CORRECCIÓN: Problemas de accesibilidad de la base de datos con cargas de trabajo de clientes de gran volumen que usan EKM para el cifrado y la generación de claves
Síntomas
Las cargas de trabajo de clientes de gran volumen que usan Administración extensible de claves (EKM) pueden experimentar problemas intermitentes de accesibilidad de la base de datos. Estos problemas de accesibilidad se deben a la creación o rotación frecuentes del archivo de registro virtual (VLF) que requiere acceso a Azure Key Vault (AKV). Si AKV o servicios auxiliares como Microsoft Entra ID no son accesibles durante esta creación o rotación, no puede realizar la creación o rotación de la VLF. Además, provoca problemas de accesibilidad de la base de datos.
Las VLF se pueden crear o girar con frecuencia cuando los archivos de registro de transacciones son pequeños o el incremento automático (crecimiento automático) del registro de transacciones es pequeño, en lugar de lo suficientemente grande como para estar por delante de las necesidades de las transacciones de carga de trabajo. Para obtener más información, vea Administrar el tamaño del archivo de registro de transacciones.
Puede supervisar el tamaño y la frecuencia de creación de las VLF mediante sys.dm_db_log_info.
Solución
Este problema se ha corregido en las siguientes actualizaciones acumulativas para SQL Server:
Esta corrección presenta una marca de seguimiento de inicio (TF) 15025. Puede usar TF 15025 para deshabilitar el acceso de AKV necesario para un VLF recién creado, lo que permite que las cargas de trabajo de clientes de gran volumen continúen sin interrupción. Una vez habilitada esta marca de seguimiento, SQL Server que usa EKM para el cifrado y la generación de claves no se pone en contacto con AKV durante la creación o rotación del VLF.
Para comprobar si la clave de AKV sigue en uso o necesita deshabilitarse, debe realizar una de las siguientes operaciones en la base de datos:
- Realice una copia de seguridad (cualquier tipo de copia de seguridad) de la base de datos o del registro de transacciones.
- Ejecute
DBCC CHECKDB
en la base de datos cifrada. - Establezca la base de datos cifrada en el
OFFLINE
estado y, a continuación, en elONLINE
estado . - Create una instantánea de base de datos de la base de datos cifrada.
En cualquiera de las operaciones enumeradas, SQL Server se pondrá en contacto con AKV y comprobará el acceso a la clave durante esta operación si la clave existe en AKV.
Incluso si habilita TF 15025, estas operaciones seguirán llegando a AKV.
Puede ejecutar la siguiente instrucción Transact-SQL (T-SQL) para comprobar el estado de la clave en una base de datos:
SELECT * FROM sys.dm_database_encryption_keys
Acerca de las actualizaciones acumulativas de SQL Server
Cada nueva actualización acumulativa de SQL Server contiene todas las revisiones y correcciones de seguridad que se encontraban en la compilación anterior. Se recomienda instalar la compilación más reciente para la versión de SQL Server:
- Actualización acumulativa más reciente de SQL Server 2022
- Actualización acumulativa más reciente de SQL Server 2019
Estado
Microsoft ha confirmado que se trata de un problema de los productos de Microsoft enumerados en la sección "Se aplica a".
Referencias
- Administración extensible de claves (EKM)
- Administrar el tamaño del archivo de registro de transacciones
- sys.dm_db_log_info (Transact-SQL)
- sys.dm_database_encryption_keys (Transact-SQL)
- Opciones ALTER DATABASE SET (Transact-SQL)
- Obtenga información sobre la terminología que Usa Microsoft para describir las actualizaciones de software.