Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Importante
Este artigo aplica-se a nuvens comerciais. Se você estiver usando nuvens governamentais, consulte o artigo Solucionar problemas do Defender for SQL on Machines configuration government .
Antes de iniciar as etapas de solução de problemas, você deve habilitar o Defender for SQL Server em Computadores no nível de assinatura ou de recursos SQL.
Etapa 1: Recursos necessários e processo de habilitação
O Defender for SQL Server on Machines cria automaticamente os seguintes recursos em suas máquinas:
| Tipo de Recurso | Nível criado |
|---|---|
| Identidade Gerenciada do Sistema (criada somente se uma identidade gerenciada definida pelo usuário não existir) | Máquina virtual/servidor habilitado para Arc que hospeda a instância do SQL Server |
| Extensão do Defender for SQL | A extensão é instalada em cada máquina virtual/servidor habilitado para Arc que hospeda a instância do SQL Server |
Quando você habilita o Defender para SQL Server em uma assinatura ou no SQL Server especificado, ele executa as seguintes ações para proteger cada instância do SQL Server:
- Cria uma identidade gerenciada pelo sistema se não houver nenhuma identidade gerenciada pelo usuário na assinatura.
- Instala a extensão Defender for SQL na máquina virtual/servidor habilitado para Arc que hospeda o SQL Server.
- Representa o usuário do Windows que executa o serviço SQL Server (função sysadmin padrão) para acessar a instância do SQL Server.
Etapa 2: Certifique-se de que você cumpriu os pré-requisitos
Permissões de assinatura: para implantar o plano em uma assinatura, incluindo a Política do Azure, você precisa de permissões de Proprietário da Assinatura .
Permissões de instância do SQL Server: as contas de serviço do SQL Server devem ter a função de servidor fixa sysadmin em cada instância do SQL Server, que é a configuração padrão. Saiba mais sobre o requisito de conta de serviço do SQL Server.
Recursos suportados:
- Há suporte para máquinas virtuais SQL e instâncias do Azure Arc SQL Server.
- As máquinas locais devem ser integradas ao Arc e registradas como instâncias do Azure Arc SQL Server.
Comunicação: permita o tráfego HTTPS de saída pela porta 443 do protocolo TCP (Transmission Control Protocol) usando TLS (Transport Layer Security) para *.<region>.arcdataservices.com URL. Saiba mais sobre os requisitos de URL.
Extensões: verifique se essas extensões não estão bloqueadas em seu ambiente. Saiba mais sobre como restringir a instalação de extensões em VMs do Windows.
-
Defender for SQL (IaaS e Arc)
- Editora: Microsoft.Azure.AzureDefenderForSQL
- Tipo: AdvancedThreatProtection.Windows
-
Extensão de IaaS SQL (IaaS)
- Editora: Microsoft.SqlServer.Management
- Tipo: SqlIaaSAgent
-
Extensão IaaS SQL (Arc)
- Editora: Microsoft.AzureData
- Tipo: WindowsAgent.SqlServer
-
Defender for SQL (IaaS e Arc)
Versões do SQL Server com suporte - SQL Server 2012 R2 (11.x) e versões posteriores.
Sistemas operacionais suportados - SQL Server 2012 R2 e versões posteriores.
Etapa 3: Identificar e resolver erros de configuração de proteção no nível da instância do SQL Server
Siga o processo de verificação para identificar erros de configuração de proteção em instâncias do SQL Server.
A recomendação The status of Microsoft SQL Servers on Machines should be protected pode ser usada para verificar o status de proteção dos SQL Servers, mas a recomendação deve ser corrigida no nível do recurso. Qualquer servidor SQL que esteja desprotegido é identificado na seção de recursos não íntegros da recomendação com um status de proteção listado e um motivo.
Importante
A recomendação só é atualizada a cada 12 horas. Para verificar o status em tempo real da sua máquina, você deve verificar o status de proteção de cada servidor SQL e executar qualquer solução de problemas, se necessário.
Use o motivo não íntegro correspondente e as ações recomendadas para resolver a configuração incorreta:
| Motivo doentio | Ação recomendada |
|---|---|
| Identidade em falta | Atribua identidade gerenciada definida pelo usuário/pelo sistema à máquina virtual/servidor habilitado para Arc que hospeda a instância do SQL Server. Não são necessárias permissões de controle de acesso baseadas em função. |
| A extensão Defender for SQL não existe | Verifique se a extensão do Defender for SQL não está bloqueada pelas políticas de negação do Azure: - Editora: Microsoft.Azure.AzureDefenderForSQL - Tipo: AdvancedThreatProtection.Windows Instale manualmente a extensão do Defender for SQL na máquina virtual hospedando a instância do SQL Server usando o script fornecido. Certifique-se de que tem a versão 2.X ou superior. 1. Execute este script Set-AzVMExtension -Publisher 'Microsoft.Azure.AzureDefenderForSQL' -ExtensionType 'AdvancedThreatProtection.Windows' -ResourceGroupName 'resourceGroupeName' -VMName <Vm name> -Name 'Microsoft.Azure.AzureDefenderForSQL.AdvancedThreatProtection.Windows' -TypeHandlerVersion '2.0' -Location 'vmLocation' -EnableAutomaticUpgrade $true 2. Execute este script para definir o contexto da assinatura correta: connect-AzAccount -Subscription SubscriptionId -UseDeviceAuthentication |
| A extensão do Defender for SQL deve estar up-to-date | Atualize a extensão na página Extensões no recurso de servidor habilitado para Arc ou máquina virtual. |
| Erro durante a instalação da extensão Defender for SQL | Verifique o status da extensão do Defender for SQL no portal para obter informações adicionais para solucionar o problema. |
| A instância do SQL Server está inativa | O Defender for SQL server on Machines só pode proteger instâncias ativas (em execução) do SQL Server. |
| Falta de permissões | Verifique se a conta de serviço do SQL Server é membro da função de servidor fixa sysadmin em cada instância do SQL Server (configuração padrão). Saiba mais sobre as permissões de serviço do SQL Server. |
| Falta de comunicação | Verifique se o tráfego HTTPS de saída na porta TCP 443 usando TLS (Transport Layer Security) é permitido da máquina virtual/servidor habilitado para Arc para a *.<region>.arcdataservices.com URL. Saiba mais sobre os requisitos de URL |
| A reinicialização do SQL Server é necessária | Reinicie a instância do SQL Server para que a instalação do Defender for SQL Server entre em vigor. |
| Erro interno | Entre em contato com o suporte. |
Várias instâncias do SQL Server na mesma máquina virtual
Se você tiver várias instâncias do SQL Server instaladas na mesma máquina virtual, a recomendação The status of Microsoft SQL Servers on Machines should be protected não poderá diferenciar entre instâncias. Para correlacionar a mensagem de erro com a instância correspondente do SQL Server, verifique a mensagem de erro na extensão Defender for SQL. A extensão do Defender for SQL pode exibir os seguintes motivos para cada instância:
- Reinicie o SQL Server
- Verificar permissões
- Verifique se a instância do SQL Server está ativa
No portal do Azure, procure e selecione a máquina virtual SQL.
Selecione a máquina virtual relevante.
Navegue até Configurações>Extensões + aplicativos.
Selecione a extensão relevante para visualizar seu status de proteção.
Com base no motivo insalubre listado, tome as medidas apropriadas para remediar o problema.
Etapa 4: Reverificar o status da proteção
Depois de concluir a correção de todos os erros para cada instância do SQL Server, verifique novamente o status de proteção de cada instância do SQL Server.