Von Bedeutung
この記事は商用クラウドに適用されます。 政府機関向けクラウドを使用している場合は、Defender for SQL on Machines 構成のトラブルシューティング (政府機関向け)に関する記事を参照してください。
トラブルシューティングの手順を開始する前に、サブスクリプションまたは SQL リソース レベルでマシンで Defender for SQL サーバーを有効にする必要があります。
手順 1: 必要なリソースと有効化プロセス
Defender for SQL Server on Machines では、コンピューター上に次のリソースが自動的に作成されます。
| リソースの種類 | 作成済みのレベル |
|---|---|
| システム マネージド ID (ユーザー定義マネージド ID が存在しない場合にのみ作成されます) | SQL Server インスタンスをホストする仮想マシン/Arc 対応サーバー |
| Defender for SQL 拡張機能 | 拡張機能は、SQL サーバー インスタンスをホストしている各仮想マシン/Arc 対応サーバーにインストールされます |
サブスクリプションまたは指定された SQL Server で Defender for SQL Server を有効にすると、各 SQL Server インスタンスを保護するために次のアクションが実行されます。
- サブスクリプションにユーザーマネージド ID がない場合は、システム マネージド ID を作成します。
- SQL Server をホストしている仮想マシン/Arc 対応サーバーに Defender for SQL 拡張機能をインストールします。
- SQL Server サービス (既定の sysadmin ロール) を実行している Windows ユーザーを偽装して、SQL Server インスタンスにアクセスします。
手順 2: 前提条件を満たしていることを確認する
サブスクリプションのアクセス許可: Azure Policy を含むサブスクリプションにプランをデプロイするには、 サブスクリプション所有者 のアクセス許可が必要です。
SQL Server インスタンスのアクセス許可: SQL Server サービス アカウントには、既定の設定である各 SQL Server インスタンスの sysadmin 固定サーバー ロールが必要です。 SQL Server サービス アカウントの要件の詳細について説明します。
サポートされているリソース:
- SQL 仮想マシンと Azure Arc SQL Server インスタンス がサポートされています。
- オンプレミスのマシンは Arc にオンボードされ、Azure Arc SQL Server インスタンスとして登録されている必要があります。
通信: トランスポート層セキュリティ (TLS) を使用して送信制御プロトコル (TCP) ポート 443 経由で送信 HTTPS トラフィックを許可し、URL を *.<region>.arcdataservices.com します。 URL の要件について詳しくは、こちらをご覧ください。
拡張機能: 環境内でこれらの拡張機能がブロックされていないことを確認します。 Windows VM での拡張機能のインストールの制限の詳細について説明します。
- Defender for SQL (IaaS と Arc)
- パブリッシャー: Microsoft.Azure.AzureDefenderForSQL
- 種類: AdvancedThreatProtection.Windows
- SQL IaaS 拡張機能 (IaaS)
- パブリッシャー: Microsoft.SqlServer.Management
- 種類: SqlIaaSAgent
- SQL IaaS 拡張機能 (Arc)
- パブリッシャー: Microsoft.AzureData
- 種類: WindowsAgent.SqlServer
- Defender for SQL (IaaS と Arc)
サポートされている SQL Server バージョン - SQL Server 2012 R2 (11.x) 以降のバージョン。
サポートされているオペレーティング システム - SQL Server 2012 R2 以降のバージョン。
手順 3: SQL Server インスタンス レベルで保護の構成ミスを特定して解決する
検証プロセスに従って、SQL Server インスタンスの保護の構成ミスを特定します。
推奨事項 The status of Microsoft SQL Servers on Machines should be protected を使用して SQL Server の保護状態を確認できますが、推奨事項はリソース レベルで修復する必要があります。 保護されていない SQL サーバーは、推奨事項の異常なリソース セクションで特定され、保護状態と理由が表示されます。
Von Bedeutung
推奨事項は 12 時間ごとにのみ更新されます。 マシンのリアルタイムの状態を確認するには、 各 SQL サーバーの保護状態を確認 し、必要に応じてトラブルシューティングを実行する必要があります。
対応する異常な理由と推奨されるアクションを使用して、誤った構成を解決します。
| 健康に悪い理由 | 推奨されるアクション |
|---|---|
| ID が見つからない | SQL Server インスタンスをホストする仮想マシン/Arc 対応サーバーにユーザー定義/システム定義マネージド ID を割り当てます。 ロールベースのアクセス制御権限は必要ありません。 |
| Defender for SQL 拡張機能が存在しない | Defender for SQL 拡張機能が Azure 拒否ポリシーによってブロックされていないことを確認します。 - Publisher: Microsoft.Azure.AzureDefenderForSQL - タイプ: AdvancedThreatProtection.Windows 指定されたスクリプトを使用して SQL Server インスタンスをホストすることで、仮想マシンに Defender for SQL 拡張機能を手動でインストールします。 バージョン 2.X 以降があることを確認します。 1. このスクリプトを実行する Set-AzVMExtension -Publisher 'Microsoft.Azure.AzureDefenderForSQL' -ExtensionType 'AdvancedThreatProtection.Windows' -ResourceGroupName 'resourceGroupeName' -VMName <Vm name> -Name 'Microsoft.Azure.AzureDefenderForSQL.AdvancedThreatProtection.Windows' -TypeHandlerVersion '2.0' -Location 'vmLocation' -EnableAutomaticUpgrade $true 2. このスクリプトを実行して、適切なサブスクリプションのコンテキストを設定します。 connect-AzAccount -Subscription SubscriptionId -UseDeviceAuthentication |
| Defender for SQL 拡張機能を最新の状態にしておく必要があります | 仮想マシン/Arc 対応サーバー リソースの [拡張機能] ページで拡張機能を更新します。 |
| Defender for SQL 拡張機能のインストール中のエラー | ポータルで Defender for SQL 拡張機能の状態を確認し、問題をトラブルシューティングするための追加情報を確認します。 |
| SQL Server インスタンスが非アクティブである | マシン上の Defender for SQL サーバーは、アクティブな (実行中の) SQL サーバー インスタンスのみを保護できます。 |
| アクセス許可の欠如 | SQL Server サービス アカウントが、各 SQL Server インスタンスの sysadmin 固定サーバー ロールのメンバーであることを確認します (既定の設定)。 SQL Server サービスのアクセス許可の詳細を確認します。 |
| コミュニケーションの欠如 | トランスポート層セキュリティ (TLS) を使用する TCP ポート 443 の送信 HTTPS トラフィックが、仮想マシン/Arc 対応サーバーから *.<region>.arcdataservices.com URL に許可されていることを確認します。 URL の要件の詳細を確認する |
| SQL サーバーの再起動が必要です | Defender for SQL Server のインストールが有効になるように、SQL Server インスタンスを再起動します。 |
| 内部エラー | サポートにお問い合わせください。 |
同じ仮想マシン上の複数の SQL Server インスタンス
同じ仮想マシンに複数の SQL Server インスタンスがインストールされている場合、推奨事項 The status of Microsoft SQL Servers on Machines should be protected インスタンスを区別することはできません。 エラー メッセージを対応する SQL Server インスタンスと関連付けるために、Defender for SQL 拡張機能の下にあるエラー メッセージを確認します。 Defender for SQL 拡張機能では、インスタンスごとに次の理由を表示できます。
- SQL Server を再起動する
- アクセス許可を確認する
- SQL Server インスタンスがアクティブであることを確認する
Azure portal で、 SQL 仮想マシンを検索して選択します。
関連する仮想マシンを選択します。
[設定]>Extensions + アプリケーションに移動します。
![[拡張機能とアプリケーション] セクションの場所を示すスクリーンショット。](media/troubleshoot-sql-machines-guide/extensions.png)
関連する拡張機能を選択して、その保護の状態を表示します。
![[拡張機能とアプリケーション] セクションの場所を示すスクリーンショット。](media/troubleshoot-sql-machines-guide/extensions.png#lightbox)
一覧表示されている異常な理由に基づいて、問題を修復するための適切なアクションを実行します。
手順 4: 保護の状態を Reverify する
各 SQL Server インスタンスのすべてのエラーの修復が完了したら、 各 SQL Server インスタンスの保護状態を確認します。