Especificar y restringir puertos
Hay una variedad de puertos que se usan para tener acceso a Microsoft SQL Server Analysis Services. Los puertos que un cliente utiliza dependen de la configuración de Analysis Services.
Los siguientes son los puertos disponibles para tener acceso a Analysis Services:
El puerto que utiliza Analysis Services. Cada instancia de Analysis Services escucha en un puerto TCP/IP específico para solicitudes de cliente entrantes. La instancia predeterminada de Analysis Services escucha en el puerto TCP/IP 2383, pero las instancias con nombre de Analysis Services no utilizan un puerto predeterminado. Las instancias con nombre pueden usar varios puertos. Para mejorar la seguridad, utilice un firewall para restringir el acceso del usuario a Analysis Services desde Internet.
El puerto que utiliza Internet Information Services (IIS). Los usuarios también se pueden conectar a una instancia de Analysis Services mediante IIS. Cuando utilice un firewall para evitar el acceso directo a Analysis Services desde Internet, puede utilizar IIS para autenticar a los usuarios de Internet antes de que se puedan conectar a la instancia de Analysis Services. Cuando utilice IIS, sólo se tiene que abrir el puerto IIS en el firewall de Internet.
Restringir los puertos TCP/IP empleados por Analysis Services
Aunque la instancia predeterminada de Analysis Services escucha en el puerto 2383, el puerto que utiliza una instancia con nombre de Analysis Services varía. Cada instancia con nombre escucha en el puerto que especifica un administrador o en el puerto que está diseñado dinámicamente al inicio. Esta variabilidad entre los puertos significa que los clientes no saben automáticamente qué puerto está utilizando una instancia con nombre concreta de Analysis Services y, por tanto, no saben automáticamente dónde enviar sus solicitudes.
Para facilitar a los clientes el envío de solicitudes a instancias con nombre de Analysis Services, SQL Server tiene un servicio denominado Explorador de SQL Server. El Explorador de SQL Server realiza un seguimiento de los puertos en los que escucha cada instancia con nombre. Las solicitudes de conexión de cliente a una instancia con nombre que no especifican un número de puerto se dirigen al puerto 2382, el puerto en el que escucha el Explorador de SQL Server. El Explorador de SQL Server a continuación redirige la solicitud al puerto que utiliza la instancia con nombre.
Los usuarios también pueden emitir una solicitud de descubrimiento al Explorador de SQL Server para obtener una lista de las instancias con nombre que se ejecutan en el equipo. En un entorno seguro de intranet, esta capacidad de solicitar al Explorador de SQL Server una lista de instancias con nombre facilita a los usuarios la conexión a dichas instancias y sólo plantea un pequeño riesgo para la seguridad. Sin embargo, esta capacidad de consultar al Explorador de SQL Server sí plantea problemas de seguridad cuando los clientes pueden tener acceso a Analysis Services desde Internet. Para aumentar la seguridad cuando se puede tener acceso a instancias de Analysis Services a través de Internet, deshabilite el Explorador de SQL Server y evite por tanto que los usuarios descubran las instancias con nombre de Analysis Services.
Restringir los puertos TCP/IP no usados por Analysis Services
Para restringir los puertos TCP/IP que Analysis Services no está utilizando, revise en primer lugar los puertos que están activos en el equipo en el que se está ejecutando Analysis Services. Este proceso de revisión incluye la verificación de qué puertos TCP/IP están escuchando y también la verificación del estado de los puertos.
Para verificar qué puertos están escuchando, utilice la utilidad de la línea de comandos netstat. Además de mostrar las conexiones TCP activas, la utilidad netstat también muestra una variedad de información y estadísticas de IP.
Para verificar qué puertos TCP/IP están escuchando
Abra la ventana de símbolo del sistema.
En el símbolo del sistema, escriba netstat -n -a.
El modificador -n indica a netstat que muestre numéricamente la dirección y el número de puerto de las conexiones TCP activas. El modificador -a indica a netstat que muestre los puertos TCP y UPD en los que está escuchando el equipo.
Para verificar el estado de los puertos TCP/IP, utilice la utilidad PortQry. Esta utilidad de la línea de comandos informa del estado de los puertos TCP/IP como que están escuchando, no escuchando o filtrados. (Con un estado de filtrado, el puerto puede o no estar escuchando; este estado indica que la utilidad no ha recibido una respuesta del puerto.) La utilidad PortQry se puede descargar desde el Centro de descargas de Microsoft.
Después de revisar qué puertos están activos y el estado de los mismos, determine, de dichos puertos, cuáles no son necesarios para conectarse a Analysis Services. A continuación, deshabilite los servicios en dichos puertos innecesarios o restrinja el acceso a los mismos empleando un firewall.
Para obtener más información sobre la configuración de Firewall de Windows predeterminada y una descripción de los puertos TCP que afectan al motor de base de datos, Analysis Services, Reporting Services e Integration Services, vea Configurar Firewall de Windows para permitir el acceso a SQL Server.
Restringir los puertos IIS
Si los usuarios tienen acceso a Analysis Services mediante IIS e Internet, debería implementar un firewall entre el cliente e IIS. El firewall le permite restringir los puertos por los que los usuarios pueden tener acceso a IIS y al equipo en el que se está ejecutando Analysis Services. Para obtener más información acerca de los firewall, vea la información sobre el diseño de firewalls perimetrales en Microsoft TechNet.
Si implementa un firewall, tiene que abrir el puerto en el que está escuchando IIS y especificar dicho puerto en la cadena de conexión del cliente. En este caso, no se tiene que abrir ningún puerto para acceso directo a Analysis Services. El puerto predeterminado, 2382, debería restringirse junto con los demás puertos que no son necesarios.