Spécification et limitation des ports
Divers ports sont utilisés pour accéder à Microsoft SQL Server Analysis Services. Les ports qu'utilise un client dépendent de la configuration Analysis Services.
Les ports suivants sont disponibles pour accéder à Analysis Services:
Le port qu'utilise Analysis Services. Chaque instance Analysis Services écoute sur un port TCP/IP spécifique les demandes entrantes des clients. L'instance par défaut Analysis Services écoute le port TCP/IP 2383, mais les instances nommées Analysis Services n'utilisent pas un port par défaut. Les instances nommées peuvent utiliser divers ports. Pour renforcer la sécurité, utilisez un pare-feu pour limiter les accès des utilisateurs à Analysis Services depuis Internet.
Le port qu'utilisent les Services Internet (IIS). Les utilisateurs peuvent également se connecter à une instance Analysis Services via IIS. Lorsque vous utilisez un pare-feu pour empêcher les accès directs à Analysis Services depuis Internet, vous pouvez utiliser IIS pour authentifier les utilisateurs Internet avant qu'ils se connectent à l'instance Analysis Services. Lorsque vous utilisez IIS, seul le port IIS doit être ouvert sur le pare-feu Internet.
Limitation des ports TCP/IP utilisés par Analysis Services
Bien que l'instance par défaut Analysis Services écoute le port 2383, le port qu'utilise une instance nommée Analysis Services varie. Chaque instance nommée écoute le port qu'un administrateur définit ou le port affecté dynamiquement lors de l'installation. La variabilité des ports implique que les clients ne connaissent pas automatiquement le port qu'utilise une instance nommée Analysis Services, et ils ne savent donc pas à qui ils doivent envoyer leurs demandes.
Pour faciliter l'envoi par les clients de demandes à des instances nommées de Analysis Services, SQL Server dispose du service SQL Server Browser. SQL Server Browser conserve la trace des ports écoutés par chaque instance nommée. Les demandes de connexion des clients à une instance nommée qui ne définissent pas un numéro de port sont dirigées vers le port 2382, qui est le port écouté par SQL Server Browser. SQL Server Browser redirige ensuite la demande vers le port utilisé par l'instance nommée.
Les utilisateurs peuvent également envoyer une demande de découverte à SQL Server Browser pour obtenir la liste des instances nommées exécutées sur l'ordinateur. Dans un environnement intranet sécurisé, la possibilité de demander à SQL Server Browser la liste des instances nommées facilite la connexion des clients à ces instances et engendre seulement un risque de sécurité très limité. Toutefois, la possibilité d'interroger SQL Server Browser ne pose pas de problèmes de sécurité lorsque les clients peuvent accéder à Analysis Services depuis Internet. Pour renforcer la sécurité lorsque des instances de Analysis Services sont accessibles via Internet, désactivez SQL Server Browser. Vous empêchez ainsi les utilisateurs de découvrir les instances nommées de Analysis Services .
Limitation des ports TCP/IP non utilisés par Analysis Services
Pour limiter les ports TCP/IP qui ne sont pas utilisés par Analysis Services , vérifiez les ports actifs sur l'ordinateur sur lequel Analysis Services est exécuté. Ce processus de vérification inclut l'identification des ports TCP/IP qui écoutent, ainsi que de l'état des ports.
Pour vérifier les ports qui écoutent, utilisez l'utilitaire de ligne de commande netstat . L'utilitaire netstat affiche non seulement les connexions IP actives, mais également diverses statistiques et informations IP.
Pour vérifier les ports TCP/IP qui écoutent
Ouvrez la fenêtre d'invite de commandes.
À l'invite de commandes, tapez netstat -n -a.
Le commutateur -n indique à netstat d'afficher l'adresse numérique et le numéro de port des connexions TCP actives. Le commutateur -a indique à netstat d'afficher les ports TCP et UPD écoutés par l'ordinateur.
Pour vérifier l'état des ports TCP/IP, utilisez l'utilitaire PortQry. Cet utilitaire de ligne de commande indique si les ports TCP/IP écoutent, n'écoutent pas ou sont filtrés. (Lorsque le port est filtré, il peut écouter ou non. Cet état indique que l'utilitaire n'a pas reçu de réponse du port.) L'utilitaire PortQry peut être téléchargé sur le Microsoft Download Center.
Après avoir vérifié les ports actifs et leur état, identifiez les ports qui ne sont pas nécessaires pour se connecter à Analysis Services . Désactivez ensuite les services sur ces ports ou limitez l'accès à ces ports en utilisant un pare-feu.
Pour plus d'informations sur les paramètres par défaut du pare-feu Windows et pour obtenir une description des ports TCP qui affectent le moteur de base de données, Analysis Services, Reporting Services et Integration Services, consultez Configuration du Pare-feu Windows pour autoriser l'accès à SQL Server.
Limitation des ports IIS
Si les utilisateurs accèdent à Analysis Services via IIS et Internet, déployez un pare-feu entre le client et IIS. Le pare-feu permet de limiter les ports via lesquels les utilisateurs peuvent accéder à IIS et l'ordinateur sur lequel Analysis Services est exécuté. Pour plus d'informations sur les pare-feu, consultez Perimeter Firewall Design (en anglais) sur Microsoft TechNet.
Si vous déployez un pare-feu, vous devez ouvrir le port sur lequel IIS écoute et définir ce port dans la chaîne de connexion du client. Dans ce cas, aucun port ne doit être ouvert pour l'accès direct à Analysis Services . Le port par défaut, 2382, ainsi que tous les ports qui ne sont pas nécessaires, doivent être limités.