Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
Questo articolo si applica ai cloud commerciali. Se si utilizzano i cloud per enti pubblici, vedere l'articolo Risolvere i problemi della configurazione di Defender per SQL in computer per enti pubblici.
Prima di iniziare i passaggi per la risoluzione dei problemi, è necessario abilitare Defender per SQL Server nei computer a livello di sottoscrizione o di risorsa SQL.
Passaggio 1: Risorse necessarie e processo di abilitazione
Defender for SQL Server in Macchine crea automaticamente le seguenti risorse nelle macchine:
| Tipo di risorsa | Livello creato |
|---|---|
| Identità gestita di sistema (creata solo se non esiste un'identità gestita definita dall'utente) | Macchina virtuale/server abilitato per Arc che ospita l'istanza di SQL Server |
| Defender per l'estensione SQL | L'estensione viene installata in ogni macchina virtuale/server abilitato per Arc che ospita l'istanza di SQL Server |
Quando si abilita Defender per SQL Server in una sottoscrizione o in un SQL Server specificato, esegue le azioni seguenti per proteggere ogni istanza di SQL Server:
- Crea un'identità gestita dal sistema se non è presente alcuna identità gestita dall'utente nella sottoscrizione.
- Installa l'estensione Defender for SQL nella macchina virtuale o nel server abilitato per Arc che ospita SQL Server.
- Rappresenta l'utente Windows che esegue il servizio SQL Server (ruolo sysadmin predefinito) per accedere all'istanza di SQL Server.
Passaggio 2: Assicurarsi di soddisfare i prerequisiti
Autorizzazioni di sottoscrizione: per distribuire il piano su una sottoscrizione, inclusi i criteri di Azure, sono necessarie le autorizzazioni di Proprietario della sottoscrizione.
Autorizzazioni dell'istanza di SQL Server: gli account del servizio SQL Server devono avere il ruolo del server fisso sysadmin su ogni istanza di SQL Server, che è l'impostazione predefinita. Altre informazioni sui requisiti dell'account del servizio SQL Server.
Risorse supportate:
- Sono supportate macchine virtuali SQL e istanze di SQL Server di Azure Arc.
- I computer locali devono essere integrati in Arc e registrati come istanze di SQL Server Arc di Azure.
Comunicazione: consentire il traffico HTTPS in uscita sulla porta TCP (Transmission Control Protocol) 443 tramite Transport Layer Security (TLS) all'URL *.<region>.arcdataservices.com . Altre informazioni sui requisiti dell'URL.
Estensioni: assicurarsi che queste estensioni non siano bloccate nell'ambiente. Altre informazioni sulla limitazione dell'installazione delle estensioni nelle macchine virtuali Windows.
-
Defender per SQL (IaaS e Arc)
- Server di pubblicazione: Microsoft.Azure.AzureDefenderForSQL
- Tipo: AdvancedThreatProtection.Windows
-
Estensione SQL IaaS (IaaS)
- Entità di pubblicazione: Microsoft.SqlServer.Management
- Tipo: SqlIaaSAgent
-
Estensione SQL IaaS (Arc)
- Entità di pubblicazione: Microsoft.AzureData
- Tipo: WindowsAgent.SqlServer
-
Defender per SQL (IaaS e Arc)
Versioni SQL Server supportate: SQL Server 2012 R2 (11.x) e versioni successive.
Sistemi operativi supportati: SQL Server 2012 R2 e versioni successive.
Passaggio 3: Identificare e risolvere errori di configurazione della protezione a livello di istanza di SQL Server
Seguire il processo di verifica per identificare le configurazioni errate di protezione nelle istanze di SQL Server.
La raccomandazione The status of Microsoft SQL Servers on Machines should be protected può essere usata per verificare lo stato di protezione di SQL Server, ma la raccomandazione deve essere risolta a livello di risorsa. Qualsiasi server SQL non protetto viene identificato nella sezione delle risorse non integre della raccomandazione con uno stato di protezione elencato e un motivo.
Importante
La raccomandazione viene aggiornata solo ogni 12 ore. Per controllare lo stato in tempo reale della macchina, è necessario verificare lo stato di protezione di ciascun server SQL ed eseguire, se necessario, le eventuali procedure di risoluzione dei problemi.
Usare il motivo dello stato non integro corrispondente e le azioni consigliate per risolvere l'errata configurazione:
| Motivo non integro | Azione consigliata |
|---|---|
| Identità mancante | Assegnare l'identità gestita definita dall'utente/definita dal sistema al server abilitato per la macchina virtuale/Arc che ospita l'istanza di SQL Server. Non sono necessarie autorizzazioni di controllo degli accessi in base al ruolo. |
| Defender per l'estensione SQL non esiste | Assicurarsi che il Defender per l'estensione SQL non sia bloccato dai criteri di negazione Azure: - Publisher: Microsoft.Azure. AzureDefenderForSQL - Tipo: AdvancedThreatProtection.Windows Installare manualmente il Defender per l'estensione SQL nella macchina virtuale ospitando l'istanza di SQL Server usando lo script fornito. Assicurarsi di avere la versione 2.X o successiva. 1. Eseguire questo script Set-AzVMExtension -Publisher 'Microsoft.Azure.AzureDefenderForSQL' -ExtensionType 'AdvancedThreatProtection.Windows' -ResourceGroupName 'resourceGroupeName' -VMName <Vm name> -Name 'Microsoft.Azure.AzureDefenderForSQL.AdvancedThreatProtection.Windows' -TypeHandlerVersion '2.0' -Location 'vmLocation' -EnableAutomaticUpgrade $true 2. Eseguire questo script per impostare il contesto della sottoscrizione corretta: connect-AzAccount -Subscription SubscriptionId -UseDeviceAuthentication |
| L'estensione di Defender per SQL deve essere aggiornata | Aggiornare l'estensione nella pagina Estensioni della risorsa della macchina virtuale/del server abilitato per Arc. |
| Errore durante l'installazione del Defender per l'estensione SQL | Controllare lo stato dell'estensione SQL Defender nel portale per altre informazioni per risolvere il problema. |
| L'istanza di SQL Server è inattiva | Defender per SQL Server nei computer può proteggere solo le istanze di SQL Server attive (in esecuzione). |
| Autorizzazioni mancanti | Assicurarsi che l'account del servizio SQL Server sia membro del ruolo predefinito del server sysadmin in ogni istanza SQL Server (impostazione predefinita). Altre informazioni sulle autorizzazioni del servizio SQL Server. |
| Mancanza di comunicazione | Assicurarsi che il traffico HTTPS in uscita sulla porta TCP 443 tramite Transport Layer Security (TLS) sia consentito dalla macchina virtuale/server abilitato per Arc all'URL *.<region>.arcdataservices.com. Altre informazioni sui requisiti dell'URL |
| È necessario riavviare SQL Server | Riavviare l'istanza di SQL Server in modo che il Defender per l'installazione di SQL Server sia effettivo. |
| Errore interno | Contattare il supporto tecnico. |
Più istanze di SQL Server nella stessa macchina virtuale
Se nella stessa macchina virtuale sono installate più istanze di SQL Server, la raccomandazione The status of Microsoft SQL Servers on Machines should be protected non può distinguere tra le istanze. Per correlare il messaggio di errore con l'istanza di SQL Server corrispondente, controllare il messaggio di errore nel Defender per l'estensione SQL. Il Defender per l'estensione SQL può visualizzare i motivi seguenti per ogni istanza:
- Riavviare il SQL Server
- Verificare le autorizzazioni
- Verificare che l'istanza di SQL Server sia attiva
Nel portale di Azure cercare e selezionare Macchina virtuale SQL.
Selezionare la macchina virtuale pertinente.
Vai su Impostazioni>Estensioni e applicazioni.
Selezionare l'estensione pertinente per visualizzarne lo stato di protezione.
In base al motivo dello stato non integro indicato, intraprendere l'azione appropriata per risolvere il problema.
Passaggio 4: Ripristinare lo stato di protezione
Dopo aver completato la correzione di tutti gli errori per ogni istanza di SQL Server, ripristinare lo stato di protezione di ogni istanza di SQL Server.