Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Důležité
Tento článek se týká komerčních cloudů. Pokud používáte cloudy pro státní správu, přečtěte si článek o řešení potíží s programem Defender for SQL na počítačích v konfiguraci pro státní správu .
Před zahájením kroků pro řešení potíží musíte na počítačích povolit Defender pro SQL Server na úrovni předplatného nebo prostředku SQL.
Krok 1: Požadované prostředky a proces povolení
Defender pro SQL Server na počítačích automaticky vytvoří na vašich počítačích následující prostředky:
| Typ prostředku | Úroveň vytvořená |
|---|---|
| Spravovaná identita systému (vytvořená pouze v případě, že spravovaná identita definovaná uživatelem neexistuje) | Virtuální počítač / Server s podporou arc, který je hostitelem instance SQL Serveru |
| Rozšíření Defender for SQL | Rozšíření se nainstaluje na každý virtuální počítač nebo server s podporou arc, který je hostitelem instance SQL Serveru. |
Když povolíte Defender pro SQL Server v předplatném nebo zadaném SQL Serveru, provede následující akce pro ochranu každé instance SQL Serveru:
- Vytvoří identitu spravovanou systémem, pokud v předplatném neexistuje žádná identita spravovaná uživatelem.
- Nainstaluje rozšíření Defender for SQL na virtuální počítač nebo server s podporou arc, který je hostitelem SQL Serveru.
- Zosobní uživatele systému Windows se službou SQL Server (výchozí role správce systému) pro přístup k instanci SQL Serveru.
Krok 2: Ujistěte se, že splňujete požadavky
Oprávnění předplatného: K nasazení plánu pro předplatné, včetně Azure Policy, potřebujete oprávnění vlastníka předplatného .
Oprávnění instance SYSTÉMU SQL Server: Účty služby SYSTÉMU SQL Server musí mít v každé instanci SYSTÉMU SQL Server pevnou roli serveru sysadmin , což je výchozí nastavení. Přečtěte si další informace o požadavku na účet služby SQL Serveru.
Podporované prostředky:
- Podporují se virtuální počítače SQL a instance SQL Serveru Azure Arc.
- Místní počítače musí být nasazené do služby Arc a zaregistrované jako instance SQL Serveru Azure Arc.
Komunikace: Povolte odchozí provoz HTTPS přes port TCP (Transmission Control Protocol) 443 pomocí protokolu TLS (Transport Layer Security) na *.<region>.arcdataservices.com adresu URL. Přečtěte si další informace o požadavcích na adresu URL.
Rozšíření: Zajistěte, aby tato rozšíření nebyla ve vašem prostředí blokovaná. Přečtěte si další informace o omezení instalace rozšíření na virtuálních počítačích s Windows.
-
Defender pro SQL (IaaS a Arc)
- Vydavatel: Microsoft.Azure.AzureDefenderForSQL
- Typ: AdvancedThreatProtection.Windows
-
Rozšíření SQL IaaS (IaaS)
- Vydavatel: Microsoft.SqlServer.Management
- Typ: SqlIaaSAgent
-
Rozšíření SQL IaaS (Arc)
- Vydavatel: Microsoft.AzureData
- Typ: WindowsAgent.SqlServer
-
Defender pro SQL (IaaS a Arc)
Podporované verze SQL Serveru – SQL Server 2012 R2 (11.x) a novější verze.
Podporované operační systémy – SQL Server 2012 R2 a novější verze.
Krok 3: Identifikace a řešení chybná konfigurace ochrany na úrovni instance SQL Serveru
Postupujte podle procesu ověření a identifikujte chybné konfigurace ochrany v instancích SQL Serveru.
Doporučení The status of Microsoft SQL Servers on Machines should be protected se dá použít k ověření stavu ochrany SQL Serverů, ale doporučení by se mělo napravit na úrovni prostředku. Každý server SQL, který je nechráněný, je identifikován v části prostředku, která není v pořádku, v doporučení se zobrazeným stavem ochrany a důvodem.
Důležité
Doporučení se aktualizuje pouze každých 12 hodin. Pokud chcete zkontrolovat stav počítače v reálném čase, musíte ověřit stav ochrany každého SQL serveru a v případě potřeby provést řešení potíží.
K vyřešení chybné konfigurace použijte odpovídající důvod špatného stavu a doporučené akce:
| Důvod není v pořádku | Doporučená akce |
|---|---|
| Chybějící identita | Přiřaďte spravovanou identitu definovanou uživatelem nebo systémem definovanou virtuálnímu počítači nebo serveru s podporou arc, který je hostitelem instance SQL Serveru. Nevyžadují se žádná oprávnění řízení přístupu na základě role. |
| Rozšíření Defender for SQL neexistuje. | Ujistěte se, že zásady zamítnutí Azure neblokují rozšíření Defender for SQL: – Vydavatel: Microsoft.Azure.AzureDefenderForSQL - Typ: AdvancedThreatProtection.Windows Ručně nainstalujte rozšíření Defender for SQL na virtuální počítač hostováním instance SQL Serveru pomocí poskytnutého skriptu. Ujistěte se, že máte verzi 2.X nebo vyšší. 1. Spusťte tento skript. Set-AzVMExtension -Publisher 'Microsoft.Azure.AzureDefenderForSQL' -ExtensionType 'AdvancedThreatProtection.Windows' -ResourceGroupName 'resourceGroupeName' -VMName <Vm name> -Name 'Microsoft.Azure.AzureDefenderForSQL.AdvancedThreatProtection.Windows' -TypeHandlerVersion '2.0' -Location 'vmLocation' -EnableAutomaticUpgrade $true 2. Spuštěním tohoto skriptu nastavte kontext správného předplatného: connect-AzAccount -Subscription SubscriptionId -UseDeviceAuthentication |
| Rozšíření Defender for SQL by mělo být up-to-date | Aktualizujte rozšíření na stránce Rozšíření v prostředku serveru s podporou arc nebo virtuálního počítače. |
| Chyba při instalaci rozšíření Defender for SQL | Pokud chcete tento problém vyřešit, zkontrolujte stav rozšíření Defender for SQL na portálu. |
| Instance SQL Serveru je neaktivní | Defender pro SQL server na počítačích může chránit pouze aktivní (spuštěné) instance SQL Serveru. |
| Chybějící oprávnění | Ujistěte se, že je účet služby SQL Server členem pevné role serveru správce systému v každé instanci SQL Serveru (výchozí nastavení). Přečtěte si další informace o oprávněních služby SQL Serveru. |
| Nedostatek komunikace | Ujistěte se, že odchozí provoz HTTPS na portu TCP 443 pomocí protokolu TLS (Transport Layer Security) je povolený z virtuálního počítače nebo serveru s podporou arc na *.<region>.arcdataservices.com adresu URL. Další informace o požadavcích na adresu URL |
| Je potřeba restartovat SQL Server. | Restartujte instanci SQL Serveru, aby se projevila instalace Defenderu pro SQL Server. |
| Vnitřní chyba | Kontaktujte prosím podporu. |
Více instancí SQL Serveru na stejném virtuálním počítači
Pokud máte na stejném virtuálním počítači nainstalovaných více instancí SQL Serveru, doporučení The status of Microsoft SQL Servers on Machines should be protected nemůže rozlišovat mezi instancemi. Pokud chcete korelovat chybovou zprávu s odpovídající instancí SQL Serveru, zkontrolujte chybovou zprávu v rozšíření Defender for SQL. Rozšíření Defender for SQL může pro každou instanci zobrazit následující důvody:
- Restartujte SQL Server.
- Ověření oprávnění
- Ujistěte se, že je instance SQL Serveru aktivní.
Na webu Azure Portal vyhledejte a vyberte virtuální počítač SQL.
Vyberte příslušný virtuální počítač.
Přejděte na Rozšíření nastavení>a aplikace.
Výběrem příslušného rozšíření zobrazíte stav ochrany.
Na základě uvedeného důvodu, který není v pořádku, proveďte příslušnou akci k nápravě problému.
Krok 4: Obnovení stavu ochrany
Po dokončení nápravy všech chyb pro každou instanci SQL Serveru vraťte stav ochrany každé instance SQL Serveru.