Даний розділ допоможе визначити, чи потрібно розблокувати порти брандмауера для доступу до служб Служби Analysis Services або PowerPivot для SharePoint. Виконайте кроки в цьому розділі, щоб налаштувати параметри порту і брандмауера. На практиці їх потрібно виконати всі разом, щоб забезпечити доступ до сервера служб Служби Analysis Services.
Вимоги до конфігурації брандмауера залежать від встановленого компонента служб Служби Analysis Services. Якщо встановлений PowerPivot для SharePoint, то відкривати порти в брандмауері Windows не потрібно. На відміну від цього, віддалене з'єднання з автономної установкою служб Analysis Services завжди вимагає відкриття порту.
Примірник за замовчуванням служб Служби Analysis Services прослуховує TCP-порт 2383, але можна налаштувати сервер на прослуховування іншого фіксованого порту або використовувати динамічне призначення портів і службу браузера SQL Server.
У цьому розділі містяться такі підрозділи.
Додаткові відомості про налаштування брандмауера Windows за замовчуванням і опис TCP-портів, від яких залежить робота компонента Database Engine, служб Analysis Services, Reporting Services і Integration Services, див. В розділі Налаштування брандмауера Windows для доступу до їхнього SQL Server.
Параметри порту задаються у файлі msmdsrv.ini і на сторінці властивостей «Загальні» екземпляра служб Analysis Services в середовищі SQL Server Management Studio. Якщо для Port встановлено позитивний цілочисельне значення, то служба прослуховує фіксований порт. Якщо для Port встановлено значення 0, то служба прослуховує порт 2383, якщо це екземпляр за замовчуванням, або динамічно призначається порт, якщо це іменований екземпляр.
Динамічне призначення портів використовується тільки іменованими екземплярами. При запуску служба MSOLAP $ InstanceName визначає, який порт потрібно використовувати. Щоб визначити фактичний номер порту, який використовує іменований екземпляр, виконайте наступні дії.
Запустіть диспетчер задач і клацніть Служби. щоб отримати ідентифікатор процесу (PID) MSOLAP $ InstanceName.
З командного рядка виконайте команду netstat -ao -p TCP. щоб отримати відомості про TCP-порте для даного ідентифікатора PID.
Хоча додаток може прослуховувати вказаний порт, з'єднання будуть безуспішними, якщо брандмауер блокує доступ. Щоб з'єднатися з іменованих екземпляром служб Analysis Services, необхідно розблокувати доступ до файлу msmdsrv.exe або фіксованому порту в брандмауері, за яким ведеться прослуховування. Решта підрозділи в цьому розділі містять відповідні інструкції.
Щоб з'ясувати, чи були раніше встановлені такі параметри брандмауера для служб Analysis Services, на панелі керування відкрийте брандмауер Windows в режимі підвищеної безпеки. На сторінці «Брандмауер» в папці «Моніторинг» показаний повний список правил, певний для локального сервера.
Зверніть увагу, що для сервера служб Analysis Services все виключення брандмауера повинні бути визначені вручну. Хоча служби Analysis Services резервують порти 2382 і 2383, ні програма установки SQL Server і ні один із засобів настройки не визначають правила брандмауера, що відкривають доступ до портів або виконуваних файлів програми.
За замовчуванням екземпляр компонента служб Analysis Services прослуховує TCP-порт 2383. Якщо встановлений екземпляр за замовчуванням і бажано використовувати цей порт, то необхідно лише розблокувати входить доступ до TCP-порту 2383 в брандмауері Windows, щоб дозволити віддалений доступ до примірника служб Analysis Services за замовчуванням . Якщо встановлений екземпляр за замовчуванням, але необхідно налаштувати цю службу для прослуховування фіксованого порту, див. Підрозділ Use a fixed port for a default or named instance of Analysis Services даного розділу.
Щоб визначити, чи запущена служба як екземпляр за замовчуванням (MSSQLServerOLAPService), перевірте її ім'я в диспетчері конфігурації SQL Server. Примірник служб Analysis Services за замовчуванням завжди називається Служби SQL Server Analysis Services (MSSQLSERVER).
У різних операційних системах Windows передбачені різні засоби для настройки брандмауера Windows. У більшості з цих коштів можна вибирати між відкриттям певного порту або виконуваного файлу програми. Якщо немає особливої причини вказувати виконуваний файл програми, рекомендується вказувати порт.
При завданні правила вхідного підключення користуйтеся контекстом іменування, яке дозволить без зусиль знаходити ці правила (наприклад, SQL Server Analysis Services (TCP-in)).
Брандмауер Windows в режимі підвищеної безпеки
Клацніть правою кнопкою миші Правила для вхідних підключень і виберіть Створити правило.
В поле «Тип правила» виберіть Порт. а потім Далі.
У «Протокол і порти» виберіть TCP і введіть 2383 в Певні локальні порти.
В поле «Дія» виберіть Дозволити з'єднання і натисніть кнопку Далі.
В області «Профіль» зніміть прапорці місць в мережі, для яких не потрібно відкривати порти, і натисніть кнопку Далі.
В поле «Ім'я» введіть описову назву цього правила (наприклад, браузер SQL Server Analysis Services (tcp-in) 2383) і натисніть кнопку Готово.
Щоб перевірити, чи дозволені віддалені з'єднання, відкрийте Excel або середу SQL Server Management Studio на іншому комп'ютері і підключіться до служб Analysis Services, вказавши мережеве ім'я сервера в полі Ім'я сервера.
Інші користувачі не матимуть доступу до цього сервера, поки ви не надасте їм дозволу. Додаткові відомості див. У розділі Надання доступу користувачам.
Синтаксис Netsh AdvFirewall
Наступна команда створює правило вхідного з'єднання, яке дозволяє вхідні запити для TCP-порту 2383.
Іменовані екземпляри служб Служби Analysis Services можуть прослуховувати або вказаний фіксований, або динамічно призначається порт, при цьому служба браузера SQL Server надає відомості про поточний з'єднанні служби на момент з'єднання.
Виберіть один з наступних методів, щоб дозволити віддалений доступ до іменованого примірника служб Analysis Services:
Використовуйте фіксований порт, щоб розблокувати цей порт в брандмауері Windows. Встановіть з'єднання з сервером в наступному форматі: <имя_сервера>:<номер_порта>.
Використовуйте динамічне призначення порту і службу браузера SQL Server. Розблокуйте порт, який використовується браузером SQL Server, в брандмауері Windows. Встановіть з'єднання з сервером в наступному форматі: <имя_сервера>\<имя_экземпляра>.
Використовуйте фіксований порт в поєднанні зі службою браузера SQL Server. Цей метод дозволяє підключатися з використанням наступного формату: <имя_сервера>\<имя_экземпляра>. Він ідентичний тому, що використовується в методі з динамічним призначенням порту, за винятком того, що в даному випадку сервер прослуховує фіксований порт. В цьому випадку служба браузера SQL Server забезпечує дозвіл імен для екземпляра служб Analysis Services, що прослуховує фіксований порт. Для використання цього методу налаштуйте сервер на прослуховування фіксованого порту, розблокуйте доступ до цього порту, а також до порту, що використовується службою браузера SQL Server.
Служба браузера SQL Server використовується тільки з іменованими екземплярами. З екземпляром за замовчуванням ця функція не потрібна ніколи. Ця служба автоматично встановлюється і включається при установці будь-якого засобу SQL Server в якості іменованого екземпляра. Якщо обраний метод, для якого потрібно служба браузера SQL Server, то необхідно стежити за тим, щоб вона залишилася включеною і була запущена на сервері.
Якщо немає можливості використовувати службу браузера SQL Server, то необхідно призначити фіксований порт. Якщо служба браузера SQL Server не використовується, то всі клієнтські з'єднання повинні включати номер порту в рядку підключення (наприклад, AW-SRV01: 54321).
Варіант 1. Використовуйте динамічне призначення порту, щоб розблокувати доступ до служби браузера SQL Server.
Динамічне призначення портів для іменованих екземплярів служб Analysis Services виконує MSOLAP $ InstanceName при запуску служби. За замовчуванням служба займає перший вільний номер порту, використовуючи різні номери портів при кожному перезапуску служби.
Дозвіл імені примірника забезпечується службою браузера SQL Server. Розблокування TCP-порту 2 382 для служби браузера SQL Server обов'язково, якщо використовується призначення динамічного порту з іменованих екземпляром.
Служба браузера SQL Server прослуховує як UDP-порт 1434 так і TCP-порт 2382 для компонента Database Engine і служб Analysis Services відповідно. Навіть якщо UDP-порт 1 434 вже розблоковано для служби браузера SQL Server, необхідно розблокувати TCP-порт 2382 для служб Analysis Services.
Брандмауер Windows в режимі підвищеної безпеки
Щоб розблокувати доступ до служби браузера SQL Server, клацніть правою кнопкою миші Правила для вхідних з'єднань і виберіть Створити правило.
В поле «Тип правила» виберіть Порт. а потім Далі.
У «Протокол і порти» виберіть TCP і введіть 2382 в Певні локальні порти.
В поле «Дія» виберіть Дозволити з'єднання і натисніть кнопку Далі.
В області «Профіль» зніміть прапорці місць в мережі, для яких не потрібно відкривати порти, і натисніть кнопку Далі.
В поле «Ім'я» введіть описову назву цього правила (наприклад, SQL Server Analysis Services (tcp-in) 2382) і натисніть кнопку Готово.
Щоб перевірити, чи дозволені віддалені з'єднання, відкрийте SQL Server Management Studio або Excel на іншому комп'ютері і встановіть з'єднання зі службами Analysis Services, вказавши мережеве ім'я сервера і ім'я екземпляра в наступному форматі: <имя_сервера>\<имя_экземпляра>. Наприклад, на сервері під ім'ям AW-SRV01 з іменованих екземпляром Finance ім'ям сервера є AW-SRV01 \ Finance.
Варіант 2. Використання фіксованого порту для іменованого примірника
В якості альтернативи можна призначити фіксований порт, а потім розблокувати доступ до цього порту. Такий підхід дає більш широкі можливості аудиту, якщо вам дозволено доступ до виконуваного файлу програми. З цієї причини використання фіксованого порту рекомендується для доступу до будь-якого примірника служб Analysis Services.
Щоб призначити фіксований порт, виконайте інструкції в підрозділі Use a fixed port for a default or named instance of Analysis Services даного розділу, потім поверніться в цей розділ, щоб розблокувати порт.
Брандмауер Windows в режимі підвищеної безпеки
Щоб розблокувати доступ до служб Analysis Services, клацніть правою кнопкою миші Правила для вхідних з'єднань і виберіть Створити правило.
В поле «Тип правила» виберіть Порт. а потім Далі.
У діалоговому вікні «Протокол і порти» виберіть протокол TCP і введіть номер фіксованого порту в поле Певні локальні порти.
В поле «Дія» виберіть Дозволити з'єднання і натисніть кнопку Далі.
В області «Профіль» зніміть прапорці місць в мережі, для яких не потрібно відкривати порти, і натисніть кнопку Далі.
В поле «Ім'я» введіть описову назву цього правила (наприклад, SQL Server Analysis Services, порт 54321), а потім натисніть кнопку Готово.
Щоб перевірити, чи дозволені віддалені з'єднання, відкрийте середу SQL Server Management Studio або Excel на іншому комп'ютері і встановіть з'єднання зі службами Analysis Services, вказавши мережеве ім'я сервера і номер порту в наступному форматі: <имя_сервера>:<номер_порта>.
Синтаксис Netsh AdvFirewall
Наступні команди створюють правила для вхідних з'єднань, які розблокують TCP-порт 2382 для служби браузера SQL Server і фіксований порт, зазначений для екземпляра служб Analysis Services. Можна виконати будь-яку з цих команд, щоб дозволити доступ до іменованого примірника служб Analysis Services.
У цьому зразку команди порт 54321 фіксований. Не забувайте замінювати його на фактичний номер порту, який використовується у вашій системі.
У цьому розділі пояснюється, як налаштувати служби Analysis Services для прослуховування фіксованого порту. Фіксований порт зазвичай використовується в тому випадку, коли служби Analysis Services встановлені як іменований екземпляр. Однак цим методом можна також скористатися в тих випадках, коли вимоги бізнесу або безпеки наказують не використовувати призначення портів за замовчуванням.
Зверніть увагу, що при використанні фіксованого порту змінюється синтаксис з'єднання для примірника за замовчуванням: необхідно додати номер порту до імені сервера. Наприклад, щоб в середовищі SQL Server Management Studio підключитися до локального екземпляру за замовчуванням служб Analysis Services, який прослуховує порт 54321, потрібно в діалоговому вікні «З'єднання з сервером» в якості імені сервера ввести «localhost: 54321».
Якщо використовується іменований екземпляр, то можна призначити фіксований порт, не змінюючи спосіб вказівки імені сервера (зокрема, можна використовувати <имя_сервера\имя_экземпляра> для підключення до іменованого примірнику, прослуховувати фіксований порт). Це може бути застосовано тільки в тому випадку, якщо служба браузера SQL Server запущена і розблоковано порт, який вона прослуховує. В такому випадку служба браузера SQL Server забезпечує перенаправлення до фіксованого порту виходячи із значення <имя_сервера\имя_экземпляра>. Якщо відкриті порти як для служби браузера SQL Server, так і для іменованого екземпляра служб Analysis Services, що прослуховує фіксований порт, то служба браузера SQL Server дозволить з'єднання з іменованих екземпляром.
Визначте порт TCP / IP, який можна використовувати.
Після вибору порту вкажіть його, змінивши налаштування конфігурації Port в файлі msmdsrv.ini. Вказати порт можна також на сторінці «Загальні властивості» екземпляра служб Analysis Services в середовищі SQL Server Management Studio.
Налаштуйте в брандмауері Windows розблокування обраного порту TCP. Або, якщо для іменованого екземпляра використовується фіксований порт, розблокуйте TCP-порт, зазначений для цього примірника, і TCP-порт 2382 для служби браузера SQL Server.
Виконайте перевірку, підключившись локально (в середовищі Management Studio) і віддалено з клієнтського застосування на іншому комп'ютері. У середовищі Management Studio підключіться до примірника служб Analysis Services за замовчуванням, вказавши ім'я сервера в наступному форматі: <имя_сервера>:<номер_порта>. Для іменованого примірника введіть ім'я в форматі <имя_сервера>\<имя_экземпляра>.
Якщо встановлений PowerPivot для SharePoint, то відкривати порти в брандмауері Windows не потрібно. В установці PowerPivot для SharePoint системна служба PowerPivot має монопольне право на використання локального екземпляра служби SQL Server Analysis Services (PowerPivot), встановленого на тому ж комп'ютері. Вона використовує локальні, але не мережеві підключення для доступу до локальних службам Analysis Services, які завантажують, виконують запити і обробляють дані PowerPivot на сервері SharePoint. Для отримання даних PowerPivot з клієнтських додатків запити направляються через порти, відкриті програмою установки SharePoint (зокрема, визначаються правила для вхідних підключень при доступі до SharePoint - 80, центру адміністрування SharePoint v4, веб-службам SharePoint і SPUserCodeV4). Веб-служби PowerPivot виконуються в межах ферми SharePoint, тому правил брандмауера SharePoint досить для віддаленого доступу до даних PowerPivot в фермі SharePoint.