Compartilhar via

Configurar o Firewall do Windows para permitir o acesso ao Analysis Services

Aplica-se a: SQL Server Analysis Services Azure Analysis Services Fabric/Power BI Premium

Uma primeira etapa essencial para disponibilizar o SQL Server Analysis Services ou o Power Pivot para SharePoint na rede é determinar se você precisa desbloquear portas em um firewall. A maioria das instalações exigirá que você crie pelo menos uma regra de firewall associada que permita conexões com o SQL Server Analysis Services.

Os requisitos de configuração de firewall variam dependendo de como você instalou o SQL Server Analysis Services:

  • Abra a porta TCP 2383 ao instalar uma instância padrão ou criar um cluster de failover do SQL Server Analysis Services.

  • Abra a porta TCP 2382 ao instalar uma instância nomeada. As instâncias nomeadas usam atribuições de porta dinâmica. Como o serviço de descoberta do Analysis Services, o serviço SQL Server Browser escuta na porta TCP 2382 e redireciona a solicitação de conexão para a porta atualmente usada pelo SQL Server Analysis Services.

  • Abra a porta TCP 2382 ao instalar o SQL Server Analysis Services no modo do SharePoint para dar suporte ao Power Pivot para SharePoint 2013. No Power Pivot para SharePoint 2013, a instância do SQL Server Analysis Services é externa ao SharePoint. As solicitações de entrada para a instância denominada 'Power Pivot' se originam de aplicativos Web do SharePoint por meio de uma conexão de rede, exigindo uma porta aberta. Assim como acontece com outras instâncias nomeadas do SQL Server Analysis Services, crie uma regra de entrada para o serviço SQL Server Browser no TCP 2382 para permitir o acesso ao Power Pivot para SharePoint.

  • Para o Power Pivot para SharePoint 2010, não abra portas no Firewall do Windows. Como um suplemento para o SharePoint, o serviço usa portas configuradas para o SharePoint e faz apenas conexões locais com a instância do SQL Server Analysis Services que carrega e consulta modelos de dados do Power Pivot.

  • Para instâncias do SQL Server Analysis Services em execução em Máquinas Virtuais do Windows Azure, use instruções alternativas para configurar o acesso ao servidor. Consulte o SQL Server Business Intelligence em Máquinas Virtuais do Windows Azure.

Embora a instância padrão do SQL Server Analysis Services ouça na porta TCP 2383, você pode configurar o servidor para escutar em uma porta fixa diferente, conectando-se ao servidor neste formato: <servername>:<portnumber>.

Observação

Você não poderá usar uma porta não padrão para o Analysis Services se precisar se conectar à sua instância usando Kerberos. Para obter mais informações, examine o registro de SPN para instâncias do SSAS que escutam em portas fixas

Apenas uma porta TCP pode ser usada por uma instância do SQL Server Analysis Services. Em computadores com vários cartões de rede ou vários endereços IP, o SQL Server Analysis Services escuta em uma porta TCP todos os endereços IP atribuídos ou alias ao computador. Se você tiver requisitos específicos de várias portas, considere configurar o SQL Server Analysis Services para acesso HTTP. Em seguida, você pode configurar vários pontos de extremidade HTTP em todas as portas escolhidas. Consulte Configurar o acesso HTTP ao Analysis Services no IIS (Serviços de Informações da Internet) 8.0.

Este tópico contém as seguintes seções:

Para obter mais informações sobre as configurações padrão do Firewall do Windows e uma descrição das portas TCP que afetam o Mecanismo de Banco de Dados, o Analysis Services, o Reporting Services e o Integration Services, veja Configurar o Firewall do Windows para permitir acesso ao SQL Server.

Verificar as configurações de porta e firewall do Analysis Services

Nos sistemas operacionais Microsoft Windows compatíveis com o SQL Server 2017, o Firewall do Windows está ativado por padrão e está bloqueando conexões remotas. Você deve abrir manualmente uma porta no firewall para permitir solicitações de entrada para o Analysis Services. A instalação do SQL Server não executa esta etapa para você.

As configurações de porta são especificadas no arquivo msmdsrv.ini e na página de propriedades gerais de uma instância do Analysis Services no SQL Server Management Studio. Se a porta estiver definida como um inteiro positivo, o serviço estará escutando em uma porta fixa. Se a porta estiver definida como 0, o serviço estará escutando na porta 2383 se for a instância padrão ou em uma porta atribuída dinamicamente se for uma instância nomeada.

As atribuições de porta dinâmica são usadas apenas por instâncias nomeadas. O serviço MSOLAP$InstanceName determina qual porta usar quando ele é iniciado. Você pode determinar o número real da porta em uso por uma instância nomeada fazendo o seguinte:

  • Inicie o Gerenciador de Tarefas e clique em Serviços para obter o PID do MSOLAP$InstanceName.

  • Execute netstat -ao -p TCP na linha de comando para exibir as informações da porta TCP para esse PID.

  • Verifique a porta usando o SQL Server Management Studio e conecte-se a um servidor do Analysis Services neste formato: <IPAddress>:<portnumber>.

Embora um aplicativo possa estar escutando em uma porta específica, as conexões não terão êxito se um firewall estiver bloqueando o acesso. Para que as conexões cheguem a uma instância nomeada do Analysis Services, você deve desbloquear o acesso a msmdsrv.exe ou à porta fixa na qual ela está escutando no firewall. As seções restantes neste tópico fornecem instruções para fazer isso.

Para verificar se as configurações de firewall já estão definidas para o Analysis Services, use o Firewall do Windows com Segurança Avançada no Painel de Controle. A página Firewall na pasta Monitoramento mostra uma lista completa das regras definidas para o servidor local.

Observe que, para o SQL Server Analysis Services, todas as regras de firewall devem ser definidas manualmente. Embora o SQL Server Analysis Services e o SQL Server Browser reservem as portas 2382 e 2383, nem o programa de instalação do SQL Server nem qualquer uma das ferramentas de configuração definem regras de firewall que permitem o acesso às portas ou aos arquivos executáveis do programa.

Configurar o Firewall do Windows para uma instância padrão do Analysis Services

A instância padrão do SQL Server Analysis Services escuta na porta TCP 2383. Se você instalou a instância padrão e deseja usar essa porta, só precisará desbloquear o acesso de entrada à porta TCP 2383 no Firewall do Windows para habilitar o acesso remoto à instância padrão do SQL Server Analysis Services. Se você instalou a instância padrão, mas deseja configurar o serviço para escutar em uma porta fixa, consulte Usar uma porta fixa para uma instância padrão ou nomeada do Analysis Services neste tópico.

Para verificar se o serviço está em execução como a instância padrão (MSSQLServerOLAPService), verifique o nome do serviço no SQL Server Configuration Manager. Uma instância padrão do Analysis Services é sempre listada como MSSQLSERVER (SQL Server Analysis Services).

Observação

Diferentes sistemas operacionais Windows fornecem ferramentas alternativas para configurar o Firewall do Windows. A maioria dessas ferramentas permite que você escolha entre abrir uma porta específica ou um executável de programa. A menos que você tenha um motivo para especificar o executável do programa, recomendamos que você especifique a porta.

Ao especificar uma regra de entrada, adote uma convenção de nomenclatura que permite localizar facilmente as regras posteriormente (por exemplo, SQL Server Analysis Services (TCP-in) 2383).

Firewall do Windows com Segurança Avançada

  1. No Windows 7 ou no Windows Vista, no Painel de Controle, clique em Sistema e Segurança, selecione Firewall do Windows e clique em Configurações avançadas. No Windows Server 2008 ou 2008 R2, abra As Ferramentas de Administrador e clique no Firewall do Windows com Segurança Avançada. No Windows Server 2012, abra a página Aplicativos e digite o Firewall do Windows.

  2. Clique com o botão direito do mouse em Regras de Entrada e selecione Nova Regra.

  3. No Tipo de Regra, clique em Porta e clique em Avançar.

  4. Em Protocolo e Portas, selecione TCP e digite 2383 em portas locais específicas.

  5. Em Ação, clique em Permitir a conexão e clique em Avançar.

  6. No Perfil, desmarque todos os locais de rede que não se aplicam e clique em Avançar.

  7. Em Nome, digite um nome descritivo para essa regra (por exemplo, SQL Server Analysis Services (tcp-in) 2383) e clique em Concluir.

  8. Para verificar se as conexões remotas estão habilitadas, abra o SQL Server Management Studio ou o Excel em um computador diferente e conecte-se ao SQL Server Analysis Services especificando o nome da rede do servidor no nome do servidor.

    Observação

    Outros usuários não terão acesso a esse servidor até que você conceda permissões. Para obter mais informações, consulte Autorizando o acesso a objetos e operações (Analysis Services).

Sintaxe do Netsh AdvFirewall

  • O comando a seguir cria uma regra de entrada que permite solicitações de entrada na porta TCP 2383.

    netsh advfirewall firewall add rule name="SQL Server Analysis Services inbound on TCP 2383" dir=in action=allow protocol=TCP localport=2383 profile=domain

Configurar o acesso ao Firewall do Windows para uma instância nomeada do Analysis Services

Instâncias nomeadas do SQL Server Analysis Services podem escutar em uma porta fixa ou em uma porta atribuída dinamicamente, em que o serviço SQL Server Browser fornece as informações de conexão que são atuais para o serviço no momento da conexão.

O serviço SQL Server Browser escuta na porta TCP 2382. O UDP não é usado. O TCP é o único protocolo de transmissão usado pelo SQL Server Analysis Services.

Escolha uma das seguintes abordagens para habilitar o acesso remoto a uma instância nomeada do Analysis Services:

  • Use atribuições de porta dinâmica e o serviço SQL Server Browser. Desbloqueie a porta usada pelo serviço SQL Server Browser no Firewall do Windows. Conecte-se ao servidor neste formato: <servername>\<instancename>.

  • Use uma porta fixa e o serviço SQL Server Browser em conjunto. Essa abordagem permite que você se conecte usando esse formato: <servername>\<instancename>, idêntico à abordagem de atribuição de porta dinâmica, exceto que, nesse caso, o servidor escuta em uma porta fixa. Nesse cenário, o Serviço de Navegador do SQL Server fornece resolução de nomes para a instância do Analysis Services que está ouvindo na porta fixa. Para usar essa abordagem, configure o servidor para escutar em uma porta fixa, desbloquear o acesso a essa porta e desbloquear o acesso à porta usada pelo serviço SQL Server Browser.

O serviço SQL Server Browser é usado apenas com instâncias nomeadas, nunca com a instância padrão. O serviço é instalado e habilitado automaticamente sempre que você instala qualquer recurso do SQL Server como uma instância nomeada. Se você escolher uma abordagem que exija o serviço SQL Server Browser, certifique-se de que ela permaneça habilitada e iniciada no servidor.

Se você não puder usar o serviço SQL Server Browser, deverá atribuir uma porta fixa na cadeia de conexão, ignorando a resolução de nomes de domínio. Sem o serviço SQL Server Browser, todas as conexões de cliente devem incluir o número da porta na cadeia de conexão (por exemplo, AW-SRV01:54321).

Opção 1: Usar atribuições de porta dinâmica e desbloquear o acesso ao serviço SQL Server Browser

As atribuições de porta dinâmica para instâncias nomeadas do Analysis Services são estabelecidas pelo MSOLAP$InstanceName quando o serviço é iniciado. Por padrão, o serviço declara o primeiro número de porta disponível encontrado, usando um número de porta diferente sempre que o serviço é reiniciado.

A resolução de nomes de instância é tratada pelo serviço de navegador do SQL Server. O desbloqueio da porta TCP 2382 para o serviço SQL Server Browser sempre será necessário se você estiver usando atribuições de porta dinâmica com uma instância nomeada.

Observação

O serviço SQL Server Browser escuta as portas UDP 1434 e TCP 2382 para o Mecanismo de Banco de Dados e o Analysis Services, respectivamente. Mesmo que você já tenha desbloqueado a porta UDP 1434 para o serviço SQL Server Browser, você ainda deverá desbloquear a porta TCP 2382 para o Analysis Services.

Firewall do Windows com Segurança Avançada

  1. No Windows 7 ou no Windows Vista, no Painel de Controle, clique em Sistema e Segurança, selecione Firewall do Windows e clique em Configurações avançadas. No Windows Server 2008 ou 2008 R2, abra As Ferramentas de Administrador e clique no Firewall do Windows com Segurança Avançada. No Windows Server 2012, abra a página Aplicativos e digite o Firewall do Windows.

  2. Para desbloquear o acesso ao serviço SQL Server Browser, clique com o botão direito do mouse em Regras de Entrada e selecione Nova Regra.

  3. No Tipo de Regra, clique em Porta e clique em Avançar.

  4. Em Protocolo e Portas, selecione TCP e digite 2382 em portas locais específicas.

  5. Em Ação, clique em Permitir a conexão e clique em Avançar.

  6. No Perfil, desmarque todos os locais de rede que não se aplicam e clique em Avançar.

  7. Em Nome, digite um nome descritivo para essa regra (por exemplo, Serviço de Navegador do SQL Server (tcp-in) 2382) e clique em Concluir.

  8. Para verificar se as conexões remotas estão habilitadas, abra o SQL Server Management Studio ou o Excel em um computador diferente e conecte-se ao Analysis Services especificando o nome da rede do servidor e o nome da instância neste formato: <nome do> servidor\<nome da> instância. Por exemplo, em um servidor chamado AW-SRV01 com uma instância nomeada de Finanças, o nome do servidor é AW-SRV01\Finance.

Opção 2: usar uma porta fixa para uma instância nomeada

Como alternativa, você pode atribuir uma porta fixa e desbloquear o acesso a essa porta. Essa abordagem oferece melhor capacidade de auditoria do que se você permitisse acesso ao executável do programa. Por esse motivo, usar uma porta fixa é a abordagem recomendada para acessar qualquer instância do Analysis Services.

Para atribuir uma porta fixa, siga as instruções em Usar uma porta fixa para uma instância padrão ou nomeada do Analysis Services neste tópico e retorne a esta seção para desbloquear a porta.

Firewall do Windows com Segurança Avançada

  1. No Windows 7 ou no Windows Vista, no Painel de Controle, clique em Sistema e Segurança, selecione Firewall do Windows e clique em Configurações avançadas. No Windows Server 2008 ou 2008 R2, abra As Ferramentas de Administrador e clique no Firewall do Windows com Segurança Avançada. No Windows Server 2012, abra a página Aplicativos e digite o Firewall do Windows.

  2. Para desbloquear o acesso ao Analysis Services, clique com o botão direito do mouse em Regras de Entrada e selecione Nova Regra.

  3. No Tipo de Regra, clique em Porta e clique em Avançar.

  4. Em Protocolo e Portas, selecione TCP e digite a porta fixa em portas locais específicas.

  5. Em Ação, clique em Permitir a conexão e clique em Avançar.

  6. No Perfil, desmarque todos os locais de rede que não se aplicam e clique em Avançar.

  7. Em Nome, digite um nome descritivo para essa regra (por exemplo, SQL Server Analysis Services na porta 54321) e clique em Concluir.

  8. Para verificar se as conexões remotas estão habilitadas, abra o SQL Server Management Studio ou o Excel em um computador diferente e conecte-se ao Analysis Services especificando o nome da rede do servidor e o número da porta neste formato: <servername>:<portnumber>.

Sintaxe do Netsh AdvFirewall

  • Os comandos a seguir criam regras de entrada que desbloqueam o TCP 2382 para o serviço SQL Server Browser e desbloqueia a porta fixa especificada para a instância do Analysis Services. Você pode executar qualquer uma delas para permitir o acesso a uma instância nomeada do Analysis Services.

    Neste comando de exemplo, a porta 54321 é a porta fixa. Substitua-a pela porta real em uso em seu sistema.

    netsh advfirewall firewall add rule name="SQL Server Analysis Services (tcp-in) on 54321" dir=in action=allow protocol=TCP localport=54321 profile=domain  

    netsh advfirewall firewall add rule name="SQL Server Browser Services inbound on TCP 2382" dir=in action=allow protocol=TCP localport=2382 profile=domain

Usar uma porta fixa para uma instância padrão ou nomeada do Analysis Services

Esta seção explica como configurar o Analysis Services para escutar em uma porta fixa. Usar uma porta fixa é comum se você instalou o Analysis Services como uma instância nomeada, mas também pode usar essa abordagem se os requisitos de segurança ou de negócios especificarem que você usa atribuições de porta não padrão.

Observe que o uso de uma porta fixa alterará a sintaxe de conexão para a instância padrão, exigindo que você acrescente o número da porta ao nome do servidor. Por exemplo, no SQL Server Management Studio, conectar a uma instância local e padrão do Analysis Services na porta 54321 exigiria que você digitasse localhost:54321 como o nome do servidor na caixa de diálogo Conectar ao Servidor.

Se você estiver usando uma instância nomeada, poderá atribuir uma porta fixa sem alterações na forma como especificar o nome do servidor (especificamente, você pode usar <nome do servidor\nome da instância> para se conectar a uma instância nomeada que está ouvindo em uma porta fixa). Isso só funcionará se o serviço SQL Server Browser estiver em execução e você desbloquear a porta pela qual ele está escutando. O serviço SQL Server Browser fornecerá redirecionamento à porta fixa com base no <nome do servidor\nome da> instância. Desde que você abra portas para o serviço SQL Server Browser e para a instância nomeada do Analysis Services que está escutando na porta fixa, o serviço SQL Server Browser resolverá a conexão com uma instância nomeada.

  1. Determine uma porta TCP/IP disponível a ser usada.

    Para exibir uma lista de portas reservadas e registradas que você deve evitar usar, consulte Números de Porta (IANA). Para exibir uma lista de portas que já estão em uso no sistema, abra uma janela de prompt de comando e digite netstat -a -p TCP para exibir uma lista das portas TCP que estão abertas no sistema.

  2. Depois de determinar qual porta usar, especifique a porta editando a configuração de porta no arquivo msmdsrv.ini ou na página de propriedades gerais de uma instância do Analysis Services no SQL Server Management Studio.

  3. Reinicie o serviço.

  4. Configure o Firewall do Windows para desbloquear a porta TCP especificada. Ou, se você estiver usando uma porta fixa para uma instância nomeada, desbloqueie a porta TCP especificada para essa instância e a porta TCP 2382 para o serviço SQL Server Browser.

  5. Verifique conectando-se localmente (no Management Studio) e, em seguida, remotamente de um aplicativo cliente em outro computador. Para usar o Management Studio, conecte-se a uma instância padrão do Analysis Services especificando um nome de servidor neste formato: <servername>:<portnumber>. Para uma instância nomeada, especifique o nome do servidor como <nome do> servidor\<nome da> instância.

Configuração de porta para um cluster do Analysis Services

Um cluster de failover do SQL Server Analysis Services sempre escuta na porta TCP 2383, independentemente de você instalá-lo como uma instância padrão ou uma instância nomeada. As atribuições de porta dinâmica não são usadas pelo SQL Server Analysis Services quando elas são instaladas em um cluster de failover do Windows. Certifique-se de abrir a porta TCP 2383 em cada nó que execute o SQL Server Analysis Services no cluster. Para obter mais informações sobre o clustering do SQL Server Analysis Services, consulte How to Cluster SQL Server Analysis Services.

Configuração de porta para o Power Pivot para SharePoint

A arquitetura do servidor para o Power Pivot para SharePoint é fundamentalmente diferente dependendo de qual versão do SharePoint você está usando.

SharePoint 2013

No SharePoint 2013, os Serviços do Excel redirecionam solicitações para modelos de dados do Power Pivot, que posteriormente são carregados em uma instância do SQL Server Analysis Services fora do ambiente do SharePoint. As conexões seguem o padrão típico, em que uma biblioteca de clientes do Analysis Services em um computador local envia uma solicitação de conexão para uma instância remota do SQL Server Analysis Services na mesma rede.

Como o Power Pivot para SharePoint sempre instala o SQL Server Analysis Services como uma instância nomeada, você deve assumir o serviço SQL Server Browser e atribuições de porta dinâmica. Conforme observado anteriormente, o serviço SQL Server Browser escuta na porta TCP 2382 para solicitações de conexão enviadas para instâncias nomeadas do SQL Server Analysis Services, redirecionando a solicitação para a porta atual.

Observe que os Serviços do Excel no SharePoint 2013 não dão suporte à sintaxe de conexão de porta fixa, portanto, verifique se o serviço navegador do SQL Server está acessível.

SharePoint 2010

Se você estiver usando o SharePoint 2010, não precisará abrir portas no Firewall do Windows. O SharePoint abre as portas necessárias e suplementos como o Power Pivot para SharePoint operam no ambiente do SharePoint. Em uma instalação do Power Pivot para SharePoint 2010, o Serviço de Sistema do Power Pivot tem uso exclusivo da instância de serviço local do SQL Server Analysis Services (Power Pivot) instalada com ele no mesmo computador. Ele usa conexões locais, não conexões de rede, para acessar o serviço de mecanismo local do Analysis Services que carrega, consulta e processa dados do Power Pivot no servidor do SharePoint. Para solicitar dados do Power Pivot de aplicativos cliente, as solicitações são roteadas por meio de portas abertas pela Instalação do SharePoint (especificamente, as regras de entrada são definidas para permitir o acesso ao SharePoint – 80, à Administração Central do SharePoint v4, aos Serviços Web do SharePoint e ao SPUserCodeV4). Como os serviços Web do Power Pivot são executados em um farm do SharePoint, as regras de firewall do SharePoint são suficientes para acesso remoto aos dados do Power Pivot em um farm do SharePoint.

Consulte Também

Serviço de Navegador do SQL Server (Mecanismo de Banco de Dados e SSAS)
Iniciar, Parar, Pausar, Retomar, Reiniciar o Mecanismo de Banco de Dados, o SQL Server Agent ou o Serviço de Navegador do SQL Server
Configurar um Firewall do Windows para acesso ao Mecanismo de Banco de Dados

  • Last updated on