ИСПРАВЛЕНИЕ. Проблемы со специальными возможностями базы данных с рабочими нагрузками клиентов с большим объемом, которые используют EKM для шифрования и создания ключей

• Применяется к:

  SQL Server 2022 on Windows, SQL Server 2019 on Windows

Симптомы

Рабочие нагрузки клиентов с большим объемом, использующие расширяемое управление ключами (EKM), могут возникать периодические проблемы со специальными возможностями базы данных. Эти проблемы со специальными возможностями вызваны частым созданием или поворотом файла виртуального журнала (VLF), требующего доступа к Azure Key Vault (AKV). Если AKV или вспомогательные службы, такие как идентификатор Microsoft Entra, недоступны во время создания или смены, невозможно выполнить создание или смену VLF. Кроме того, это приводит к проблемам со специальными возможностями базы данных.

VLFs можно создавать или поворачивать часто, если файлы журнала транзакций небольшие или автоматический рост журнала транзакций (автоматическое увеличение) небольшие, а не достаточно большие, чтобы оставаться перед потребностями транзакций рабочей нагрузки. Дополнительные сведения см. в разделе "Управление размером файла журнала транзакций".

Вы можете отслеживать размер и частоту создания VLFS с помощью sys.dm_db_log_info.

Решение

Эта проблема устранена в следующих накопительных обновлениях для SQL Server:

• Накопительное обновление 1 для SQL Server 2022
• Накопительное обновление 19 для SQL Server 2019

Это исправление представляет флаг трассировки запуска (TF) 15025. Вы можете использовать TF 15025, чтобы отключить доступ AKV, необходимый для недавно созданного VLF, что позволяет рабочим нагрузкам клиентов большого объема продолжать работу без прерывания. После включения этого флага трассировки SQL Server, использующего EKM для шифрования и создания ключей, не обращается к AKV во время создания или смены VLF.

Чтобы проверить, используется ли ключ в AKV или его необходимо отключить, необходимо выполнить одну из следующих операций в базе данных:

• Создайте резервную копию (любой тип резервного копирования) базы данных или журнала транзакций.
• Запустите DBCC CHECKDB базу данных с зашифрованной базой данных.
• Установите зашифрованную базу данных в OFFLINE состояние, а затем в ONLINE состояние.
• Создайте моментальный снимок базы данных зашифрованной базы данных.

В любой из перечисленных операций SQL Server обращается к AKV и проверяет доступ к ключу во время этой операции, если ключ существует в AKV.

Даже если включить TF 15025, эти операции по-прежнему будут достигать AKV.

Чтобы проверить состояние ключа в базе данных, можно выполнить следующую инструкцию Transact-SQL (T-SQL):

SELECT * FROM sys.dm_database_encryption_keys

Сведения о накопительных обновлениях для SQL Server

Каждое новое накопительное обновление для SQL Server содержит все исправления и исправления безопасности, которые были в предыдущей сборке. Рекомендуется установить последнюю сборку для вашей версии SQL Server:

• Последнее накопительное обновление для SQL Server 2022
• Последнее накопительное обновление для SQL Server 2019

Состояние

Данное поведение является подтвержденной ошибкой продуктов Майкрософт, перечисленных в разделе «Применимо к».

Ссылки

• Расширенное управление ключами (EKM)
• Управление размером файла журнала транзакций
• sys.dm_db_log_info (Transact-SQL)
• sys.dm_database_encryption_keys (Transact-SQL)
• Параметры ALTER DATABASE SET (Transact SQL)
• Сведения о терминологии, которую корпорация Майкрософт использует для описания обновлений программного обеспечения