修正: 暗号化とキーの生成に EKM を使用する大量の顧客ワークロードに関するデータベース アクセシビリティの問題
現象
Extensible Key Management (EKM) を使用する大量の顧客ワークロードでは、データベースのアクセシビリティに関する断続的な問題が発生する可能性があります。 これらのアクセシビリティの問題は、Azure Key Vault (AKV) へのアクセスを必要とする仮想ログ ファイル (VLF) の頻繁な作成またはローテーションによって発生します。 この作成時またはローテーション中に AKV または Microsoft Entra ID などのサポート サービスにアクセスできない場合、VLF の作成またはローテーションを実行することはできません。 さらに、データベースのアクセシビリティの問題が発生します。
トランザクション ログ ファイルが小さい場合、またはトランザクション ログの自動拡張 (自動拡張) インクリメントが小さい場合は、ワークロード トランザクションのニーズを先取りするのに十分な大きさではなく、VTF を頻繁に作成またはローテーションできます。 詳細については、「 トランザクション ログ ファイルのサイズを管理するを参照してください。
sys.dm_db_log_infoを使用して、VTF のサイズと作成頻度を監視できます。
解決方法
この問題は、SQL Server の次の累積的な更新プログラムで修正されます。
この修正プログラムでは、スタートアップ トレース フラグ (TF) 15025 が導入されています。 TF 15025 を使用して、新しく作成された VLF に必要な AKV アクセスを無効にすることができます。これにより、大量の顧客ワークロードを中断することなく続行できます。 このトレース フラグが有効になると、暗号化とキーの生成に EKM を使用する SQL Server は、VLF の作成またはローテーション中に AKV に接続しません。
AKV のキーがまだ使用中か、無効にする必要があるかどうかを確認するには、データベースに対して次のいずれかの操作を実行する必要があります。
- データベースまたはトランザクション ログのバックアップ (任意の種類のバックアップ) を作成します。
- 暗号化されたデータベースに対して
DBCC CHECKDB
を実行します。 - 暗号化されたデータベースを
OFFLINE
状態に設定してから、ONLINE
状態に設定します。 - 暗号化されたデータベースのデータベース スナップショットを作成します。
一覧表示されている操作のいずれかで、SQL Server は AKV に接続し、キーが AKV に存在する場合は、この操作中にキー アクセスを確認します。
TF 15025 を有効にしても、これらの操作は AKV に到達します。
次の Transact-SQL (T-SQL) ステートメントを実行して、データベース内のキーの状態を確認できます。
SELECT * FROM sys.dm_database_encryption_keys
SQL Server の累積的な更新プログラムについて
SQL Server の各新しい累積的な更新プログラムには、以前のビルドにあったすべての修正プログラムとセキュリティ修正プログラムが含まれています。 SQL Server のバージョンに合わせて最新のビルドをインストールすることをお勧めします。
状態
マイクロソフトでは、この問題をこの資料の対象製品として記載されているマイクロソフト製品の問題として認識しています。
関連情報
- 拡張キー管理 (EKM)
- トランザクション ログ ファイルのサイズの管理
- sys.dm_db_log_info (Transact-SQL)
- sys.dm_database_encryption_keys (Transact-SQL)
- ALTER DATABASE SET オプション (Transact-SQL)
- Microsoft がソフトウェア更新プログラムの説明に使用するについて説明します