Detalles sobre la puerta de enlace de datos localOn-premises data gateway in-depth

Los usuarios de su organización pueden acceder a los datos locales (para los que ya tienen permiso de acceso), pero antes de que puedan conectarse al origen de datos local, es necesario instalar y configurar una puerta de enlace de datos local.It's possible for users in your organization to access on-premises data (to which they already have access authorization), but before those users can connect to your on-premises data source, an on-premises data gateway needs to be installed and configured. La puerta de enlace facilita la comunicación interna entre un usuario en la nube y el origen de datos local, y de vuelta a la nube de una manera rápida y segura.The gateway facilitates quick and secure behind-the-scenes communication between a user in the cloud, to your on-premises data source, and then back to the cloud.

La instalación y configuración de la puerta de enlace suele estar a cargo de un administrador.Installing and configuring a gateway is usually done by an administrator. Puede requerir un conocimiento especial de los servidores locales y, en algunos casos, también se requieren permisos de administrador del servidor.It may require special knowledge of your on-premises servers and in some cases may require Server Administrator permissions.

En este artículo no se proporcionan instrucciones paso a paso acerca de cómo instalar y configurar una puerta de enlace.This article doesn’t provide step-by-step guidance on how to install and configure the gateway. Para eso, asegúrese de consultar Puerta de enlace de datos local.For that, be sure to see On-premises data gateway. El objetivo de este artículo es profundizar acerca del funcionamiento de la puerta de enlace.This article is meant to provide you with an in-depth understanding of how the gateway works. También se ofrece información detallada sobre los nombres de usuario y la seguridad en Azure Active Directory y Analysis Services, e información sobre cómo el servicio en la nube usa la puerta de enlace, Active Directory y la dirección de correo con la que un usuario inicia sesión, para conectarse de forma segura y consultar los datos locales.We’ll also go into some detail about usernames and security in both Azure Active Directory and Analysis Services, and how the cloud service uses the e-mail address a user sign in with, the gateway, and Active Directory to securely connect to and query your on-premises data.

Cómo funciona la puerta de enlaceHow the gateway works

On-prem-data-gateway-how-it-works

Veamos primero lo que sucede cuando un usuario interactúa con un elemento conectado a un origen de datos local.Let’s first look at what happens when a user interacts with an element connected to an on-premises data source.

Nota

Para Power BI, necesitará configurar un origen de datos para la puerta de enlace.For Power BI, you will need to configure a data source for the gateway.

  1. El servicio en la nube crea una consulta, junto con las credenciales cifradas para el origen de datos local y se envía a la cola para que la puerta de enlace la procese.A query will be created by the cloud service, along with the encrypted credentials for the on-premises data source, and sent to the queue for the gateway to process.
  2. El servicio de puerta de enlace en la nube analizará la consulta y enviará la solicitud a Azure Service Bus.The gateway cloud service will analyze the query and will push the request to the Azure Service Bus.
  3. La puerta de enlace de datos local sondea Azure Service Bus en busca de solicitudes pendientes.The on-premises data gateway polls the Azure Service Bus for pending requests.
  4. La puerta de enlace obtiene la consulta, descifra las credenciales y se conecta a los orígenes de datos con esas credenciales.The gateway gets the query, decrypts the credentials and connects to the data source(s) with those credentials.
  5. La puerta de enlace envía la consulta al origen de datos para su ejecución.The gateway sends the query to the data source for execution.
  6. Los resultados se envían desde el origen de datos a la puerta de enlace y luego al servicio en la nube.The results are sent from the data source, back to the gateway, and then onto the cloud service. Después, el servicio usa los resultados.The service then uses the results.

Lista de tipos de orígenes de datos disponiblesList of available data source types

Origen de datosData source Dinámica/DirectQueryLive/DirectQuery Actualización programada o manual configurada por el usuarioUser configured manual or scheduled refresh
Modelo tabular de Analysis ServicesAnalysis Services Tabular Yes Yes
Modelo multidimensional de Analysis ServicesAnalysis Services Multidimensional Yes Yes
ArchivoFile NoNo Yes
CarpetaFolder NoNo Yes
IBM DB2IBM DB2 NoNo Yes
Base de datos Informix de IBMIBM Informix Database NoNo Yes
ImpalaImpala Yes Yes
MySQLMySQL NoNo Yes
ODataOData NoNo Yes
ODBCODBC NoNo Yes
OledbOledb NoNo Yes
OracleOracle Yes Yes
PostgresSQLPostgresSQL NoNo Yes
SAP BWSAP BW Yes Yes
SAP HANASAP HANA Yes Yes
Lista de SharePoint (local)SharePoint list (on-premises) NoNo Yes
SnowflakeSnowflake Yes Yes
SQL ServerSQL Server Yes Yes
SybaseSybase NoNo Yes
TeradataTeradata Yes Yes
WebWeb NoNo Yes

Cuenta de inicio de sesiónSign in account

Los usuarios inician sesión con una cuenta profesional o educativa.Users will sign in with either a work or school account. Es la cuenta de la organización.This is your organization account. Si se suscribió a una oferta de Office 365 y no proporcionó la dirección de correo profesional real, se podría parecer a nancy@contoso.onmicrosoft.com. La cuenta, en un servicio en la nube, se almacena en un inquilino de Azure Active Directory (AAD).If you signed up for an Office 365 offering and didn’t supply your actual work email, it may look like nancy@contoso.onmicrosoft.com. Your account, within a cloud service, is stored within a tenant in Azure Active Directory (AAD). En la mayoría de los casos, el UPN de la cuenta AAD coincidirá con la dirección de correo.In most cases, your AAD account’s UPN will match the email address.

Autenticación para orígenes de datos localesAuthentication to on-premises data sources

Se usará una credencial almacenada para conectarse a orígenes de datos locales de la puerta de enlace excepto a Analysis Services.A stored credential will be used to connect to on-premises data sources from the gateway except Analysis Services. Independientemente del usuario individual, la puerta de enlace usa la credencial almacenada para conectarse.Regardless of the individual user, the gateway uses the stored credential to connect.

Autenticación a un origen de datos de Analysis Services activoAuthentication to a live Analysis Services data source

Cada vez que un usuario interactúa con Analysis Services, el nombre de usuario efectivo se envía a la puerta de enlace y después al servidor de Analysis Services local.Each time a user interacts with Analysis Services, the effective username is passed to the gateway and then onto your on-premises Analysis Services server. El nombre principal de usuario (UPN), normalmente la dirección de correo con la que inicia sesión en la nube, es lo que se pasará a Analysis Services como usuario efectivo.The user principal name (UPN), typically the email address you sign into the cloud with, is what we will pass to Analysis Services as the effective user. El UPN se pasa en la propiedad de conexión EffectiveUserName.The UPN is passed in the connection property EffectiveUserName. Esta dirección de correo debe coincidir con un UPN definido en el dominio de Active Directory local.This email address should match a defined UPN within the local Active Directory domain. El UPN es una propiedad de una cuenta de Active Directory.The UPN is a property of an Active Directory account. Por tanto, esa cuenta de Windows debe estar presente en un rol de Analysis Services para tener acceso al servidor.That Windows account then needs to be present in an Analysis Services role to have access to the server. Si no se encuentra una coincidencia en Active Directory, el inicio de sesión no será correcto.The login will not be successful if no match is found in Active Directory.

Analysis Services también puede proporcionar filtrado basado en esta cuenta.Analysis Services can also provide filtering based on this account. El filtrado puede realizarse con seguridad basada en roles o bien con seguridad de nivel de fila.The filtering can occur with either role based security, or row-level security.

Seguridad basada en rolesRole-based security

Los modelos proporcionan seguridad basada en roles de usuario.Models provide security based on user roles. Los roles para un proyecto de modelo determinado se definen durante la creación en SQL Server Data Tools – Business Intelligence (SSDT-BI), o después de que se implementa un modelo, mediante SQL Server Management Studio (SSMS).Roles are defined for a particular model project during authoring in SQL Server Data Tools – Business Intelligence (SSDT-BI), or after a model is deployed, by using SQL Server Management Studio (SSMS). Los roles contienen miembros por nombre de usuario o grupo de Windows.Roles contain members by Windows username or by Windows group. Los roles definen los permisos que un usuario tiene para consultar o realizar acciones en el modelo.Roles define permissions a user has to query or perform actions on the model. La mayoría de los usuarios pertenecerá a un rol con permisos de lectura.Most users will belong to a role with Read permissions. Otros roles están diseñados para los administradores con permisos para procesar elementos, administrar funciones de bases de datos y administrar otros roles.Other roles are meant for administrators with permissions to process items, manage database functions, and manage other roles.

Seguridad de nivel de filaRow-level security

La seguridad de nivel de fila es específica de la seguridad de nivel de fila de Analysis Services.Row-level security is specific to Analysis Services row-level security. Los modelos pueden proporcionar seguridad dinámica de nivel de fila.Models can provide dynamic, row-level security. A diferencia de tener al menos un rol al que pertenezcan usuarios, la seguridad dinámica no es necesaria para cualquier modelo tabular.Unlike having at least one role in which users belong to, dynamic security is not required for any tabular model. En un nivel avanzado, la seguridad dinámica define el acceso de lectura a datos de un usuario delimitado a una fila particular en una tabla específica.At a high-level, dynamic security defines a user’s read access to data right down to a particular row in a particular table. Similar a lo que ocurre con los roles, la seguridad dinámica de nivel de fila se basa en el nombre de usuario de Windows de un usuario.Similar to roles, dynamic row-level security relies on a user’s Windows username.

La capacidad de los usuarios para consultar y ver datos de un modelo está determinada, en primer lugar, por los roles a los que pertenece su cuenta de usuario de Windows y, en segundo lugar, por la seguridad dinámica de nivel de fila, si está configurada.A user’s ability to query and view model data are determined first by the roles their Windows user account are a member of and second, by dynamic row-level security, if configured.

La implementación de la seguridad dinámica de nivel de fila y de roles en los modelos queda fuera del ámbito de este artículo.Implementing role and dynamic row-level security in models are beyond the scope of this article. Puede obtener más información en Roles (SSAS tabular) y Roles de seguridad (Analysis Services - Datos multidimensionales) en MSDN.You can learn more at Roles (SSAS Tabular) and Security Roles (Analysis Services - Multidimensional Data) on MSDN. Para ver una descripción más detallada de la seguridad de modelos tabulares, descargue y lea las notas del documento Tabular BI Semantic Model (Protección del modelo semántico tabular de BI).And, for the most in-depth understanding of tabular model security, download and read the Securing the Tabular BI Semantic Model whitepaper.

¿Qué pasa con Azure Active Directory?What about Azure Active Directory?

Los servicios en la nube de Microsoft dejan la autenticación de los usuarios a cargo de Azure Active Directory.Microsoft cloud services use Azure Active Directory to take care of authenticating users. Azure Active Directory es el inquilino que contiene grupos de nombres de usuario y seguridad.Azure Active Directory is the tenant that contains usernames and security groups. Normalmente, la dirección de correo con la que un usuario inicia sesión coincide con el UPN de la cuenta.Typically, the email address a user signs in with is the same as the UPN of the account.

¿Cuál es mi rol de Active Directory local?What is my local Active Directory’s role?

Para que Analysis Services determine si un usuario que se conecta a él pertenece a un rol con permisos para leer los datos, el servidor debe convertir el nombre de usuario efectivo pasado de AAD a la puerta de enlace y de ahí al servidor de Analysis Services.For Analysis Services to determine if a user connecting to it belongs to a role with permissions to read data, the server needs to convert the effective username passed from AAD to the gateway, and onto the Analysis Services server. El servidor de Analysis Services pasa el nombre de usuario efectivo a un controlador de dominio (DC) de Windows Active Directory.The Analysis Services server passes the effective username to a Windows Active Directory domain controller (DC). El controlador de dominio de Active Directory, a su vez, valida que el nombre de usuario efectivo es un UPN válido en una cuenta local y devuelve el nombre de usuario de Windows de ese usuario al servidor de Analysis Services.The Active Directory DC then validates the effective username is a valid UPN, on a local account, and returns that user’s Windows username back to the Analysis Services server.

No se puede usar EffectiveUserName en un servidor de Analysis Services que no esté unido a un dominio.EffectiveUserName cannot be used on a non-domain joined Analysis Services server. El servidor de Analysis Services debe estar unido a un dominio para evitar errores de inicio de sesión.The Analysis Services server must be joined to a domain to avoid any login errors.

¿Cómo sé cuál es mi UPN?How do I tell what my UPN is?

Es posible que no sepa cuál es su UPN y que no sea un administrador de dominio.You may not know what your UPN is, and you may not be a domain administrator. Puede utilizar el siguiente comando en la estación de trabajo para averiguar el UPN de la cuenta.You can use the following command from your workstation to find out the UPN for your account.

whoami /upn

El resultado se asemejará a una dirección de correo, pero se trata del UPN correspondiente a la cuenta de dominio local.The result will look similar to an email address, but this is the UPN that is on your local domain account. Si usa un origen de datos de Analysis Services para las conexiones activas, debe coincidir con lo que se ha pasado a EffectiveUserName desde la puerta de enlace.If you are using an Analysis Services data source for live connections, this must match what was passed to EffectiveUserName from the gateway.

Asignación de nombres de usuario a orígenes de datos de Analysis ServicesMapping usernames for Analysis Services data sources

Power BI permite asignar nombres de usuario a orígenes de datos de Analysis Services.Power BI allows for mapping usernames for Analysis Services data sources. Puede configurar reglas para asignar un nombre de usuario que ha iniciado sesión con Power BI a un nombre que se pasa para EffectiveUserName en la conexión de Analysis Services.You can configure rules to map a username logged in with Power BI to a name that is passed for EffectiveUserName on the Analysis Services connection. La función de asignación de nombres de usuario es una excelente solución alternativa cuando su nombre de usuario en AAD no coincide con un UPN en su Active Directory local.The map user names feature is a great way to work around when your username in AAD doesn't match a UPN in your local Active Directory. Por ejemplo, si su dirección de correo es nancy@contoso.onmicrsoft.com, podría asignarla a nancy@contoso.com y ese valor se pasaría a la puerta de enlace.For example, if your email address is nancy@contoso.onmicrsoft.com, you could map it to nancy@contoso.com, and that value would be passed to the gateway. Puede obtener más información sobre cómo asignar nombres de usuario.You can learn more about how to map user names.

Sincronizar un servidor de Active Directory local con Azure Active DirectorySynchronize an on-premises Active Directory with Azure Active Directory

Querrá que las cuentas de Active Directory locales coincidan con Azure Active Directory si va a usar conexiones activas de Analysis Services.You would want your local Active Directory accounts to match Azure Active Directory if you are going to be using Analysis Services live connections. Al igual que el UPN debe coincidir entre las cuentas.As the UPN has to match between the accounts.

Los servicios en la nube solo conocen las cuentas de Azure Active Directory.The cloud services only know about accounts within Azure Active Directory. No importa si ha agregado una cuenta en su Active Directory local, si no existe en AAD, no se puede usar.It doesn’t matter if you added an account in your local Active Directory, if it doesn’t exist in AAD, it cannot be used. Hay diferentes formas para hacer coincidir las cuentas de Active Directory locales con Azure Active Directory.There are different ways that you can match your local Active Directory accounts with Azure Active Directory.

  1. Puede agregar manualmente cuentas a Azure Active Directory.You can add accounts manually to Azure Active Directory.

    Puede crear una cuenta en el portal de Azure, o en el Portal de administración de Office 365, y el nombre de la cuenta coincide con el UPN de la cuenta de Active Directory local.You can create an account on the Azure portal, or within the Office 365 Admin Portal, and the account name matches the UPN of the local Active Directory account.

  2. Puede usar la herramienta Azure AD Connect para sincronizar las cuentas locales para el inquilino de Azure Active Directory.You can use the Azure AD Connect tool to synchronize local accounts to your Azure Active Directory tenant.

    La herramienta Azure AD Connect proporciona opciones para la sincronización de directorios y contraseñas.The Azure AD Connect tool provides options for directory and password synchronization. Si no es un administrador de inquilinos o un administrador de dominio local, debe ponerse en contacto con el administrador de TI para configurarlo.If you are not a tenant admin or a local domain administrator, you will need to contact your IT admin to get this configured.

  3. Puede configurar los servicios de federación de Active Directory (ADFS).You can configure Active Directory Federation Services (ADFS).

    Puede asociar el servidor de ADFS al inquilino AAD con la herramienta Azure AD Connect.You can associate your ADFS server to your AAD tenant with the Azure AD Connect tool. ADFS hace uso de la sincronización de directorios descrita anteriormente pero permite una experiencia de inicio de sesión único (SSO).ADFS makes use of the directory synchronization discussed above but allows for a single sign-on (SSO) experience. Por ejemplo, si se encuentra en la red del trabajo, cuando acceda a un servicio en la nube y vaya a iniciar sesión, es posible que no se le pida que escriba un nombre de usuario o contraseña.For example, if you are within your work network, when you to a cloud service, and go to sign in, you may not be prompted to enter a username or password. Tendrá que consultar con el administrador de TI si esto está disponible para su organización.You will need to discuss with your IT Admin if this is available for your organization.

El uso de Azure AD Connect garantiza que el UPN coincida entre AAD y Active Directory local.Using Azure AD Connect ensures that the UPN will match between AAD and your local Active Directory.

Nota

La sincronización de cuentas con la herramienta Azure AD Connect creará cuentas nuevas dentro de su inquilino de AAD.Synchronizing accounts with the Azure AD Connect tool will create new accounts within your AAD tenant.

Aquí es cuando entra en juego la puerta de enlaceNow, this is where the gateway comes in

La puerta de enlace actúa como puente entre la nube y el servidor local.The gateway acts as a bridge between the cloud and your on-premises server. La transferencia de datos entre la nube y la puerta de enlace se protege mediante Azure Service Bus.Data transfer between the cloud and the gateway is secured through Azure Service Bus. Service Bus crea un canal seguro entre la nube y el servidor local a través de una conexión de salida de la puerta de enlace.The Service Bus creates a secure channel between the cloud and your on-premises server through an outbound connection on the gateway. No necesita abrir conexiones de entrada en el firewall local.There are no inbound connections that you need to open on your on-premises firewall.

Si tiene un origen de datos de Analysis Services, deberá instalar la puerta de enlace en un equipo unido al mismo bosque o dominio que el servidor de Analysis Services.If you have an Analysis Services data source, you’ll need to install the gateway on a computer joined to the same forest/domain as your Analysis Services server.

Cuanto más cerca esté la puerta de enlace del servidor, más rápida será la conexión.The closer the gateway is to the server, the faster the connection will be. Si la puerta de enlace puede estar en el mismo servidor que el origen de datos, es mejor evitar la latencia de red entre la puerta de enlace y el servidor.If you can get the gateway on the same server as the data source, that is best to avoid network latency between the gateway and the server.

¿Qué hacer a continuación?What to do next?

Después de instalar la puerta de enlace, probablemente querrá crear orígenes de datos para esa puerta de enlace.After you get the gateway installed, you will want to create data sources for that gateway. Puede agregar orígenes de datos desde la pantalla Administrar puertas de enlace.You can add data sources within the Manage gateways screen. Para obtener más información, consulte los artículos sobre la administración de orígenes de datos.For more information, see the manage data sources articles.

Administrar el origen de datos: Analysis ServicesManage your data source - Analysis Services
Administrar el origen de datos: SAP HANAManage your data source - SAP HANA
Administrar el origen de datos: SQL ServerManage your data source - SQL Server
Administrar el origen de datos: OracleManage your data source - Oracle
Administrar el origen de datos: importación o actualización programadaManage your data source - Import/Scheduled refresh

Posibles problemasWhere things can go wrong

Algunas veces no se puede instalar la puerta de enlace.Sometimes installing the gateway fails. O es posible que la puerta de enlace parezca instalarse correctamente, pero el servicio todavía no pueda trabajar con ella.Or, maybe the gateway seems to install ok, but the service is still unable to work with it. En muchos casos, es algo sencillo, como la contraseña de las credenciales que usa la puerta de enlace para iniciar sesión en el origen de datos.In many cases, it’s something simple, like the password for the credentials the gateway uses to sign into the data source.

En otros casos, es posible que haya problemas con el tipo de dirección de correo electrónico con el que los usuarios inician sesión, o que Analysis Services no pueda resolver un nombre de usuario efectivo.In other cases, there might be issues with the type of e-mail address users sign in with, or Analysis Services’ inability to resolve an effective username. Si tiene varios dominios con confianzas entre ellos y la puerta de enlace está en uno y Analysis Services en otro, en ocasiones esto puede causar algunos problemas.If you have multiple domains with trusts between them, and your gateway is in one and Analysis Services in another, this sometimes can cause some problems.

En lugar de ahondar aquí en cómo solucionar los problemas de la puerta de enlace, hemos incluido en otro artículo, Solución de problemas con la puerta de enlace de datos local, una serie de pasos para hacerlo.Rather than go into troubleshooting gateway issues here, we’ve put a series of troubleshooting steps into another article; Troubleshooting the on-premises data gateway. Esperamos que no tenga problemas.Hopefully, you won’t have any problems. Pero si los tiene, le será provechoso comprender cómo funciona todo esto junto con el artículo de solución de problemas.But if you do, understanding how all of this works and the troubleshooting article should help.

Cuenta de inicio de sesiónSign in account

Los usuarios inician sesión con una cuenta profesional o educativa.Users will sign in with either a work or school account. Es la cuenta de la organización.This is your organization account. Si se suscribió a una oferta de Office 365 y no proporcionó la dirección de correo profesional real, se podría parecer a nancy@contoso.onmicrosoft.com. La cuenta, en un servicio en la nube, se almacena en un inquilino de Azure Active Directory (AAD).If you signed up for an Office 365 offering and didn’t supply your actual work email, it may look like nancy@contoso.onmicrosoft.com. Your account, within a cloud service, is stored within a tenant in Azure Active Directory (AAD). En la mayoría de los casos, el UPN de la cuenta AAD coincidirá con la dirección de correo.In most cases, your AAD account’s UPN will match the email address.

Cuenta de servicio de WindowsWindows Service account

La puerta de enlace de datos local está configurada para usar NT SERVICE\PBIEgwService para la credencial de inicio de sesión del servicio de Windows.The on-premises data gateway is configured to use NT SERVICE\PBIEgwService for the Windows service logon credential. De manera predeterminada, tiene el derecho de Iniciar sesión como servicio.By default, it has the right of Log on as a service. Se trata del contexto de la máquina en la que va a instalar la puerta de enlace.This is in the context of the machine that you are installing the gateway on.

Nota

Si ha seleccionado el modo personal, configure la cuenta de servicio de Windows por separado.If you selected personal mode, you configure the Windows service account separately.

No es la cuenta que se usa para conectarse a orígenes de datos locales.This is not the account used to connect to on-premises data sources. Tampoco es la cuenta profesional o educativa con la que inicia sesión en servicios en la nube.This is also not your work or school account that you sign into cloud services with.

Si tiene problemas con el servidor proxy debido a la autenticación, puede cambiar la cuenta de servicio de Windows por un usuario de dominio o una cuenta de servicio administrada.If you encounter issues with your proxy server, due to authentication, you may want to change the Windows service account to a domain user or managed service account. Puede obtener información sobre cómo cambiar la cuenta en la configuración de proxy.You can learn how to change the account in proxy configuration.

PuertosPorts

La puerta de enlace crea una conexión de salida a Azure Service Bus.The gateway creates an outbound connection to Azure Service Bus. Se comunica en los puertos de salida: TCP 443 (predeterminado), 5671, 5672 y de 9350 a 9354.It communicates on outbound ports: TCP 443 (default), 5671, 5672, 9350 thru 9354. La puerta de enlace no requiere puertos de entrada.The gateway does not require inbound ports. Más informaciónLearn more

Se recomienda añadir a la lista blanca de su firewall las direcciones IP de su región de datos.It is recommended that you whitelist the IP addresses, for your data region, in your firewall. Puede descargar la lista de direcciones IP del Centro de datos de Microsoft Azure.You can download the Microsoft Azure Datacenter IP list. Esta lista se actualiza semanalmente.This list is updated weekly. La puerta de enlace usará la dirección IP junto con el nombre de dominio completo (FQDN) para comunicarse con Azure Service Bus.The gateway will communicate with Azure Service Bus using the IP address along with the fully qualified domain name (FQDN). Si fuerza a la puerta de enlace a comunicarse mediante HTTPS, usará estrictamente solo FQDN y no se producirá ninguna comunicación mediante direcciones IP.If you are forcing the gateway to communicate using HTTPS it will strictly use FQDN only, and no communication will happen using IP addresses.

Nota

Las direcciones IP que se muestran en la lista de direcciones IP del Centro de datos de Azure están en la notación CIDR.The IP Addresses listed in the Azure Datacenter IP list are in CIDR notation. Por ejemplo, 10.0.0.0/24 no significa “de 10.0.0.0 a de 10.0.0.24”.For example, 10.0.0.0/24 does not mean 10.0.0.0 thru 10.0.0.24. Obtenga más información sobre la notación CIDR.Learn more about the CIDR notation.

Aquí se muestra una lista de los nombres de dominio completos utilizados por la puerta de enlace.Here is a listing of the fully qualified domain names used by the gateway.

Nombres de dominioDomain names Puertos de salidaOutbound ports DescripciónDescription
*.download.microsoft.com*.download.microsoft.com 8080 HTTP usado para descargar al instalador.HTTP used to download the installer.
*.powerbi.com*.powerbi.com 443443 HTTPSHTTPS
*.analysis.windows.net*.analysis.windows.net 443443 HTTPSHTTPS
*.login.windows.net*.login.windows.net 443443 HTTPSHTTPS
*.servicebus.windows.net*.servicebus.windows.net 5671-56725671-5672 Advanced Message Queuing Protocol (AMQP)Advanced Message Queuing Protocol (AMQP)
*.servicebus.windows.net*.servicebus.windows.net 443, 9350-9354443, 9350-9354 Escuchas en Service Bus Relay sobre TCP (requiere el puerto 443 para la adquisición de tokens de Access Control)Listeners on Service Bus Relay over TCP (requires 443 for Access Control token acquisition)
*.frontend.clouddatahub.net*.frontend.clouddatahub.net 443443 HTTPSHTTPS
*.core.windows.net*.core.windows.net 443443 HTTPSHTTPS
login.microsoftonline.comlogin.microsoftonline.com 443443 HTTPSHTTPS
*.msftncsi.com*.msftncsi.com 443443 Se utiliza para probar la conectividad con Internet si el servicio Power BI no puede alcanzar la puerta de enlace.Used to test internet connectivity if the gateway is unreachable by the Power BI service.
*.microsoftonline-p.com*.microsoftonline-p.com 443443 Se utiliza para realizar la autenticación en función de la configuración.Used for authentication depending on configuration.

Nota

El tráfico que va a visualstudio.com o visualstudioonline.com es de información de la aplicación y no es necesaria para que funcione la puerta de enlace.Traffic going to visualstudio.com or visualstudioonline.com are for app insights and are not required for the gateway to function.

Forzar la comunicación HTTPS con Azure Service BusForcing HTTPS communication with Azure Service Bus

Puede obligar a la puerta de enlace a comunicarse con Azure Service Bus a través de HTTPS en vez de TCP directo.You can force the gateway to communicate with Azure Service Bus using HTTPS instead of direct TCP. lo que puede afectar al rendimiento.This may have an impact on performance. Para ello, modifique el archivo Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll.config, para lo que debe cambiar el valor de AutoDetect a Https, como se muestra en el fragmento de código que se encuentra inmediatamente después de este párrafo.To do so, modify the Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll.config file by changing the value from AutoDetect to Https, as shown in the code snippet directly following this paragraph. Este archivo se encuentra, de forma predeterminada, en C:\Archivos de programa\On-premises data gateway.That file is located (by default) at C:\Program Files\On-premises data gateway.

<setting name="ServiceBusSystemConnectivityModeString" serializeAs="String">
    <value>Https</value>
</setting>

El valor del parámetro ServiceBusSystemConnectivityModeString distingue mayúsculas de minúsculas.The value for the ServiceBusSystemConnectivityModeString parameter is case sensitive. Los valores válidos son AutoDetect y Https.Valid values are AutoDetect and Https.

Como alternativa, puede forzar a la puerta de enlace a adoptar este comportamiento mediante la interfaz de usuario de la puerta de enlace, a partir de la versión de marzo de 2017.Alternatively, you can force the gateway to adopt this behavior using the gateway user interface, beginning with the March 2017 release. En la interfaz de usuario de la puerta de enlace, seleccione Red y cambie Modo de conectividad de Azure Service Bus a Activado.In the gateway user interface select Network, then toggle the Azure Service Bus connectivity mode to On.

Una vez cambiado, al seleccionar Aplicar (un botón solo aparece cuando se realiza un cambio), el servicio de puerta de enlace Windows se reinicia automáticamente, por lo que el cambio puede surtir efecto.Once changed, when you select Apply (a button that only appears when you make a change), the gateway Windows service restarts automatically, so the change can take effect.

Para referencias futuras puede reiniciar el servicio de puerta de enlace de Windows desde el mismo cuadro de diálogo de la interfaz de usuario si selecciona Configuración del servicio y Reiniciar ahora.For future reference, you can restart the gateway Windows service from the user interface dialog by selecting Service Settings then select Restart Now.

Compatibilidad con TLS 1.1 y 1.2Support for TLS 1.1/1.2

Con la actualización de agosto de 2017 y posteriores, la puerta de enlace de datos local usa Seguridad de la capa de transporte (TLS) 1.1 o 1.2 para comunicarse con el servicio Power BI de forma predeterminada.With the August 2017 update and beyond, the on-premises data gateway uses Transport Layer Security (TLS) 1.1 or 1.2 to communicate with the Power BI service by default. Las versiones anteriores de la puerta de enlace de datos local usan TLS 1.0 de forma predeterminada.Previous versions of the on-premises data gateway use TLS 1.0 by default. El 15 de marzo de 2018 la compatibilidad con TLS 1.0 terminará, incluida la capacidad de la puerta de enlace para interactuar con el servicio Power BI mediante TLS 1.0, por lo que antes de esa fecha debe actualizar las instalaciones de la puerta de enlace de datos local a la versión de agosto de 2017, o a otra más reciente, para asegurarse de que las puertas de enlace siguen funcionando.On March 15th 2018, support for TLS 1.0 will end, including the gateway's ability to interact with the Power BI service using TLS 1.0, so by then you must upgrade your on-premises data gateway installations to the August 2017 release or newer to ensure your gateways continue to operate.

Es importante tener en cuenta que la versión TLS 1.0 seguirá siendo compatible con la puerta de enlace de datos local antes del 1 de noviembre y la puerta de enlace la utilizará como un mecanismo de reserva.It's important to note that TLS 1.0 is still supported by the on-premises data gateway prior to November 1st, and is used by the gateway as a fallback mechanism. Para asegurarse de que todo el tráfico de la puerta de enlace usa TLS 1.1 o 1.2 (y para impedir el uso de TLS 1.0 en la puerta de enlace), debe agregar o modificar las siguientes claves de registro en la máquina que ejecuta el servicio de puerta de enlace:To ensure all gateway traffic uses TLS 1.1 or 1.2 (and to prevent the use of TLS 1.0 on your gateway), you must add or modify the following registry keys on the machine running the gateway service:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001

Nota

Agregar o modificar estas claves de registro permite aplicar el cambio a todas las aplicaciones. NET.Adding or modifying these registry keys applies the change to all .NET applications. Para más información acerca de los cambios del registro que afectan a TLS para otras aplicaciones, consulte Configuración del registro de seguridad de la capa (TLS) de transporte.For information about registry changes that affect TLS for other applications, see Transport Layer Security (TLS) registry settings.

Cómo reiniciar la puerta de enlaceHow to restart the gateway

La puerta de enlace se ejecuta como servicio de Windows.The gateway runs as a windows service. Se puede iniciar y detener como cualquier servicio de Windows.You can start and stop it like any windows service. Hay varias formas de hacerlo.There are multiple ways to do this. Así es cómo se puede hacer desde el símbolo del sistema.Here is how you can do it from the command prompt.

  1. En el equipo en el que se ejecuta la puerta de enlace, inicie un símbolo de sistema con permisos de administrador.On the machine where the gateway is running, launch an admin command prompt.
  2. Use el siguiente comando para detener el servicio.Use the following command to stop the service.

    net stop PBIEgwServicenet stop PBIEgwService

  3. Use el siguiente comando para iniciar el servicio.Use the following command to start the service.

    net start PBIEgwServicenet start PBIEgwService

Pasos siguientesNext steps

Solución de problemas con la puerta de enlace de datos localTroubleshooting the on-premises data gateway
Azure Service BusAzure Service Bus
Azure AD ConnectAzure AD Connect
¿Tiene más preguntas?More questions? Pruebe la comunidad de Power BITry the Power BI Community