenster.
Geben Sie an der Eingabeaufforderung netstat -n -a ein.
Mit dem -n-Schalter wird netstat angewiesen, die Adressen und die Portnummern der aktiven TCP-Verbindungen numerisch anzuzeigen. Mit dem -a-Schalter wird netstat angewiesen, die TCP- und UDP-Ports anzuzeigen, die vom Computer überwacht werden.
Um den Status der TCP/IP-Ports zu überprüfen, verwenden Sie das PortQry-Dienstprogramm. Dieses Befehlszeilen-Dienstprogramm meldet den Status der TCP/IP-Ports als überwacht, nicht überwacht oder gefiltert. (Der gefilterte Status bedeutet, dass der Port überwacht oder nicht überwacht wird. Dieser Status gibt an, dass das Dienstprogramm keine Antwort vom Port empfangen hat.) Das Dienstprogramm PortQry steht im Microsoft-Downloadcenter zum Herunterladen zur Verfügung.
Nachdem Sie überprüft haben, welche Ports aktiv sind und welchen Status diese Ports besitzen, müssen Sie feststellen, welche Ports für den Verbindungsaufbau zu Analysis Services nicht benötigt werden. Deaktivieren Sie dann die Dienste auf diesen nicht benötigten Ports, oder schränken Sie den Zugriff auf diese Ports durch Verwenden einer Firewall ein.
Weitere Informationen zu den Standardeinstellungen der Windows-Firewall und eine Beschreibung der TCP-Ports, die sich auf Datenbankmodul, Analysis Services, Reporting Services und Integration Services auswirken, finden Sie unter Konfigurieren der Windows-Firewall für den SQL Server-Zugriff.
Einschränken von IIS-Ports
Wenn Benutzer über IIS und das Internet auf Analysis Services zugreifen, sollten Sie eine Firewall zwischen dem Client und IIS bereitstellen. Mit dieser Firewall können Sie die Ports einschränken, über die Benutzer sowohl auf IIS als auch auf den Computer zugreifen können, auf dem Analysis Services ausgeführt wird. Weitere Informationen zu Firewalls finden Sie unter Perimeter Firewall Design auf Microsoft TechNet.
Wenn Sie eine Firewall bereitstellen, müssen Sie den Port öffnen, den IIS überwacht, und diesen Port in der Clientverbindungszeichenfolge angeben. In diesem Fall müssen keine Ports für den direkten Zugriff auf Analysis Services geöffnet sein. Der Standardport 2382 sollte gemeinsam mit allen anderen Ports eingeschränkt werden, die nicht benötigt werden.