Úprava nastavení komunikace pro místní bránu dat

Tento článek popisuje několik nastavení komunikace souvisejících s místní bránou dat. Také popisuje, jak tato nastavení upravit.

Povolení odchozích připojení Azure

Brána se spoléhá na Azure Service Bus pro cloudové připojení. Brána odpovídajícím způsobem navazuje odchozí připojení s přidruženou oblastí Azure.

Pokud jste se zaregistrovali pro klient Power BI nebo Office 365, vaše oblast Azure se stane výchozí pro oblast této služby. V opačném případě může být vaše oblast Azure tou nejbližší k vám.

Pokud brána firewall blokuje odchozí připojení, nakonfigurujte ji tak, aby umožňovala odchozí připojení z brány k přidružené oblasti Azure.

Porty

Brána komunikuje na následujících odchozích portech: TCP 443, 5671, 5672 a 9350 až 9354. Brána nevyžaduje příchozí porty.

Doporučujeme v bráně firewall povolit IP adresy pro vaši oblast. Můžete si stáhnout seznam IP adres datového centra Microsoft Azure, který se každý týden aktualizuje. Nebo můžete získat seznam požadovaných portů pravidelným prováděním testů síťových portů v aplikaci brány.

Brána komunikuje se službou Service Bus pomocí IP adresy a plně kvalifikovaného názvu domény (FQDN). Pokud vynutíte, aby brána komunikovala přes HTTPS, bude striktně používat pouze FQDN a nebude komunikovat pomocí IP adres.

Poznámka

Seznam IP datového centra Azure zobrazuje adresy IP v notaci mezidoménového směrování bez tříd (CIDR). Příkladem tohoto zápisu je 10.0.0.0/24, což neznamená od 10.0.0.0 do 10.0.0.24. Další informace o notaci CIDR.

Následující seznam popisuje FQDN používané bránou.

Názvy domén Odchozí porty Popis
*.download.microsoft.com 80 Používá se ke stažení instalačního programu. Tuto doménu používá také aplikace brány dat k vyhledání verze a oblasti brány.
*.powerbi.com 443 Používá se k identifikaci příslušného clusteru Power BI.
*.analysis.windows.net 443 Používá se k identifikaci příslušného clusteru Power BI.
*.login.windows.net, login.live.com, and aadcdn.msauth.net 443 Používá se k ověření aplikace brány pro Azure Active Directory (Azure AD) a OAuth2.
*.servicebus.windows.net 5671–5672 Používá se pro rozšířený protokol řízení front zpráv (AMQP).
*.servicebus.windows.net 443 a 9350–9354 Poslouchá na Service Bus Relay přes TCP. Pro získání tokenů Azure Access Control je vyžadován port 443.
*.frontend.clouddatahub.net 443 Zastaralé a není nutné. Tato doména bude také odstraněna z veřejné dokumentace.
*.core.windows.net 443 Používají ji toky dat k zápisu dat do Azure Data Lake.
login.microsoftonline.com 443 Používá se k ověření aplikace brány pro Azure AD a OAuth2.
*.msftncsi.com 443 Používá se k testování připojení k internetu, pokud služba Power BI nemůže dosáhnout k bráně.
*.microsoftonline-p.com 443 Používá se k ověření aplikace brány pro Azure AD a OAuth2.
dc.services.visualstudio.com 443 Používá AppInsights k shromažďování telemetrických dat.

Poznámka

Po instalaci a registraci brány jsou jediné potřebné porty a adresy IP takové, které vyžaduje Service Bus, jak je popsáno v servicebus.windows.net v předchozí tabulce. Můžete získat seznam požadovaných portů pravidelným prováděním testů síťových portů v aplikaci brány. Můžete také vynutit, aby brána komunikovala pomocí HTTPS.

Test síťových portů

Chcete-li testovat, zda má brána přístup ke všem požadovaným portům:

  1. Na počítači, na kterém je spuštěna brána, zadejte do vyhledávání systému Windows „brána“ a poté vyberte aplikaci Místní brána dat.

  2. Vyberte Diagnostika. Pod Test síťových portů vyberte Spustit nový test.

    Jak spustit nový test síťových portů

Když vaše brána spustí test síťových portů, načte seznam portů a serverů ze služby Service Bus a potom se ke všem pokusí připojit. Když se znovu objeví odkaz Spustit nový test, znamená to, že se test síťových portů dokončil.

Souhrnný výsledek testu je buď „Dokončeno (úspěšně)“ nebo „Dokončeno (selhání, viz poslední výsledky testu)“. Pokud byl test úspěšný, brána se připojila ke všem požadovaným portům. Pokud test selhal, tak vaše síťové přostředí mohlo tyto požadované porty a servery blokovat.

Pokud si chcete zobrazit výsledky posledního dokončeného testu, vyberte odkaz Otevřít výsledky posledního dokončeného testu. Výsledky testu se otevřou ve výchozím textovém editoru.

Na seznamu výsledků testu jsou všechny servery, porty a IP adresy, které vaše brána vyžaduje. Pokud u některého výsledku testu uvidíte jako v následujícím screenshotu „Closed“ (Zavřeno) u některého z portů, zkontrolujte, že vaše síťové prostředí tato připojení neblokuje. Ohledně otevření požadovaných portů možná budete muset kontaktovat svého správce sítě.

Výsledky testu zobrazené v programu Poznámkový blok

Vynucení komunikace přes protokol HTTPS se službou Azure Service Bus

Můžete přinutit bránu komunikovat se službou Service Bus s použitím protokolu HTTPS namísto přímého propojení TCP.

Poznámka

Počínaje verzí brány z června 2019 a na základě doporučení ze služby Service Bus bude výchozím nastavením nových instalací protokol HTTPS namísto TCP. Toto výchozí chování se nevztahuje na aktualizované instalace.

Pomocí aplikace brány můžete vynutit, aby brána přejala tohle chování. V aplikaci brány vyberte Síť a pak zapněte Režim HTTPS.

Nastavení režimu HTTPS

Po provedení této změny a výběru volby Použít se služba brány systému Windows automaticky restartuje, aby se změna projevila. Tlačítko Použít se zobrazí pouze, když provedete nějakou změnu.

Chcete-li restartovat službu brány systému Windows z aplikace brány, viz Restartování brány.

Poznámka

Pokud brána nemůže komunikovat pomocí protokolu TCP, automaticky použije protokol HTTPS. Výběr v aplikaci brány vždy odráží aktuální hodnotu protokolu.

TLS 1.2 pro přenosy přes brány

Ve výchozím nastavení brána používá ke komunikaci se službou Power BI protokol Transport Layer Security (TLS) 1.2. Pokud chcete zajistit, aby všechny přenosy přes bránu používaly protokol TLS 1.2, možná budete muset na počítači, na kterém je spuštěná služba brány, přidat nebo upravit následující klíče registru.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001

Poznámka

Po přidání nebo úpravě těchto klíčů registru se tato změna použije u všech aplikací .NET. Informace o změnách registru, které mají vliv na protokol TLS u jiných aplikací, najdete v tématu Nastavení registru pro protokol TLS (Transport Layer Security).

Další kroky