Condividi tramite


Configurare Windows Firewall per l'accesso ad Analysis Services

Le informazioni fornite in questo argomento consentono di stabilire se è necessario sbloccare le porte di un firewall per consentire l'accesso ad Analysis Services oppure a PowerPivot per SharePoint. Le procedure descritte consentono di configurare le impostazioni sia delle porte sia del firewall. Eseguire i passaggi indicati per consentire l'accesso al server Analysis Services.

I requisiti di configurazione del firewall variano in base ai componenti di Analysis Services installati. Se è stato installato PowerPivot per SharePoint, non è necessario aprire le porte in Windows Firewall. Al contrario, per una connessione remota a un'installazione autonoma di Analysis Services è sempre necessaria l'apertura di una porta.

L'istanza predefinita di Analysis Services è in attesa sulla porta TCP 2383, ma è possibile configurare il server per l'attesa su una porta fissa diversa o utilizzare assegnazioni di porta dinamiche e il servizio SQL Server Browser.

In questo argomento sono contenute le sezioni seguenti:

Controllare le impostazioni del firewall e delle porte per Analysis Services

Configurare Windows Firewall per un'istanza predefinita di Analysis Services

Configurare l'accesso a Windows Firewall per un'istanza denominata di Analysis Services

Configurazione delle porte per un cluster di Analysis Services

Configurazione delle porte per PowerPivot per SharePoint

Use a fixed port for a default or named instance of Analysis Services

Per ulteriori informazioni sulle impostazioni predefinite di Windows Firewall e per una descrizione delle porte TCP che interessano il motore di database, Analysis Services, Reporting Services e Integration Services, vedere Configurazione di Windows Firewall per consentire l'accesso a SQL Server.

Controllare le impostazioni del firewall e delle porte per Analysis Services

Nei sistemi operativi Microsoft Windows supportati da , il firewall è abilitato per impostazione predefinita e consente di bloccare le connessioni remote. Se si esegue un sistema operativo Windows Server 2008 R2, Windows Server 2008, Windows 7 o Windows Vista, è necessario aprire manualmente una porta nel firewall per consentire le richieste in ingresso per Analysis Services. Questo passaggio non viene eseguito automaticamente dal programma di installazione di SQL Server.

Le impostazioni delle porte sono specificate nel file msmdsrv.ini e nella pagina Proprietà generali di un'istanza di Analysis Services in SQL Server Management Studio. Se il valore di Port è impostato su un numero intero positivo, il servizio è in attesa su una porta fissa. Se il valore di Port è impostato su 0, il servizio è in attesa sulla porta 2383 se si tratta dell'istanza predefinita o su una porta assegnata dinamicamente se si tratta di un'istanza denominata.

Le assegnazioni di porta dinamiche vengono utilizzate solo per le istanze denominate. Il servizio MSOLAP$InstanceName è in grado di determinare la porta da utilizzare all'avvio. Per determinare il numero effettivo della porta utilizzata da un'istanza denominata, effettuare le operazioni seguenti:

  • Avviare Gestione attività e fare clic su Servizi per ottenere il PID di MSOLAP$InstanceName.

  • Eseguire netstat –ao –p TCP dalla riga di comando per visualizzare le informazioni sulla porta TCP per tale PID.

  • Verificare la porta utilizzando SQL Server Management Studio e connettersi a un server Analysis Services utilizzando il formato <IndirizzoIP>:<numeroporta>.

Sebbene un'applicazione possa essere in attesa su una porta specifica, le connessioni non riescono se l'accesso è bloccato da un firewall. Per consentire alle connessioni di raggiungere un'istanza denominata di Analysis Services, è necessario sbloccare l'accesso a msmdsrv.exe o alla porta fissa del firewall su cui è in attesa. Nelle restanti sezioni di questo argomento vengono fornite le istruzioni necessarie per questa operazione.

Per controllare se le impostazioni del firewall sono già definite per Analysis Services, utilizzare Windows Firewall con protezione avanzata nel Pannello di controllo. Nella pagina Firewall della cartella Monitoraggio è visualizzato un elenco completo delle regole definite per il server locale.

Si noti che per il server Analysis Services è necessario definire manualmente tutte le eccezioni del firewall. Sebbene in Analysis Services vengano riservate le porte 2382 e 2383, né il programma di installazione di SQL Server, né gli strumenti di configurazione consentono di definire automaticamente le regole del firewall per consentire l'accesso alle porte o ai file eseguibili dei programmi.

Configurare Windows Firewall per un'istanza predefinita di Analysis Services

Un'istanza predefinita di Analysis Services rimane in attesa sulla porta TCP 2383. Se è stata installata l'istanza predefinita e si desidera utilizzare questa porta, è sufficiente sbloccare l'accesso in ingresso alla porta TCP 2383 in Windows Firewall per abilitare l'accesso remoto a un'istanza predefinita di Analysis Services. Se è stata installata l'istanza predefinita ma si desidera configurare il servizio in modo che sia in attesa su una porta fissa, vedere Use a fixed port for a default or named instance of Analysis Services di seguito in questo argomento.

Per verificare se il servizio è in esecuzione come istanza predefinita (MSSQLServerOLAPService), controllarne il nome in Gestione configurazione SQL server. Un'istanza predefinita di Analysis Services è sempre elencata come SQL Server Analysis Services (MSSQLSERVER).

Nota

Nei vari sistemi operativi Windows sono disponibili strumenti diversi per la configurazione di Windows Firewall. La maggior parte di questi strumenti consente di scegliere tra l'apertura di una porta specifica o di un file eseguibile di un programma. A meno che non vi sia un motivo per specificare il file eseguibile di un programma, è consigliabile specificare la porta.

Quando si specifica una regola in ingresso, adottare una convenzione di denominazione che consenta di individuare in modo semplice le regole in un secondo momento, ad esempio SQL Server Analysis Services (TCP-in).

Windows Firewall con protezione avanzata

  1. Nel Pannello di controllo di Windows 7 o Windows Vista fare clic su Sistema e sicurezza, selezionare Windows Firewall, quindi fare clic su Impostazioni avanzate. In Windows Server 2008 o 2008 R2 aprire Strumenti di amministrazione e fare clic su Windows Firewall con protezione avanzata.

  2. Fare clic con il pulsante destro del mouse su Regole connessioni in entrata e scegliere Nuova regola.

  3. In Tipo di regola fare clic su Porta, quindi su Avanti.

  4. In Protocollo e porte selezionare TCP, quindi digitare 2383 in Porte locali specifiche.

  5. In Azione fare clic su Consenti la connessione, quindi su Avanti.

  6. In Profilo deselezionare tutti i percorsi di rete non applicabili, quindi fare clic su Avanti.

  7. In Nome digitare un nome descrittivo per questa regola (ad esempio SQL Server Analysis Services (TCP-in) 2383), quindi fare clic su Fine.

  8. Per verificare che le connessioni remote siano abilitate, aprire SQL Server Management Studio o Excel in un computer diverso e connettersi ad Analysis Services specificando il nome di rete del server in Nome server.

    Nota

    Gli altri utenti non potranno accedere a questo server fino a quando non riceveranno le autorizzazioni. Per ulteriori informazioni, vedere Concessione dell'accesso utente.

Sintassi di netsh advfirewall

  • Tramite il comando seguente è possibile creare una regola per le connessioni in ingresso che consente le richieste in ingresso sulla porta TCP 2383.

    netsh advfirewall firewall add rule name="SQL Server Analysis Services inbound on TCP 2383" dir=in action=allow protocol=TCP localport=2383 profile=domain
    

Configurare l'accesso a Windows Firewall per un'istanza denominata di Analysis Services

Le istanze denominate di Analysis Services possono essere in attesa su una porta fissa o su una porta assegnata dinamicamente, su cui il servizio SQL Server Browser fornisce le informazioni di connessione correnti per il servizio al momento della connessione.

Scegliere uno degli approcci seguenti per abilitare l'accesso remoto a un'istanza denominata di Analysis Services:

  • Utilizzare una porta fissa e sbloccare tale porta in Windows Firewall. Connettersi al server utilizzando il formato <nomeserver>:<numeroporta>.

  • Utilizzare assegnazioni di porta dinamiche e il servizio SQL Server Browser. Sbloccare la porta utilizzata dal servizio SQL Server Browser in Windows Firewall. Connettersi al server utilizzando il formato <nomeserver>\<nomeistanza>.

  • Utilizzare insieme una porta fissa e il servizio SQL Server Browser. Questo approccio consente la connessione utilizzando il formato <nomeserver>\<nomeistanza>, in modo identico a quanto avviene per l'assegnazione di porta dinamica, tranne per il fatto che in questo caso il server è in attesa su una porta fissa. In questo scenario, il servizio SQL Server Browser fornisce la risoluzione dei nomi all'istanza di Analysis Services che è in attesa sulla porta fissa. Per utilizzare questo approccio, configurare il server in modo che sia in attesa su una porta fissa, sbloccare l'accesso a tale porta e sbloccare l'accesso alla porta utilizzata dal servizio SQL Server Browser.

Il servizio SQL Server Browser viene utilizzato solo con istanze denominate, mai con l'istanza predefinita. Il servizio viene installato automaticamente ed è abilitato quando si installa una qualsiasi caratteristica di SQL Server come istanza denominata. Se si sceglie un approccio che richiede il servizio SQL Server Browser, accertarsi che rimanga abilitato e avviato nel server.

Se non è possibile utilizzare il servizio SQL Server Browser, è necessario assegnare una porta fissa. Senza il servizio SQL Server Browser, in tutte le connessioni client deve essere incluso il numero di porta nella stringa di collegamento (ad esempio, AW-SRV01:54321).

Opzione 1: Utilizzare assegnazioni di porta dinamiche e sbloccare l'accesso al servizio SQL Server Browser

Le assegnazioni di porta dinamiche per le istanze denominate di Analysis Services vengono stabilite da MSOLAP$InstanceName all'avvio del servizio. Per impostazione predefinita, per il servizio viene richiesto il primo numero di porta disponibile trovato. Ogni volta che il servizio viene riavviato, si utilizza un numero di porta diverso.

La risoluzione dei nomi di istanza viene gestita dal servizio SQL Server Browser. Se si utilizzano assegnazioni di porta dinamiche con un'istanza denominata, è sempre necessario sbloccare la porta TCP 2382 per il servizio SQL Server Browser.

Nota

Il servizio SQL Server Browser è in attesa sia sulla porta UDP 1434 sia sulla porta TCP 2382, rispettivamente per il motore del database e per Analysis Services. Anche se è già stata sbloccata la porta UDP 1434 per il servizio SQL Server Browser, è comunque necessario sbloccare anche la porta TCP 2382 per Analysis Services.

Windows Firewall con protezione avanzata

  1. Nel Pannello di controllo di Windows 7 o Windows Vista fare clic su Sistema e sicurezza, selezionare Windows Firewall, quindi fare clic su Impostazioni avanzate. In Windows Server 2008 o 2008 R2 aprire Strumenti di amministrazione e fare clic su Windows Firewall con protezione avanzata.

  2. Per sbloccare l'accesso al servizio SQL Server Browser, fare clic con il pulsante destro del mouse su Regole connessioni in entrata, quindi scegliere Nuova regola.

  3. In Tipo di regola fare clic su Porta, quindi su Avanti.

  4. In Protocollo e porte selezionare TCP, quindi digitare 2382 in Porte locali specifiche.

  5. In Azione fare clic su Consenti la connessione, quindi su Avanti.

  6. In Profilo deselezionare tutti i percorsi di rete non applicabili, quindi fare clic su Avanti.

  7. In Nome digitare un nome descrittivo per questa regola (ad esempio Servizio SQL Server Browser (TCP-in) 2382), quindi fare clic su Fine.

  8. Per verificare che le connessioni remote siano abilitate, aprire SQL Server Management Studio o Excel in un computer diverso e connettersi ad Analysis Services specificando il nome di rete del server e il nome dell'istanza nel formato <nomeserver>\<nomeistanza>. Ad esempio, su un server denominato AW-SRV01 con un'istanza denominata di Finance, il nome del server è AW-SRV01\Finance.

Opzione 2: Utilizzare una porta fissa per un'istanza denominata

In alternativa, è possibile assegnare una porta fissa e quindi sbloccare l'accesso a tale porta. Questo approccio offre capacità di controllo migliori rispetto a consentire l'accesso al file eseguibile di un programma. Per questo motivo, per accedere a una qualsiasi istanza di Analysis Services è consigliabile utilizzare una porta fissa.

Per assegnare una porta fissa, seguire le istruzioni in Use a fixed port for a default or named instance of Analysis Services in questo argomento, quindi tornare a questa sezione per sbloccare la porta.

Windows Firewall con protezione avanzata

  1. Nel Pannello di controllo di Windows 7 o Windows Vista fare clic su Sistema e sicurezza, selezionare Windows Firewall, quindi fare clic su Impostazioni avanzate. In Windows Server 2008 o 2008 R2 aprire Strumenti di amministrazione e fare clic su Windows Firewall con protezione avanzata.

  2. Per sbloccare l'accesso ad Analysis Services, fare clic con il pulsante destro del mouse su Regole connessioni in entrata, quindi scegliere Nuova regola.

  3. In Tipo di regola fare clic su Porta, quindi su Avanti.

  4. In Protocollo e porte selezionare TCP, quindi digitare la porta fissa in Porte locali specifiche.

  5. In Azione fare clic su Consenti la connessione, quindi su Avanti.

  6. In Profilo deselezionare tutti i percorsi di rete non applicabili, quindi fare clic su Avanti.

  7. In Nome digitare un nome descrittivo per questa regola (ad esempio SQL Server Analysis Services sulla porta 54321), quindi fare clic su Fine.

  8. Per verificare che le connessioni remote siano abilitate, aprire SQL Server Management Studio o Excel in un computer diverso e connettersi ad Analysis Services specificando il nome di rete del server e il numero di porta nel formato <nomeserver>:<numeroporta>.

Sintassi di netsh advfirewall

  • I comandi seguenti consentono di creare regole per le connessioni in entrata per sbloccare la porta TCP 2382 per il servizio SQL Server Browser e la porta fissa specificata per l'istanza di Analysis Services. È possibile eseguire uno qualsiasi dei due comandi per consentire l'accesso a un'istanza denominata di Analysis Services.

    In questo comando di esempio, la porta fissa è la porta 54321. Sostituire il numero di porta con quello della porta effettivamente in uso nel sistema.

    netsh advfirewall firewall add rule name="SQL Server Analysis Services (tcp-in) on 54321" dir=in action=allow protocol=TCP localport=54321 profile=domain
    
    netsh advfirewall firewall add rule name="SQL Server Browser Services inbound on TCP 2382" dir=in action=allow protocol=TCP localport=2382 profile=domain
    

Utilizzare una porta fissa per un'istanza predefinita o denominata di Analysis Services

In questa sezione viene illustrato come configurare Analysis Services per l'attesa su una porta fissa. L'utilizzo di una porta fissa è comune se Analysis Services è stato installato come istanza denominata, ma è inoltre possibile utilizzare questo approccio se i requisiti aziendali o di sicurezza specificano di utilizzare assegnazioni di porta non predefinite.

Si noti che l'utilizzo di una porta fissa implica la modifica della sintassi di connessione per l'istanza predefinita, in quanto è necessario aggiungere il numero di porta al nome del server. Per la connessione a un'istanza locale predefinita di Analysis Services in attesa sulla porta 54321 in SQL Server Management Studio, sarebbe ad esempio necessario digitare localhost:54321 come nome del server nella finestra di dialogo Connetti al server di Management Studio.

Se si utilizza un'istanza denominata, è possibile assegnare una porta fissa senza modificare la modalità con cui si specifica il nome del server (più specificatamente, è possibile utilizzare <nomeserver\nomeistanza> per la connessione a un'istanza denominata in attesa su una porta fissa). Tale operazione funziona solo se il servizio SQL Server Browser è in esecuzione ed è stata sbloccata la porta sulla quale è in attesa. Tramite il servizio SQL Server Browser viene fornito il reindirizzamento alla porta fissa in base a <nomeserver\nomeistanza>. Se si aprono le porte sia per il servizio SQL Server Browser sia per l'istanza denominata di Analysis Services in attesa sulla porta fissa, tramite il servizio SQL Server Browser la connessione viene risolta in un'istanza denominata.

  1. Stabilire una porta TCP/IP disponibile da utilizzare.

    Per visualizzare un elenco di porte riservate e registrate che è necessario evitare di utilizzare, vedere la pagina relativa ai numeri delle porte (IANA). Per visualizzare un elenco di porte già in uso nel sistema, aprire una finestra del prompt dei comandi e digitare netstat –a –p TCP per visualizzare un elenco di porte TCP aperte nel sistema.

  2. Una volta stabilita la porta da utilizzare, specificarla modificando l'impostazione di configurazione Port nel file msmdsrv.ini o nella pagina delle proprietà generali di un'istanza di Analysis Services in SQL Server Management Studio.

  3. Riavviare il servizio.

  4. Configurare Windows Firewall per sbloccare la porta TCP specificata oppure, se si sta utilizzando una porta fissa per un'istanza denominata, sbloccare sia la porta TCP specificata per tale istanza sia la porta TCP 2382 per il servizio SQL Server Browser.

  5. Effettuare una verifica connettendosi localmente (in Management Studio) e, successivamente, in remoto da un'applicazione client di un altro computer. Per utilizzare Management Studio, connettersi a un'istanza predefinita di Analysis Services specificando un nome server nel formato <nomeserver>:<numeroporta>. Per un'istanza denominata, specificare il nome server nel formato <nomeserver>\<nomeistanza>.

Configurazione delle porte per un cluster di Analysis Services

Nei computer con più schede di rete, Analysis Services è in attesa su tutti gli indirizzi IP per i quali è in uso la porta specificata. In un'istanza cluster, Analysis Services è in attesa su tutti gli indirizzi IP del gruppo cluster, ma solo sulla porta TCP 2383. Non è possibile specificare una porta fissa alternativa per un'istanza cluster.

Configurazione delle porte per PowerPivot per SharePoint

Se è stato installato PowerPivot per SharePoint, non è necessario aprire le porte in Windows Firewall. In un'installazione di PowerPivot per SharePoint, il servizio di sistema PowerPivot dispone dell'utilizzo esclusivo dell'istanza del servizio SQL Server Analysis Services (PowerPivot) locale installata nello stesso computer. Per l'accesso al servizio del motore Analysis Services locale, che consente operazioni di caricamento, esecuzione di query ed elaborazione di dati PowerPivot nel server SharePoint, vengono utilizzate connessioni locali e non di rete. Per richiedere dati PowerPivot dalle applicazioni client, viene eseguito il routing delle richieste tramite le porte aperte dal programma di installazione di SharePoint. In particolare, vengono definite regole per le connessioni in entrata in modo da consentire l'accesso a SharePoint – 80, Amministrazione centrale SharePoint v4, servizi Web SharePoint e SPUserCodeV4. Poiché i servizi Web PowerPivot vengono eseguiti in una farm di SharePoint, le regole del firewall di SharePoint sono sufficienti per l'accesso remoto ai dati PowerPivot in una farm di SharePoint.