CORREÇÃO: Problemas de acessibilidade do banco de dados com cargas de trabalho de cliente de alto volume que usam EKM para criptografia e geração de chaves

• Aplica-se a:

  SQL Server 2022 on Windows, SQL Server 2019 on Windows

Sintomas

Cargas de trabalho de cliente de alto volume que usam o EKM (Gerenciamento extensível de chaves) podem ter problemas intermitentes de acessibilidade de banco de dados. Esses problemas de acessibilidade são causados pela criação ou rotação frequentes do VLF (arquivo de log virtual) que requer acesso ao Azure Key Vault (AKV). Se o AKV ou serviços de suporte como Microsoft Entra ID não estiverem acessíveis durante essa criação ou rotação, você não poderá executar a criação ou rotação do VLF. Além disso, causa problemas de acessibilidade do banco de dados.

As VLFs podem ser criadas ou giradas com frequência quando os arquivos de log de transações são pequenos ou o incremento automático (crescimento automático) do log de transações é pequeno, em vez de grande o suficiente para ficar à frente das necessidades das transações de carga de trabalho. Para obter mais informações, consulte Gerenciar o tamanho do arquivo de log de transações.

Você pode monitorar o tamanho e a frequência de criação de VLFs usando sys.dm_db_log_info.

Resolução

Esse problema é corrigido nas seguintes atualizações cumulativas para SQL Server:

• Atualização cumulativa 1 para SQL Server 2022
• Atualização cumulativa 19 para SQL Server 2019

Essa correção apresenta um TF (sinalizador de rastreamento de inicialização) 15025. Você pode usar o TF 15025 para desabilitar o acesso AKV necessário para um VLF recém-criado, o que permite que cargas de trabalho de cliente de alto volume continuem sem interrupção. Depois que esse sinalizador de rastreamento estiver habilitado, SQL Server que usa o EKM para criptografia e geração de chaves não entra em contato com o AKV durante a criação ou rotação do VLF.

Para marcar se a chave no AKV ainda estiver em uso ou precisar ser desabilitada, você deverá executar uma das seguintes operações no banco de dados:

• Faça um backup (qualquer tipo de backup) do banco de dados ou do log de transações.
• Execute DBCC CHECKDB no banco de dados criptografado.
• Defina o banco de dados criptografado para o OFFLINE estado e, em seguida, para o ONLINE estado.
• Crie um banco de dados instantâneo do banco de dados criptografado.

Em qualquer uma das operações listadas, SQL Server entrará em contato com o AKV e marcar o acesso à chave durante essa operação se a chave existir no AKV.

Mesmo que você habilite o TF 15025, essas operações ainda alcançarão o AKV.

Você pode executar a seguinte instrução T-SQL (Transact-SQL) para marcar o status da chave em um banco de dados:

SELECT * FROM sys.dm_database_encryption_keys

Sobre atualizações cumulativas para SQL Server

Cada nova atualização cumulativa para SQL Server contém todos os hotfixes e correções de segurança que estavam no build anterior. Recomendamos instalar o build mais recente para sua versão do SQL Server:

• Atualização cumulativa mais recente para SQL Server 2022
• Atualização cumulativa mais recente para SQL Server 2019

Status

A Microsoft confirmou que este é um problema nos produtos Microsoft listados na seção "Aplicável a".

Referências

• Gerenciamento extensível de chaves (EKM)
• Gerenciar o tamanho do arquivo de log de transações
• sys.dm_db_log_info (Transact-SQL)
• sys.dm_database_encryption_keys (Transact-SQL)
• Opções ALTER DATABASE SET (Transact-SQL)
• Saiba mais sobre a terminologia que a Microsoft usa para descrever atualizações de software