• Article

configurer le pare-feu Windows pour accéder à Analysis Services

Utilisez les informations de cette rubrique pour déterminer si vous devez débloquer des ports d'un pare-feu pour permettre l'accès à Analysis Services ou PowerPivot pour SharePoint. Vous pouvez suivre les étapes fournies dans cette rubrique pour configurer les paramètres des ports et du pare-feu. Dans la pratique, il est conseillé d'effectuer ces étapes en même temps pour permettre l'accès à votre serveur Analysis Services.

Les conditions de configuration du pare-feu varient selon le composant Analysis Services que vous avez installé. Si vous avez installé PowerPivot pour SharePoint, il n'est pas nécessaire d'ouvrir les ports depuis le Pare-feu Windows. En revanche, une connexion distante à une installation Analysis Services autonome requiert toujours l'ouverture d'un port.

L'instance par défaut de Analysis Services écoute le port TCP 2383, mais vous pouvez configurer le serveur de façon à ce qu'il écoute un autre port fixe, ou bien utiliser des affectations de port dynamiques, ainsi que le service SQL Server Browser.

Cette rubrique contient les sections suivantes :

Vérifier les paramètres des ports et du pare-feu utilisés par Analysis Services

Configurer le Pare-feu Windows pour une instance par défaut d'Analysis Services

Configurer l'accès au Pare-feu Windows pour une instance nommée Analysis Services

Configuration de port pour un cluster Analysis Services

Configuration de port pour PowerPivot pour SharePoint

Use a fixed port for a default or named instance of Analysis Services

Pour plus d'informations sur les paramètres par défaut du pare-feu Windows et pour obtenir une description des ports TCP qui affectent le moteur de base de données, Analysis Services, Reporting Services et Integration Services, consultez Configuration du Pare-feu Windows pour autoriser l'accès à SQL Server.

Vérifier les paramètres des ports et du pare-feu utilisés par Analysis Services

Sur les systèmes d'exploitation Microsoft Windows pris en charge par , le pare-feu est activé par défaut et bloque les connexions à distance. Si vous utilisez les systèmes d'exploitation Windows Server 2008 R2, Windows Server 2008, Windows 7 ou Windows Vista, vous devez ouvrir manuellement un port du pare-feu pour autoriser les demandes entrantes à destination d'Analysis Services. Le programme d'installation de SQL Server n'effectue pas cette étape pour vous.

Le paramétrage des ports s'effectue dans le fichier msmdsrv.ini et dans SQL Server Management Studio, dans la page Propriétés générales d'une instance Analysis Services. Si la valeur de Port est un entier positif, le service écoute un port fixe. Si la valeur de Port est 0, le service écoute le port 2383 s'il s'agit de l'instance par défaut ou un port affecté dynamiquement s'il s'agit d'une instance nommée.

Les affectations de ports dynamiques ne sont utilisées que par les instances nommées. Le service MSOLAP$InstanceName détermine le port à utiliser lorsqu'il démarre. Pour connaître le port qu'utilise effectivement une instance nommée, vous pouvez procéder comme suit :

  • Ouvrez le Gestionnaire des tâches, puis cliquez sur Services pour obtenir le PID de MSOLAP$InstanceName.

  • Exécutez netstat –ao –p TCP à partir de la ligne de commande pour afficher les informations de port TCP relatives à ce PID.

  • Vérifiez le port à l'aide de SQL Server Management Studio et connectez-vous à un serveur Analysis Services en respectant le format suivant : <AdresseIP>:<NuméroPort>.

Bien qu'une application puisse être à l'écoute d'un port spécifique, les connexions échouent si un pare-feu bloque l'accès. Pour que des connexions atteignent une instance nommée d'Analysis Services, vous devez débloquer l'accès à msmdsrv.exe ou au port fixe du pare-feu sur lequel s'effectue l'écoute. Les sections suivantes de cette rubrique fournissent des instructions à cet effet.

Pour vérifier si des paramètres de pare-feu sont déjà définis pour Analysis Services, utilisez l'option Pare-feu Windows avec fonctions avancées de sécurité dans le Panneau de configuration. La page Pare-feu du dossier Analyse affiche la liste complète des règles définies pour le serveur local.

Notez que pour un serveur Analysis Services, toutes les exceptions de pare-feu doivent être définies manuellement. Bien qu'Analysis Services réserve les ports 2382 et 2383, ni le programme d'installation de SQL Server, ni les outils de configuration ne définissent de règles de pare-feu qui vous donnent accès à l'un ou l'autre des ports ou aux fichiers exécutables du programme.

Configurer le Pare-feu Windows pour une instance par défaut d'Analysis Services

Une instance par défaut d'Analysis Services écoute le port TCP 2383. Si vous avez installé l'instance par défaut et souhaitez utiliser ce port, vous n'avez qu'à débloquer l'accès entrant du port TCP 2383 dans le Pare-feu Windows, afin de permettre l'accès à distance à une instance par défaut d'Analysis Services. Si vous avez installé l'instance par défaut mais souhaitez configurer le service de façon à écouter un port fixe, consultez Use a fixed port for a default or named instance of Analysis Services, plus loin dans cette rubrique.

Pour vérifier si le service s'exécute en tant qu'instance par défaut (MSSQLServerOLAPService), vérifiez le nom du service dans le Gestionnaire de configuration SQL Server. Une instance par défaut d'Analysis Services est toujours répertoriée en tant que SQL Server Analysis Services (MSSQLSERVER).

Notes

Les différents systèmes d'exploitation Windows fournissent d'autres outils pour configurer le Pare-feu Windows. Dans leur majorité, ces outils vous donnent le choix entre ouvrir un port spécifique ou un fichier exécutable de programme. À moins d'avoir une raison particulière de spécifier le fichier exécutable du programme, nous vous recommandons de spécifier le port.

Lorsque vous spécifiez une règle de trafic entrant, veillez à adopter une convention d'affectation des noms qui vous permette par la suite de retrouver facilement ces règles (par exemple, SQL Server Analysis Services (TCP-entrant)).

Pare-feu Windows avec fonctions avancées de sécurité

  1. Sur Windows 7 ou Windows Vista, dans le Panneau de configuration, cliquez sur Système et sécurité, sélectionnez Pare-feu Windows, puis cliquez sur Paramètres avancés. Sur Windows Server 2008 ou 2008 R2, ouvrez Outils d'administration et cliquez sur Pare-feu Windows avec fonctions avancées de sécurité.

  2. Cliquez avec le bouton droit sur Règles entrantes et sélectionnez Nouvelle règle.

  3. Dans Type de règle, cliquez sur Port puis sur Suivant.

  4. Dans Protocole et ports, sélectionnez TCP et tapez 2383 dans Ports locaux spécifiques.

  5. Dans Action, cliquez sur Autoriser la connexion, puis sur Suivant.

  6. Dans Profil, désactivez les emplacements réseau qui ne s'appliquent pas, puis cliquez sur Suivant.

  7. Dans Nom, tapez un nom descriptif pour cette règle (par exemple, SQL Server Analysis Services (tcp-in) 2383), puis cliquez sur Terminer.

  8. Pour vérifier que les connexions distantes sont bien activées, ouvrez SQL Server Management Studio ou Excel sur un autre ordinateur et connectez-vous à Analysis Services, en spécifiant le nom de réseau du serveur présent dans Nom du serveur.

    Notes

    Les autres utilisateurs n'auront pas accès à ce serveur, à moins que vous ne leur accordiez les autorisations nécessaires. Pour plus d'informations, consultez Octroi d'accès aux utilisateurs.

Syntaxe Netsh AdvFirewall

  • La commande suivante crée une règle de trafic entrant qui autorise les demandes entrantes sur le port TCP 2383.

    netsh advfirewall firewall add rule name="SQL Server Analysis Services inbound on TCP 2383" dir=in action=allow protocol=TCP localport=2383 profile=domain

Configurer l'accès au Pare-feu Windows pour une instance nommée Analysis Services

Les instances nommées de Analysis Services peuvent écouter soit un port fixe, soit un port affecté dynamiquement, tandis que le service SQL Server Browser fournit les informations de connexion actuelles au sujet du service au moment de la connexion.

Choisissez l'une des approches suivantes pour activer l'accès à distance à une instance nommée d'Analysis Services :

  • Utilisez un port fixe et débloquez-le depuis le Pare-feu Windows. Connectez-vous au serveur en respectant le format suivant : <NomServeur>:<NuméroPort>.

  • Utilisez les affectations de port dynamiques, ainsi que le service SQL Server Browser. Débloquez le port utilisé par le service SQL Server Browser dans le Pare-feu Windows. Connectez-vous au serveur en respectant le format suivant : <NomServeur>\<NomInstance>.

  • Utilisez conjointement un port fixe et le service SQL Server Browser. Cette approche vous permet de vous connecter à l'aide du format <NomServeur>\<NomInstance>, et est identique à l'approche d'affectation de port dynamique, à l'exception près que, dans ce cas, le serveur écoute un port fixe. Dans ce cas, le service SQL Server Browser fournit un nom de résolution à l'instance Analysis Services qui écoute le port fixe. Pour utiliser cette approche, configurez le serveur de façon à ce qu'il écoute un port fixe, débloquez l'accès à ce port, puis débloquez l'accès au port utilisé par le service SQL Server Browser.

Le service SQL Server Browser est uniquement utilisé avec les instances nommées, et jamais avec l'instance par défaut. Le service est automatiquement installé et activé, dès que vous installez l'une des fonctionnalités SQL Server en tant qu'instance nommée. Si vous choisissez une approche qui nécessite le service SQL Server Browser, assurez-vous qu'il est toujours activé et lancé sur votre serveur.

Si vous ne pouvez pas utiliser le service SQL Server Browser, vous devez affecter un port fixe. En l'absence du service SQL Server Browser, toutes les connexions client doivent inclure le numéro de port dans la chaîne de connexion (par exemple, AW-SRV01:54321).

Option n°1 : utilisez les affectations de port dynamiques et débloquez l'accès au service SQL Server Browser

Les affectations de ports dynamiques pour les instances nommées d'Analysis Services sont établies par le service MSOLAP$InstanceName lorsqu'il démarre. Par défaut, le service revendique le premier numéro de port disponible qu'il trouve, et utilise un numéro de port différent chaque fois qu'il est redémarré.

Le service SQL Server Browser assure la résolution des noms d'instances. Si vous utilisez des affectations de port dynamiques avec une instance nommée, il sera toujours nécessaire de débloquer le port TCP 2382 pour le service SQL Server Browser.

Notes

Le service SQL Server Browser écoute le port UDP 1434 et le port TCP 2382, pour le moteur de base de données et Analysis Services, respectivement. Si vous avez déjà débloqué le port UDP 1434 pour le service SQL Server Browser, il vous faut néanmoins toujours débloquer le port TCP 2382 pour Analysis Services.

Pare-feu Windows avec fonctions avancées de sécurité

  1. Sur Windows 7 ou Windows Vista, dans le Panneau de configuration, cliquez sur Système et sécurité, sélectionnez Pare-feu Windows, puis cliquez sur Paramètres avancés. Sur Windows Server 2008 ou 2008 R2, ouvrez Outils d'administration et cliquez sur Pare-feu Windows avec fonctions avancées de sécurité.

  2. Pour débloquer l'accès au service SQL Server Browser, cliquez avec le bouton droit sur Règles de trafic entrant, puis sélectionnez Nouvelle règle.

  3. Dans Type de règle, cliquez sur Port puis sur Suivant.

  4. Dans Protocole et ports, sélectionnez TCP et tapez 2382 dans Ports locaux spécifiques.

  5. Dans Action, cliquez sur Autoriser la connexion, puis sur Suivant.

  6. Dans Profil, désactivez les emplacements réseau qui ne s'appliquent pas, puis cliquez sur Suivant.

  7. Dans Nom, tapez un nom descriptif pour cette règle (par exemple, SQL Server Browser Service (tcp-entrant) 2382), puis cliquez sur Terminer.

  8. Pour vérifier que les connexions distantes sont bien activées, ouvrez SQL Server Management Studio ou Excel sur un autre ordinateur et connectez-vous à Analysis Services, en spécifiant le nom de réseau du serveur et le nom de l'instance au format suivant : <NomServeur>\<NomInstance>. Par exemple, sur un serveur nommé AW-SRV01 avec une instance nommée Finance, le nom du serveur sera AW-SRV01\Finance.

Option n°2 : utilisez un port fixe pour une instance nommée

L'alternative consiste à désigner un port fixe et à débloquer l'accès à ce port. L'avantage de cette approche est qu'elle offre de plus grandes possibilités en termes d'audit si vous autorisez l'accès au fichier exécutable de programme. L'utilisation d'un port fixe est de ce fait l'approche recommandée pour accéder à toute instance Analysis Services.

Pour affecter un port fixe, suivez les instructions de la section Use a fixed port for a default or named instance of Analysis Services de cette rubrique, puis revenez à la présente section pour débloquer le port.

Pare-feu Windows avec fonctions avancées de sécurité

  1. Sur Windows 7 ou Windows Vista, dans le Panneau de configuration, cliquez sur Système et sécurité, sélectionnez Pare-feu Windows, puis cliquez sur Paramètres avancés. Sur Windows Server 2008 ou 2008 R2, ouvrez Outils d'administration et cliquez sur Pare-feu Windows avec fonctions avancées de sécurité.

  2. Pour débloquer l'accès à Analysis Services, cliquez avec le bouton droit sur Règles de trafic entrant, puis sélectionnez Nouvelle règle.

  3. Dans Type de règle, cliquez sur Port puis sur Suivant.

  4. Dans Protocole et ports, sélectionnez TCP et indiquez le port fixe dans Ports locaux spécifiques.

  5. Dans Action, cliquez sur Autoriser la connexion, puis sur Suivant.

  6. Dans Profil, désactivez les emplacements réseau qui ne s'appliquent pas, puis cliquez sur Suivant.

  7. Dans Nom, tapez un nom descriptif pour cette règle (par exemple, SQL Server Analysis Services sur port 54321), puis cliquez sur Terminer.

  8. Pour vérifier que les connexions distantes sont bien activées, ouvrez SQL Server Management Studio ou Excel sur un autre ordinateur et connectez-vous à Analysis Services, en spécifiant le nom de réseau du serveur et le numéro de port au format suivant : <NomServeur>\<NuméroPort>.

Syntaxe Netsh AdvFirewall

  • Les commandes suivantes créent des règles de trafic entrant qui débloquent le port TCP 2382 pour le service SQL Server Browser et débloquent le port fixe que vous avez spécifié pour l'instance Analysis Services. Vous pouvez exécuter l'une ou l'autre pour permettre l'accès à une instance nommée d'Analysis Services.

    Dans cet exemple de commande, le port fixe est le 54321. Veillez à le remplacer par le port effectivement utilisé sur votre système.

    netsh advfirewall firewall add rule name="SQL Server Analysis Services (tcp-in) on 54321" dir=in action=allow protocol=TCP localport=54321 profile=domain

netsh advfirewall firewall add rule name="SQL Server Browser Services inbound on TCP 2382" dir=in action=allow protocol=TCP localport=2382 profile=domain

Utiliser un port fixe pour une instance par défaut ou nommée d'Analysis Services

Cette section explique comment configurer le service pour l'écoute d'un port fixe. L'utilisation d'un port fixe est la plus courante lorsqu'Analysis Services est installé en tant qu'instance nommée, cependant, vous pouvez également utiliser cette approche si les besoins de l'entreprise et les besoins en matière de sécurité nécessitent l'utilisation de ports non affectés par défaut.

Notez que l'utilisation d'un port fixe modifie la syntaxe de connexion de l'instance par défaut, puisqu'il vous faudra ajouter le numéro de port après le nom du serveur. Par exemple, la connexion à une instance locale par défaut d'Analysis Services écoutant le port 54321 dans SQL Server Management Studio nécessite que vous tapiez localhost:54321 comme nom de serveur dans la boîte de dialogue Se connecter au serveur de Management Studio.

Si vous utilisez une instance nommée, vous pouvez affecter un port fixe sans modifier la façon dont vous spécifiez le nom du serveur (c'est-à-dire que vous pouvez utiliser <NomServeur\NomInstance> pour vous connecter à une instance nommée à l'écoute d'un port fixe). Cela fonctionne uniquement si le service SQL Server Browser est en cours d'exécution et si vous avez débloqué le port que le service écoute. Le service SQL Server Browser effectuera une redirection vers le port fixe, en fonction de <NomServeur\NomInstance>. Tant que vous ouvrez des ports à la fois pour le service SQL Server Browser et pour l'instance nommée d'Analysis Services à l'écoute du port fixe, le service SQL Server Browser assure la résolution de la connexion en instance nommée.

  1. Déterminer le port TCP/IP disponible à utiliser.

    Pour afficher une liste des ports réservés et enregistrés que vous ne devez pas utiliser, consultez Port Numbers (IANA). Pour afficher une liste des ports déjà utilisés par votre système, ouvrez une fenêtre d'invite de commandes et tapez netstat –a –p TCP pour afficher une liste des ports TCP ouverts sur le système.

  2. Après avoir déterminé quel port utiliser, spécifiez le port en modifiant le paramètre de configuration Port dans le fichier msmdsrv.ini ou dans la page de propriétés Général d'une instance Analysis Services dans SQL Server Management Studio.

  3. Redémarrez le service.

  4. Configurez le pare-feu Windows pour débloquer le port TCP spécifié. Si vous utilisez un port fixe pour une instance nommée, débloquez le port TCP spécifié pour cette instance et le port TCP 2382 pour le service SQL Server Browser.

  5. Vérifiez en vous connectant localement (dans Management Studio) puis à distance à partir d'une application cliente sur un autre ordinateur. Pour utiliser Management Studio, connectez-vous à une instance par défaut de Analysis Services en spécifiant un nom de serveur au format : <nom_serveur>:<numéro_port>. Pour une instance nommée, spécifiez le nom du serveur sous la forme <nom_serveur>\<nom_instance>.

Configuration de port pour un cluster Analysis Services

Sur les ordinateurs équipés de plusieurs cartes réseau, Analysis Services écoute toutes les adresses IP utilisant le port que vous spécifiez. Sur une instance en cluster, Analysis Services écoute toutes les adresses IP du groupe de clusters, mais uniquement sur le port TCP 2383. Vous ne pouvez pas spécifier d'autre port fixe pour une instance en cluster.

Configuration de port pour PowerPivot pour SharePoint

Si vous avez installé PowerPivot pour SharePoint, il n'est pas nécessaire d'ouvrir les ports depuis le Pare-feu Windows. Dans une installation PowerPivot pour SharePoint, le service système PowerPivot a l'usage exclusif de l'instance du service SQL Server Analysis Services (PowerPivot) local, qui est installé avec elle sur le même ordinateur. Il utilise des connexions locales, et non réseau, pour accéder au service du moteurAnalysis Services qui charge, interroge et traite les données PowerPivot sur le serveur SharePoint. Les demandes de données PowerPivot aux applications clientes sont routées via les ports ouverts par le programme d'installation de SharePoint (en particulier, les règles de trafic entrant sont définies de façon à autoriser l'accès à SharePoint – 80, à l'Administration centrale de SharePoint v4, aux services Web SharePoint et à SPUserCodeV4). Étant donné que les services Web PowerPivot fonctionnent dans une batterie de serveurs SharePoint, les règles de pare-feu SharePoint suffisent pour l'accès à distance aux données PowerPivot d'une batterie de serveurs SharePoint.