Partager via

Configurer le Pare-feu Windows pour autoriser l’accès à Analysis Services

S’applique à : SQL Server Analysis Services Azure Analysis Services Fabric/Power BI Premium

Une première étape essentielle pour rendre SQL Server Analysis Services ou Power Pivot pour SharePoint disponible sur le réseau consiste à déterminer si vous devez débloquer des ports dans un pare-feu. La plupart des installations nécessitent la création d’au moins une règle de pare-feu liée qui autorise les connexions à SQL Server Analysis Services.

Les exigences de configuration du pare-feu varient selon la façon dont vous avez installé SQL Server Analysis Services :

  • Ouvrez le port TCP 2383 lors de l’installation d’une instance par défaut ou de la création d’un cluster de basculement SQL Server Analysis Services.

  • Ouvrez le port TCP 2382 lors de l’installation d’une instance nommée. Les instances nommées utilisent des affectations de ports dynamiques. En tant que service de découverte pour Analysis Services, le service SQL Server Browser écoute sur le port TCP 2382 et redirige la demande de connexion vers le port actuellement utilisé par SQL Server Analysis Services.

  • Ouvrez le port TCP 2382 lors de l’installation de SQL Server Analysis Services en mode SharePoint pour prendre en charge Power Pivot pour SharePoint 2013. Dans Power Pivot pour SharePoint 2013, l’instance SQL Server Analysis Services est externe à SharePoint. Les demandes entrantes adressées à l’instance nommée « Power Pivot » proviennent d’applications web SharePoint via une connexion réseau, nécessitant un port ouvert. Comme avec d’autres instances nommées SQL Server Analysis Services, créez une règle de trafic entrant pour le service SQL Server Browser sur TCP 2382 pour autoriser l’accès à Power Pivot pour SharePoint.

  • Pour Power Pivot pour SharePoint 2010, n’ouvrez pas de ports dans le Pare-feu Windows. En tant que complément à SharePoint, le service utilise des ports configurés pour SharePoint et établit uniquement des connexions locales à l’instance SQL Server Analysis Services qui charge et interroge des modèles de données Power Pivot.

  • Pour les instances SQL Server Analysis Services s’exécutant sur des machines virtuelles Windows Azure, utilisez d’autres instructions pour configurer l’accès au serveur. Consultez SQL Server Business Intelligence dans les machines virtuelles Windows Azure.

Bien que l’instance par défaut de SQL Server Analysis Services écoute sur le port TCP 2383, vous pouvez configurer le serveur pour écouter sur un autre port fixe, se connecter au serveur au format suivant : <servername> :<portnumber>.

Note

Vous ne pouvez pas utiliser un port non par défaut pour Analysis Services si vous devez vous connecter à votre instance à l’aide de Kerberos. Pour plus d’informations, consultez l’inscription SPN pour les instances SSAS à l’écoute sur les ports fixes

Un seul port TCP peut être utilisé par une instance SQL Server Analysis Services. Sur les ordinateurs ayant plusieurs cartes réseau ou plusieurs adresses IP, SQL Server Analysis Services écoute sur un port TCP pour toutes les adresses IP affectées ou alias à l’ordinateur. Si vous avez des exigences spécifiques sur plusieurs ports, envisagez de configurer SQL Server Analysis Services pour l’accès HTTP. Vous pouvez ensuite configurer plusieurs points de terminaison HTTP sur les ports que vous choisissez. Consultez Configurer l’accès HTTP à Analysis Services sur Internet Information Services (IIS) 8.0.

Cette rubrique contient les sections suivantes :

Pour plus d’informations sur les paramètres par défaut du Pare-feu Windows et pour obtenir une description des ports TCP qui affectent le moteur de base de données, Analysis Services, Reporting Services et Integration Services, consultez Configurer le Pare-feu Windows pour autoriser l’accès à SQL Server.

Vérifier les paramètres de port et de pare-feu pour Analysis Services

Sur les systèmes d’exploitation Microsoft Windows pris en charge par SQL Server 2017, le Pare-feu Windows est activé par défaut et bloque les connexions à distance. Vous devez ouvrir manuellement un port dans le pare-feu pour autoriser les requêtes entrantes à Analysis Services. Le programme d’installation de SQL Server n’effectue pas cette étape pour vous.

Les paramètres de port sont spécifiés dans le fichier msmdsrv.ini et dans la page Propriétés générales d’une instance Analysis Services dans SQL Server Management Studio. Si le port est défini sur un entier positif, le service écoute sur un port fixe. Si le port est défini sur 0, le service écoute le port 2383 s’il s’agit de l’instance par défaut ou sur un port attribué dynamiquement s’il s’agit d’une instance nommée.

Les affectations de ports dynamiques sont utilisées uniquement par les instances nommées. Le service MSOLAP$InstanceName détermine le port à utiliser lors du démarrage. Vous pouvez déterminer le numéro de port réel utilisé par une instance nommée en procédant comme suit :

  • Démarrez le Gestionnaire des tâches, puis cliquez sur Services pour obtenir le PID de MSOLAP$InstanceName.

  • Exécutez netstat -ao -p TCP à partir de la ligne de commande pour afficher les informations de port TCP pour ce PID.

  • Vérifiez le port à l’aide de SQL Server Management Studio et connectez-vous à un serveur Analysis Services au format suivant : <IPAddress> :<portnumber>.

Bien qu’une application puisse écouter sur un port spécifique, les connexions ne réussissent pas si un pare-feu bloque l’accès. Pour que les connexions atteignent une instance Analysis Services nommée, vous devez débloquer l’accès à msmdsrv.exe ou au port fixe sur lequel il écoute dans le pare-feu. Les sections restantes de cette rubrique fournissent des instructions pour ce faire.

Pour vérifier si les paramètres de pare-feu sont déjà définis pour Analysis Services, utilisez le Pare-feu Windows avec Advanced Security dans le Panneau de configuration. La page Pare-feu du dossier Surveillance affiche une liste complète des règles définies pour le serveur local.

Notez que pour SQL Server Analysis Services, toutes les règles de pare-feu doivent être définies manuellement. Bien que SQL Server Analysis Services et SQL Server Browser réservent les ports 2382 et 2383, ni le programme d’installation de SQL Server ni aucun des outils de configuration ne définissent des règles de pare-feu qui autorisent l’accès aux ports ou aux fichiers exécutables du programme.

Configurer le Pare-feu Windows pour une instance par défaut d’Analysis Services

L’instance par défaut de SQL Server Analysis Services écoute sur le port TCP 2383. Si vous avez installé l’instance par défaut et que vous souhaitez utiliser ce port, vous devez débloquer uniquement l’accès entrant au port TCP 2383 dans le Pare-feu Windows pour activer l’accès à distance à l’instance par défaut de SQL Server Analysis Services. Si vous avez installé l’instance par défaut, mais que vous souhaitez configurer le service pour écouter sur un port fixe, consultez Utiliser un port fixe pour une instance par défaut ou nommée d’Analysis Services dans cette rubrique.

Pour vérifier si le service s’exécute en tant qu’instance par défaut (MSSQLServerOLAPService), vérifiez le nom du service dans le Gestionnaire de configuration SQL Server. Une instance par défaut d’Analysis Services est toujours répertoriée en tant que SQL Server Analysis Services (MSSQLSERVER).

Note

Différents systèmes d’exploitation Windows fournissent d’autres outils pour configurer le Pare-feu Windows. La plupart de ces outils vous permettent d’ouvrir un port ou un exécutable de programme spécifique. À moins que vous n'ayez une raison de préciser l'exécutable du programme, nous vous recommandons de préciser le port.

Lorsque vous spécifiez une règle de trafic entrant, veillez à adopter une convention d’affectation de noms qui vous permet de trouver facilement les règles ultérieurement (par exemple, SQL Server Analysis Services (TCP-in) 2383).

Pare-feu Windows avec sécurité avancée

  1. Sur Windows 7 ou Windows Vista, dans le Panneau de configuration, cliquez sur Système et Sécurité, sélectionnez Pare-feu Windows, puis cliquez sur Paramètres avancés. Sur Windows Server 2008 ou 2008 R2, ouvrez Outils d’administrateur et cliquez sur Pare-feu Windows avec Advanced Security. Sur Windows Server 2012, ouvrez la page Applications et tapez Pare-feu Windows.

  2. Cliquez avec le bouton droit sur Règles de trafic entrant et sélectionnez Nouvelle règle.

  3. Dans Type de règle, cliquez sur Port , puis sur Suivant.

  4. Dans Protocole et ports, sélectionnez TCP , puis tapez 2383 dans des ports locaux spécifiques.

  5. En action, cliquez sur Autoriser la connexion , puis sur Suivant.

  6. Dans Profil, désactivez les emplacements réseau qui ne s’appliquent pas, puis cliquez sur Suivant.

  7. Dans Nom, tapez un nom descriptif pour cette règle (par exemple, SQL Server Analysis Services (tcp-in) 2383), puis cliquez sur Terminer.

  8. Pour vérifier que les connexions à distance sont activées, ouvrez SQL Server Management Studio ou Excel sur un autre ordinateur et connectez-vous à SQL Server Analysis Services en spécifiant le nom réseau du serveur dans le nom du serveur.

    Note

    D’autres utilisateurs n’auront pas accès à ce serveur tant que vous n’accordez pas les autorisations. Pour plus d’informations, consultez Autorisation de l’accès aux objets et aux opérations (Analysis Services).

Syntaxe Netsh - AdvFirewall

  • La commande suivante crée une règle de trafic entrant qui autorise les requêtes entrantes sur le port TCP 2383.

    netsh advfirewall firewall add rule name="SQL Server Analysis Services inbound on TCP 2383" dir=in action=allow protocol=TCP localport=2383 profile=domain

Configurer l’accès au Pare-feu Windows pour une instance nommée d’Analysis Services

Les instances nommées de SQL Server Analysis Services peuvent écouter sur un port fixe ou sur un port attribué dynamiquement, où le service SQL Server Browser fournit les informations de connexion actuelles pour le service au moment de la connexion.

Le service SQL Server Browser écoute sur le port TCP 2382. UDP n’est pas utilisé. TCP est le seul protocole de transmission utilisé par SQL Server Analysis Services.

Choisissez l’une des approches suivantes pour activer l’accès à distance à une instance nommée d’Analysis Services :

  • Utilisez les affectations de ports dynamiques et le service SQL Server Browser. Débloquez le port utilisé par le service SQL Server Browser dans le Pare-feu Windows. Connectez-vous au serveur au format suivant : <nom_serveur>\<nom_instance>.

  • Utilisez ensemble un port fixe et un service SQL Server Browser. Cette approche vous permet de vous connecter à l’aide de ce format : <nom_serveur>\<nom_instance>, identique à l’approche d’attribution de port dynamique, sauf que, dans ce cas, le serveur écoute sur un port fixe. Dans ce scénario, le service SQL Server Browser fournit une résolution de noms à l’instance d'Analysis Services à l’écoute sur le port fixe. Pour utiliser cette approche, configurez le serveur pour écouter sur un port fixe, débloquer l’accès à ce port et débloquer l’accès au port utilisé par le service SQL Server Browser.

Le service SQL Server Browser est utilisé uniquement avec des instances nommées, jamais avec l’instance par défaut. Le service est automatiquement installé et activé chaque fois que vous installez une fonctionnalité SQL Server en tant qu’instance nommée. Si vous choisissez une approche qui nécessite le service SQL Server Browser, assurez-vous qu’elle reste activée et démarrée sur votre serveur.

Si vous ne pouvez pas utiliser le service SQL Server Browser, vous devez affecter un port fixe dans la chaîne de connexion, en contournant la résolution de noms de domaine. Sans le service SQL Server Browser, toutes les connexions clientes doivent inclure le numéro de port sur la chaîne de connexion (par exemple, AW-SRV01:54321).

Option 1 : Utiliser des affectations de ports dynamiques et débloquer l’accès au service SQL Server Browser

Les affectations de ports dynamiques pour les instances nommées d’Analysis Services sont établies par MSOLAP$InstanceName au démarrage du service. Par défaut, le service demande le premier numéro de port disponible qu’il trouve, en utilisant un numéro de port différent chaque fois que le service est redémarré.

La résolution de noms d’instance est gérée par le service de navigateur SQL Server. Le déblocage du port TCP 2382 pour le service SQL Server Browser est toujours nécessaire si vous utilisez des affectations de ports dynamiques avec une instance nommée.

Note

Le service SQL Server Browser écoute le port UDP 1434 et le port TCP 2382 pour le moteur de base de données et Analysis Services, respectivement. Même si vous avez déjà débloqué le port UDP 1434 pour le service SQL Server Browser, vous devez toujours débloquer le port TCP 2382 pour Analysis Services.

Pare-feu Windows avec sécurité avancée

  1. Sur Windows 7 ou Windows Vista, dans le Panneau de configuration, cliquez sur Système et Sécurité, sélectionnez Pare-feu Windows, puis cliquez sur Paramètres avancés. Sur Windows Server 2008 ou 2008 R2, ouvrez Outils d’administrateur et cliquez sur Pare-feu Windows avec Advanced Security. Sur Windows Server 2012, ouvrez la page Applications et tapez Pare-feu Windows.

  2. Pour débloquer l’accès au service SQL Server Browser, cliquez avec le bouton droit sur Règles de trafic entrant et sélectionnez Nouvelle règle.

  3. Dans Type de règle, cliquez sur Port , puis sur Suivant.

  4. Dans Protocole et ports, sélectionnez TCP , puis tapez 2382 dans des ports locaux spécifiques.

  5. En action, cliquez sur Autoriser la connexion , puis sur Suivant.

  6. Dans Profil, désactivez les emplacements réseau qui ne s’appliquent pas, puis cliquez sur Suivant.

  7. Dans Nom, tapez un nom descriptif pour cette règle (par exemple, SQL Server Browser Service (tcp-in) 2382), puis cliquez sur Terminer.

  8. Pour vérifier que les connexions distantes sont activées, ouvrez SQL Server Management Studio ou Excel sur un autre ordinateur et connectez-vous à Analysis Services en spécifiant le nom réseau du serveur et le nom de l’instance au format suivant : <nom>_serveur\<nom>_instance. Par exemple, sur un serveur nommé AW-SRV01 avec une instance nommée de Finance, le nom du serveur est AW-SRV01\Finance.

Option 2 : Utiliser un port fixe pour une instance nommée

Vous pouvez également affecter un port fixe, puis débloquer l’accès à ce port. Cette approche offre une meilleure fonctionnalité d’audit que si vous avez autorisé l’accès au fichier exécutable du programme. Pour cette raison, l’utilisation d’un port fixe est l’approche recommandée pour accéder à n’importe quelle instance Analysis Services.

Pour affecter un port fixe, suivez les instructions fournies dans Utiliser un port fixe pour une instance par défaut ou nommée d’Analysis Services dans cette rubrique, puis revenez à cette section pour débloquer le port.

Pare-feu Windows avec sécurité avancée

  1. Sur Windows 7 ou Windows Vista, dans le Panneau de configuration, cliquez sur Système et Sécurité, sélectionnez Pare-feu Windows, puis cliquez sur Paramètres avancés. Sur Windows Server 2008 ou 2008 R2, ouvrez Outils d’administrateur et cliquez sur Pare-feu Windows avec Advanced Security. Sur Windows Server 2012, ouvrez la page Applications et tapez Pare-feu Windows.

  2. Pour débloquer l’accès à Analysis Services, cliquez avec le bouton droit sur Règles de trafic entrant et sélectionnez Nouvelle règle.

  3. Dans Type de règle, cliquez sur Port , puis sur Suivant.

  4. Dans Protocole et ports, sélectionnez TCP , puis tapez le port fixe dans des ports locaux spécifiques.

  5. En action, cliquez sur Autoriser la connexion , puis sur Suivant.

  6. Dans Profil, désactivez les emplacements réseau qui ne s’appliquent pas, puis cliquez sur Suivant.

  7. Dans Nom, tapez un nom descriptif pour cette règle (par exemple, SQL Server Analysis Services sur le port 54321), puis cliquez sur Terminer.

  8. Pour vérifier que les connexions à distance sont activées, ouvrez SQL Server Management Studio ou Excel sur un autre ordinateur et connectez-vous à Analysis Services en spécifiant le nom réseau du serveur et le numéro de port au format suivant : <servername> :<portnumber>.

Syntaxe Netsh - AdvFirewall

  • Les commandes suivantes créent des règles de trafic entrant qui débloquent TCP 2382 pour le service SQL Server Browser et débloquent le port fixe que vous avez spécifié pour l’instance Analysis Services. Vous pouvez exécuter l’une ou l’autre pour autoriser l’accès à une instance Analysis Services nommée.

    Dans cet exemple de commande, le port 54321 est le port fixe. Veillez à le remplacer par le port réel utilisé sur votre système.

    netsh advfirewall firewall add rule name="SQL Server Analysis Services (tcp-in) on 54321" dir=in action=allow protocol=TCP localport=54321 profile=domain  

    netsh advfirewall firewall add rule name="SQL Server Browser Services inbound on TCP 2382" dir=in action=allow protocol=TCP localport=2382 profile=domain

Utiliser un port fixe pour une instance par défaut ou nommée d’Analysis Services

Cette section explique comment configurer Analysis Services pour écouter sur un port fixe. L’utilisation d’un port fixe est courante si vous avez installé Analysis Services en tant qu’instance nommée, mais vous pouvez également utiliser cette approche si les exigences métier ou de sécurité spécifient que vous utilisez des affectations de port non par défaut.

Notez que l’utilisation d’un port fixe modifie la syntaxe de connexion de l’instance par défaut en vous obligeant à ajouter le numéro de port au nom du serveur. Par exemple, la connexion à une instance Analysis Services locale et par défaut à l’écoute sur le port 54321 dans SQL Server Management Studio nécessite que vous tapez localhost :54321 comme nom de serveur dans la boîte de dialogue Se connecter au serveur dans Management Studio.

Si vous utilisez une instance nommée, vous pouvez affecter un port fixe sans modification à la façon dont vous spécifiez le nom du serveur (en particulier, vous pouvez utiliser <servername\instancename> pour vous connecter à une instance nommée à l’écoute sur un port fixe). Cela fonctionne uniquement si le service SQL Server Browser est en cours d’exécution et que vous avez débloqué le port sur lequel il écoute. Le service SQL Server Browser fournit une redirection vers le port fixe en fonction de <servername\instancename>. Tant que vous ouvrez des ports pour le service SQL Server Browser et l'instance nommée d'Analysis Services écoutant sur un port fixe, le service SQL Server Browser résoudra la connexion à une instance nommée.

  1. Déterminez un port TCP/IP disponible à utiliser.

    Pour afficher la liste des ports réservés et inscrits que vous devez éviter d’utiliser, consultez Les numéros de port (IANA). Pour afficher la liste des ports déjà utilisés sur votre système, ouvrez une fenêtre d’invite de commandes et tapez netstat -a -p TCP pour afficher une liste des ports TCP ouverts sur le système.

  2. Après avoir déterminé le port à utiliser, spécifiez le port en modifiant le paramètre de configuration du port dans le fichier msmdsrv.ini ou dans la page Propriétés générales d’une instance Analysis Services dans SQL Server Management Studio.

  3. Redémarrez le service.

  4. Configurez le Pare-feu Windows pour débloquer le port TCP que vous avez spécifié. Ou, si vous utilisez un port fixe pour une instance nommée, débloquez à la fois le port TCP que vous avez spécifié pour cette instance et le port TCP 2382 pour le service SQL Server Browser.

  5. Vérifiez en vous connectant localement (dans Management Studio), puis à distance à partir d’une application cliente sur un autre ordinateur. Pour utiliser Management Studio, connectez-vous à une instance Analysis Services par défaut en spécifiant un nom de serveur au format suivant : <nom_serveur> :<portnumber>. Pour une instance nommée, spécifiez le nom du serveur en tant que <nom_serveur>\<nom_instance>.

Configuration de port pour un cluster Analysis Services

Un cluster de basculement SQL Server Analysis Services écoute toujours sur le port TCP 2383, qu'il soit installé en tant qu'instance par défaut, ou qu'il s'agisse d'une instance nommée. Les affectations de ports dynamiques ne sont pas utilisées par SQL Server Analysis Services lorsqu’elles sont installées sur un cluster de basculement Windows. Veillez à ouvrir TCP 2383 sur chaque nœud exécutant SQL Server Analysis Services dans le cluster. Pour plus d’informations sur le clustering SQL Server Analysis Services, consultez Guide pratique pour clusterr SQL Server Analysis Services.

Configuration de port pour Power Pivot pour SharePoint

L’architecture de serveur pour Power Pivot pour SharePoint est fondamentalement différente selon la version de SharePoint que vous utilisez.

SharePoint 2013

Dans SharePoint 2013, Excel Services redirige les demandes de modèles de données Power Pivot, qui sont ensuite chargés sur une instance SQL Server Analysis Services en dehors de l’environnement SharePoint. Les connexions suivent le modèle classique, où une bibliothèque de client Analysis Services sur un ordinateur local envoie une demande de connexion à une instance SQL Server Analysis Services distante dans le même réseau.

Étant donné que Power Pivot pour SharePoint installe toujours SQL Server Analysis Services en tant qu’instance nommée, vous devez supposer que le service SQL Server Browser est actif et que les ports dynamiques sont attribués. Comme indiqué précédemment, le service SQL Server Browser écoute le port TCP 2382 pour les demandes de connexion envoyées aux instances nommées SQL Server Analysis Services, en redirigeant la requête vers le port actuel.

Notez qu’Excel Services dans SharePoint 2013 ne prend pas en charge la syntaxe de connexion de port fixe. Vérifiez donc que le service SQL Server Browser est accessible.

SharePoint 2010

Si vous utilisez SharePoint 2010, vous n’avez pas besoin d’ouvrir des ports dans le Pare-feu Windows. SharePoint ouvre les ports requis et les compléments tels que Power Pivot pour SharePoint fonctionnent dans l’environnement SharePoint. Dans une installation de Power Pivot pour SharePoint 2010, le service système Power Pivot utilise exclusivement l’instance de service SQL Server Analysis Services (Power Pivot) locale installée sur le même ordinateur. Il utilise des connexions locales, et non des connexions réseau, pour accéder au service de moteur Analysis Services local qui charge, interroge et traite les données Power Pivot sur le serveur SharePoint. Pour demander des données Power Pivot à partir d’applications clientes, les demandes sont routées via des ports ouverts par le programme d’installation de SharePoint (en particulier, les règles de trafic entrant sont définies pour autoriser l’accès à SharePoint - 80, l’Administration centrale sharePoint v4, les services web SharePoint et SPUserCodeV4). Étant donné que les services web Power Pivot s’exécutent dans une batterie de serveurs SharePoint, les règles de pare-feu SharePoint sont suffisantes pour l’accès à distance aux données Power Pivot dans une batterie de serveurs SharePoint.

Voir aussi

Service SQL Server Browser (moteur de base de données et SSAS)
Démarrer, arrêter, suspendre, reprendre, redémarrer le moteur de base de données, SQL Server Agent ou le service SQL Server Browser
Configurer un pare-feu Windows pour accéder au moteur de base de données

  • Last updated on