CORREÇÃO: Problemas de acessibilidade da base de dados com cargas de trabalho de clientes de elevado volume que utilizam o EKM para encriptação e geração de chaves

Sintomas

As cargas de trabalho de clientes de elevado volume que utilizam a Gestão de Chaves Extensíveis (EKM) podem ter problemas intermitentes de acessibilidade da base de dados. Estes problemas de acessibilidade são causados pela criação ou rotação frequentes do ficheiro de registo virtual (VLF) que requer acesso ao Azure Key Vault (AKV). Se o AKV ou os serviços de suporte, como Microsoft Entra ID não estiverem acessíveis durante esta criação ou rotação, não poderá efetuar a criação ou rotação do VLF. Além disso, causa problemas de acessibilidade da base de dados.

As VLFs podem ser criadas ou rodadas frequentemente quando os ficheiros de registo de transações são pequenos ou o incremento de crescimento automático (aumento automático) do registo de transações é pequeno, em vez de grande o suficiente para se manter à frente das necessidades das transações da carga de trabalho. Para obter mais informações, veja Gerir o tamanho do ficheiro de registo de transações.

Pode monitorizar o tamanho e a frequência de criação de VLFs com sys.dm_db_log_info.

Solução

Este problema foi corrigido nas seguintes atualizações cumulativas para SQL Server:

• Atualização Cumulativa 1 para SQL Server 2022
• Atualização Cumulativa 19 para SQL Server 2019

Esta correção apresenta um sinalizador de rastreio de arranque (TF) 15025. Pode utilizar o TF 15025 para desativar o acesso AKV necessário para um VLF recentemente criado, o que permite que as cargas de trabalho de cliente de elevado volume continuem sem interrupções. Assim que este sinalizador de rastreio estiver ativado, SQL Server que utiliza o EKM para encriptação e geração de chaves não contacta o AKV durante a criação ou rotação do VLF.

Para marcar se a chave no AKV ainda estiver a ser utilizada ou precisar de ser desativada, tem de realizar uma das seguintes operações na base de dados:

• Faça uma cópia de segurança (qualquer tipo de cópia de segurança) da base de dados ou do registo de transações.
• Execute DBCC CHECKDB na base de dados encriptada.
• Defina a base de dados encriptada para o OFFLINE estado e, em seguida, para o ONLINE estado .
• Create uma base de dados instantâneo da base de dados encriptada.

Em qualquer uma das operações listadas, SQL Server contactará o AKV e marcar o acesso à chave durante esta operação se a chave existir no AKV.

Mesmo que ative o TF 15025, estas operações continuarão a atingir o AKV.

Pode executar a seguinte instrução Transact-SQL (T-SQL) para marcar a status da chave numa base de dados:

SELECT * FROM sys.dm_database_encryption_keys

Acerca das atualizações cumulativas do SQL Server

Cada nova atualização cumulativa para SQL Server contém todas as correções e correções de segurança que estavam na compilação anterior. Recomendamos que instale a compilação mais recente para a sua versão do SQL Server:

• Atualização cumulativa mais recente para SQL Server 2022
• Atualização cumulativa mais recente do SQL Server 2019

Status

A Microsoft confirmou que este é um problema nos produtos Microsoft listados na seção "Aplicável a".

Referências

• Gestão de Chaves Extensíveis (EKM)
• Gerir o tamanho do ficheiro de registo de transações
• sys.dm_db_log_info (Transact-SQL)
• sys.dm_database_encryption_keys (Transact-SQL)
• Opções ALTER DATABASE SET (Transact-SQL)
• Saiba mais sobre a terminologia que a Microsoft utiliza para descrever as atualizações de software