Configurer le pare-feu Windows pour autoriser l'accès à Analysis Services

S’applique à : SQL Server Analysis Services Azure Analysis Services Fabric/Power BI Premium

Une première étape essentielle pour rendre SQL Server Analysis Services ou Power Pivot pour SharePoint disponible sur le réseau consiste à déterminer si vous devez débloquer des ports dans un pare-feu. La plupart des installations nécessitent la création d’au moins une règle de pare-feu liée qui autorise les connexions à SQL Server Analysis Services.

Les exigences de configuration du pare-feu varient selon la façon dont vous avez installé SQL Server Analysis Services :

• Ouvrez le port TCP 2383 lors de l’installation d’un instance par défaut ou de la création d’un cluster de basculement SQL Server Analysis Services.

• Ouvrez le port TCP 2382 lors de l'installation d'une instance nommée. Les instances nommées utilisent les affectations de ports dynamiques. En tant que service de découverte pour Analysis Services, SQL Server service Browser écoute sur le port TCP 2382 et redirige la demande de connexion vers le port actuellement utilisé par SQL Server Analysis Services.

• Ouvrez le port TCP 2382 lors de l’installation de SQL Server Analysis Services en mode SharePoint pour prendre en charge Power Pivot pour SharePoint 2013. Dans Power Pivot pour SharePoint 2013, le SQL Server Analysis Services instance est externe à SharePoint. Les demandes entrantes à l’instance nommées « Power Pivot » proviennent d’applications web SharePoint via une connexion réseau, nécessitant un port ouvert. Comme avec d’autres instances nommées SQL Server Analysis Services, créez une règle de trafic entrant pour SQL Server service Browser sur TCP 2382 afin d’autoriser l’accès à Power Pivot pour SharePoint.

• Pour Power Pivot pour SharePoint 2010, n’ouvrez pas de ports dans le Pare-feu Windows. En tant que complément à SharePoint, le service utilise des ports configurés pour SharePoint et établit uniquement des connexions locales à l’SQL Server Analysis Services instance qui charge et interroge les modèles de données Power Pivot.

• Pour SQL Server Analysis Services instances s’exécutant sur Windows Azure Machines Virtuelles, utilisez d’autres instructions pour configurer l’accès au serveur. Consultez Business Intelligence de SQL Server dans les ordinateurs virtuels Windows Azure.

Bien que la instance par défaut de SQL Server Analysis Services écoute sur le port TCP 2383, vous pouvez configurer le serveur pour qu’il écoute sur un autre port fixe, en vous connectant au serveur dans le format suivant : <servername> :<portnumber>.

Un seul port TCP peut être utilisé par un SQL Server Analysis Services instance. Sur les ordinateurs disposant de plusieurs cartes réseau ou de plusieurs adresses IP, SQL Server Analysis Services écoute sur un port TCP toutes les adresses IP affectées ou alias à l’ordinateur. Si vous avez des exigences multi port spécifiques, envisagez de configurer SQL Server Analysis Services pour l’accès HTTP. Vous pouvez ensuite configurer plusieurs points de terminaison HTTP sur les ports que vous choisissez. Consultez Configurer l’accès HTTP à Analysis Services sur Internet Information Services (IIS) 8.0.

Cette rubrique contient les sections suivantes :

• Vérifier les paramètres des ports et du pare-feu utilisés par Analysis Services

• Configurer le pare-feu Windows pour une instance par défaut d'Analysis Services

• Configurer l'accès au Pare-feu Windows pour une instance nommée Analysis Services

• Configuration de port pour un cluster Analysis Services

• Configuration de port pour PowerPivot pour SharePoint

• Utiliser un port fixe pour une instance par défaut ou nommée d'Analysis Services

Pour plus d’informations sur les paramètres par défaut du Pare-feu Windows et pour obtenir une description des ports TCP qui affectent le moteur de base de données, Analysis Services, Reporting Services et Integration Services, consultez Configurer le Pare-feu Windows pour autoriser l’accès à SQL Server.

Vérifier les paramètres des ports et du pare-feu utilisés par Analysis Services

Sur les systèmes d’exploitation Microsoft Windows pris en charge par SQL Server 2017, le Pare-feu Windows est activé par défaut et bloque les connexions à distance. Vous devez ouvrir manuellement un port dans le Pare-feu pour autoriser les demandes entrantes à destination d'Analysis Services. Le programme d'installation de SQL Server n'effectue pas cette étape pour vous.

Le paramétrage des ports s'effectue dans le fichier msmdsrv.ini et dans SQL Server Management Studio, dans la page Propriétés générales d'une instance d'Analysis Services. Si la valeur de Port est un entier positif, le service écoute un port fixe. Si la valeur de Port est 0, le service écoute le port 2383 s'il s'agit de l'instance par défaut ou un port affecté dynamiquement s'il s'agit d'une instance nommée.

Les affectations de ports dynamiques ne sont utilisées que par les instances nommées. Le service MSOLAP$InstanceName détermine le port à utiliser lorsqu'il démarre. Pour connaître le port qu'utilise effectivement une instance nommée, vous pouvez procéder comme suit :

• Démarrez le Gestionnaire des tâches, puis cliquez sur Services pour obtenir le PID de MSOLAP$InstanceName.

• Exécutez netstat -ao -p TCP à partir de la ligne de commande pour afficher les informations de port TCP pour ce PID.

• Vérifiez le port à l’aide de SQL Server Management Studio et connectez-vous à un serveur Analysis Services au format suivant : <IPAddress> :<portnumber>.

Bien qu'une application puisse être à l'écoute d'un port spécifique, les connexions échouent si un pare-feu bloque l'accès. Pour que des connexions atteignent une instance nommée d'Analysis Services, vous devez débloquer l'accès à msmdsrv.exe ou au port fixe du pare-feu sur lequel s'effectue l'écoute. Les sections suivantes de cette rubrique fournissent des instructions à cet effet.

Pour vérifier si des paramètres de pare-feu sont déjà définis pour Analysis Services, utilisez Pare-feu Windows avec fonctions avancées de sécurité dans le Panneau de configuration. La page Pare-feu du dossier Analyse affiche la liste complète des règles définies pour le serveur local.

Notez que pour SQL Server Analysis Services, toutes les règles de pare-feu doivent être définies manuellement. Bien que SQL Server Analysis Services et SQL Server Browser réservent les ports 2382 et 2383, ni le programme d’installation SQL Server ni aucun des outils de configuration ne définissent des règles de pare-feu qui autorisent l’accès aux ports ou aux fichiers exécutables du programme.

Configurer le pare-feu Windows pour une instance par défaut d'Analysis Services

La instance par défaut de SQL Server Analysis Services écoute sur le port TCP 2383. Si vous avez installé le instance par défaut et que vous souhaitez utiliser ce port, il vous suffit de débloquer l’accès entrant au port TCP 2383 dans le Pare-feu Windows pour activer l’accès à distance à la instance par défaut de SQL Server Analysis Services. Si vous avez installé l'instance par défaut mais souhaitez configurer le service de façon à écouter un port fixe, consultez Utiliser un port fixe pour une instance par défaut ou nommée d'Analysis Services , plus loin dans cette rubrique.

Pour vérifier si le service s'exécute en tant qu'instance par défaut (MSSQLServerOLAPService), vérifiez le nom du service dans le Gestionnaire de configuration SQL Server. Une instance par défaut d’Analysis Services est toujours répertoriée sous le nom SQL Server Analysis Services (MSSQLSERVER).

Quand vous spécifiez une règle de trafic entrant, veillez à adopter une convention d’affectation de noms qui vous permette par la suite de retrouver facilement ces règles (par exemple, SQL Server Analysis Services (TCP-entrant) 2383).

Pare-feu Windows avec fonctions avancées de sécurité

1. Sur Windows 7 ou Windows Vista, dans le Panneau de configuration, cliquez sur Système et sécurité, sélectionnez Pare-feu Windows, puis cliquez sur Paramètres avancés. Sous Windows Server 2008 ou 2008 R2, ouvrez Outils d'administration et cliquez sur Pare-feu Windows avec fonctions avancées de sécurité. Sous Windows Server 2012, ouvrez la page Applications et entrez Pare-feu Windows.

2. Cliquez avec le bouton droit sur Règles de trafic entrant et sélectionnez Nouvelle règle.

3. Dans Type de règle, cliquez sur Port , puis sur Suivant.

4. Dans Protocole et ports, sélectionnez TCP et tapez 2383 dans Ports locaux spécifiques.

5. Dans Action, cliquez sur Autoriser la connexion , puis sur Suivant.

6. Dans Profil, désactivez les emplacements réseau qui ne s'appliquent pas, puis cliquez sur Suivant.

7. Dans Nom, tapez un nom descriptif pour cette règle (par exemple, SQL Server Analysis Services (tcp-entrant) 2383), puis cliquez sur Terminer.

8. Pour vérifier que les connexions à distance sont activées, ouvrez SQL Server Management Studio ou Excel sur un autre ordinateur et connectez-vous à SQL Server Analysis Services en spécifiant le nom réseau du serveur dans Nom du serveur.

   Notes

   Les autres utilisateurs n'auront pas accès à ce serveur, à moins que vous ne leur accordiez les autorisations nécessaires. Pour plus d’informations, consultez Autoriser l’accès aux objets et opérations (Analysis Services).

Syntaxe Netsh AdvFirewall

• La commande suivante crée une règle de trafic entrant qui autorise les demandes entrantes sur le port TCP 2383.

  netsh advfirewall firewall add rule name="SQL Server Analysis Services inbound on TCP 2383" dir=in action=allow protocol=TCP localport=2383 profile=domain  
  

Configurer l'accès au Pare-feu Windows pour une instance nommée Analysis Services

Les instances nommées de SQL Server Analysis Services peuvent écouter sur un port fixe ou sur un port attribué dynamiquement, où SQL Server service Browser fournit les informations de connexion actuelles pour le service au moment de la connexion.

Le service SQL Server Browser écoute le port TCP 2382. UDP n'est pas utilisé. TCP est le seul protocole de transmission utilisé par SQL Server Analysis Services.

Choisissez l'une des approches suivantes pour activer l'accès à distance à une instance nommée d'Analysis Services :

• Utilisez les affectations de port dynamiques, ainsi que le service SQL Server Browser. Débloquez le port utilisé par le service SQL Server Browser dans le Pare-feu Windows. Connectez-vous au serveur au format suivant : <nom_>serveur\<nom_>instance.

• Utilisez conjointement un port fixe et le service SQL Server Browser. Cette approche vous permet de vous connecter à l’aide du format suivant : <nom_>serveur\<nom_instance>, identique à l’approche d’affectation de port dynamique, sauf que dans ce cas, le serveur écoute sur un port fixe. Dans ce cas, le service SQL Server Browser fournit un nom de résolution à l'instance Analysis Services qui écoute le port fixe. Pour utiliser cette approche, configurez le serveur de façon à ce qu'il écoute un port fixe, débloquez l'accès à ce port, puis débloquez l'accès au port utilisé par le service SQL Server Browser.

Le service SQL Server Browser est uniquement utilisé avec les instances nommées, et jamais avec l'instance par défaut. Le service est automatiquement installé et activé, dès que vous installez l'une des fonctionnalités SQL Server en tant qu'instance nommée. Si vous choisissez une approche qui nécessite le service SQL Server Browser, assurez-vous qu'il est toujours activé et lancé sur votre serveur.

Si vous ne pouvez pas utiliser le service SQL Server Browser, vous devez affecter un port fixe dans la chaîne de connexion, qui ignore la résolution des noms de domaine. En l'absence du service SQL Server Browser, toutes les connexions client doivent inclure le numéro de port dans la chaîne de connexion (par exemple, AW-SRV01:54321).

Option n°1 : utilisez les affectations de port dynamiques et débloquez l'accès au service SQL Server Browser

Les affectations de ports dynamiques pour les instances nommées d'Analysis Services sont établies par le service MSOLAP$InstanceName lorsqu'il démarre. Par défaut, le service revendique le premier numéro de port disponible qu'il trouve, et utilise un numéro de port différent chaque fois qu'il est redémarré.

Le service SQL Server Browser assure la résolution des noms d'instances. Si vous utilisez des affectations de port dynamiques avec une instance nommée, il sera toujours nécessaire de débloquer le port TCP 2382 pour le service SQL Server Browser.

Pare-feu Windows avec fonctions avancées de sécurité

1. Sur Windows 7 ou Windows Vista, dans le Panneau de configuration, cliquez sur Système et sécurité, sélectionnez Pare-feu Windows, puis cliquez sur Paramètres avancés. Sous Windows Server 2008 ou 2008 R2, ouvrez Outils d'administration et cliquez sur Pare-feu Windows avec fonctions avancées de sécurité. Sous Windows Server 2012, ouvrez la page Applications et entrez Pare-feu Windows.

2. Pour débloquer l’accès au service SQL Server Browser, cliquez avec le bouton droit sur Règles de trafic entrant , puis sélectionnez Nouvelle règle.

3. Dans Type de règle, cliquez sur Port , puis sur Suivant.

4. Dans Protocole et ports, sélectionnez TCP et saisissez 2382 dans Ports locaux spécifiques.

5. Dans Action, cliquez sur Autoriser la connexion , puis sur Suivant.

6. Dans Profil, désactivez les emplacements réseau qui ne s'appliquent pas, puis cliquez sur Suivant.

7. Dans Nom, tapez un nom descriptif pour cette règle (par exemple, SQL Server Browser Service (tcp-entrant) 2382), puis cliquez sur Terminer.

8. Pour vérifier que les connexions à distance sont activées, ouvrez SQL Server Management Studio ou Excel sur un autre ordinateur et connectez-vous à Analysis Services en spécifiant le nom réseau du serveur et le nom instance au format suivant : <nom_>serveur\<nom_>instance. Par exemple, sur un serveur nommé AW-SRV01 avec une instance nommée Finance, le nom du serveur sera AW-SRV01\Finance.

Option n°2 : utilisez un port fixe pour une instance nommée

L'alternative consiste à désigner un port fixe et à débloquer l'accès à ce port. L'avantage de cette approche est qu'elle offre de plus grandes possibilités en termes d'audit si vous autorisez l'accès au fichier exécutable de programme. L'utilisation d'un port fixe est de ce fait l'approche recommandée pour accéder à toute instance Analysis Services.

Pour affecter un port fixe, suivez les instructions de la section Utiliser un port fixe pour une instance par défaut ou nommée d'Analysis Services de cette rubrique, puis revenez à la présente section pour débloquer le port.

Pare-feu Windows avec fonctions avancées de sécurité

1. Sur Windows 7 ou Windows Vista, dans le Panneau de configuration, cliquez sur Système et sécurité, sélectionnez Pare-feu Windows, puis cliquez sur Paramètres avancés. Sous Windows Server 2008 ou 2008 R2, ouvrez Outils d'administration et cliquez sur Pare-feu Windows avec fonctions avancées de sécurité. Sous Windows Server 2012, ouvrez la page Applications et entrez Pare-feu Windows.

2. Pour débloquer l’accès à Analysis Services, cliquez avec le bouton droit sur Règles de trafic entrant , puis sélectionnez Nouvelle règle.

3. Dans Type de règle, cliquez sur Port , puis sur Suivant.

4. Dans Protocole et ports, sélectionnez TCP et indiquez le port fixe dans Ports locaux spécifiques.

5. Dans Action, cliquez sur Autoriser la connexion , puis sur Suivant.

6. Dans Profil, désactivez les emplacements réseau qui ne s'appliquent pas, puis cliquez sur Suivant.

7. Dans Nom, tapez un nom descriptif pour cette règle (par exemple, SQL Server Analysis Services sur port 54321), puis cliquez sur Terminer.

8. Pour vérifier que les connexions à distance sont activées, ouvrez SQL Server Management Studio ou Excel sur un autre ordinateur et connectez-vous à Analysis Services en spécifiant le nom réseau du serveur et le numéro de port au format suivant : <nom_>serveur :<numéro_>port.

Syntaxe Netsh AdvFirewall

• Les commandes suivantes créent des règles de trafic entrant qui débloquent le port TCP 2382 pour le service SQL Server Browser et débloquent le port fixe que vous avez spécifié pour l'instance Analysis Services. Vous pouvez exécuter l'une ou l'autre pour permettre l'accès à une instance nommée d'Analysis Services.

  Dans cet exemple de commande, le port fixe est le 54321. Veillez à le remplacer par le port effectivement utilisé sur votre système.

  netsh advfirewall firewall add rule name="SQL Server Analysis Services (tcp-in) on 54321" dir=in action=allow protocol=TCP localport=54321 profile=domain  
  

  netsh advfirewall firewall add rule name="SQL Server Browser Services inbound on TCP 2382" dir=in action=allow protocol=TCP localport=2382 profile=domain  
  

Utiliser un port fixe pour une instance par défaut ou nommée d'Analysis Services

Cette section explique comment configurer le service pour l'écoute d'un port fixe. L'utilisation d'un port fixe est la plus courante lorsqu'Analysis Services est installé en tant qu'instance nommée, cependant, vous pouvez également utiliser cette approche si les besoins de l'entreprise et les besoins en matière de sécurité nécessitent l'utilisation de ports non affectés par défaut.

Notez que l'utilisation d'un port fixe modifie la syntaxe de connexion de l'instance par défaut, puisqu'il vous faudra ajouter le numéro de port après le nom du serveur. Par exemple, la connexion à une instance locale par défaut d'Analysis Services écoutant le port 54321 dans SQL Server Management Studio nécessite que vous tapiez localhost:54321 comme nom de serveur dans la boîte de dialogue Se connecter au serveur de Management Studio.

Si vous utilisez un instance nommé, vous pouvez affecter un port fixe sans modification à la façon dont vous spécifiez le nom du serveur (en particulier, vous pouvez utiliser <nom_serveur\nom_>instance pour vous connecter à un instance l’écoute sur un port fixe). Cela fonctionne uniquement si le service SQL Server Browser est en cours d'exécution et si vous avez débloqué le port que le service écoute. SQL Server service Browser fournit la redirection vers le port fixe en fonction <du nom_serveur\nom>_instance. Tant que vous ouvrez des ports à la fois pour le service SQL Server Browser et pour l'instance nommée d'Analysis Services à l'écoute du port fixe, le service SQL Server Browser assure la résolution de la connexion en instance nommée.

1. Identifiez un port TCP/IP disponible à utiliser.

   Pour afficher la liste des ports réservés et enregistrés que vous ne devez pas utiliser, consultez les numéros de port (IANA)(en anglais). Pour afficher la liste des ports déjà utilisés sur votre système, ouvrez une fenêtre d’invite de commandes et tapez netstat -a -p TCP pour afficher la liste des ports TCP ouverts sur le système.

2. Après avoir déterminé quel port utiliser, spécifiez-le en modifiant le paramètre de configuration Port dans le fichier msmdsrv.ini ou dans la page Propriétés générales d'une instance d'Analysis Services dans SQL Server Management Studio.

3. Redémarrez le service.

4. Configurez le Pare-feu Windows pour débloquer le port TCP spécifié. Si vous utilisez un port fixe pour une instance nommée, débloquez le port TCP spécifié pour cette instance et le port TCP 2382 pour le service SQL Server Browser.

5. Vérifiez en vous connectant localement (dans Management Studio), puis à distance à partir d'une application cliente sur un autre ordinateur. Pour utiliser Management Studio, connectez-vous à un instance par défaut Analysis Services en spécifiant un nom de serveur au format suivant : <servername> :<portnumber>. Pour un instance nommé, spécifiez le nom du serveur en tant que <nom_>serveur\nom>_<instance.

Configuration de port pour un cluster Analysis Services

Un cluster de basculement SQL Server Analysis Services écoute toujours sur le port TCP 2383, que vous l’ayez installé comme instance par défaut ou nommé instance. Les affectations de ports dynamiques ne sont pas utilisées par SQL Server Analysis Services lorsqu’il est installé sur un cluster de basculement Windows. Veillez à ouvrir TCP 2383 sur chaque nœud exécutant SQL Server Analysis Services dans le cluster. Pour plus d’informations sur clustering SQL Server Analysis Services, consultez Guide pratique pour SQL Server Analysis Services de cluster.

Configuration de port pour PowerPivot pour SharePoint

L’architecture du serveur pour Power Pivot pour SharePoint est fondamentalement différente selon la version de SharePoint que vous utilisez.

SharePoint 2013

Dans SharePoint 2013, Excel Services redirige les demandes de modèles de données Power Pivot, qui sont ensuite chargées sur un SQL Server Analysis Services instance en dehors de l’environnement SharePoint. Les connexions suivent le modèle classique, où une bibliothèque de client Analysis Services sur un ordinateur local envoie une demande de connexion à un SQL Server Analysis Services instance distant dans le même réseau.

Étant donné que Power Pivot pour SharePoint installe toujours SQL Server Analysis Services en tant que instance nommé, vous devez supposer que le service navigateur SQL Server et les affectations de ports dynamiques. Comme indiqué précédemment, le service SQL Server Browser écoute sur le port TCP 2382 les demandes de connexion envoyées à SQL Server Analysis Services instances nommées, redirigeant la demande vers le port actuel.

Notez qu'Excel Services dans SharePoint 2013 ne prend pas en charge la syntaxe de connexion de port fixe ; par conséquent, veillez à ce que le service SQL Server Browser soit accessible.

SharePoint 2010

Si vous utilisez SharePoint 2010, il n'est pas nécessaire que vous ouvriez des ports dans le Pare-feu Windows. SharePoint ouvre les ports dont il a besoin, et les compléments tels que Power Pivot pour SharePoint fonctionnent dans l’environnement SharePoint. Dans une installation de Power Pivot pour SharePoint 2010, le service système Power Pivot utilise exclusivement le service SQL Server Analysis Services (Power Pivot) local instance qui est installé avec lui sur le même ordinateur. Il utilise des connexions locales, et non des connexions réseau, pour accéder au service de moteur Analysis Services local qui charge, interroge et traite les données Power Pivot sur le serveur SharePoint. Pour demander des données Power Pivot à partir d’applications clientes, les demandes sont routées via les ports ouverts par le programme d’installation de SharePoint (en particulier, les règles de trafic entrant sont définies pour autoriser l’accès à SharePoint - 80, Administration centrale de SharePoint v4, Services Web SharePoint et SPUserCodeV4). Étant donné que les services web Power Pivot s’exécutent dans une batterie de serveurs SharePoint, les règles de pare-feu SharePoint sont suffisantes pour l’accès à distance aux données Power Pivot dans une batterie de serveurs SharePoint.

Voir aussi

Service SQL Server Browser (moteur de base de données et SSAS)
Démarrer, arrêter, suspendre, reprendre, redémarrer le moteur de base de données, SQL Server Agent ou le service SQL Server Browser
Configurer un pare-feu Windows pour accéder au moteur de base de données