Локальный шлюз данных во всех подробностяхOn-premises data gateway in-depth

Пользователи организации могут обращаться к вашим локальным данным (для доступа к которым они уже прошли проверку подлинности), однако для подключения этих пользователей к локальным источникам данных необходимо установить и настроить локальный шлюз данных.It's possible for users in your organization to access on-premises data (to which they already have access authorization), but before those users can connect to your on-premises data source, an on-premises data gateway needs to be installed and configured. Этот шлюз обеспечивает быстрый и безопасный двусторонний обмен информацией между пользователем в облачной среде и локальным источником данных.The gateway facilitates quick and secure behind-the-scenes communication between a user in the cloud, to your on-premises data source, and then back to the cloud.

Установка и настройка шлюза обычно выполняются администратором.Installing and configuring a gateway is usually done by an administrator. Для этого могут потребоваться навыки работы с локальными серверами, а также иногда разрешения администратора сервера.It may require special knowledge of your on-premises servers and in some cases may require Server Administrator permissions.

Эта статья не содержит пошаговых инструкций по установке и настройке шлюза.This article doesn’t provide step-by-step guidance on how to install and configure the gateway. Их можно найти в статье Локальный шлюз данных.For that, be sure to see On-premises data gateway. Здесь подробно описаны принципы работы шлюза.This article is meant to provide you with an in-depth understanding of how the gateway works. Кроме того, статья содержит некоторые сведения об именах пользователей и вопросах безопасности в каталоге Azure Active Directory и в службах Analysis Services, а также о том, как облачная служба использует адрес электронной почты, с которым пользователь входит в нее, шлюз и Active Directory для безопасного подключения и запроса локальных данных.We’ll also go into some detail about usernames and security in both Azure Active Directory and Analysis Services, and how the cloud service uses the e-mail address a user sign in with, the gateway, and Active Directory to securely connect to and query your on-premises data.

Принципы работы шлюзовHow the gateway works

On-prem-data-gateway-how-it-works

Давайте сначала посмотрим, что происходит, когда пользователь взаимодействует с элементом, подключенным к локальному источнику данных.Let’s first look at what happens when a user interacts with an element connected to an on-premises data source.

Примечание

В Power BI вам потребуется настроить источник данных для шлюза.For Power BI, you will need to configure a data source for the gateway.

  1. Облачная служба создает запрос с зашифрованными учетными данными для локального источника, а затем отправляет его на обработку шлюзу.A query will be created by the cloud service, along with the encrypted credentials for the on-premises data source, and sent to the queue for the gateway to process.
  2. Облачная служба шлюза анализирует запрос и передает его служебной шине Azure.The gateway cloud service will analyze the query and will push the request to the Azure Service Bus.
  3. Локальный шлюз данных опрашивает служебную шину Azure на предмет ожидающих выполнения запросов.The on-premises data gateway polls the Azure Service Bus for pending requests.
  4. Шлюз получает запрос, расшифровывает учетные данные и использует их для установки подключения к источникам.The gateway gets the query, decrypts the credentials and connects to the data source(s) with those credentials.
  5. Шлюз отправляет запрос в источник данных на исполнение.The gateway sends the query to the data source for execution.
  6. Результаты возвращаются источником в шлюз, а оттуда — в облачную службу.The results are sent from the data source, back to the gateway, and then onto the cloud service. Затем служба использует полученные результаты.The service then uses the results.

Список доступных типов источников данныхList of available data source types

Источник данныхData source Активный запрос или запрос DirectQueryLive/DirectQuery Настроенное пользователем ручное или запланированное обновлениеUser configured manual or scheduled refresh
Табличная модель Analysis ServicesAnalysis Services Tabular ДаYes ДаYes
Многомерная модель Analysis ServicesAnalysis Services Multidimensional ДаYes ДаYes
ФайлFile НетNo ДаYes
ПапкаFolder НетNo ДаYes
IBM DB2IBM DB2 НетNo ДаYes
База данных IBM InformixIBM Informix Database НетNo ДаYes
ImpalaImpala ДаYes ДаYes
MySQLMySQL НетNo ДаYes
ODataOData НетNo ДаYes
ODBCODBC НетNo ДаYes
OLEDBOledb НетNo ДаYes
OracleOracle ДаYes ДаYes
PostgreSQLPostgresSQL НетNo ДаYes
SAP BWSAP BW ДаYes ДаYes
SAP HANASAP HANA ДаYes ДаYes
Список SharePoint (локальный)SharePoint list (on-premises) НетNo ДаYes
SnowflakeSnowflake ДаYes ДаYes
SQL ServerSQL Server ДаYes ДаYes
SybaseSybase НетNo ДаYes
TeradataTeradata ДаYes ДаYes
Веб-приложениеWeb НетNo ДаYes

Учетная запись для входаSign in account

Пользователи будут входить в систему с рабочей или учебной учетной записью.Users will sign in with either a work or school account. Это учетная запись вашей организации.This is your organization account. Если у вас есть подписка на Office 365 и вы не указали свой реальный рабочий адрес электронной почты, ваша учетная запись может иметь вид nancy@contoso.onmicrosoft.com. Ваша учетная запись в облачной службе хранится в клиенте в каталоге Azure Active Directory (AAD).If you signed up for an Office 365 offering and didn’t supply your actual work email, it may look like nancy@contoso.onmicrosoft.com. Your account, within a cloud service, is stored within a tenant in Azure Active Directory (AAD). В большинстве случаев имя участника-пользователя учетной записи AAD совпадает с адресом электронной почты.In most cases, your AAD account’s UPN will match the email address.

Проверка подлинности в локальных источниках данныхAuthentication to on-premises data sources

Для подключения к локальным источникам данных из шлюза (кроме служб Analysis Services) используются сохраненные учетные данные.A stored credential will be used to connect to on-premises data sources from the gateway except Analysis Services. Шлюз сохраняет и использует их для подключения независимо от того, какой именно пользователь к нему обращается.Regardless of the individual user, the gateway uses the stored credential to connect.

Проверка подлинности на динамическом источнике данных Analysis ServicesAuthentication to a live Analysis Services data source

Каждый раз, когда пользователь взаимодействует со службами Analysis Services, действующее имя пользователя передается в шлюз, а затем на локальный сервер служб Analysis Services.Each time a user interacts with Analysis Services, the effective username is passed to the gateway and then onto your on-premises Analysis Services server. В качестве имени пользователя в Analysis Services передается имя участника-пользователя (как правило, это адрес электронной почты, с которым вы вошли в облачную службу).The user principal name (UPN), typically the email address you sign into the cloud with, is what we will pass to Analysis Services as the effective user. Для его передачи используется свойство подключения EffectiveUserName.The UPN is passed in the connection property EffectiveUserName. Этот адрес электронной почты должен совпадать с именем участника-пользователя, определенным в локальном домене Active Directory.This email address should match a defined UPN within the local Active Directory domain. Имя участника-пользователя является свойством учетной записи Active Directory.The UPN is a property of an Active Directory account. Для доступа к серверу соответствующая учетная запись Windows должна присутствовать в роли Analysis Services.That Windows account then needs to be present in an Analysis Services role to have access to the server. Если совпадение в Active Directory не обнаруживается, выполнить вход не удается.The login will not be successful if no match is found in Active Directory.

Службы Analysis Services также могут выполнять фильтрацию на основе данной учетной записи.Analysis Services can also provide filtering based on this account. Фильтрация выполняется на уровне роли или на уровне строк.The filtering can occur with either role based security, or row-level security.

Безопасность на основе ролейRole-based security

Модели обеспечивают безопасность на основе ролей пользователей.Models provide security based on user roles. Роли задаются для конкретного проекта модели на этапе разработки в средствах бизнес-аналитики SQL Server Data Tools (SSDT-BI) или после развертывания модели с помощью SQL Server Management Studio (SSMS).Roles are defined for a particular model project during authoring in SQL Server Data Tools – Business Intelligence (SSDT-BI), or after a model is deployed, by using SQL Server Management Studio (SSMS). Членами ролей могут быть имена пользователей Windows или группы Windows.Roles contain members by Windows username or by Windows group. Роли определяют разрешения, которые имеются у пользователя для выполнения запросов или действий в модели.Roles define permissions a user has to query or perform actions on the model. Большинство пользователей будут принадлежать к роли с разрешениями на чтение.Most users will belong to a role with Read permissions. Другие роли предназначены для администраторов и имеют разрешения на обработку элементов, управление функциями базы данных и управление другими ролями.Other roles are meant for administrators with permissions to process items, manage database functions, and manage other roles.

Безопасность на уровне строкRow-level security

Безопасность на уровне строк — это функция Analysis Services.Row-level security is specific to Analysis Services row-level security. Модели могут обеспечивать динамическую безопасность на уровне строк.Models can provide dynamic, row-level security. Пользователь должен принадлежать хотя бы к одной роли; в отличие от этого, динамическая безопасность не является обязательной для любой табличной модели.Unlike having at least one role in which users belong to, dynamic security is not required for any tabular model. На высоком уровне динамическая безопасность определяет доступ пользователей на чтение данных непосредственно в определенной строке в определенной таблице.At a high-level, dynamic security defines a user’s read access to data right down to a particular row in a particular table. Аналогично ролям, динамическая безопасность на уровне строк основывается на имени пользователя Windows.Similar to roles, dynamic row-level security relies on a user’s Windows username.

Возможность пользователя запрашивать и просматривать данные модели определяется в первую очередь ролями, к которым относится его учетная запись пользователя Windows, а во вторую очередь — параметрами динамической безопасности на уровне строк, если они настроены.A user’s ability to query and view model data are determined first by the roles their Windows user account are a member of and second, by dynamic row-level security, if configured.

Реализация безопасности на основе ролей и динамической безопасности на уровне строк в моделях в этой статье не рассматривается.Implementing role and dynamic row-level security in models are beyond the scope of this article. Дополнительные сведения см. в статьях Роли (табличные службы SSAS) и Роли безопасности (службы Analysis Services — многомерные данные) в MSDN.You can learn more at Roles (SSAS Tabular) and Security Roles (Analysis Services - Multidimensional Data) on MSDN. Чтобы максимально полно разобраться в безопасности табличной модели, скачайте и прочтите технический документ Безопасность в табличной семантической модели бизнес-аналитики.And, for the most in-depth understanding of tabular model security, download and read the Securing the Tabular BI Semantic Model whitepaper.

Об Azure Active DirectoryWhat about Azure Active Directory?

В облачных службах Майкрософт для проверки подлинности пользователей применяется каталог Azure Active Directory.Microsoft cloud services use Azure Active Directory to take care of authenticating users. Azure Active Directory — это клиент, содержащий имена пользователей и сведения о группах безопасности.Azure Active Directory is the tenant that contains usernames and security groups. Как правило, адрес электронной почты, с которым пользователь выполняет вход, совпадает с именем участника-пользователя учетной записи.Typically, the email address a user signs in with is the same as the UPN of the account.

Каковы функции локального каталога Active Directory?What is my local Active Directory’s role?

Чтобы службы Analysis Services могли определить, относится ли подключившийся к ним пользователь к роли с разрешениями на чтение данных, сервер должен преобразовать действующее имя пользователя, переданное из AAD в шлюз, а затем на сервер служб Analysis Services.For Analysis Services to determine if a user connecting to it belongs to a role with permissions to read data, the server needs to convert the effective username passed from AAD to the gateway, and onto the Analysis Services server. Сервер Analysis Services передает действующее имя пользователя на контроллер домена Windows Active Directory.The Analysis Services server passes the effective username to a Windows Active Directory domain controller (DC). Затем контроллер домена Active Directory проверяет, является ли действующее имя пользователя действительным именем участника-пользователя в локальной учетной записи, и возвращает его имя пользователя Windows обратно на сервер служб Analysis Services.The Active Directory DC then validates the effective username is a valid UPN, on a local account, and returns that user’s Windows username back to the Analysis Services server.

Параметр EffectiveUserName нельзя использовать в на сервере Analysis Services, который не присоединен к домену.EffectiveUserName cannot be used on a non-domain joined Analysis Services server. Чтобы избежать ошибок при входе, локальный сервер Analysis Services должен входить в домен.The Analysis Services server must be joined to a domain to avoid any login errors.

Как узнать свое имя участника-пользователя?How do I tell what my UPN is?

Вы можете не знать свое имя участника-пользователя и не являться администратором домена.You may not know what your UPN is, and you may not be a domain administrator. Чтобы узнать имя участника-пользователя для учетной записи, можно использовать следующую команду на рабочей станции.You can use the following command from your workstation to find out the UPN for your account.

whoami /upn

Имя участника-пользователя для локальной учетной записи домена будет похоже на адрес электронной почты.The result will look similar to an email address, but this is the UPN that is on your local domain account. Если вы используете источник данных Analysis Services для динамических подключений, этот параметр должен совпадать со значением, передаваемым в свойстве EffectiveUserName из шлюза.If you are using an Analysis Services data source for live connections, this must match what was passed to EffectiveUserName from the gateway.

Сопоставление имен пользователей для источников данных Analysis ServicesMapping usernames for Analysis Services data sources

В Power BI можно сопоставлять имена пользователей для источников данных Analysis Services.Power BI allows for mapping usernames for Analysis Services data sources. Вы можете настроить правила сопоставления имени пользователя, выполнившего вход в Power BI, с именем, которое передается в свойстве EffectiveUserName для подключения служб Analysis Services.You can configure rules to map a username logged in with Power BI to a name that is passed for EffectiveUserName on the Analysis Services connection. Это удобный способ в ситуации, когда имя пользователя в AAD не соответствует имени участника-пользователя (UPN) в локальной службе Active Directory.The map user names feature is a great way to work around when your username in AAD doesn't match a UPN in your local Active Directory. Например, адрес электронной почты nancy@contoso.onmicrsoft.com можно сопоставить с адресом nancy@contoso.com, и это значение будет передано шлюзу.For example, if your email address is nancy@contoso.onmicrsoft.com, you could map it to nancy@contoso.com, and that value would be passed to the gateway. Вы можете ознакомиться с дополнительными сведениями о сопоставлении имен пользователей.You can learn more about how to map user names.

Синхронизация локальной Active Directory с Azure Active DirectorySynchronize an on-premises Active Directory with Azure Active Directory

Если вы планируете работать с динамическими подключениями Analysis Services, учетные записи в вашем локальном каталоге Active Directory должны соответствовать содержимому Azure Active Directory.You would want your local Active Directory accounts to match Azure Active Directory if you are going to be using Analysis Services live connections. В частности, должны совпадать имена участников-пользователей.As the UPN has to match between the accounts.

Облачным службам известно только об учетных записях, которые хранятся в каталоге Azure Active Directory.The cloud services only know about accounts within Azure Active Directory. Неважно, добавили ли вы соответствующую запись в локальную службу Active Directory: если ее нет в AAD, использовать ее нельзя.It doesn’t matter if you added an account in your local Active Directory, if it doesn’t exist in AAD, it cannot be used. Синхронизировать учетные записи в локальном каталоге Active Directory со службой Azure Active Directory можно разными способами.There are different ways that you can match your local Active Directory accounts with Azure Active Directory.

  1. Вы можете вручную добавить учетные записи в Azure Active Directory.You can add accounts manually to Azure Active Directory.

    Вы можете создать на портале Azure или портале администрирования Office 365 учетную запись, имя которой будет совпадать с именем участника-пользователя учетной записи в локальном каталоге Active Directory.You can create an account on the Azure portal, or within the Office 365 Admin Portal, and the account name matches the UPN of the local Active Directory account.

  2. Вы можете синхронизировать локальные учетные записи со своим клиентом Azure Active Directory с помощью средства Azure AD Connect.You can use the Azure AD Connect tool to synchronize local accounts to your Azure Active Directory tenant.

    Приложение Azure AD Connect позволяет настроить параметры синхронизации каталогов и паролей.The Azure AD Connect tool provides options for directory and password synchronization. Если вы не являетесь администратором клиента или локального домена, для их настройки вам потребуется обратиться к своему ИТ-администратору.If you are not a tenant admin or a local domain administrator, you will need to contact your IT admin to get this configured.

  3. Вы можете настроить службы федерации Active Directory (ADFS).You can configure Active Directory Federation Services (ADFS).

    Сервер ADFS можно связать с клиентом AAD с помощью инструмента Azure AD Connect.You can associate your ADFS server to your AAD tenant with the Azure AD Connect tool. ADFS использует функцию синхронизации каталогов, описанную выше, однако также позволяет реализовать единый вход.ADFS makes use of the directory synchronization discussed above but allows for a single sign-on (SSO) experience. Например, находясь в рабочей сети, вы сможете подключаться к облачной службе и входить в нее, не вводя имя пользователя и пароль.For example, if you are within your work network, when you to a cloud service, and go to sign in, you may not be prompted to enter a username or password. Уточните, доступна ли такая возможность для вашей организации, у своего ИТ-администратора.You will need to discuss with your IT Admin if this is available for your organization.

Приложение Azure AD Connect помогает обеспечить соответствие между именами участников-пользователей в AAD и локальном каталоге Active Directory.Using Azure AD Connect ensures that the UPN will match between AAD and your local Active Directory.

Примечание

При синхронизации учетных записей с помощью Azure AD Connect создаются новые учетные записи в клиенте AAD.Synchronizing accounts with the Azure AD Connect tool will create new accounts within your AAD tenant.

Теперь в дело вступает шлюз.Now, this is where the gateway comes in

Шлюз выступает в качестве моста между облачной службой и локальным сервером.The gateway acts as a bridge between the cloud and your on-premises server. Передача данных между облаком и шлюзом защищена с помощью служебной шины Azure.Data transfer between the cloud and the gateway is secured through Azure Service Bus. Служебная шина создает защищенный канал обмена информацией между облачной средой и локальным сервером через исходящее подключение на шлюзе.The Service Bus creates a secure channel between the cloud and your on-premises server through an outbound connection on the gateway. Вам не потребуется настраивать на своем локальном брандмауэре возможность входящих соединений.There are no inbound connections that you need to open on your on-premises firewall.

Если у вас есть источник данных Analysis Services, необходимо установить шлюз на компьютере, присоединенном к тому же лесу или домену, что и сервер служб Analysis Services.If you have an Analysis Services data source, you’ll need to install the gateway on a computer joined to the same forest/domain as your Analysis Services server.

Чем ближе шлюз расположен к серверу, тем быстрее работает подключение.The closer the gateway is to the server, the faster the connection will be. Если шлюз находится на том же сервере, что и источник данных, задержка в сети при обмене информацией между сервером и шлюзом будет минимальной.If you can get the gateway on the same server as the data source, that is best to avoid network latency between the gateway and the server.

Дальнейшие действияWhat to do next?

Установив шлюз, вам нужно создать для него источники данных.After you get the gateway installed, you will want to create data sources for that gateway. Источники данных можно добавить в окне Управление шлюзами.You can add data sources within the Manage gateways screen. Дополнительные сведения см. в статьях об управлении источниками данных.For more information, see the manage data sources articles.

Управление своим источником данных — службы Analysis ServicesManage your data source - Analysis Services
Управление своим источником данных — SAP HANAManage your data source - SAP HANA
Управление своим источником данных — SQL ServerManage your data source - SQL Server
Управление своим источником данных — OracleManage your data source - Oracle
Управление источником данных — импорт или запланированное обновлениеManage your data source - Import/Scheduled refresh

Где могут возникнуть проблемыWhere things can go wrong

Иногда установить шлюз не удается.Sometimes installing the gateway fails. Бывает и такое, что шлюз вроде бы установлен успешно, но служба не может с ним работать.Or, maybe the gateway seems to install ok, but the service is still unable to work with it. Во многих случаях за этим стоит простая причина (например, неправильный пароль в учетных данных, с помощью которых шлюз подключается к источнику).In many cases, it’s something simple, like the password for the credentials the gateway uses to sign into the data source.

В других случаях это может быть вызвано проблемами с типом адреса электронной почты, с которым пользователь выполняет вход, или неспособностью служб Analysis Services разрешить действующее имя пользователя.In other cases, there might be issues with the type of e-mail address users sign in with, or Analysis Services’ inability to resolve an effective username. Если у вас несколько доменов с отношениями доверия между ними и шлюз находится в одном домене, а службы Analysis Services — в другом, это иногда может привести к неполадкам.If you have multiple domains with trusts between them, and your gateway is in one and Analysis Services in another, this sometimes can cause some problems.

Мы не будем касаться темы устранения неполадок шлюза в этой статье. Некоторые инструкции можно найти в статье Устранение неполадок локального шлюза данных.Rather than go into troubleshooting gateway issues here, we’ve put a series of troubleshooting steps into another article; Troubleshooting the on-premises data gateway. Надеемся, у вас не возникнет затруднений.Hopefully, you won’t have any problems. Но если возникнут, вам поможет понимание того, как все это работает, и статья по устранению неполадок.But if you do, understanding how all of this works and the troubleshooting article should help.

Учетная запись для входаSign in account

Пользователи будут входить в систему с рабочей или учебной учетной записью.Users will sign in with either a work or school account. Это учетная запись вашей организации.This is your organization account. Если у вас есть подписка на Office 365 и вы не указали свой реальный рабочий адрес электронной почты, ваша учетная запись может иметь вид nancy@contoso.onmicrosoft.com. Ваша учетная запись в облачной службе хранится в клиенте в каталоге Azure Active Directory (AAD).If you signed up for an Office 365 offering and didn’t supply your actual work email, it may look like nancy@contoso.onmicrosoft.com. Your account, within a cloud service, is stored within a tenant in Azure Active Directory (AAD). В большинстве случаев имя участника-пользователя учетной записи AAD совпадает с адресом электронной почты.In most cases, your AAD account’s UPN will match the email address.

Учетная запись служб WindowsWindows Service account

Локальный шлюз данных настроен для входа в службы Windows с учетными данными NT SERVICE\PBIEgwService.The on-premises data gateway is configured to use NT SERVICE\PBIEgwService for the Windows service logon credential. По умолчанию он имеет право выполнять вход в качестве службы.By default, it has the right of Log on as a service. Это происходит в контексте компьютера, на котором устанавливается шлюз.This is in the context of the machine that you are installing the gateway on.

Примечание

Если вы выбрали личный режим, учетная запись служб Windows настраивается отдельно.If you selected personal mode, you configure the Windows service account separately.

Это не та учетная запись, с помощью которой вы подключаетесь к локальным источникам данных.This is not the account used to connect to on-premises data sources. Кроме того, она не совпадает с вашей рабочей или учебной учетной записью, с которой вы входите в облачные службы.This is also not your work or school account that you sign into cloud services with.

Если у вас возникнут проблемы с проверкой подлинности через прокси-сервер, вы можете сменить учетную запись службы Windows на учетную запись пользователя домена или управляемую учетную запись службы.If you encounter issues with your proxy server, due to authentication, you may want to change the Windows service account to a domain user or managed service account. Инструкции по смене учетной записи приведены в разделе о настройке прокси-сервера.You can learn how to change the account in proxy configuration.

ПортыPorts

Шлюз создает исходящее подключение к служебной шине Azure.The gateway creates an outbound connection to Azure Service Bus. Связь осуществляется через исходящие порты TCP 443 (по умолчанию), 5671, 5672, 9350–9354.It communicates on outbound ports: TCP 443 (default), 5671, 5672, 9350 thru 9354. Шлюзу не требуются входящие порты.The gateway does not require inbound ports. Дополнительные сведенияLearn more

Рекомендуется добавить IP-адреса для региона, в котором хранятся ваши данные, в список разрешений брандмауэра.It is recommended that you whitelist the IP addresses, for your data region, in your firewall. Вы можете скачать список IP-адресов центров данных Microsoft Azure.You can download the Microsoft Azure Datacenter IP list. Он обновляется еженедельно.This list is updated weekly. Шлюз будет взаимодействовать со служебной шиной Azure, используя IP-адрес и полное доменное имя (FQDN).The gateway will communicate with Azure Service Bus using the IP address along with the fully qualified domain name (FQDN). При принудительной установке связи по протоколу HTTPS шлюз будет использовать только полное доменное имя, поэтому он не будет устанавливать связь по IP-адресам.If you are forcing the gateway to communicate using HTTPS it will strictly use FQDN only, and no communication will happen using IP addresses.

Примечание

IP-адреса в списке адресов центров данных Azure указаны в формате CIDR.The IP Addresses listed in the Azure Datacenter IP list are in CIDR notation. Например, запись 10.0.0.0/24 не означает диапазон адресов с 10.0.0.0 по 10.0.0.24.For example, 10.0.0.0/24 does not mean 10.0.0.0 thru 10.0.0.24. Ознакомьтесь с дополнительными сведениями о формате CIDR.Learn more about the CIDR notation.

Вот список полных доменных имен, которые используются шлюзом.Here is a listing of the fully qualified domain names used by the gateway.

Имена доменовDomain names Исходящие портыOutbound ports ОписаниеDescription
*.download.microsoft.com*.download.microsoft.com 8080 HTTP, используемый для скачивания установщика.HTTP used to download the installer.
*.powerbi.com*.powerbi.com 443443 HTTPSHTTPS
*.analysis.windows.net*.analysis.windows.net 443443 HTTPSHTTPS
*.login.windows.net*.login.windows.net 443443 HTTPSHTTPS
*.servicebus.windows.net*.servicebus.windows.net 5671-56725671-5672 Расширенный протокол управления очередью сообщений (AMQP)Advanced Message Queuing Protocol (AMQP)
*.servicebus.windows.net*.servicebus.windows.net 443, 9350-9354443, 9350-9354 Прослушиватели для ретранслятора служебной шины по протоколу TCP (порт 443 требуется для получения маркера контроля доступа).Listeners on Service Bus Relay over TCP (requires 443 for Access Control token acquisition)
*.frontend.clouddatahub.net*.frontend.clouddatahub.net 443443 HTTPSHTTPS
*.core.windows.net*.core.windows.net 443443 HTTPSHTTPS
login.microsoftonline.comlogin.microsoftonline.com 443443 HTTPSHTTPS
*.msftncsi.com*.msftncsi.com 443443 Используется для проверки подключения к Интернету, если шлюз недоступен для службы Power BI.Used to test internet connectivity if the gateway is unreachable by the Power BI service.
*.microsoftonline p.com*.microsoftonline-p.com 443443 Используется для проверки подлинности в зависимости от конфигурации.Used for authentication depending on configuration.

Примечание

Трафик, передаваемый на сайты visualstudio.com или visualstudioonline.com, нужен для работы компонента Application Insights. Этот трафик не влияет на функционирование шлюза.Traffic going to visualstudio.com or visualstudioonline.com are for app insights and are not required for the gateway to function.

Принудительная установка связи по HTTPS со служебной шиной AzureForcing HTTPS communication with Azure Service Bus

Для шлюза можно настроить принудительную установку связи со служебной шиной Azure по протоколу HTTPS, а не TCP.You can force the gateway to communicate with Azure Service Bus using HTTPS instead of direct TCP. Это может повлиять на производительность.This may have an impact on performance. Для такой настройки измените в файле Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll.config значение AutoDetect на значение Https, как показано во фрагменте кода ниже.To do so, modify the Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll.config file by changing the value from AutoDetect to Https, as shown in the code snippet directly following this paragraph. По умолчанию этот файл располагается здесь: C:\Program Files\On-premises data gateway.That file is located (by default) at C:\Program Files\On-premises data gateway.

<setting name="ServiceBusSystemConnectivityModeString" serializeAs="String">
    <value>Https</value>
</setting>

В значении параметра ServiceBusSystemConnectivityModeString учитывается регистр.The value for the ServiceBusSystemConnectivityModeString parameter is case sensitive. Допустимые значения: AutoDetect и Https.Valid values are AutoDetect and Https.

Кроме того, для шлюза можно настроить принудительный режим, описанный выше, с помощью пользовательского интерфейса шлюза. Ознакомиться с ним вы можете в мартовском выпуске 2017 г.Alternatively, you can force the gateway to adopt this behavior using the gateway user interface, beginning with the March 2017 release. В пользовательском интерфейсе шлюза выберите раздел Сеть, а затем задайте для режима подключения к служебной шине Azure значение Включено.In the gateway user interface select Network, then toggle the Azure Service Bus connectivity mode to On.

После внесения изменений появится кнопка Применить. После ее нажатия служба шлюза в ОС Windows автоматически перезапустится, чтобы изменения вступили в силу.Once changed, when you select Apply (a button that only appears when you make a change), the gateway Windows service restarts automatically, so the change can take effect.

В будущем, чтобы перезапустить службу шлюза в ОС Windows, в диалоговом окне пользовательского интерфейса выберите раздел Параметры службы, а затем щелкните Перезагрузить сейчас.For future reference, you can restart the gateway Windows service from the user interface dialog by selecting Service Settings then select Restart Now.

Поддержка протокола TLS 1.1 и 1.2Support for TLS 1.1/1.2

Начиная с обновления за август 2017 г. локальный шлюз данных по умолчанию использует протокол TLS 1.1 или 1.2 для обмена данными со службой Power BI.With the August 2017 update and beyond, the on-premises data gateway uses Transport Layer Security (TLS) 1.1 or 1.2 to communicate with the Power BI service by default. В предыдущих версиях локального шлюза данных по умолчанию используется TLS 1.0.Previous versions of the on-premises data gateway use TLS 1.0 by default. После 15 марта 2018 г. прекращается поддержка TLS 1.0, в том числе возможности взаимодействия шлюза со службой Power BI через TLS 1.0. Чтобы продолжать использовать локальные шлюзы данных, обновите их к этому времени как минимум до выпуска от августа 2017 г.On March 15th 2018, support for TLS 1.0 will end, including the gateway's ability to interact with the Power BI service using TLS 1.0, so by then you must upgrade your on-premises data gateway installations to the August 2017 release or newer to ensure your gateways continue to operate.

Обратите внимание, что до 1 ноября локальный шлюз данных будет поддерживать протокол TLS 1.0, используя его как резервный механизм.It's important to note that TLS 1.0 is still supported by the on-premises data gateway prior to November 1st, and is used by the gateway as a fallback mechanism. Чтобы при передаче всего трафика шлюза использовался протокол TLS 1.1 или 1.2 (и чтобы прекратить использование шлюзом TLS 1.0), необходимо добавить или изменить следующие разделы реестра на компьютере, где запущена служба шлюза.To ensure all gateway traffic uses TLS 1.1 or 1.2 (and to prevent the use of TLS 1.0 on your gateway), you must add or modify the following registry keys on the machine running the gateway service:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001

Примечание

При добавлении или изменении этих разделов реестра обновления распространяются на все приложения .NET.Adding or modifying these registry keys applies the change to all .NET applications. Сведения об изменениях реестра, которые влияют на использование TLS в других приложениях, см. в описании параметров реестра для протокола TLS.For information about registry changes that affect TLS for other applications, see Transport Layer Security (TLS) registry settings.

Как перезапустить шлюзHow to restart the gateway

Шлюз работает в качестве службы Windows.The gateway runs as a windows service. Его можно запустить и остановить, как и любую службу Windows.You can start and stop it like any windows service. Существует несколько способов это сделать.There are multiple ways to do this. Вот как это можно сделать из командной строки.Here is how you can do it from the command prompt.

  1. На компьютере, где работает шлюз, откройте командную строку администратора.On the machine where the gateway is running, launch an admin command prompt.
  2. Остановить службу можно с помощью следующей команды:Use the following command to stop the service.

    net stop PBIEgwServicenet stop PBIEgwService

  3. Запустить службу можно с помощью следующей команды:Use the following command to start the service.

    net start PBIEgwServicenet start PBIEgwService

Дальнейшие действияNext steps

Устранение неполадок локального шлюза данныхTroubleshooting the on-premises data gateway
Служебная шина AzureAzure Service Bus
Azure AD ConnectAzure AD Connect
Появились дополнительные вопросы?More questions? Ответы на них см. в сообществе Power BI.Try the Power BI Community