Analisi approfondita del gateway dati localeOn-premises data gateway in-depth

Gli utenti dell'organizzazione possono accedere ai dati locali (per i quali hanno già l'autorizzazione di accesso), ma prima che possano connettersi all'origine dati locale, è necessario installare e configurare un gateway di dati locale.It's possible for users in your organization to access on-premises data (to which they already have access authorization), but before those users can connect to your on-premises data source, an on-premises data gateway needs to be installed and configured. Il gateway facilita consente una comunicazione "dietro le quinte" rapida e sicura tra un utente nel cloud e l'origine dati locale e viceversa.The gateway facilitates quick and secure behind-the-scenes communication between a user in the cloud, to your on-premises data source, and then back to the cloud.

L'installazione e la configurazione di un gateway viene in genere eseguita da un amministratore.Installing and configuring a gateway is usually done by an administrator. Può richiedere conoscenze specializzate dei server locali e in alcuni casi le autorizzazioni di amministratore del server.It may require special knowledge of your on-premises servers and in some cases may require Server Administrator permissions.

Questo articolo non contiene istruzioni dettagliate su come installare e configurare il gateway.This article doesn’t provide step-by-step guidance on how to install and configure the gateway. A tale scopo, vedere Gateway dati locale.For that, be sure to see On-premises data gateway. Questo articolo mira a fornire una conoscenza approfondita del funzionamento del gateway.This article is meant to provide you with an in-depth understanding of how the gateway works. Verranno anche fornite alcune informazioni dettagliate sui nomi utente e la sicurezza sia in Azure Active Directory sia in Analysis Services, nonché sul modo in cui il servizio cloud usa l'indirizzo di posta elettronica con cui un utente esegue l'accesso, il gateway e Active Directory per connettersi in modo sicuro ai dati locali ed eseguire query su di essi.We’ll also go into some detail about usernames and security in both Azure Active Directory and Analysis Services, and how the cloud service uses the e-mail address a user sign in with, the gateway, and Active Directory to securely connect to and query your on-premises data.

Come funziona il gatewayHow the gateway works

On-prem-data-gateway-how-it-works

Questa sezione descrive cosa accade quando un utente interagisce con un elemento connesso a un'origine dati locale.Let’s first look at what happens when a user interacts with an element connected to an on-premises data source.

Nota

Per Power BI è necessario configurare un'origine dati per il gateway.For Power BI, you will need to configure a data source for the gateway.

  1. Verrà creata una query dal servizio cloud, insieme alle credenziali crittografate per l'origine dati locale, che verrà quindi inviata alla coda di elaborazione nel gateway.A query will be created by the cloud service, along with the encrypted credentials for the on-premises data source, and sent to the queue for the gateway to process.
  2. Il servizio cloud gateway analizzerà la query e invierà la richiesta al bus di servizio di Azure.The gateway cloud service will analyze the query and will push the request to the Azure Service Bus.
  3. Il gateway dati locale esegue il polling delle richieste in sospeso sul bus di servizio di Azure.The on-premises data gateway polls the Azure Service Bus for pending requests.
  4. Il gateway riceve la query, decrittografa le credenziali e si connette all'origine o alle origini dati con tali credenziali.The gateway gets the query, decrypts the credentials and connects to the data source(s) with those credentials.
  5. Il gateway invia la query all'origine dati per l'esecuzione.The gateway sends the query to the data source for execution.
  6. I risultati vengono inviati dall'origine dati al gateway, quindi al servizio cloud.The results are sent from the data source, back to the gateway, and then onto the cloud service. Il servizio usa quindi i risultati.The service then uses the results.

Elenco di tipi di origini dati disponibiliList of available data source types

Origine datiData source Dinamico/DirectQueryLive/DirectQuery Aggiornamento pianificato o manuale configurato dall'utenteUser configured manual or scheduled refresh
Analysis Services in modalità tabulareAnalysis Services Tabular Yes Yes
Analysis Services in modalità multidimensionaleAnalysis Services Multidimensional Yes Yes
FileFile NoNo Yes
CartellaFolder NoNo Yes
IBM DB2IBM DB2 NoNo Yes
Database Informix IBMIBM Informix Database NoNo Yes
ImpalaImpala Yes Yes
MySQLMySQL NoNo Yes
ODataOData NoNo Yes
ODBCODBC NoNo Yes
OledbOledb NoNo Yes
OracleOracle Yes Yes
PostgresSQLPostgresSQL NoNo Yes
SAP BWSAP BW Yes Yes
SAP HANASAP HANA Yes Yes
Elenco di SharePoint (locale)SharePoint list (on-premises) NoNo Yes
SnowflakeSnowflake Yes Yes
SQL ServerSQL Server Yes Yes
SybaseSybase NoNo Yes
TeradataTeradata Yes Yes
WebWeb NoNo Yes

Account di accessoSign in account

Gli utenti eseguiranno l'accesso con un account aziendale o dell'istituto di istruzione.Users will sign in with either a work or school account. Questo è l'account aziendale.This is your organization account. Se è stata effettuata l'iscrizione per un'offerta di Office 365 senza specificare l'indirizzo di posta elettronica dell'ufficio, questo può apparire come nancy@contoso.onmicrosoft.com. All'interno di un servizio cloud, l'account viene archiviato in un tenant di Azure Active Directory (AAD).If you signed up for an Office 365 offering and didn’t supply your actual work email, it may look like nancy@contoso.onmicrosoft.com. Your account, within a cloud service, is stored within a tenant in Azure Active Directory (AAD). Nella maggior parte dei casi, l'UPN dell'account AAD corrisponderà all'indirizzo di posta elettronica.In most cases, your AAD account’s UPN will match the email address.

Autenticazione a origini dati localiAuthentication to on-premises data sources

Una credenziale archiviata verrà usata per connettersi a origini dati locali dal gateway ad eccezione di Analysis Services.A stored credential will be used to connect to on-premises data sources from the gateway except Analysis Services. Indipendentemente dal singolo utente, il gateway usa credenziali archiviate per connettersi.Regardless of the individual user, the gateway uses the stored credential to connect.

Autenticazione a un'origine dati Analysis Services liveAuthentication to a live Analysis Services data source

Ogni volta che un utente interagisce con Analysis Services, il nome utente effettivo viene passato al gateway e quindi al server di Analysis Services locale.Each time a user interacts with Analysis Services, the effective username is passed to the gateway and then onto your on-premises Analysis Services server. Il nome dell'entità utente (UPN), che in genere corrisponde all'indirizzo di posta elettronica con cui si accede al cloud, è l'informazione che viene passata ad Analysis Services come utente effettivo.The user principal name (UPN), typically the email address you sign into the cloud with, is what we will pass to Analysis Services as the effective user. L'UPN viene passato nella proprietà di connessione EffectiveUserName.The UPN is passed in the connection property EffectiveUserName. Questo indirizzo di posta elettronica deve corrispondere a un UPN definito all'interno del dominio di Active Directory locale.This email address should match a defined UPN within the local Active Directory domain. L'UPN è una proprietà di un account di Active Directory.The UPN is a property of an Active Directory account. Questo account di Windows deve quindi essere presente in un ruolo di Analysis Services per avere accesso al server.That Windows account then needs to be present in an Analysis Services role to have access to the server. Se non viene trovata alcuna corrispondenza in Active Directory, l'accesso non riesce.The login will not be successful if no match is found in Active Directory.

Analysis Services può anche fornire filtri basati su questo account.Analysis Services can also provide filtering based on this account. I filtri possono usare la sicurezza basata sui ruoli o la sicurezza a livello di riga.The filtering can occur with either role based security, or row-level security.

Sicurezza basata sui ruoliRole-based security

I modelli assicurano la sicurezza basata sui ruoli utente.Models provide security based on user roles. I ruoli vengono definiti per un particolare progetto di modello durante la creazione in SQL Server Data Tools – Business Intelligence (SSDT-BI) oppure dopo la distribuzione di un modello, usando SQL Server Management Studio (SSMS).Roles are defined for a particular model project during authoring in SQL Server Data Tools – Business Intelligence (SSDT-BI), or after a model is deployed, by using SQL Server Management Studio (SSMS). I ruoli contengono membri in base al nome utente o gruppo di Windows.Roles contain members by Windows username or by Windows group. I ruoli definiscono le autorizzazioni di un utente per eseguire una query o azioni sul modello.Roles define permissions a user has to query or perform actions on the model. La maggior parte degli utenti appartiene a un ruolo con autorizzazioni di lettura.Most users will belong to a role with Read permissions. Altri ruoli sono destinati agli amministratori con autorizzazioni di elaborazione degli elementi, gestione delle funzioni di database e di altri ruoli.Other roles are meant for administrators with permissions to process items, manage database functions, and manage other roles.

Sicurezza a livello di rigaRow-level security

La sicurezza a livello di riga è specifica per la sicurezza a livello di Analysis Services.Row-level security is specific to Analysis Services row-level security. I modelli possono fornire sicurezza dinamica a livello di riga.Models can provide dynamic, row-level security. Invece di avere almeno un ruolo a cui appartengono gli utenti, la sicurezza dinamica non è richiesta per alcun modello tabulare.Unlike having at least one role in which users belong to, dynamic security is not required for any tabular model. A un livello elevato, la sicurezza dinamica definisce l'accesso in lettura di un utente ai dati fino a una specifica riga di una determinata tabella.At a high-level, dynamic security defines a user’s read access to data right down to a particular row in a particular table. Analogamente ai ruoli, la sicurezza dinamica a livello di riga si basa su un nome utente Windows.Similar to roles, dynamic row-level security relies on a user’s Windows username.

La possibilità di un utente di eseguire query e visualizzare i dati del modello è prima di tutto determinata dai ruoli di cui è membro il rispettivo account utente di Windows e, in secondo luogo, dalla sicurezza dinamica a livello di riga, se configurata.A user’s ability to query and view model data are determined first by the roles their Windows user account are a member of and second, by dynamic row-level security, if configured.

L'implementazione della sicurezza basata sui ruoli e della sicurezza dinamica a livello di riga nei modelli esula dall'ambito di questo articolo.Implementing role and dynamic row-level security in models are beyond the scope of this article. Per altre informazioni, vedere Ruoli (SSAS tabulare) e Ruoli di sicurezza (Analysis Services - Dati multidimensionali) in MSDN.You can learn more at Roles (SSAS Tabular) and Security Roles (Analysis Services - Multidimensional Data) on MSDN. Inoltre, per una conoscenza più approfondita della sicurezza del modello tabulare, scaricare e leggere il white paper Protezione del modello semantico BI tabulare.And, for the most in-depth understanding of tabular model security, download and read the Securing the Tabular BI Semantic Model whitepaper.

Ruolo di Azure Active DirectoryWhat about Azure Active Directory?

I servizi cloud Microsoft usano Azure Active Directory per eseguire l'autenticazione degli utenti.Microsoft cloud services use Azure Active Directory to take care of authenticating users. Azure Active Directory è il tenant che contiene i nomi utente e i gruppi di sicurezza.Azure Active Directory is the tenant that contains usernames and security groups. In genere, un utente accede con lo stesso indirizzo di posta elettronica dell'UPN dell'account.Typically, the email address a user signs in with is the same as the UPN of the account.

Qual è il ruolo di Active Directory locale?What is my local Active Directory’s role?

Affinché il server di Analysis Services possa determinare se un utente a esso connesso appartiene a un ruolo con autorizzazioni di lettura dei dati, deve convertire il nome utente effettivo passato da AAD al gateway e quindi al server di Analysis Services.For Analysis Services to determine if a user connecting to it belongs to a role with permissions to read data, the server needs to convert the effective username passed from AAD to the gateway, and onto the Analysis Services server. Il server di Analysis Services passa il nome utente effettivo a un controller di dominio di Windows Active Directory.The Analysis Services server passes the effective username to a Windows Active Directory domain controller (DC). Il controller di dominio di Active Directory verifica quindi che il nome utente effettivo sia un UPN valido, su un account locale, e restituisce un nome utente di Windows al server Analysis Services.The Active Directory DC then validates the effective username is a valid UPN, on a local account, and returns that user’s Windows username back to the Analysis Services server.

EffectiveUserName non può essere usato in un server di Analysis Services non appartenente al dominio.EffectiveUserName cannot be used on a non-domain joined Analysis Services server. Per evitare errori di accesso, il server di Analysis Services locale deve appartenere a un dominio.The Analysis Services server must be joined to a domain to avoid any login errors.

Come si identifica l'UPN?How do I tell what my UPN is?

È possibile che l'utente non conosca l'UPN e non sia un amministratore di dominio.You may not know what your UPN is, and you may not be a domain administrator. È possibile usare il comando seguente dalla workstation per identificare l'UPN dell'account.You can use the following command from your workstation to find out the UPN for your account.

whoami /upn

Il risultato sarà simile a un indirizzo di posta elettronica, ma si tratta dell'UPN dell'account di dominio locale.The result will look similar to an email address, but this is the UPN that is on your local domain account. Se si usa un'origine dati di Analysis Services per connessioni dinamiche, questa deve corrispondere a ciò che è stato passato a EffectiveUserName dal gateway.If you are using an Analysis Services data source for live connections, this must match what was passed to EffectiveUserName from the gateway.

Mapping di nomi utente per le origini dati di Analysis ServicesMapping usernames for Analysis Services data sources

Power BI consente di eseguire il mapping di nomi utente per le origini dati di Analysis Services.Power BI allows for mapping usernames for Analysis Services data sources. È possibile configurare regole per eseguire il mapping di un nome utente che ha eseguito l'accesso a Power BI a un nome che viene passato per EffectiveUserName usando la connessione di Analysis Services.You can configure rules to map a username logged in with Power BI to a name that is passed for EffectiveUserName on the Analysis Services connection. La funzionalità di mapping dei nomi utente rappresenta un'ottima soluzione alternativa quando il nome utente in AAD non corrisponde a un UPN in Active Directory locale.The map user names feature is a great way to work around when your username in AAD doesn't match a UPN in your local Active Directory. Ad esempio, se l'indirizzo di posta elettronica è nancy@contoso.onmicrsoft.com, è possibile eseguirne il mapping a nancy@contoso.com e tale valore viene passato al gateway.For example, if your email address is nancy@contoso.onmicrsoft.com, you could map it to nancy@contoso.com, and that value would be passed to the gateway. Sono disponibili altre informazioni su come eseguire il mapping dei nomi utente.You can learn more about how to map user names.

Sincronizzare un server di Active Directory locale con Azure Active DirectorySynchronize an on-premises Active Directory with Azure Active Directory

È opportuno che gli account Active Directory locali corrispondano ad Azure Active Directory se si intende usare connessioni Analysis Services dinamiche,You would want your local Active Directory accounts to match Azure Active Directory if you are going to be using Analysis Services live connections. analogamente al modo in cui l'UPN deve corrispondere tra gli account.As the UPN has to match between the accounts.

I servizi cloud rilevano solo gli account in Azure Active Directory.The cloud services only know about accounts within Azure Active Directory. Anche se è stato aggiunto un account in Active Directory locale, se non esiste in AAD, non può essere usato.It doesn’t matter if you added an account in your local Active Directory, if it doesn’t exist in AAD, it cannot be used. Esistono diversi modi in cui è possibile associare gli account Active Directory locali con Azure Active Directory.There are different ways that you can match your local Active Directory accounts with Azure Active Directory.

  1. È possibile aggiungere manualmente account in Azure Active Directory.You can add accounts manually to Azure Active Directory.

    È possibile creare un account nel portale di Azure o nel portale di amministrazione di Office 365 e il nome dell'account corrisponde l'UPN dell'account Active Directory locale.You can create an account on the Azure portal, or within the Office 365 Admin Portal, and the account name matches the UPN of the local Active Directory account.

  2. È possibile usare lo strumento Azure AD Connect per sincronizzare gli account locali al tenant di Azure Active Directory.You can use the Azure AD Connect tool to synchronize local accounts to your Azure Active Directory tenant.

    Lo strumento Azure AD Connect offre opzioni per la sincronizzazione della directory e della password.The Azure AD Connect tool provides options for directory and password synchronization. Se non si è un amministratore tenant o un amministratore di dominio locale, è necessario contattare l'amministratore IT per ottenere questa configurazione.If you are not a tenant admin or a local domain administrator, you will need to contact your IT admin to get this configured.

  3. È possibile configurare Active Directory Federation Services (ADFS).You can configure Active Directory Federation Services (ADFS).

    È possibile associare il server ADFS al tenant AAD con lo strumento Azure AD Connect.You can associate your ADFS server to your AAD tenant with the Azure AD Connect tool. ADFS usa la sincronizzazione della directory descritta in precedenza, ma consente il Single Sign-On (SSO).ADFS makes use of the directory synchronization discussed above but allows for a single sign-on (SSO) experience. Ad esempio, se si è all'interno della rete aziendale, durante l'uso di un servizio cloud e passare all'accesso, potrebbe non essere richiesto di immettere un nome utente o password.For example, if you are within your work network, when you to a cloud service, and go to sign in, you may not be prompted to enter a username or password. È necessario rivolgersi all'amministratore IT per sapere se questa opzione è disponibile per l'organizzazione.You will need to discuss with your IT Admin if this is available for your organization.

L'uso di Azure AD Connect garantisce la corrispondenza tra l'UPN e AAD e Active Directory locale.Using Azure AD Connect ensures that the UPN will match between AAD and your local Active Directory.

Nota

La sincronizzazione degli account con lo strumento Azure AD Connect creerà nuovi account nel tenant di AAD.Synchronizing accounts with the Azure AD Connect tool will create new accounts within your AAD tenant.

A questo punto, è possibile usare il gatewayNow, this is where the gateway comes in

Il gateway funge da ponte tra il cloud e il server locale.The gateway acts as a bridge between the cloud and your on-premises server. Il trasferimento dei dati tra il cloud e il gateway viene protetto con il bus di servizio di Azure.Data transfer between the cloud and the gateway is secured through Azure Service Bus. Il bus di servizio crea un canale sicuro tra il cloud e il server locale attraverso una connessione in uscita sul gateway.The Service Bus creates a secure channel between the cloud and your on-premises server through an outbound connection on the gateway. Non sono presenti connessioni in ingresso che è necessario aprire nel firewall locale.There are no inbound connections that you need to open on your on-premises firewall.

Se si dispone di un'origine dati di Analysis Services, è necessario installare il gateway in un computer appartenente allo stesso insieme di strutture o dominio del server Analysis Services.If you have an Analysis Services data source, you’ll need to install the gateway on a computer joined to the same forest/domain as your Analysis Services server.

Quanto più il gateway è vicino al server, tanto più veloce sarà la connessione.The closer the gateway is to the server, the faster the connection will be. È preferibile che il gateway si trovi nello stesso server dell’origine dati, per evitare la latenza di rete tra il gateway e il server.If you can get the gateway on the same server as the data source, that is best to avoid network latency between the gateway and the server.

Azioni successiveWhat to do next?

Dopo averlo installato, è consigliabile creare origini dati per il gateway.After you get the gateway installed, you will want to create data sources for that gateway. È possibile aggiungere origini dati all'interno della schermata Gestisci gateway.You can add data sources within the Manage gateways screen. Per altre informazioni vedere gli articoli sulla gestione delle origini dati.For more information, see the manage data sources articles.

Gestire l'origine dati - Analysis ServicesManage your data source - Analysis Services
Gestire l'origine dati - SAP HANAManage your data source - SAP HANA
Gestire l'origine dati - SQL ServerManage your data source - SQL Server
Gestire l'origine dati - OracleManage your data source - Oracle
Gestire l'origine dati - Importazione/aggiornamento pianificatoManage your data source - Import/Scheduled refresh

Possibili esiti negativiWhere things can go wrong

In alcuni casi l'installazione del gateway non riesce.Sometimes installing the gateway fails. In altri casi, il gateway sembra essere installato correttamente, ma il servizio non riesce comunque a usarlo.Or, maybe the gateway seems to install ok, but the service is still unable to work with it. In molti casi, si tratta di un problema semplice, ad esempio la password per le credenziali che il gateway usa per accedere all'origine dati.In many cases, it’s something simple, like the password for the credentials the gateway uses to sign into the data source.

In altri casi, potrebbero esserci problemi con il tipo di indirizzo di posta elettronica con cui gli utenti eseguono l'accesso oppure con l'impossibilità di risolvere un nome utente effettivo in Analysis Services.In other cases, there might be issues with the type of e-mail address users sign in with, or Analysis Services’ inability to resolve an effective username. Se si hanno più domini con trust reciproci e il gateway si trova in uno di essi e Analysis Services nell'altro, in alcuni casi potrebbero verificarsi dei problemi.If you have multiple domains with trusts between them, and your gateway is in one and Analysis Services in another, this sometimes can cause some problems.

Invece di analizzare la risoluzione dei problemi del gateway in questo articolo, è stata inclusa una serie di passaggi di risoluzione dei problemi in un altro articolo, Risoluzione dei problemi del gateway dati locale.Rather than go into troubleshooting gateway issues here, we’ve put a series of troubleshooting steps into another article; Troubleshooting the on-premises data gateway. Probabilmente non si verificherà alcun problema,Hopefully, you won’t have any problems. ma in tal caso, la conoscenza del funzionamento generale e l'articolo sulla risoluzione dei problemi dovrebbero essere d'aiuto.But if you do, understanding how all of this works and the troubleshooting article should help.

Account di accessoSign in account

Gli utenti eseguiranno l'accesso con un account aziendale o dell'istituto di istruzione.Users will sign in with either a work or school account. Questo è l'account aziendale.This is your organization account. Se è stata effettuata l'iscrizione per un'offerta di Office 365 senza specificare l'indirizzo di posta elettronica dell'ufficio, questo può apparire come nancy@contoso.onmicrosoft.com. All'interno di un servizio cloud, l'account viene archiviato in un tenant di Azure Active Directory (AAD).If you signed up for an Office 365 offering and didn’t supply your actual work email, it may look like nancy@contoso.onmicrosoft.com. Your account, within a cloud service, is stored within a tenant in Azure Active Directory (AAD). Nella maggior parte dei casi, l'UPN dell'account AAD corrisponderà all'indirizzo di posta elettronica.In most cases, your AAD account’s UPN will match the email address.

Account del Servizio di WindowsWindows Service account

Il gateway dati locale è configurato in modo da usare NT SERVICE\PBIEgwService per il servizio Windows di Registro credenziali.The on-premises data gateway is configured to use NT SERVICE\PBIEgwService for the Windows service logon credential. Per impostazione predefinita, ha il diritto Accedi come servizioBy default, it has the right of Log on as a service. a seconda del contesto del computer su cui si sta installando il gateway.This is in the context of the machine that you are installing the gateway on.

Nota

Se è stata selezionata la modalità personale, configurare separatamente l'account del servizio di Windows.If you selected personal mode, you configure the Windows service account separately.

Questo non è l'account usato per connettersi alle origini dati locali.This is not the account used to connect to on-premises data sources. Non si tratta neanche dell'account aziendale o dell'istituto di istruzione con cui si accede ai servizi cloud.This is also not your work or school account that you sign into cloud services with.

Se si verificano problemi di autenticazione con il server proxy, è possibile modificare l'account del servizio Windows in un account utente di dominio o in un account del servizio gestito.If you encounter issues with your proxy server, due to authentication, you may want to change the Windows service account to a domain user or managed service account. Per informazioni su come modificare l'account, vedere la configurazione proxy.You can learn how to change the account in proxy configuration.

PortePorts

Il gateway crea una connessione in uscita al Bus di servizio di Azure.The gateway creates an outbound connection to Azure Service Bus. Esso comunica su porte in uscita: TCP 443 (predefinita), 5671, 5672, 9350 a 9354.It communicates on outbound ports: TCP 443 (default), 5671, 5672, 9350 thru 9354. Il gateway non richiede porte in entrata.The gateway does not require inbound ports. Altre informazioniLearn more

È consigliabile aggiungere all'elenco elementi consentiti nel firewall gli indirizzi IP per l'area dati.It is recommended that you whitelist the IP addresses, for your data region, in your firewall. È possibile scaricare l'elenco di IP del data center di Microsoft Azure.You can download the Microsoft Azure Datacenter IP list. Questo elenco viene aggiornato ogni settimana.This list is updated weekly. Il gateway comunicherà con un Bus di servizio di Azure usando l'indirizzo IP insieme al nome di dominio completo (FQDN).The gateway will communicate with Azure Service Bus using the IP address along with the fully qualified domain name (FQDN). Se si impone al gateway di comunicare tramite HTTPS, verrà usato esclusivamente il nome di dominio completo e non avrà luogo alcuna comunicazione usando gli indirizzi IP.If you are forcing the gateway to communicate using HTTPS it will strictly use FQDN only, and no communication will happen using IP addresses.

Nota

Gli indirizzi IP elencati nell'elenco di IP del data center di Azure sono in notazione CIDR.The IP Addresses listed in the Azure Datacenter IP list are in CIDR notation. Ad esempio, 10.0.0.0/24 non significa da 10.0.0.0 a 10.0.0.24.For example, 10.0.0.0/24 does not mean 10.0.0.0 thru 10.0.0.24. Altre informazioni sulla notazione CIDR.Learn more about the CIDR notation.

Di seguito è riportato un elenco dei nomi di dominio completi usati dal gateway.Here is a listing of the fully qualified domain names used by the gateway.

Nomi di dominioDomain names Porte in uscitaOutbound ports DescrizioneDescription
*.download.microsoft.com*.download.microsoft.com 8080 Protocollo HTTP usato per scaricare il programma di installazione.HTTP used to download the installer.
*.powerbi.com*.powerbi.com 443443 HTTPSHTTPS
*.analysis.windows.net*.analysis.windows.net 443443 HTTPSHTTPS
*.login.windows.net*.login.windows.net 443443 HTTPSHTTPS
*.servicebus.windows.net*.servicebus.windows.net 5671-56725671-5672 Advanced Message Queuing Protocol (AMQP)Advanced Message Queuing Protocol (AMQP)
*.servicebus.windows.net*.servicebus.windows.net 443, 9350-9354443, 9350-9354 Listener in Inoltro del bus di servizio su TCP (è richiesta la porta 443 per l'acquisizione del token di Controllo di accesso)Listeners on Service Bus Relay over TCP (requires 443 for Access Control token acquisition)
*.frontend.clouddatahub.net*.frontend.clouddatahub.net 443443 HTTPSHTTPS
*.core.windows.net*.core.windows.net 443443 HTTPSHTTPS
login.microsoftonline.comlogin.microsoftonline.com 443443 HTTPSHTTPS
*.msftncsi.com*.msftncsi.com 443443 Usato per testare la connettività a internet se il gateway non è raggiungibile dal servizio Power BI.Used to test internet connectivity if the gateway is unreachable by the Power BI service.
*.microsoftonline-p.com*.microsoftonline-p.com 443443 Usato per l'autenticazione a seconda della configurazione.Used for authentication depending on configuration.

Nota

Il traffico destinato a visualstudio.com o a visualstudioonline.com riguarda le informazioni dettagliate sull'app e non è richiesto per il funzionamento del gateway.Traffic going to visualstudio.com or visualstudioonline.com are for app insights and are not required for the gateway to function.

Forzare la comunicazione HTTPS con il bus di servizio di AzureForcing HTTPS communication with Azure Service Bus

È possibile forzare il gateway per comunicare con il bus di servizio di Azure usando HTTPS anziché il TCP diretto.You can force the gateway to communicate with Azure Service Bus using HTTPS instead of direct TCP. Ciò può avere un impatto sulle prestazioni.This may have an impact on performance. A questo scopo, modificare il file Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll.config cambiando il valore da AutoDetect a Https, come mostrato nel frammento di codice riportato subito dopo questo paragrafo.To do so, modify the Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll.config file by changing the value from AutoDetect to Https, as shown in the code snippet directly following this paragraph. Per impostazione predefinita, il file si trova in C:\Programmi\Gateway dati locale.That file is located (by default) at C:\Program Files\On-premises data gateway.

<setting name="ServiceBusSystemConnectivityModeString" serializeAs="String">
    <value>Https</value>
</setting>

Il valore del parametro ServiceBusSystemConnectivityModeString rispetta la distinzione tra maiuscole e minuscole.The value for the ServiceBusSystemConnectivityModeString parameter is case sensitive. I valori validi sono AutoDetect e Https.Valid values are AutoDetect and Https.

In alternativa, è possibile imporre al gateway di adottare questo comportamento usando l'interfaccia utente del gateway, a partire dalla versione di marzo 2017.Alternatively, you can force the gateway to adopt this behavior using the gateway user interface, beginning with the March 2017 release. Nell'interfaccia utente del gateway selezionare Rete, quindi impostare Modalità di connettività del bus di servizio di Azure su Attiva.In the gateway user interface select Network, then toggle the Azure Service Bus connectivity mode to On.

Una volta modificato, quando si seleziona Applica (un pulsante che viene visualizzato solo quando si apporta una modifica), il gateway del servizio Windows viene riavviato automaticamente, in modo che le modifiche abbiano effetto.Once changed, when you select Apply (a button that only appears when you make a change), the gateway Windows service restarts automatically, so the change can take effect.

Per riferimento futuro, è possibile riavviare il servizio Windows del gateway nella finestra di dialogo dell'interfaccia utente, selezionando Impostazioni servizio e quindi Riavvia adesso.For future reference, you can restart the gateway Windows service from the user interface dialog by selecting Service Settings then select Restart Now.

Supporto per TLS 1.1/1.2Support for TLS 1.1/1.2

A partire dall'aggiornamento di agosto 2017 e versioni successive, per impostazione predefinita il gateway dati locale usa il protocollo TLS (Transport Layer Security) 1.1 o 1.2 per comunicare con il servizio Power BI.With the August 2017 update and beyond, the on-premises data gateway uses Transport Layer Security (TLS) 1.1 or 1.2 to communicate with the Power BI service by default. Le versioni precedenti del gateway dati locale usano TLS 1.0 per impostazione predefinita.Previous versions of the on-premises data gateway use TLS 1.0 by default. A partire dal 15 marzo 2018 il supporto per TLS 1.0 terminerà e il gateway non potrà più interagire con il servizio Power BI tramite TLS 1.0. Entro tale data è necessario aggiornare le installazioni del gateway dati locale alla versione di agosto 2017 o a una versione più recente, per garantire che i gateway continuino a funzionare correttamente.On March 15th 2018, support for TLS 1.0 will end, including the gateway's ability to interact with the Power BI service using TLS 1.0, so by then you must upgrade your on-premises data gateway installations to the August 2017 release or newer to ensure your gateways continue to operate.

È importante notare che TLS 1.0 è ancora supportato dal gateway dati locale prima dell'1 novembre e viene usato dal gateway come meccanismo di fallback.It's important to note that TLS 1.0 is still supported by the on-premises data gateway prior to November 1st, and is used by the gateway as a fallback mechanism. Per assicurare che tutto il traffico del gateway usi TLS 1.1 o 1.2 e per evitare l'uso di TLS 1.0 nel gateway, è necessario aggiungere o modificare le chiavi del Registro di sistema seguenti nel computer che esegue il servizio gateway:To ensure all gateway traffic uses TLS 1.1 or 1.2 (and to prevent the use of TLS 1.0 on your gateway), you must add or modify the following registry keys on the machine running the gateway service:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001

Nota

L'aggiunta o la modifica di queste chiavi del Registro di sistema viene applicata a tutte le applicazioni .NET.Adding or modifying these registry keys applies the change to all .NET applications. Per informazioni sulle modifiche del Registro di sistema che influiscono su TLS per altre applicazioni, vedere Impostazioni del Registro di sistema per TLS (Transport Layer Security).For information about registry changes that affect TLS for other applications, see Transport Layer Security (TLS) registry settings.

Come riavviare il gatewayHow to restart the gateway

Il gateway viene eseguito come servizio di Windows.The gateway runs as a windows service. È possibile avviarlo e arrestarlo come qualsiasi servizio di Windows.You can start and stop it like any windows service. A questo scopo è possibile procedere in diversi modi.There are multiple ways to do this. Ecco come farlo dal prompt dei comandi.Here is how you can do it from the command prompt.

  1. Sul computer in cui è in esecuzione il gateway, avviare un prompt dei comandi come amministratore.On the machine where the gateway is running, launch an admin command prompt.
  2. Usare il comando seguente per arrestare il servizio.Use the following command to stop the service.

    net stop PBIEgwServicenet stop PBIEgwService

  3. Usare il comando seguente per avviare il servizio.Use the following command to start the service.

    net start PBIEgwServicenet start PBIEgwService

Passaggi successiviNext steps

Risoluzione dei problemi del gateway dati localeTroubleshooting the on-premises data gateway
Bus di servizio di AzureAzure Service Bus
Azure AD ConnectAzure AD Connect
Altre domande?More questions? Provare la community di Power BITry the Power BI Community