Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ważne
Ten artykuł dotyczy chmur komercyjnych. Jeśli używasz chmur dla instytucji rządowych, zapoznaj się z artykułem Rozwiązywanie problemów z konfiguracją usługi Defender for SQL on Machines dla instytucji rządowych.
Przed rozpoczęciem kroków rozwiązywania problemów należy włączyć usługę Defender dla programu SQL Server na maszynach na poziomie subskrypcji lub zasobu SQL.
Krok 1. Wymagane zasoby i proces włączania
Usługa Defender for SQL Server na maszynach automatycznie tworzy następujące zasoby na maszynach:
| Typ zasobu | Utworzony poziom |
|---|---|
| Tożsamość zarządzana systemu (utworzona tylko wtedy, gdy tożsamość zarządzana zdefiniowana przez użytkownika nie istnieje) | Maszyna wirtualna/serwer z obsługą usługi Arc hostująca wystąpienie programu SQL Server |
| Rozszerzenie Defender for SQL | Rozszerzenie jest instalowane na każdej maszynie wirtualnej/serwerze z włączoną obsługą Arc, które hostują wystąpienie programu SQL Server. |
Po włączeniu usługi Defender dla programu SQL Server w ramach subskrypcji lub określonego programu SQL Server wykonuje następujące akcje w celu ochrony każdego wystąpienia programu SQL Server:
- Tworzy tożsamość zarządzaną przez system, jeśli w subskrypcji nie ma tożsamości zarządzanej przez użytkownika.
- Instaluje rozszerzenie Defender for SQL na maszynie wirtualnej/serwerze obsługującym usługę Arc hostując program SQL Server.
- Podszywa się pod użytkownika systemu Windows z uruchomioną usługą SQL Server (rolą sysadmin), aby uzyskać dostęp do instancji SQL Server.
Krok 2. Upewnij się, że spełniono wymagania wstępne
Uprawnienia subskrypcji: aby wdrożyć plan w ramach subskrypcji, w tym usługi Azure Policy, musisz mieć uprawnienia właściciela subskrypcji .
Uprawnienia wystąpienia programu SQL Server: konta usług SQL Server muszą mieć stałą rolę serwera o nazwie sysadmin w każdym wystąpieniu programu SQL Server, co jest ustawieniem domyślnym. Dowiedz się więcej o wymaganiach dotyczących konta usługi programu SQL Server.
Obsługiwane zasoby:
Komunikacja: Zezwalaj na ruch wychodzący HTTPS przez port TCP (Transmission Control Protocol) 443 przy użyciu protokołu Transport Layer Security (TLS) do *.<region>.arcdataservices.com adresu URL. Dowiedz się więcej o wymaganiach dotyczących adresów URL.
Rozszerzenia: upewnij się, że te rozszerzenia nie są blokowane w danym środowisku. Dowiedz się więcej o ograniczaniu instalacji rozszerzeń na maszynach wirtualnych z systemem Windows.
-
Defender for SQL (IaaS i Arc)
- Wydawca: Microsoft.Azure.AzureDefenderForSQL
- Typ: AdvancedThreatProtection.Windows
-
Rozszerzenie SQL IaaS (IaaS)
- Wydawca: Microsoft.SqlServer.Management
- Typ: SqlIaaSAgent
-
Rozszerzenie IaaS SQL (Arc)
- Wydawca: Microsoft.AzureData
- Typ: WindowsAgent.SqlServer
-
Defender for SQL (IaaS i Arc)
Obsługiwane wersje programu SQL Server — SQL Server 2012 R2 (11.x) i nowsze wersje.
Obsługiwane systemy operacyjne — SQL Server 2012 R2 i nowsze wersje.
Krok 3: Rozpoznawanie i rozwiązywanie niewłaściwych konfiguracji ochrony na poziomie instancji SQL Server
Postępuj zgodnie z procesem weryfikacji, aby zidentyfikować błędne konfiguracje ochrony w instancjach SQL Server.
Rekomendację The status of Microsoft SQL Servers on Machines should be protected można użyć do zweryfikowania stanu ochrony serwerów SQL Server, ale zalecenie powinno zostać skorygowane na poziomie zasobu. Każdy serwer SQL, który nie jest chroniony, jest identyfikowany w sekcji zasobu w złej kondycji zalecenia ze stanem ochrony wymienionym i przyczyną.
Ważne
Zalecenie jest aktualizowane tylko co 12 godzin. Aby sprawdzić stan maszyny w czasie rzeczywistym, należy sprawdzić stan ochrony każdego serwera SQL i w razie potrzeby wykonać wszelkie kroki rozwiązywania problemów.
Użyj odpowiedniej przyczyny złej kondycji i zalecanych akcji, aby rozwiązać problem z błędną konfiguracją:
| Przyczyna złego stanu zdrowia | Zalecana akcja |
|---|---|
| Brak tożsamości | Przypisz zdefiniowaną przez użytkownika/system zarządzaną tożsamość do maszyny wirtualnej/serwera z obsługą usługi Arc, który hostuje instancję programu SQL Server. Nie są wymagane żadne uprawnienia kontroli dostępu opartej na rolach. |
| Rozszerzenie Defender for SQL nie istnieje | Upewnij się, że rozszerzenie Defender for SQL nie jest blokowane przez zasady odmowy platformy Azure: — Wydawca: Microsoft.Azure.AzureDefenderForSQL - Typ: Zaawansowana Ochrona Przed Zagrożeniami.Windows Ręcznie zainstaluj rozszerzenie Defender for SQL na maszynie wirtualnej, hostując wystąpienie programu SQL Server przy użyciu podanego skryptu. Upewnij się, że masz wersję 2.X lub nowszą. 1. Uruchom ten skrypt Set-AzVMExtension -Publisher 'Microsoft.Azure.AzureDefenderForSQL' -ExtensionType 'AdvancedThreatProtection.Windows' -ResourceGroupName 'resourceGroupeName' -VMName <Vm name> -Name 'Microsoft.Azure.AzureDefenderForSQL.AdvancedThreatProtection.Windows' -TypeHandlerVersion '2.0' -Location 'vmLocation' -EnableAutomaticUpgrade $true 2. Uruchom ten skrypt, aby ustawić kontekst odpowiedniej subskrypcji: connect-AzAccount -Subscription SubscriptionId -UseDeviceAuthentication |
| Rozszerzenie Defender for SQL powinno być aktualne | Zaktualizuj rozszerzenie na stronie Rozszerzenia w zasobie serwera z obsługą maszyny wirtualnej/usługi Arc. |
| Błąd podczas instalacji rozszerzenia defender for SQL | Sprawdź stan rozszerzenia usługi Defender for SQL w portalu, aby uzyskać dodatkowe informacje, aby rozwiązać problem. |
| Instancja SQL Server jest nieaktywna | Defender for SQL Server w maszynach może chronić tylko aktywne (uruchomione) instancje serwera SQL. |
| Brak uprawnień | Upewnij się, że konto usługi programu SQL Server jest członkiem stałej roli serwera sysadmin w każdym wystąpieniu programu SQL Server (ustawienie domyślne). Dowiedz się więcej o uprawnieniach usługi programu SQL Server. |
| Brak komunikacji | Upewnij się, że wychodzący ruch HTTPS na porcie TCP 443 przy użyciu protokołu Transport Layer Security (TLS) jest dozwolony z serwera maszyny wirtualnej/serwera z obsługą *.<region>.arcdataservices.com usługi Arc do adresu URL. Dowiedz się więcej o wymaganiach dotyczących adresów URL |
| Wymagane jest ponowne uruchomienie programu SQL Server | Uruchom ponownie wystąpienie programu SQL Server, aby instalacja programu Defender dla programu SQL Server obowiązywała. |
| Błąd wewnętrzny | Skontaktuj się z pomocą techniczną. |
Wiele wystąpień programu SQL Server na tej samej maszynie wirtualnej
Jeśli masz wiele wystąpień programu SQL Server zainstalowanych na tej samej maszynie wirtualnej, zalecenie The status of Microsoft SQL Servers on Machines should be protected nie może odróżnić wystąpień. Aby skorelować komunikat o błędzie z odpowiednim wystąpieniem programu SQL Server, sprawdź komunikat o błędzie w rozszerzeniu Defender for SQL. Rozszerzenie Defender for SQL może wyświetlać następujące przyczyny dla każdego wystąpienia:
- Uruchom ponownie program SQL Server
- Sprawdzanie uprawnień
- Upewnij się, że instancja programu SQL Server jest aktywna
W witrynie Azure Portal wyszukaj i wybierz pozycję Maszyna wirtualna SQL.
Wybierz odpowiednią maszynę wirtualną.
Przejdź do Ustawienia>Rozszerzenia + aplikacje.
Wybierz odpowiednie rozszerzenie, aby wyświetlić jego stan ochrony.
Na podstawie wymienionej przyczyny złej kondycji wykonaj odpowiednie działania, aby rozwiązać problem.
Krok 4. Zmiana stanu ochrony
Po zakończeniu korygowania wszystkich błędów dla każdego wystąpienia programu SQL Server ponownie zweryfikuj stan ochrony każdego wystąpienia programu SQL Server.