• Статья

настроить брандмауэр Windows для доступа к службам Analysis Services

Данный раздел поможет определить, нужно ли разблокировать порты брандмауэра для доступа к службам Службы Analysis Services или PowerPivot для SharePoint. Выполните шаги в этом разделе, чтобы настроить параметры порта и брандмауэра. На практике их нужно выполнить все вместе, чтобы обеспечить доступ к серверу служб Службы Analysis Services.

Требования к конфигурации брандмауэра зависят от установленного компонента служб Службы Analysis Services. Если установлен PowerPivot для SharePoint, то открывать порты в брандмауэре Windows не нужно. В отличие от этого, удаленное соединение с автономной установкой служб Analysis Services всегда требует открытия порта.

Экземпляр по умолчанию служб Службы Analysis Services прослушивает TCP-порт 2383, но можно настроить сервер на прослушивание другого фиксированного порта или использовать динамическое назначение портов и службу браузера SQL Server.

В этом разделе содержатся следующие подразделы.

Проверка параметров порта и брандмауэра для служб Analysis Services

Настройка брандмауэра Windows для экземпляра служб Analysis Services по умолчанию

Настройка доступа брандмауэра Windows для именованного экземпляра служб Analysis Services

Настройка порта для кластера служб Analysis Services

Настройка порта PowerPivot для SharePoint

Use a fixed port for a default or named instance of Analysis Services

Дополнительные сведения о настройках брандмауэра Windows по умолчанию и описание TCP-портов, от которых зависит работа компонента Database Engine, служб Analysis Services, Reporting Services и Integration Services, см. в разделе Настройка Брандмауэра Windows для разрешения доступа к SQL Server.

Проверка параметров порта и брандмауэра для служб Analysis Services

В операционных системах Microsoft Windows, поддерживаемых , брандмауэр по умолчанию включен и блокирует удаленные соединения. В операционных системах Windows Server 2008 R2, Windows Server 2008, Windows 7 и Windows Vista необходимо вручную открыть порт в брандмауэре, чтобы разрешить входящие запросы к службам Analysis Services. Программа установки SQL Server не выполняет этот шаг автоматически.

Параметры порта задаются в файле msmdsrv.ini и на странице свойств «Общие» экземпляра служб Analysis Services в среде SQL Server Management Studio. Если для Port установлено положительное целочисленное значение, то служба прослушивает фиксированный порт. Если для Port установлено значение 0, то служба прослушивает порт 2383, если это экземпляр по умолчанию, либо динамически назначаемый порт, если это именованный экземпляр.

Динамическое назначение портов используется только именованными экземплярами. При запуске служба MSOLAP$InstanceName определяет, какой порт нужно использовать. Чтобы определить фактический номер порта, который использует именованный экземпляр, выполните следующие действия.

  • Запустите диспетчер задач и щелкните Службы, чтобы получить идентификатор процесса (PID) MSOLAP$InstanceName.

  • Из командной строки выполните команду netstat –ao –p TCP, чтобы получить сведения о TCP-порте для данного идентификатора PID.

  • Проверьте порт с помощью среды SQL Server Management Studio и подключитесь к серверу служб Analysis Services в следующем формате: <IP-адрес>:<номер_порта>.

Хотя приложение может прослушивать указанный порт, соединения будут безуспешными, если брандмауэр блокирует доступ. Чтобы соединиться с именованным экземпляром служб Analysis Services, необходимо разблокировать доступ к файлу msmdsrv.exe или фиксированному порту в брандмауэре, по которому ведется прослушивание. Остальные подразделы в этом разделе содержат соответствующие инструкции.

Чтобы выяснить, были ли ранее настроены параметры брандмауэра для служб Analysis Services, на панели управления откройте брандмауэр Windows в режиме повышенной безопасности. На странице «Брандмауэр» в папке «Мониторинг» показан полный список правил, определенный для локального сервера.

Обратите внимание, что для сервера служб Analysis Services все исключения брандмауэра должны быть определены вручную. Хотя службы Analysis Services резервируют порты 2382 и 2383, ни программа установки SQL Server и ни одно из средств настройки не определяют правила брандмауэра, открывающие доступ к портам или исполняемым файлам программы.

Настройка брандмауэра Windows для экземпляра служб Analysis Services по умолчанию

По умолчанию экземпляр компонента служб Analysis Services прослушивает TCP-порт 2383. Если установлен экземпляр по умолчанию и желательно использовать этот порт, то необходимо лишь разблокировать входящий доступ к TCP-порту 2383 в брандмауэре Windows, чтобы разрешить удаленный доступ к экземпляру служб Analysis Services по умолчанию. Если установлен экземпляр по умолчанию, но необходимо настроить эту службу для прослушивания фиксированного порта, см. подраздел Use a fixed port for a default or named instance of Analysis Services данного раздела.

Чтобы определить, запущена ли служба как экземпляр по умолчанию (MSSQLServerOLAPService), проверьте ее имя в диспетчере конфигурации SQL Server. Экземпляр служб Analysis Services по умолчанию всегда называется Службы SQL Server Analysis Services (MSSQLSERVER).

ПримечаниеПримечание

В различных операционных системах Windows предусмотрены разные средства для настройки брандмауэра Windows. В большинстве из этих средств можно выбирать между открытием определенного порта или исполняемого файла программы. Если нет особой причины указывать исполняемый файл программы, рекомендуется указывать порт.

При задании правила входящего подключения пользуйтесь контекстом именования, которое позволит без труда находить эти правила (например, SQL Server Analysis Services (TCP-in)).

Брандмауэр Windows в режиме повышенной безопасности

  1. В Windows 7 и Windows Vista на панели управления выберите Система и безопасность, затем Брандмауэр Windows и Дополнительные параметры. В Windows Server 2008 или 2008 R2 откройте средства администрирования и выберите Брандмауэр Windows в режиме повышенной безопасности.

  2. Щелкните правой кнопкой мыши Правила для входящих подключений и выберите Создать правило.

  3. В поле «Тип правила» выберите Порт, а затем Далее.

  4. В «Протокол и порты» выберите TCP и введите 2383 в Определенные локальные порты.

  5. В поле «Действие» выберите Разрешить соединение и нажмите кнопку Далее.

  6. В области «Профиль» снимите флажки мест в сети, для которых не нужно открывать порты, и нажмите кнопку Далее.

  7. В поле «Имя» введите описательное имя этого правила (например, браузер SQL Server Analysis Services (tcp-in) 2383) и нажмите кнопку Готово.

  8. Чтобы проверить, разрешены ли удаленные соединения, откройте Excel или среду SQL Server Management Studio на другом компьютере и подключитесь к службам Analysis Services, указав сетевое имя сервера в поле Имя сервера.

    ПримечаниеПримечание

    Другие пользователи не будут иметь доступа к этому серверу, пока вы не предоставите им разрешения. Дополнительные сведения см. в разделе Предоставление доступа пользователям.

Синтаксис Netsh AdvFirewall

  • Следующая команда создает правило входящего соединения, которое разрешает входящие запросы для TCP-порта 2383.

    netsh advfirewall firewall add rule name="SQL Server Analysis Services inbound on TCP 2383" dir=in action=allow protocol=TCP localport=2383 profile=domain

Настройка доступа брандмауэра Windows для именованного экземпляра служб Analysis Services

Именованные экземпляры служб Службы Analysis Services могут прослушивать либо указанный фиксированный, либо динамически назначаемый порт, при этом служба браузера SQL Server предоставляет сведения о текущем соединении службы на момент соединения.

Выберите один из следующих методов, чтобы разрешить удаленный доступ к именованному экземпляру служб Analysis Services:

  • Используйте фиксированный порт и разблокируйте этот порт в брандмауэре Windows. Установите соединение с сервером в следующем формате: <имя_сервера>:<номер_порта>.

  • Используйте динамическое назначение порта и службу браузера SQL Server. Разблокируйте порт, используемый браузером SQL Server, в брандмауэре Windows. Установите соединение с сервером в следующем формате: <имя_сервера>\<имя_экземпляра>.

  • Используйте фиксированный порт в сочетании со службой браузера SQL Server. Этот метод позволяет подключаться с использованием следующего формата: <имя_сервера>\<имя_экземпляра>. Он идентичен тому, что используется в методе с динамическим назначением порта, за исключением того, что в данном случае сервер прослушивает фиксированный порт. В этом случае служба браузера SQL Server обеспечивает разрешение имен для экземпляра служб Analysis Services, прослушивающего фиксированный порт. Для использования этого метода настройте сервер на прослушивание фиксированного порта, разблокируйте доступ к этому порту, а также к порту, используемому службой браузера SQL Server.

Служба браузера SQL Server используется только с именованными экземплярами. С экземпляром по умолчанию она не используется никогда. Эта служба автоматически устанавливается и включается при установке любого средства SQL Server в качестве именованного экземпляра. Если выбран метод, для которого требуется служба браузера SQL Server, то необходимо следить за тем, чтобы она осталась включенной и была запущена на сервере.

Если нет возможности использовать службу браузера SQL Server, то необходимо назначить фиксированный порт. Если служба браузера SQL Server не используется, то все клиентские соединения должны включать номер порта в строке подключения (например, AW-SRV01:54321).

Вариант 1. Используйте динамическое назначение порта и разблокируйте доступ к службе браузера SQL Server.

Динамическое назначение портов для именованных экземпляров служб Analysis Services выполняет MSOLAP$InstanceName при запуске службы. По умолчанию служба занимает первый свободный номер порта, используя разные номера портов при каждом перезапуске службы.

Разрешение имени экземпляра обеспечивается службой браузера SQL Server. Разблокирование TCP-порта 2382 для службы браузера SQL Server обязательно, если используется назначение динамического порта с именованным экземпляром.

ПримечаниеПримечание

Служба браузера SQL Server прослушивает как UDP-порт 1434, так и TCP-порт 2382 для компонента Database Engine и служб Analysis Services соответственно. Даже если UDP-порт 1434 уже разблокирован для службы браузера SQL Server, необходимо разблокировать TCP-порт 2382 для служб Analysis Services.

Брандмауэр Windows в режиме повышенной безопасности

  1. В Windows 7 и Windows Vista на панели управления выберите Система и безопасность, затем Брандмауэр Windows и Дополнительные параметры. В Windows Server 2008 или 2008 R2 откройте средства администрирования и выберите Брандмауэр Windows в режиме повышенной безопасности.

  2. Чтобы разблокировать доступ к службе браузера SQL Server, щелкните правой кнопкой мыши Правила для входящих соединений и выберите Создать правило.

  3. В поле «Тип правила» выберите Порт, а затем Далее.

  4. В «Протокол и порты» выберите TCP и введите 2382 в Определенные локальные порты.

  5. В поле «Действие» выберите Разрешить соединение и нажмите кнопку Далее.

  6. В области «Профиль» снимите флажки мест в сети, для которых не нужно открывать порты, и нажмите кнопку Далее.

  7. В поле «Имя» введите описательное имя этого правила (например, SQL Server Analysis Services (tcp-in) 2382) и нажмите кнопку Готово.

  8. Чтобы проверить, разрешены ли удаленные соединения, откройте SQL Server Management Studio или Excel на другом компьютере и установите соединение со службами Analysis Services, указав сетевое имя сервера и имя экземпляра в следующем формате: <имя_сервера>\<имя_экземпляра>. Например, на сервере под именем AW-SRV01 с именованным экземпляром Finance именем сервера является AW-SRV01\Finance.

Вариант 2. Использование фиксированного порта для именованного экземпляра

В качестве альтернативы можно назначить фиксированный порт, а затем разблокировать доступ к этому порту. Такой подход дает более широкие возможности аудита, если вам разрешен доступ к исполняемому файлу программы. По этой причине использование фиксированного порта рекомендуется для доступа к любому экземпляру служб Analysis Services.

Чтобы назначить фиксированный порт, выполните инструкции в подразделе Use a fixed port for a default or named instance of Analysis Services данного раздела, затем вернитесь в этот раздел, чтобы разблокировать порт.

Брандмауэр Windows в режиме повышенной безопасности

  1. В Windows 7 и Windows Vista на панели управления выберите Система и безопасность, затем Брандмауэр Windows и Дополнительные параметры. В Windows Server 2008 или 2008 R2 откройте средства администрирования и выберите Брандмауэр Windows в режиме повышенной безопасности.

  2. Чтобы разблокировать доступ к службам Analysis Services, щелкните правой кнопкой мыши Правила для входящих соединений и выберите Создать правило.

  3. В поле «Тип правила» выберите Порт, а затем Далее.

  4. В диалоговом окне «Протокол и порты» выберите протокол TCP и введите номер фиксированного порта в поле Определенные локальные порты.

  5. В поле «Действие» выберите Разрешить соединение и нажмите кнопку Далее.

  6. В области «Профиль» снимите флажки мест в сети, для которых не нужно открывать порты, и нажмите кнопку Далее.

  7. В поле «Имя» введите описательное имя этого правила (например, SQL Server Analysis Services, порт 54321), а затем нажмите кнопку Готово.

  8. Чтобы проверить, разрешены ли удаленные соединения, откройте среду SQL Server Management Studio или Excel на другом компьютере и установите соединение со службами Analysis Services, указав сетевое имя сервера и номер порта в следующем формате: <имя_сервера>:<номер_порта>.

Синтаксис Netsh AdvFirewall

  • Следующие команды создают правила для входящих соединений, которые разблокируют TCP-порт 2382 для службы браузера SQL Server и фиксированный порт, указанный для экземпляра служб Analysis Services. Можно выполнить любую из этих команд, чтобы разрешить доступ к именованному экземпляру служб Analysis Services.

    В этом образце команды порт 54321 фиксированный. Обязательно замените его на фактический номер порта, используемый в вашей системе.

    netsh advfirewall firewall add rule name="SQL Server Analysis Services (tcp-in) on 54321" dir=in action=allow protocol=TCP localport=54321 profile=domain

netsh advfirewall firewall add rule name="SQL Server Browser Services inbound on TCP 2382" dir=in action=allow protocol=TCP localport=2382 profile=domain

Использование фиксированного порта для именованного экземпляра или экземпляра по умолчанию служб Analysis Services

В этом разделе объясняется, как настроить службы Analysis Services для прослушивания фиксированного порта. Фиксированный порт обычно используется в том случае, когда службы Analysis Services установлены как именованный экземпляр. Однако этим методом можно также воспользоваться в тех случаях, когда требования бизнеса или безопасности предписывают не использовать назначения портов по умолчанию.

Обратите внимание, что при использовании фиксированного порта изменяется синтаксис соединения для экземпляра по умолчанию: необходимо добавить номер порта к имени сервера. Например, чтобы в среде SQL Server Management Studio подключиться к локальному экземпляру по умолчанию служб Analysis Services, который прослушивает порт 54321, нужно в диалоговом окне «Соединение с сервером» в качестве имени сервера ввести «localhost:54321».

Если используется именованный экземпляр, то можно назначить фиксированный порт, не изменяя способ указания имени сервера (в частности, можно использовать <имя_сервера\имя_экземпляра> для подключения к именованному экземпляру, прослушивающему фиксированный порт). Это применимо только в том случае, если служба браузера SQL Server запущена и разблокирован порт, который она прослушивает. В таком случае служба браузера SQL Server обеспечивает перенаправление к фиксированному порту исходя из значения <имя_сервера\имя_экземпляра>. Если открыты порты как для службы браузера SQL Server, так и для именованного экземпляра служб Analysis Services, прослушивающего фиксированный порт, то служба браузера SQL Server разрешит соединение с именованным экземпляром.

  1. Определите порт TCP/IP, который можно использовать.

    Список зарезервированных и зарегистрированных портов, которые не следует использовать, см. в разделе Номера портов (IANA). Для просмотра списка TCP-портов, которые уже используются в системе, откройте окно командной строки и введите netstat –a –p TCP.

  2. После выбора порта укажите его, изменив настройку конфигурации Port в файле msmdsrv.ini. Указать порт можно также на странице «Общие свойства» экземпляра служб Analysis Services в среде SQL Server Management Studio.

  3. Перезапустите службу.

  4. Настройте в брандмауэре Windows разблокировку выбранного порта TCP. Или, если для именованного экземпляра используется фиксированный порт, разблокируйте TCP-порт, указанный для этого экземпляра, и TCP-порт 2382 для службы браузера SQL Server.

  5. Выполните проверку, подключившись локально (в среде Management Studio) и удаленно из клиентского приложения на другом компьютере. В среде Management Studio подключитесь к экземпляру служб Analysis Services по умолчанию, указав имя сервера в следующем формате: <имя_сервера>:<номер_порта>. Для именованного экземпляра введите имя в формате <имя_сервера>\<имя_экземпляра>.

Настройка порта для кластера служб Analysis Services

На компьютерах с несколькими сетевыми платами службы Analysis Services прослушивают на указанном порту все IP-адреса. На кластеризованном экземпляре службы Analysis Services будут прослушивать все IP-адреса в кластерной группе, но только по TCP-порту 2383. Альтернативный фиксированный порт для кластеризованного экземпляра указать нельзя.

Настройка порта PowerPivot для SharePoint

Если установлен PowerPivot для SharePoint, то открывать порты в брандмауэре Windows не нужно. В установке PowerPivot для SharePoint системная служба PowerPivot имеет монопольное право на использование локального экземпляра службы SQL Server Analysis Services (PowerPivot), установленного на том же компьютере. Она использует локальные, но не сетевые подключения для доступа к локальным службам Analysis Services, которые загружают, выполняют запросы и обрабатывают данные PowerPivot на сервере SharePoint. Для получения данных PowerPivot из клиентских приложений запросы направляются через порты, открытые программой установки SharePoint (в частности, определяются правила для входящих подключений при доступе к SharePoint — 80, центру администрирования SharePoint v4, веб-службам SharePoint и SPUserCodeV4). Веб-службы PowerPivot выполняются в пределах фермы SharePoint, поэтому правил брандмауэра SharePoint достаточно для удаленного доступа к данным PowerPivot в ферме SharePoint.