Указание и ограничение портов
Для доступа к службам Microsoft SQL Server Службы Analysis Services используются различные порты. Порты, используемые клиентом, зависят от конфигурации служб Службы Analysis Services.
Ниже приведены порты, которые можно использовать для доступа к службам Службы Analysis Services:
Порт, используемый службами Analysis Services. Каждый экземпляр служб Службы Analysis Services осуществляет прослушивание конкретного порта TCP/IP для определения входящих клиентских запросов. Экземпляр по умолчанию служб Службы Analysis Services осуществляет прослушивание в TCP/IP порта 2383, но именованные экземпляры служб Службы Analysis Services не используют порт по умолчанию. Именованные экземпляры могут использовать различные порты. Для повышения безопасности используйте брандмауэр для ограничения доступа пользователей к службам Службы Analysis Services через Интернет.
Порт, используемый службами IIS. Пользователи также могут соединяться с экземпляром Службы Analysis Services посредством служб IIS. При использовании брандмауэра для исключения прямого доступа к службам Службы Analysis Services через Интернет можно также использовать службы IIS для проверки подлинности пользователей Интернет до того, как они смогут соединиться с экземпляром служб Службы Analysis Services. При использовании служб IIS в брандмауэре Интернет необходимо открыть только порт служб IIS.
Ограничение портов TCP/IP, используемых службами Analysis Services
Несмотря на то, что экземпляр по умолчанию служб Службы Analysis Services осуществляет прослушивание порта 2383, порт, используемый именованным экземпляром Службы Analysis Services, может быть различным. Каждый именованный экземпляр осуществляет прослушивание порта, указанного администратором, или порта, динамически назначенного при запуске. Эти изменения портов означают, что клиенты не получают в автоматическом режиме сведения о том, какой порт используется конкретным именованным экземпляром служб Службы Analysis Services, и, таким образом, не получают в автоматическом режиме сведения о том, куда отправлять свои запросы.
Чтобы облегчить клиентам отправку запросов именованным экземплярам служб Службы Analysis Services, службы SQL Server содержат службу под названием SQL Server, обозреватель. Обозреватель SQL Server отслеживает порты, на которых осуществляет прослушивание каждый именованный экземпляр. Клиентское соединение запрашивает именованный экземпляр, который не указывает номер порта, и направляется на порт 2382, на котором осуществляет прослушивание обозреватель SQL Server. Обозреватель SQL Server затем перенаправляет запрос на порт, используемый этим именованным экземпляром.
Пользователи также могут выдать запрос открытия обозревателю SQL Server для получения списка именованных экземпляров, запущенных на компьютере. В безопасной среде внутренней сети возможность отправлять запросы обозревателю SQL Server для получения списка именованных экземпляров облегчает пользователям соединения с этими экземплярами и создает лишь малый риск для безопасности. Однако возможность отправлять запросы обозревателю SQL Server снижает безопасность, когда клиенты имеют доступ к службам Службы Analysis Services через Интернет. Чтобы повысить безопасность в том случае, когда доступ к экземплярам служб Службы Analysis Services можно получить через Интернет, отключите обозреватель SQL Server, тем самым, не давая пользователям возможности открыть именованные экземпляры служб Службы Analysis Services.
Ограничение портов TCP/IP, не используемых службами Analysis Services
Чтобы ограничить порты TCP/IP, не используемые службами Службы Analysis Services, сначала проанализируйте порты, являющиеся активными на компьютере, на котором запущены службы Службы Analysis Services. Этот процесс анализа включает проверку того, на каких портах TCP/IP осуществляется прослушивание, а также проверку состояния портов.
Чтобы проверить, на каких портах осуществляется прослушивание, используйте программу командной строки netstat. В дополнение к отображению активных соединений TCP программа netstat также отображает различную статистику и данные IP.
Проверка того, какие порты TCP/IP прослушиваются
Откройте окно командной строки.
В командной строке введите netstat -n -a.
При наличии ключа -n программа netstat отображает в числовом виде адреса и номера портов активных соединений TCP. При наличии ключа -a программа netstat отображает порты TCP и UPD, на которых компьютер осуществляет прослушивание.
Чтобы проверить состояние портов TCP/IP, используйте программу PortQry. Эта программа командной строки отображает состояние портов TCP/IP с прослушиванием, без прослушивания или с фильтрацией. (В состоянии фильтрации порт может осуществлять, а может и не осуществлять прослушивание. Это состояние указывает, что программа не получила ответа от порта.) Программа PortQry доступна для загрузки из центра загрузки (Microsoft).
После анализа того, какие порты являются активными, а также после анализа состояния этих портов определите, какие из портов являются ненужными для соединения со службами Службы Analysis Services. Затем отключите службы на этих портах или ограничьте доступ к ним, используя брандмауэр.
Дополнительные сведения о настройках брандмауэра Windows по умолчанию и описание портов TCP, влияющих на компонент Database Engine, службы Analysis Services, службы Reporting Services и службы Integration Services см. в разделе Настройка Брандмауэра Windows для разрешения доступа к SQL Server.
Ограничение портов служб IIS
Если пользователи получают доступ к службам Службы Analysis Services посредством служб IIS и Интернета, то необходимо развернуть брандмауэр между клиентом и службами IIS. Брандмауэр позволяет ограничить порты, через которые пользователи могут получать доступ как к службам IIS, так и к компьютеру, на котором запущены службы Службы Analysis Services. Дополнительные сведения о брандмауэрах см. в разделе Проектирование брандмауэров по периметру в Microsoft TechNet.
При развертывании брандмауэра необходимо открыть порт, на котором осуществляют прослушивание службы IIS, и указать этот порт в строке соединения клиента. В этом случае необязательно иметь открытые порты для прямого доступа к службам Службы Analysis Services. Порт по умолчанию (номер 2382) должен быть ограничен вместе со всеми остальными портами, не являющимися обязательными.