Настройка брандмауэра Windows на разрешение доступа к службам Analysis Services
Важный первый шаг предоставления доступа к Службы Analysis Services или PowerPivot для SharePoint по сети состоит в определении того, требуется ли разблокировать порты брандмауэра. Для большинства установок необходимо создать по крайней мере одно правило брандмауэра для входящих подключений, которое разрешает подключаться к службам Службы Analysis Services.
Требования к конфигурации брандмауэра зависят от того, как был установлен компонент служб Службы Analysis Services.
При установке экземпляра по умолчанию или создании отказоустойчивого кластера служб Службы Analysis Services откройте TCP-порт 2383.
При установке именованного экземпляра откройте TCP-порт 2382. Именованные экземпляры используют динамическое назначение портов. В качестве службы обнаружения для служб Analysis Services служба обозревателя SQL Server прослушивает TCP-порт 2382 и перенаправляет запрос на подключение к порту, используемому в настоящее время службами Службы Analysis Services.
При установке служб Службы Analysis Services в режиме интеграции с SharePoint для поддержки PowerPivot для SharePoint 2013 откройте TCP-порт 2382. В PowerPivot для SharePoint 2013 экземпляр служб Службы Analysis Services находится за пределами SharePoint. Входящие запросы к именованному экземпляру PowerPivot исходят от веб-приложений SharePoint по сетевому подключению, поэтому для них требуется открытый порт. Как и в случае с другими именованными экземплярами служб Службы Analysis Services, создайте правило для входящих подключений для службы обозревателя SQL Server на TCP-порт 2382, чтобы разрешить доступ к PowerPivot для SharePoint.
Для PowerPivot для SharePoint 2010 открывать порты в брандмауэре Windows не требуется. В качестве надстройки к SharePoint служба использует порты, настроенные для SharePoint, и устанавливает только локальные соединения с экземпляром служб Службы Analysis Services, который загружает модели данных PowerPivot и выполняет к ним запросы.
Для экземпляров служб Службы Analysis Services, выполняющихся на виртуальных машинах Windows Azure, используйте альтернативные инструкции по настройке доступа к серверу. См. раздел SQL Server Business Intelligence на виртуальных машинах Windows Azure.
Несмотря на то что экземпляр по умолчанию служб Службы Analysis Services прослушивает TCP-порт 2383, можно настроить сервер на прослушивание другого фиксированного порта при подключении к серверу в следующем формате: <имя_сервера>:<номер_порта>.
Экземпляр служб Службы Analysis Services может использовать только один TCP-порт. На компьютерах с несколькими сетевыми платами или несколькими IP-адресами службы Службы Analysis Services прослушивают один TCP-порт для всех IP-адресов, назначенных этому компьютеру или указанных ему с помощью псевдонима. Если имеются особые требования в отношении нескольких портов, попробуйте настроить службы Службы Analysis Services для доступа по протоколу HTTP. Затем можно установить несколько конечных точек HTTP для любых портов в выбранном формате. См. раздел Настройка HTTP-доступа к службам Analysis Services в службах Internet Information Services (IIS) 7.0.
В этом разделе содержатся следующие подразделы:
Проверка параметров порта и брандмауэра для служб Analysis Services
Настроить брандмауэр Windows для экземпляра служб Analysis Services по умолчанию
Настройка брандмауэра Windows для доступа именованного экземпляра служб Analysis Services
Настройка порта для кластера служб Analysis Services
Настройка порта PowerPivot для SharePoint
Использовать фиксированный порт для именованного экземпляра или экземпляра по умолчанию служб Analysis Services
Дополнительные сведения о настройках брандмауэра Windows по умолчанию и описание TCP-портов, влияющих на компонент Database Engine, службы Analysis Services, службы Reporting Services и службы Integration Services, см. в разделе Настройка брандмауэра Windows для разрешения доступа к SQL Server.
Проверка параметров порта и брандмауэра для служб Analysis Services
В операционных системах Microsoft Windows, поддерживаемых SQL Server 2012, брандмауэр Windows включен по умолчанию и блокирует удаленные соединения. Чтобы разрешить входящие запросы к службам Analysis Services, необходимо вручную открыть порт в брандмауэре. Программа установки SQL Server не выполняет этот шаг автоматически.
Параметры порта указываются в файле msmdsrv.ini и на странице свойств «Общие» экземпляра служб Analysis Services в среде SQL Server Management Studio. Если для Port установлено положительное целочисленное значение, служба прослушивает фиксированный порт. Если для Port установлено значение 0, служба прослушивает порт 2383, если это экземпляр по умолчанию, или динамически назначенный порт, если это именованный экземпляр.
Динамические назначения портов используются только именованными экземплярами. При запуске службы MSOLAP$InstanceName определяется, какой порт следует использовать. Можно определить действительный номер порта, используемый именованным экземпляром, выполнив следующие действия.
Запустите диспетчер задач и щелкните Службы, чтобы получить идентификатор процесса (PID) MSOLAP$InstanceName.
Запустите netstat –ao –p TCP из командной строки, чтобы просмотреть сведения TCP-порта для этого идентификатора PID.
Проверьте порт с использованием среды SQL Server Management Studio и подключитесь к серверу служб Analysis Services в следующем формате: <IP-адрес>:<номер_порта>.
Хотя приложение может прослушивать указанный порт, подключения будут неудачными, если брандмауэр блокирует доступ. Для подключений к экземпляру служб Analysis Services необходимо разблокировать доступ к файлу msmdsrv.exe или фиксированному порту в брандмауэре, по которому ведется прослушивание. Остальные подразделы в этом разделе содержат соответствующие инструкции.
Чтобы выяснить, были ли параметры брандмауэра для служб Analysis Services определены ранее, используйте брандмауэр Windows в режиме повышенной безопасности на панели управления. На странице «Брандмауэр» в папке «Мониторинг» показан полный список правил, определенный для локального сервера.
Обратите внимание, что для служб Службы Analysis Services все правила брандмауэра необходимо задавать вручную. Хотя службы Службы Analysis Services и обозреватель SQL Server резервируют порты 2382 и 2383, ни программа установки SQL Server, ни одно из средств настройки не определяет правила брандмауэра, которые разрешают доступ к портам или исполняемым файлам программы.
Настройка брандмауэра Windows для экземпляра по умолчанию служб Analysis Services
Экземпляр служб Службы Analysis Services по умолчанию прослушивает TCP-порт 2383. Если установлен экземпляр по умолчанию и требуется использовать этот порт, то необходимо лишь разблокировать входящий доступ к TCP-порту 2383 в брандмауэре Windows, чтобы разрешить удаленный доступ к экземпляру по умолчанию служб Службы Analysis Services. Если установлен экземпляр по умолчанию и необходимо настроить службу для прослушивания фиксированного порта, см. подраздел Использование фиксированного порта для именованного экземпляра или экземпляра по умолчанию служб Analysis Services в данном разделе.
Чтобы определить, выполняется ли служба как экземпляр по умолчанию (MSSQLServerOLAPService), проверьте имя службы в диспетчере конфигурации SQL Server. Экземпляр служб Analysis Services по умолчанию всегда указывается как Службы SQL Server Analysis Services (MSSQLSERVER).
Примечание |
---|
В различных операционных системах Windows имеются различные средства для настройки брандмауэра Windows. В большинстве из этих средств можно выбирать между открытием определенного порта или исполняемого файла программы. Если нет особой причины указать исполняемый файл программы, рекомендуется указать порт. |
При указании правила входящего подключения следует применять соглашение об именах, с помощью которого можно будет без труда находить правила впоследствии (например, службы SQL Server Analysis Services (TCP-in) 2383).
Брандмауэр Windows в режиме повышенной безопасности
В Windows 7 или в Windows Vista на панели управления выберите раздел Система и безопасность, затем Брандмауэр Windows и Расширенные параметры. В Windows Server 2008 и в Windows Server 2008 R2 откройте меню «Администрирование» и выберите пункт Брандмауэр Windows в режиме повышенной безопасности. В Windows Server 2012 откройте страницу «Приложения» и введите Брандмауэр Windows.
Щелкните правой кнопкой мыши Правила для входящих подключений и выберите Создать правило.
В поле «Тип правила» выберите значение Порт и нажмите кнопку Далее.
В диалоговом окне «Протокол и порты» выберите протокол TCP и введите номер порта 2383 в поле Определенные локальные порты.
В поле «Действие» выберите значение Разрешить соединение и нажмите кнопку Далее.
В поле «Профиль» уберите все сетевые расположения, неприменимые к текущему развертыванию, и нажмите кнопку Далее.
В поле «Имя» введите описательное имя этого правила (например, службы SQL Server Analysis Services (tcp-in) 2383) и нажмите кнопку Готово.
Чтобы проверить, разрешены ли удаленные соединения, откройте среду SQL Server Management Studio или Excel на другом компьютере и подключитесь к службам Службы Analysis Services, указав сетевое имя сервера в поле Имя сервера.
Примечание Другие пользователи не будут иметь доступа к этому серверу, пока им не будут предоставлены разрешения. Дополнительные сведения см. в разделе Предоставление пользовательских разрешений на многомерную базу данных служб Analysis Services.
Синтаксис Netsh AdvFirewall
Следующая команда создает правило входящего подключения, которое разрешает входящие запросы для порта TCP 2383.
netsh advfirewall firewall add rule name="SQL Server Analysis Services inbound on TCP 2383" dir=in action=allow protocol=TCP localport=2383 profile=domain
Настройка доступа в брандмауэре Windows для именованного экземпляра служб Analysis Services
Именованные экземпляры служб Службы Analysis Services могут прослушивать либо указанный фиксированный порт, либо динамически назначаемый порт, при этом служба обозревателя SQL Server предоставляет сведения о соединении, используемом службой на момент соединения.
Служба обозревателя SQL Server прослушивает TCP-порт 2382. Протокол UDP не используется. TCP — единственный протокол передачи, используемый службами Службы Analysis Services.
Чтобы разрешить удаленный доступ к именованному экземпляру служб Analysis Services, выберите один из следующих методов:
Используйте динамическое назначение порта и службу обозревателя SQL Server. Разблокируйте порт, используемый службой обозревателя SQL Server, в брандмауэре Windows. Подключитесь к серверу с использованием следующего формата: <имя_сервера>\<имя_экземпляра>.
Используйте совместно фиксированный порт и службу обозревателя SQL Server. Этот метод позволяет подключаться с использованием формата <имя_сервера>\<имя_экземпляра>, идентичного используемому в методе с динамическим назначением порта, за исключением того, что в данном случае сервер прослушивает фиксированный порт. В этом варианте служба обозревателя SQL Server обеспечивает разрешение имен для экземпляра служб Analysis Services, прослушивающего фиксированный порт. Для использования этого метода настройте сервер на прослушивание фиксированного порта, разблокируйте доступ к этому порту и разблокируйте доступ к порту, используемому службой обозревателя SQL Server.
Служба обозревателя SQL Server используется только с именованными экземплярами, с экземпляром по умолчанию она не используется никогда. Эта служба автоматически устанавливается и включается при установке любого компонента SQL Server в качестве именованного экземпляра. Если выбран метод, для которого требуется служба обозревателя SQL Server, необходимо следить за тем, чтобы она оставалась включенной и запускалась на сервере.
Если использовать службу обозревателя SQL Server невозможно, необходимо назначить фиксированный порт в строке подключения, минуя разрешение имени домена. Если служба обозревателя SQL Server не используется, то в строке подключения всех клиентских соединений должен указываться номер порта (например, AW-SRV01:54321).
Вариант 1. Используйте динамическое назначение порта и разблокируйте доступ к службе обозревателя SQL Server.
Динамическое назначение портов для именованных экземпляров служб Analysis Services выполняется с помощью MSOLAP$InstanceName при запуске службы. По умолчанию служба требует первый обнаруженный доступный номер порта, используя различные номера портов при каждом перезапуске службы.
Разрешение имени экземпляра обеспечивается службой обозревателя SQL Server. Разблокирование TCP-порта 2382 для службы обозревателя SQL Server всегда необходимо, если для именованного экземпляра используется динамическое назначение порта.
Примечание |
---|
Служба обозревателя SQL Server прослушивает как порт UDP 1434, так и порт TCP 2382 для компонента Database Engine и служб Analysis Services соответственно. Даже если порт UDP 1434 уже разблокирован для службы обозревателя SQL Server, необходимо разблокировать порт TCP 2382 для служб Analysis Services. |
Брандмауэр Windows в режиме повышенной безопасности
В Windows 7 или в Windows Vista на панели управления выберите раздел Система и безопасность, затем Брандмауэр Windows и Расширенные параметры. В Windows Server 2008 и в Windows Server 2008 R2 откройте меню «Администрирование» и выберите пункт Брандмауэр Windows в режиме повышенной безопасности. В Windows Server 2012 откройте страницу «Приложения» и введите Брандмауэр Windows.
Чтобы разблокировать доступ к службе обозревателя SQL Server, щелкните правой кнопкой мыши Правила для входящих подключений и выберите Создать правило.
В поле «Тип правила» выберите значение Порт и нажмите кнопку Далее.
В диалоговом окне «Протокол и порты» выберите протокол TCP и введите номер порта 2382 в поле Определенные локальные порты.
В поле «Действие» выберите значение Разрешить соединение и нажмите кнопку Далее.
В поле «Профиль» уберите все сетевые расположения, неприменимые к текущему развертыванию, и нажмите кнопку Далее.
В поле «Имя» введите описательное имя этого правила (например, обозреватель SQL Server (tcp-in) 2382) и нажмите кнопку Готово.
Чтобы проверить, разрешены ли удаленные соединения, откройте среду SQL Server Management Studio или Excel на другом компьютере и подключитесь к службам Analysis Services, указав сетевое имя сервера и имя экземпляра в следующем формате: <имя_сервера>\<имя_экземпляра>. Например, на сервере с именем AW-SRV01 и именованным экземпляром Finance именем сервера является AW-SRV01\Finance.
Вариант 2. Использование фиксированного порта для именованного экземпляра
В качестве альтернативы можно назначить фиксированный порт, а затем разблокировать доступ к этому порту. Этот метод обеспечивает лучшие возможности аудита, чем те, которые доступны при разрешении доступа к исполняемому файлу программы. По этой причине использование фиксированного порта — рекомендуемый метод для доступа к любому экземпляру служб Analysis Services.
Для назначения фиксированного порта следуйте инструкциям в подразделе Использование фиксированного порта для именованного экземпляра или экземпляра по умолчанию служб Analysis Services данного раздела, а затем вернитесь к данному подразделу, чтобы разблокировать порт.
Брандмауэр Windows в режиме повышенной безопасности
В Windows 7 или в Windows Vista на панели управления выберите раздел Система и безопасность, затем Брандмауэр Windows и Расширенные параметры. В Windows Server 2008 и в Windows Server 2008 R2 откройте меню «Администрирование» и выберите пункт Брандмауэр Windows в режиме повышенной безопасности. В Windows Server 2012 откройте страницу «Приложения» и введите Брандмауэр Windows.
Чтобы разблокировать доступ к службам Analysis Services, щелкните правой кнопкой мыши Правила для входящих подключений и выберите Создать правило.
В поле «Тип правила» выберите значение Порт и нажмите кнопку Далее.
В диалоговом окне «Протокол и порты» выберите протокол TCP и введите фиксированный порт в поле Определенные локальные порты.
В поле «Действие» выберите значение Разрешить соединение и нажмите кнопку Далее.
В поле «Профиль» уберите все сетевые расположения, неприменимые к текущему развертыванию, и нажмите кнопку Далее.
В поле «Имя» введите описательное имя этого правила (например, SQL Server Analysis Services через порт 54321) и нажмите кнопку Готово.
Чтобы проверить, разрешены ли удаленные соединения, откройте среду SQL Server Management Studio или Excel на другом компьютере и подключитесь к службам Analysis Services, указав сетевое имя сервера и номер порта в следующем формате: <имя_сервера>:<номер_порта>.
Синтаксис Netsh AdvFirewall
Следующие команды создают правила для входящих подключений, которые разблокируют TCP-порт 2382 для службы обозревателя SQL Server и фиксированный порт, указанный для экземпляра служб Analysis Services. Можно выполнить любую из этих команд, чтобы разрешить доступ к именованному экземпляру служб Analysis Services.
В этом образце команды порт 54321 фиксированный. Обязательно замените его на действительный порт, используемый в вашей системе.
netsh advfirewall firewall add rule name="SQL Server Analysis Services (tcp-in) on 54321" dir=in action=allow protocol=TCP localport=54321 profile=domain netsh advfirewall firewall add rule name="SQL Server Browser Services inbound on TCP 2382" dir=in action=allow protocol=TCP localport=2382 profile=domain
Использовать фиксированный порт для именованного экземпляра или экземпляра по умолчанию служб Analysis Services
В этом разделе объясняется, как настроить службы Analysis Services для прослушивания фиксированного порта. Фиксированный порт обычно используется, если службы Analysis Services установлены как именованный экземпляр, но к этому методу можно также прибегнуть, если требования бизнеса или безопасности указывают, что не следует использовать порты по умолчанию.
Обратите внимание, что при использовании фиксированного порта изменяется синтаксис соединения для экземпляра по умолчанию: необходимо добавить номер порта к имени сервера. Например, при подключении к локальному, используемому по умолчанию экземпляру служб Analysis Services, прослушивающему порт 54321 в среде SQL Server Management Studio, потребуется ввести «localhost:54321» в качестве имени сервера в диалоговом окне «Соединение с сервером» в среде Management Studio.
Если используется именованный экземпляр, можно назначить фиксированный порт, не изменяя способ указания имени сервера (в частности, можно использовать <имя_сервера\имя_экземпляра> для подключения к именованному экземпляру, прослушивающему фиксированный порт). Это применимо, только если служба обозревателя SQL Server работает, а порт, который она прослушивает, разблокирован. Служба обозревателя SQL Server будет обеспечивать перенаправление на фиксированный порт на основе значения <имя_сервера\имя_экземпляра>. Если открыты порты как для службы обозревателя SQL Server, так и для именованного экземпляра Analysis Services, прослушивающего фиксированный порт, служба обозревателя SQL Server разрешит соединение с именованным экземпляром.
Определите доступный порт TCP/IP, который можно использовать.
Список зарезервированных и зарегистрированных портов, которые не следует использовать, см. в разделе Номера портов (IANA). Для просмотра списка TCP-портов, которые уже используются в системе, откройте окно командной строки и введите netstat –a –p TCP.
После выбора порта укажите его, изменив настройку конфигурации Port в файле msmdsrv.ini. Указать порт можно также на странице «Общие свойства» экземпляра служб Analysis Services в среде SQL Server Management Studio.
Перезапустите службу.
Настройте в брандмауэре Windows разблокировку выбранного порта TCP. Или, если для именованного экземпляра используется фиксированный порт, разблокируйте TCP-порт, указанный для этого экземпляра, и TCP-порт 2382 для службы обозревателя SQL Server.
Выполните проверку, подключившись локально (в среде Management Studio), а затем удаленно из клиентского приложения на другом компьютере. Для использования среды Management Studio подключитесь к экземпляру служб Analysis Services по умолчанию, указав имя сервера в следующем формате: <имя_сервера>:<номер_порта>. Для именованного экземпляра введите имя в формате <имя_сервера>\<имя_экземпляра>.
Настройка порта для кластера служб Analysis Services
Отказоустойчивый кластер служб Службы Analysis Services всегда прослушивает TCP-порт 2383 независимо от того, был он установлен в качестве экземпляра по умолчанию или в качестве именованного экземпляра. Динамическое назначение портов не используется службами Службы Analysis Services, когда они установлены в отказоустойчивом кластере Windows. Обязательно откройте TCP-порт 2383 на каждом узле кластера, на котором работают службы Службы Analysis Services. Дополнительные сведения о кластеризации служб Службы Analysis Services см. в разделе Кластеризация служб SQL Server Analysis Services.
Настройка порта PowerPivot для SharePoint
Архитектура сервера для PowerPivot для SharePoint существенно различается в зависимости от используемой версии SharePoint.
SharePoint 2013
В SharePoint 2013 службы Excel перенаправляют запросы к модели данных Power Pivot, которые будут загружены в экземпляр служб Службы Analysis Services за пределами среды SharePoint. Соединения устанавливаются стандартным образом, когда клиентская библиотека служб Analysis Services на локальном компьютере отправляет запрос удаленному экземпляру служб Службы Analysis Services в той же сети.
Так как PowerPivot для SharePoint всегда устанавливает службы Службы Analysis Services как именованный экземпляр, необходимо помнить о наличии службы обозревателя SQL Server и использовании динамического назначения портов. Как упоминалось ранее, служба обозревателя SQL Server прослушивает TCP-порт 2382 для определения запросов на подключение, отправляемых к именованным экземплярам служб Службы Analysis Services, и перенаправляет их на текущий порт.
Обратите внимание, что службы Excel в SharePoint 2013 не поддерживают синтаксис соединения с фиксированным портом, поэтому удостоверьтесь в том, что служба обозревателя SQL Server доступна.
SharePoint 2010
При использовании SharePoint 2010 открывать порты в брандмауэре Windows не нужно. SharePoint открывает необходимые порты, а такие надстройки, как PowerPivot для SharePoint, работают в пределах среды SharePoint. В установке PowerPivot для SharePoint 2010 системная служба PowerPivot имеет монопольное право на использование локального экземпляра обозревателя служб SQL Server Analysis Services (PowerPivot), установленного на том же компьютере. Используются локальные, но не сетевые подключения для доступа к локальным службам Analysis Services, которые загружают, выполняют запросы и обрабатывают данные PowerPivot на сервере SharePoint. Для получения данных PowerPivot из клиентских приложений запросы направляются через порты, открытые программой установки SharePoint (в частности, определяются правила для входящих подключений при доступе к SharePoint — 80, центру администрирования SharePoint v4, веб-службам SharePoint и SPUserCodeV4). Веб-службы PowerPivot выполняются в пределах фермы SharePoint, поэтому правил брандмауэра SharePoint достаточно для удаленного доступа к данным PowerPivot в ферме SharePoint.
См. также
Основные понятия
Служба обозревателя SQL Server (компонент Database Engine и SSAS)
Настройка брандмауэра Windows для доступа к компоненту Database Engine