指定和限制通訊埠
有各種通訊埠可用來存取 Microsoft SQL Server Analysis Services。用戶端使用的通訊埠視 Analysis Services 組態而定。
下列通訊埠可用來存取 Analysis Services:
Analysis Services 所使用的通訊埠。 每一個 Analysis Services 執行個體會在特定的 TCP/IP 通訊埠上接聽內送用戶端要求。Analysis Services 的預設執行個體會在 TCP/IP 通訊埠 2383 上接聽,但 Analysis Services 的具名執行個體不會使用預設通訊埠。具名執行個體可以使用各種不同的通訊埠。若要提高安全性,請使用防火牆來限制使用者從網際網路存取 Analysis Services。
Internet Information Services (IIS) 所使用的通訊埠。 使用者也可以透過 IIS 連接到 Analysis Services 的執行個體。當您使用防火牆來防止直接從網際網路存取 Analysis Services 時,在網際網路使用者可以連接到 Analysis Services 的執行個體之前,您可以使用 IIS 來驗證網際網路使用者。當您使用 IIS 時,在網際網路防火牆上只需要開啟 IIS 通訊埠。
限制 Analysis Services 所使用的 TCP/IP 通訊埠
雖然 Analysis Services 的預設執行個體會接聽通訊埠 2383,但 Analysis Services 的具名執行個體使用的通訊埠各不相同。每一個具名執行個體會在管理員指定的通訊埠上接聽,或在啟動時動態指派的通訊埠上接聽。在通訊埠之間的變化性表示用戶端不會自動得知 Analysis Services 的特定具名執行個體使用哪一個通訊埠,因此不會自動得知何處傳送其要求。
為簡化用戶端傳送要求至 Analysis Services 具名執行個體,SQL Server 有稱為 SQL Server Browser 的服務。SQL Server Browser 會持續追蹤每個具名執行個體接聽的通訊埠。具名執行個體的用戶端連接要求若未指定通訊埠編號,就會被導向至通訊埠 2382,亦即 SQL Server Browser 所接聽的通訊埠。然後,SQL Server Browser 會將要求重新導向至具名執行個體所使用的通訊埠。
使用者也可以發出探索要求到 SQL Server Browser,以取得電腦上所執行的具名執行個體清單。在安全的、內部網路環境中,查詢 SQL Server Browser 以取得具名執行個體清單的能力,可讓使用者輕鬆地連接到這些執行個體,並且只產生極小的安全性風險。然而,當使用者可從網際網路存取 Analysis Services 時,查詢 SQL Server Browser 的能力就可能會產生安全性問題。若要在能透過網際網路存取 Analysis Services 執行個體時增加安全性,請停用 SQL Server Browser,讓使用者無法探索 Analysis Services 具名執行個體。
限制 Analysis Services 不使用的 TCP/IP 通訊埠
若要限制 Analysis Services 不使用的 TCP/IP 通訊埠,請先檢閱執行 Analysis Services 之電腦上的使用中通訊埠。此檢閱程序包括確認哪些是接聽的 TCP/IP 通訊埠,並確認通訊埠的狀態。
若要確認哪些是接聽的通訊埠,請使用 netstat 命令列公用程式。除了顯示使用中 TCP 連接之外,netstat 公用程式也顯示各種 IP 統計資料和資訊。
若要確認哪些是接聽的 TCP/IP 通訊埠
請開啟 [命令提示字元] 視窗。
請在命令提示字元之下,輸入 netstat -n -a。
-n 參數會指示 netstat,以數值方式顯示使用中 TCP 連接的位址和通訊埠編號。-a 參數會指示 netstat,以顯示電腦用來接聽的 TCP 和 UPD 通訊埠。
若要確認 TCP/IP 通訊埠的狀態,請使用 PortQry 公用程式。此命令列公用程式會報告 TCP/IP 通訊埠的狀態為接聽中、未接聽或已篩選。(若為已篩選狀態,表示通訊埠不一定在接聽;此狀態會指出公用程式未接收到通訊埠的回應)。您可以從 Microsoft 下載中心下載 PortQry 公用程式。
在檢閱使用中的通訊埠和那些通訊埠的狀態之後,請決定哪些通訊埠在連接到 Analysis Services 時是不需要的。接著,在那些不需要的通訊埠上停用服務,或使用防火牆來限制對那些通訊埠的存取。
如需有關預設 Windows 防火牆設定的詳細資訊以及影響 Database Engine、Analysis Services、Reporting Services 和 Integration Services 之 TCP 通訊埠的描述,請參閱<將 Windows 防火牆設定成允許 SQL Server 存取>。
限制 IIS 通訊埠
如果使用者透過 IIS 和網際網路存取 Analysis Services,您應該在用戶端和 IIS 之間部署防火牆。防火牆可讓您限制使用者用來存取 IIS 和執行 Analysis Services 之電腦的通訊埠。如需有關防火牆的詳細資訊,請參閱 Microsoft TechNet 上的 Perimeter Firewall Design。
如果您部署防火牆,就必須開啟 IIS 接聽的通訊埠,並在用戶端連接字串中指定該通訊埠。在此情況下,針對直接存取 Analysis Services,則不必開啟任何通訊埠。應該限制預設通訊埠 2382 與所有不需要的其他通訊埠。