Настройка http-доступа к службам Analysis Services в IIS 8.0

  • Статья

Применимо к: SQL Server Analysis Services Azure Analysis Services Fabric/Power BI Premium

В этой статье объясняется, как настроить конечную точку HTTP для доступа к экземпляру служб Analysis Services. Доступ по протоколу HTTP к службам Analysis Services можно включить путем настройки MSMDPUMP.dll — расширения ISAPI, которое работает на сервере IIS и переносит данные между клиентским приложением и сервером служб Analysis Services. Такой подход предоставляет альтернативные способы подключения к службам Analysis Services, если применяемое решение бизнес-аналитики требует получения следующих возможностей.

  • Доступ клиентов осуществляется по Интернету или экстрасети, с учетом ограничений на то, какие порты могут быть включены.

  • Клиентские запросы на установление соединений поступают из не заслуживающих доверия доменов, находящихся в той же сети.

  • Клиентское приложение работает в сетевой среде, где разрешены соединения HTTP, но не разрешены соединения TCP/IP.

  • Клиентские приложения не могут использовать клиентские библиотеки служб Analysis Services (в качестве примера можно указать приложение Java, работающее на сервере UNIX). Если нет возможности использовать для доступа к данным клиентские библиотеки служб Analysis Services, то можно использовать для доступа SOAP и XML/A по прямому HTTP-соединению с экземпляром служб Analysis Services.

  • Требуются методы проверки подлинности, отличные от встроенной безопасности Windows. В частности, при настройке служб Analysis Services для доступа по протоколу HTTP можно использовать анонимные соединения и обычную проверку подлинности. Проверка подлинности с помощью дайджестов, форм и ASP.NET не поддерживается. Требование для обычной проверки подлинности является одной из основных причин для включения доступа по протоколу HTTP. Подробнее см. в разделе Проверка подлинности для бизнес-аналитики Майкрософт и делегирование удостоверений.

Примечание

Клиентские библиотеки, необходимые клиентским приложениям, не могут подключаться к службам Analysis Services через прокси-серверы, которым требуются имя пользователя и пароль.

Доступ по протоколу HTTP можно настроить для любой поддерживаемой версии или выпуска служб Analysis Services, работающих в табличном или многомерном режиме. Исключением являются локальные кубы. Установить подключение к локальному кубу через конечную точку HTTP нельзя.

Настройка доступа по протоколу HTTP является задачей, выполняемой после установки. Сначала необходимо установить службы Analysis Services, а затем их можно настроить для доступа по протоколу HTTP. Администратор служб Analysis Services должен предоставить разрешения учетным записям Windows перед активацией доступа по протоколу HTTP. Кроме того, сначала рекомендуется проверить установку, чтобы убедиться в ее полной функциональности, и только после этого выполнять дальнейшие действия по настройке сервера. После настройки доступа по протоколу HTTP можно использовать и конечную точку HTTP, и обычное сетевое имя сервера по протоколу TCP/IP. Настройка доступа по протоколу HTTP не отменяет других способов доступа к данным.

Выполняя дальнейшую настройку MSMDPUMP, необходимо принять во внимание наличие двух типов подключения: подключение клиента к службам IIS и подключение служб IIS к службам SSAS. Приведенные в данной статье инструкции относятся к подключению служб IIS к SSAS. Перед подключением к серверу IIS может потребоваться дополнительная настройка клиентского приложения. Вопросы о том, почему следует использовать протокол SSL и как настроить привязки, выходят за рамки данной статьи. Подробнее о службах IIS см. в разделе Веб-сервер (IIS) .

Общие сведения

MSMDPUMP является расширением ISAPI, которое загружается в службы IIS и обеспечивает перенаправление на локальный или удаленный экземпляр служб Analysis Services. В процессе настройки данного расширения ISAPI создается конечная точка HTTP для экземпляра служб Analysis Services.

Для каждой конечной точки HTTP необходимо создать и настроить по одному виртуальному каталогу. Для каждой конечной точки потребуется собственный набор файлов MSMDPUMP, для каждого экземпляра служб Analysis Services, соединение с которым требуется обеспечить. В файле конфигурации из этого набора файлов задается имя экземпляра служб Analysis Services, используемого для каждой конечной точки HTTP.

При работе с сервером IIS MSMDPUMP обеспечивает подключение к службам Analysis Services с помощью поставщика OLE DB служб Analysis Services по протоколу TCP/IP. Хотя клиентские запросы могут исходить и не от надежных доменов, для успешного выполнения собственного соединения службы Analysis Services и IIS должны находиться в одном и том же домене или в надежных доменах.

Когда MSMDPUMP подключается к службам Analysis Services, используется идентификатор пользователя Windows. Эта учетная запись должна быть либо анонимной учетной записью (если выполнена настройка виртуального каталога для анонимных соединений), либо учетной записью пользователя Windows. Эта учетная запись должна иметь соответствующие права доступа к данным на сервере и в базе данных служб Analysis Services.

Схема, показывающая подключения между компонентами

В следующей таблице приведены дополнительные соображения, касающиеся разрешения доступа по протоколу HTTP в различных сценариях.

Сценарий Конфигурация
Размещение служб IIS и Analysis Services на одном и том же компьютере Это простейший вариант настройки конфигурации, поскольку позволяет использовать конфигурацию по умолчанию (где именем сервера является localhost), локальный поставщик OLE DB служб Analysis Services и встроенную безопасность Windows с NTLM. При условии, что клиент находится в том же домене, проверка подлинности становится прозрачной для пользователя, без каких-либо дополнительных действий с вашей стороны.
Размещение служб IIS и Analysis Services на разных компьютерах Для реализации этой топологии необходимо установить поставщик OLE DB для служб Analysis Services на веб-сервере. Необходимо также изменить файл msmdpump.ini, чтобы указать местоположение экземпляра служб Analysis Services на удаленном компьютере.

В этой топологии происходит добавление шага проверки подлинности в виде двойного транзитного перехода, при котором учетные данные должны передаваться от клиента к веб-серверу, а затем к внутреннему серверу служб Analysis Services. При использовании учетных данных Windows и NTLM возвращается ошибка, поскольку NTLM не допускает делегирования учетных данных клиента второму серверу. Чаще всего используемое решение заключается в использовании обычной проверки подлинности по протоколу SSL, но для этого при доступе к виртуальному каталогу MSMDPUMP пользователь должен указывать имя пользователя и пароль. Более простой подход может состоять во включении протокола Kerberos и настройке ограниченного делегирования служб Analysis Services, чтобы пользователи могли получать прозрачный доступ к службам Analysis Services. Дополнительные сведения см. в разделе Configure Analysis Services for Kerberos constrained delegation .

Обдумайте, какие порты следует разблокировать в брандмауэре Windows. Необходимо открыть порты на обоих серверах, чтобы разрешить доступ к веб-приложению на сервере IIS, а также доступ к службам Analysis Services на удаленном сервере.
Клиентские соединения осуществляются из недоверенных доменов или из соединений экстрасети. Клиентские соединения из недоверенных доменов влекут дополнительные ограничения на процесс проверки подлинности. По умолчанию в службах Analysis Services используется встроенная проверка подлинности Windows, которая требует, чтобы пользователи находились в том же домене, что и сервер. Если имеются пользователи экстрасети, подключающиеся к серверу IIS из-за пределов домена, то при настройке сервера с параметрами по умолчанию для таких пользователей будет выводиться сообщение об ошибке.

В качестве обходного пути решения проблемы можно настроить подключение пользователей из экстрасети по виртуальной частной сети (VPN) с использованием учетных данных домена. Однако лучшим вариантом может быть включение обычной проверки подлинности и SSL на веб-сайте служб IIS.

Предварительные требования

В инструкциях данной статьи предполагается, что службы IIS уже настроены, а службы Analysis Services уже установлены. Windows Server 2012 поставляется с IIS 8.x в виде роли сервера, которую можно включить в системе.

Дополнительная настройка в IIS 8.0

В конфигурациях по умолчанию служб IIS 8.0 отсутствуют компоненты, необходимые для доступа к службам Analysis Services по протоколу HTTP. В число таких компонентов, которые находятся в областях компонентов Безопасность и Разработка приложений роли Веб-сервер (IIS) , входят следующие.

  • Безопасности | Проверка подлинности Windows или обычная проверка подлинности, а также любые другие функции безопасности, необходимые для вашего сценария доступа к данным.

  • Разработка приложений | CGI

  • Разработка приложений | Расширения ISAPI

Чтобы проверить или добавить эти компоненты, используйте диспетчер сервера | Управление добавлением | ролей и компонентов. Выполните все шаги мастера, пока не дойдете до страницы Роли сервера. Прокрутите вниз, чтобы найти пункт Веб-сервер (IIS).

  1. Откройте безопасность веб-сервера | и выберите методы проверки подлинности.

  2. Откройтераздел Разработка приложенийвеб-сервера | и выберите расширения CGI и ISAPI.

    Функции ISAPI и CGI в роли веб-сервера

Если службы IIS запущены на удаленном сервере

Для удаленного подключения между службами IIS и Analysis Services необходимо установить поставщик OLE DB служб Analysis Services (MSOLAP) на сервере Windows, где запущены службы IIS.

  1. Перейдите на страницу загрузки пакета дополнительных компонентов SQL Server 2014

  2. Щелкните красную кнопку "Скачать".

  3. Прокрутите вниз, чтобы найти ENU\x64\SQL_AS_OLEDB.msi

  4. Выполните инструкции мастера, чтобы завершить установку.

Примечание

Не забудьте разблокировать порты в брандмауэре Windows, чтобы он разрешал клиентские подключения к удаленному серверу служб Analysis Services. Дополнительные сведения см. в статье Configure the Windows Firewall to Allow Analysis Services Access.

Шаг 1. Копирование файлов MSMDPUMP в папку на веб-сервере

Каждая создаваемая конечная точка HTTP должна иметь собственный набор файлов MSMDPUMP. На этом этапе необходимо скопировать исполняемый файл MSMDPUMP, файл конфигурации и папку ресурсов из папок программ служб Analysis Services в новую папку виртуального каталога. Эта папка будет создана в файловой системе компьютера, на котором выполняется служба IIS.

Диск должен быть отформатирован для работы с файловой системой NTFS. Путь к создаваемой папке не должен содержать пробелов.

  1. Скопируйте следующие файлы, найденные по адресу <drive>:\Program Files\Microsoft SQL Server\<instance>\OLAP\bin\isapi: MSMDPUMP.DLL, MSMDPUMP.INI и папку Resources.

    Структура папок файлов MSMDPUMP

  2. На веб-сервере создайте папку drive<>:\inetpub\wwwroot\OLAP.

  3. Вставьте ранее скопированные файлы в эту новую папку.

  4. Проверьте, чтобы в папке \inetpub\wwwroot\OLAP на веб-сервере содержалось следующее: файлы MSMDPUMP.DLL, MSMDPUMP.INI и папка Resources. Структура папки должна быть такой:

    • <drive>:\inetpub\wwwroot\OLAP\MSMDPUMP.dll

    • <drive>:\inetpub\wwwroot\OLAP\MSMDPUMP.ini

    • <drive>:\inetpub\wwwroot\OLAP\Resources

Примечание

Диспетчер IIS может не подключиться к службам Analysis Services в текущей версии, если база данных является резервной копией предыдущей версии. Это вызвано изменениями в MSMDPUMP и должно быть решено путем копирования файла msmdpump.dll из предыдущей рабочей версии.

Шаг 2. Создание пула приложений и виртуального каталога на сервере IIS

Затем создайте пул приложений и конечную точку для средства переноса.

Создание пула приложений

  1. Запустите диспетчер IIS.

  2. Откройте папку сервера, щелкните правой кнопкой мыши Пулы приложений и выберите пункт Добавить пул приложений. Используя .NET Framework, создайте пул приложений с именем OLAP, а для управляемого конвейера установите режим Классический.

    Снимок экрана: диалоговое окно добавления пула приложений

  3. По умолчанию службы IIS создают пулы приложений с использованием ApplicationPoolIdentity в качестве удостоверения безопасности, которое является допустимым выбором для доступа к службам Analysis Services по протоколу HTTP. Если вам по какой-либо причине нужно изменить удостоверение, щелкните правой кнопкой мыши OLAPи выберите пункт Дополнительные параметры. Выберите ApplicationPoolIdentity. Нажмите кнопку Изменить , относящуюся к этому свойству, чтобы заменить встроенную учетную запись пользовательской учетной записью, которая будет использоваться.

    Снимок экрана: страница свойств "

  4. По умолчанию в 64-разрядной версии операционной системы служба IIS присваивает свойству Разрешить 32-разрядные приложения значение false. Если файл msmdpump.dll скопирован из 64-разрядной установки служб Analysis Services, то настройка модуля MSMDPUMP на 64-разрядном сервере IIS уже выполнена правильно. Если двоичные файлы MSMDPUMP скопированы из 32-разрядной установки, присвойте этому параметру значение true. Проверьте это свойство в разделе Дополнительные параметры , чтобы убедиться, что оно задано правильно.

Создание приложения

  1. В диспетчере IIS откройте Сайты, а затем откройте Веб-сайт по умолчанию. Должна появиться папка с именем Olap. Это ссылка на папку OLAP, созданную в каталоге \inetpub\wwwroot.

    Папка OLAP перед преобразованием в папку

  2. Щелкните правой кнопкой мыши папку и выберите пункт Преобразовать в приложение.

  3. В окне "Добавление приложения" введите OLAP для псевдонима. Щелкните Выбрать , чтобы выбрать пул приложений OLAP. Физический путь должен иметь значение C:\inetpub\wwwroot\OLAP

    Параметры преобразования приложения

  4. Нажмите кнопку ОК. Обновите веб-сайт и обратите внимание, что теперь папка OLAP является приложением на веб-сайте по умолчанию. Виртуальный путь к файлу MSMDPUMP установлен.

    Папка OLAP после преобразования в папку

Примечание

В предыдущие версии этих инструкций входили действия по созданию виртуального каталога. Теперь они не требуются.

Шаг 3. Настройка аутентификации IIS и добавление расширения

В этом шаге продолжается настройка только что созданного виртуального каталога SSAS. Должен быть указан метод проверки подлинности, а затем добавлена схема скриптов. Поддерживаемые методы проверки подлинности для доступа к службам Analysis Services по протоколу HTTP:

  • Проверка подлинности Windows (Kerberos или NTLM)

  • Обычная проверка подлинности

  • анонимная аутентификация;

Проверка подлинности Windows считается наиболее безопасной и предусматривает применение существующей инфраструктуры для сетей, в которых используется Active Directory. Чтобы проверка подлинности Windows использовалась эффективно, ее должны поддерживать все браузеры, клиентские и серверные приложения. Это — наиболее безопасный режим, который рекомендуется использовать. Но для этого серверу IIS требуется доступ к контроллеру домена Windows, который может проверить подлинность идентификатора пользователя, запрашивающего подключение.

В таких топологиях, которые предусматривают размещение служб Analysis Services и IIS на разных компьютерах, приходится решать проблемы двойного транзитного перехода, которые возникают в связи с необходимостью делегировать проверку учетных данных пользователя второй службе на удаленном компьютере, как правило, путем включения служб Analysis Services для ограниченного делегирования Kerberos. Дополнительные сведения см. в разделе Configure Analysis Services for Kerberos constrained delegation.

Обычная проверка подлинности используется при наличии идентификаторов Windows, но пользовательские запросы на подключение поступают из недоверенных доменов, что не позволяет устанавливать делегированные или олицетворяемые подключения. Обычная проверка подлинности позволяет указать учетные данные пользователя и пароль в строке подключения. Для подключения к службам Analysis Services вместо контекста безопасности текущего пользователя применяются учетные данные из строки подключения. Службы Analysis Services поддерживают только проверку подлинности Windows, поэтому любые передаваемые им учетные данные должны представлять пользователя (или группу) Windows, который является членом домена, где размещены службы Analysis Services.

Анонимная проверка подлинности часто используется во время начального тестирования, поскольку при этом настройка является несложной и это позволяет быстро проверить возможность подключения к службам Analysis Services по протоколу HTTP. С помощью всего лишь нескольких шагов можно назначить уникальную учетную запись пользователя в качестве идентификатора, предоставить этой учетной записи разрешения в службах Analysis Services, воспользоваться учетной записью для проверки возможности доступа к данным в клиентском приложении, а затем отключить анонимную проверку подлинности по завершении тестирования.

Анонимную проверку подлинности можно также использовать в рабочей среде, если у пользователей нет учетных записей Windows, но они следуют рекомендациям (блокируют распространение разрешений на хост-систему), приведенным в статье Включение анонимной проверки подлинности (IIS 7). Проверка подлинности должна задаваться применительно к виртуальному каталогу, а не к родительскому веб-сайту, что позволяет дополнительно понизить уровень доступа учетной записи.

Если включена анонимная проверка подлинности, то любое пользовательское соединение с конечной точкой HTTP получает разрешение на подключение в качестве анонимного пользователя. Вы не сможете выполнять аудит отдельных подключений пользователей и использовать удостоверение пользователя для выбора данных из модели. Вполне очевидно, что применение анонимной проверки подлинности затрагивает все, начиная от проектирования модели и заканчивая обновлением данных и доступом к ним. Но если пользователи не имеют имен входа пользователей Windows, с которых можно было бы начать, то единственным вариантом становится применение анонимной учетной записи.

Задание типа проверки подлинности и добавление сопоставления скриптов

  1. В диспетчере служб IIS откройте Веб-сайты, откройте Веб-сайт по умолчаниюи выберите виртуальный каталог OLAP .

  2. Дважды щелкните элемент Проверка подлинности в разделе IIS на главной странице.

    Снимок экрана: страница main диспетчера IIS

  3. Если используется встроенная безопасность Windows, выберите пункт Проверка подлинности Windows .

    Снимок экрана: параметры проверки подлинности Vdir

  4. Или включите обычную проверку подлинности , если клиентские и серверные приложения находятся в разных доменах. В этом режиме пользователь должен вводить имя пользователя и пароль. Имя пользователя и пароль передаются через HTTP-соединение в службы IIS. При подключении к MSMDPUMP в службах IIS предпринимается попытка олицетворения пользователя с применением предоставленных учетных данных, но эти учетные данные не будут делегированы в службы Analysis Services. Вместо этого необходимо передать через подключение допустимое имя пользователя и пароль, как описано в шаге 6 этого документа.

    Важно!

    Следует учитывать, что при построении системы, в которой пароль передается по каналу связи, необходимо предусмотреть способ защиты этого канала. Службы IIS предоставляют набор средств, помогающих защитить канал. Дополнительные сведения см. в статье Настройка SSL в IIS 7.

  5. Отключите анонимную проверку подлинности , если используется проверка подлинности Windows или обычная проверка подлинности. Если включена анонимная проверка подлинности, в службах IIS она всегда используется в первую очередь, даже если включены другие методы проверки подлинности.

    При анонимной проверке подлинности средство ввода-вывода (msmdpump.dll) работает в качестве учетной записи пользователя, установленной для анонимного пользователя. Нет никакого различия между пользователем, подключающимся к службам IIS, и пользователем, подключающимся к службам Analysis Services. По умолчанию в службах IIS используется учетная запись IUSR, но можно сменить ее на учетную запись пользователя домена, которая имеет разрешения в сети. Эта возможность понадобится, если службы IIS и службы Analysis Services находятся на разных компьютерах.

    Инструкции по настройке учетных данных для анонимной проверки подлинности см. в разделе Анонимная проверка подлинности.

    Важно!

    Наиболее велика вероятность того, что с анонимной проверкой подлинности придется столкнуться в чрезвычайно строго контролируемой среде, где предоставление доступа или отказ в доступе для пользователей осуществляются с помощью списков управления доступом в файловой системе. Рекомендации см. в статье Включение анонимной проверки подлинности (IIS 7).

  6. Щелкните виртуальный каталог OLAP , чтобы открыть главную страницу. Дважды щелкните элемент Сопоставления обработчика.

    Значок функции сопоставления

  7. Щелкните правой кнопкой мыши в любом месте страницы и выберите пункт Добавить карту скриптов. В диалоговом окне Добавление сопоставления скриптов укажите *.dll в качестве пути запроса, укажите c:\inetpub\wwwroot\OLAP\msmdpump.dll в качестве исполняемого файла и введите OLAP в качестве имени. Сохраните все ограничения по умолчанию, связанные с этой картой скриптов.

    Снимок экрана: диалоговое окно

  8. При запросе на включение расширения ISAPI нажмите кнопку Да.

    Снимок экрана: подтверждение добавления расширения ISAPI

Шаг 4. Указание целевого сервера в файле MSMDPUMP.INI

В файле MSMDPUMP.INI указан экземпляр служб Analysis Services, к которому подключается MSMDPUMP.DLL. Этот экземпляр может быть локальным или удаленным, установленным как применяемый по умолчанию или как именованный.

Откройте файл msmdpump.ini, расположенный в папке «C:\inetpub\wwwroot\OLAP», и изучите содержимое этого файла. Это должно выглядеть примерно так:

<ConfigurationSettings>  
<ServerName>localhost</ServerName>  
<SessionTimeout>3600</SessionTimeout>  
<ConnectionPoolSize>100</ConnectionPoolSize>  
</ConfigurationSettings>

Если экземпляр служб Analysis Services, для которого настраивается доступ через HTTP, расположен на локальном компьютере и является экземпляром по умолчанию, нет причин для изменения этого параметра. В противном случае необходимо указать имя сервера (например, <Имя сервера>ADWRKS-SRV01</ServerName>). Для сервера, установленного в качестве именованного экземпляра, обязательно добавьте имя экземпляра (например, <Имя_>сервера ADWRKS-SRV01\Tabular</ServerName>).

По умолчанию экземпляр служб Analysis Services прослушивает TCP/IP-порт 2383. Если вы установили службы Analysis Services в качестве экземпляра по умолчанию, не нужно указывать порт в <serverName> , так как службы Analysis Services знают, как прослушивать порт 2383 автоматически. Тем не менее необходимо разрешить входящие соединения с этим портом в брандмауэре Windows. Дополнительные сведения см. в статье Configure the Windows Firewall to Allow Analysis Services Access.

Если вы настроили именованный экземпляр служб Analysis Services или экземпляр по умолчанию для прослушивания фиксированного порта, необходимо добавить номер порта к имени сервера (например, <ServerName>AW-SRV01:55555</ServerName>) и разрешить входящие подключения к этому порту в брандмауэре Windows.

Шаг 5. Предоставление разрешений на доступ к данным

Как было отмечено выше, необходимо предоставить разрешения на доступ к экземпляру служб Analysis Services. Каждый объект базы данных имеет роли, предоставляющие заданный уровень разрешений (на чтение или чтение и запись), а каждая роль имеет членов, состоящих из учетных данных пользователей Windows.

Для задания разрешений можно использовать среду SQL Server Management Studio. В папке Роли базы данных | можно создавать роли, указывать разрешения базы данных, назначать членство учетным записям пользователей или групп Windows, а затем предоставлять разрешения на чтение и запись для определенных объектов. Как правило, для клиентских подключений, в которых используются, но не обновляются, данные модели, достаточно разрешений на чтение применительно к кубу.

Назначение ролей зависит от того, как настроена проверка подлинности.

Аутентификация Назначение ролей
Анонимные Добавьте к списку Membership учетную запись, указанную в окне Редактирование учетных данных анонимной проверки подлинности в службах IIS. Дополнительные сведения см. в разделе Анонимная проверка подлинности,
Проверка подлинности Windows Добавьте к списку Membership учетные записи пользователей или групп Windows, запрашивающих данные служб Analysis Services с помощью олицетворения или делегирования.

Если используется ограниченное делегирование Kerberos, единственными учетными записями, которым требуются разрешения, являются учетные записи пользователей и групп Windows, запрашивающие доступ. Для удостоверения пула приложений разрешения не нужны.
Обычная проверка подлинности Добавьте к списку Membership учетные записи пользователей или групп Windows, которые будут передаваться в строке подключения.

Кроме того, если учетные данные передаются через EffectiveUserName в строке подключения, удостоверение пула приложений должно иметь права администратора в экземпляре служб Analysis Services. В SSMS щелкните правой кнопкой мыши экземпляр | Вариантов размещения | Безопасности | Добавить. Введите удостоверение пула приложений. Если вы использовали встроенное удостоверение по умолчанию, учетная запись указывается как IIS AppPool\DefaultAppPool.

Показывает, как ввести учетную запись AppPoolIdentity.

Дополнительные сведения о настройке разрешений см. в статье Авторизация доступа к объектам и операциям (службы Analysis Services).

Шаг 6. Проверка конфигурации

Синтаксис строки подключения для MSMDPUMP определен — это URL-адрес файла MSMDPUMP.dll.

Если веб-приложение прослушивает фиксированный порт, добавьте номер порта к имени сервера или IP-адресу (например, http://my-web-srv01:8080/OLAP/msmdpump.dll или http://123.456.789.012:8080/OLAP/msmdpump.dll).

Чтобы быстро проверить подключение, можно открыть его с помощью Internet Explorer, Microsoft Excel или SQL Server Management Studio.

Устранение неполадок с подключениями с помощью Интернет-Обозреватель

Запрос на подключение, завершающийся с этой ошибкой, может не дать вам много времени: "Невозможно установить подключение к "<имя> сервера", или служба Analysis Service не запущена на сервере".

Чтобы получить более подробное сообщение об ошибке, сделайте следующее.

  1. В разделе Internet Обозреватель>Internet OptionsAdvanced (Дополнительно) > снимите флажок Показывать понятные HTTP-сообщения.

  2. Повторите попытку подключения (например, http://my-web-srv01:8080/OLAP/msmdpump.dll).

Если в окне браузера отображается XML-код ошибки, можно исключить MSMDPUMP в качестве потенциальной причины и переключить фокус на сертификат.

Тестирование подключений с использованием среды SQL Server Management Studio

  1. В диалоговом окне «Подключение к серверу» среды Management Studio в качестве типа сервера выберите Службы Analysis Services . В поле "Имя сервера" введите адрес HTTP расширения msmdpump: http://my-web-srv01/OLAP/msmdpump.dll.

    HTTP-подключение отображается в обозревателе объектов.

    HTTP-подключение отображается в разделе

  2. Проверка подлинности должна быть задана как проверка подлинности Windows, а лицом, использующим среду Management Studio, должен быть администратор служб Analysis Services. Администратор может предоставить дополнительные разрешения для доступа других пользователей.

Тестирование подключений с использованием Excel

  1. На вкладке "Данные" в Excel в группе "Получить внешние данные" нажмите кнопку Из других источников, а затем выберите Из служб аналитики , чтобы запустить мастер подключения данных.

  2. В поле "Имя сервера" введите адрес HTTP расширения msmdpump: http://my-web-srv01/OLAP/msmdpump.dll.

  3. В качестве значения «Учетные данные входа в систему» выберите Проверка подлинности Windows , если применяется встроенная безопасность Windows, NTLM или анонимный пользователь.

    Применительно к обычной проверке подлинности выберите Использовать следующее имя пользователя и пароль, затем укажите учетные данные, применяемые для входа в систему. Предоставленные вами учетные данные будут переданы в службы Analysis Services в строке подключения.

Тестирование подключений с использованием AMO

Можно проверить доступ по HTTP программным путем с использованием AMO, подставляя URL-адрес конечной точки вместо имени сервера. Дополнительные сведения см. в записи форума How to sync SSAS 2008 R2 databases via HTTPS across domain/forest and firewall boundaries(Как синхронизировать базы данных SSAS 2008 R2 по HTTPS через границы домена или леса и брандмауэра).

Ниже приведен пример строки подключения, который иллюстрирует синтаксис для доступа по HTTP(S) с использованием обычной проверки подлинности:

Data Source=https://<servername>/olap/msmdpump.dll; Initial Catalog=AdventureWorksDW2012; Integrated Security=Basic; User ID=XXXX; Password=XXXXX;

Дополнительные сведения о настройке подключения программным путем см. в разделе Establishing Secure Connections in ADOMD.NET.

В качестве конечного шага следует обязательно провести более строгое тестирование с использованием клиентского компьютера, эксплуатируемого в сетевой среде, из которого исходят запросы на подключение.

См. также:

Сообщение на форуме (HTTP-доступ с использованием msmdpump и обычной проверки подлинности)
Настройка брандмауэра Windows на разрешение доступа к службам Analysis Services
Предоставление доступа к объектам и операциям (Analysis Services)
Методы проверки подлинности IIS
Как выполнить настройку SSL для работы с IIS 7