SE の雑記

SQL Server IaaS Agent 拡張機能で新しいアクセス許可モデルの提供が開始され、「完全な sysadmin 権限」「最小特権モデル (原則) 」(least privilege mode) という二種類のアクセス許可が使用されるようになりました。

従来までのアクセス許可モデルは「完全な sysadmin 権限」と呼ばれるものとなり、現状では、

• 2022年10月より前に Azure Marketplace 経由でデプロイされた SQL Server VM
• Azure VM に SQL Server をセルフインストールした環境で SQL Server IaaS Agent 拡張機能をインストールした環境

で使用されているものとなります。

上記以外の環境や、自動登録で導入された IaaS Agent 拡張機能については「最小特権の原則」で導入が行われるようになりました。

当初から提供されていた「完全な sysadmin 権限によるアクセス許可モデル」では次の 3 種類の管理モードが提供されていました。

• エージェント無し

• Windows Server 2008 にインストールされた SQL Server 2008 / R2 に対してのみ使用可能
• ライセンスタイプの指定のみ使用することができる

• ライセンス変更 (PAYG / AHUB / DR) の機能のみを使用することができる
• FCI / 複数インスタンスの SQL Server では軽量モードのみが使用できる

• IaaS Agent の全機能を使用することができる
• 2021年9 月から再起動不要で完全モードにアップグレード可能となった

新しく提供が開始された「最小特権モデル」については、管理モードは削除され、使用される機能に応じたカスタムロールが使用され、機能に応じて必要な権限が付与されるようになりました。

これにより「最小特権モデル」では、管理モードが削除され軽量や完全モードという管理がなくなりました。

Read the rest of this entry »

SQL Server のトラブル解析に Bing AI (Bing チャット) / ChatGTP を活用することはできるのかが気になったので簡単にではありますが試してみました。

プロンプトの組み方によってはもっと精度を上げることもできるのかとは思いますが、今回はシンプルな自然言語の入力で試しています。

Read the rest of this entry »

SQL Server に対して実行するクエリについて、実行元から SQL Server に対してネットワーク遅延がある場合、実行されたクエリの処理時間はどのように記録されるのかを確認したいケースがありました。

実行元は Hyper-V の仮想マシンで実行しているので帯域制限については、ある程度はネットワークアダプターの帯域幅管理でも実現はできるのですが、明示的にネットワークに遅延を発生させることはできません。

Linux であれば、tc を使用して netem で実行することができそうですが、Windows 環境で手軽に実行したいと思った場合にどのように実行するのかを探してみたところ、clumsy というツールを使用することで実現ができました。

Read the rest of this entry »

Microsoft Edge の更新を行うとブラウザの右上に Bing アイコン (検出) が表示されるようになったので消す方法を。

Read the rest of this entry »

Azure Stack HCI と Azure を連携することで使用することができる機能として、Azure Arc 仮想マシン (Azure Arc VM) があります。

Azure Arc 仮想マシンを使用すると Azure ポータルから Azure Stack HCI に仮想マシンを展開 / 展開した仮想マシンを Azure のリソースとして扱うことができるようになります。

Azure Stack HCI 上で Azure Virtual Desktop を実現する機能となる Azure Virtual Desktop for Azure Stack HCI (AVD for Azure Stack HCI) でも、展開されるセッションホストについても、Azure Arc 仮想マシンが使用されており、この機能を活用する際にも Azure Arc 仮想マシンが活用されています。

Azure Arc 仮想マシンですが、インストールの設定については、Azure Connected Machine Agent が自動的にインストールされるのですが、このエージェントについての情報をまとめておきたいと思います。

Read the rest of this entry »

従来からの SSMS (18.x まで) でも Azure Active Directory 認証をサポートしていました。

SSMS 19.x でも引き続き Azure Active Directory 認証をサポートしていますが、認証方式が強化されました。

新しく次の認証方式が追加されています。

• Azure Active Directory – サービスプリンシパル
• Azure Active Directory – マネージド ID
• Azure Active Directory – 既定値

サービスプリンシパルとマネージド ID は今まではアプリケーションから使用する目的が多かったかと思いますが、最新の SSMS を使用することで対話型ログインでもこれらの資格情報を使用することができます。

SQL Server 2022 の Azure Active Diretory 認証 でもこれらの資格情報を使用することも可能となっています。

Read the rest of this entry »

SQL Server 2022 / Azure SQL Managed Instance では、Azure Active Directory ユーザーを使用した認証を実施することができます。

設定をする際には、最初の管理者アカウントを設定する必要がありますが、このアカウントには Azure Active Directory グループを指定することもできますので、最初の管理者にはグループを追加し、以降はグループのメンバーをメンテナンスすることで管理者を設定する運用も可能となっています。

このような「Azure Active Directory のグループを介してメンバーに権限を付与する」場合、データベースメールの利用にはいくつか気を付ける点がありますので、それをまとめておきたい思います。

Managed Instance で問題が発生している場合、同様の設定をした SQL Server 2022 でも問題が発生する可能性が高いので、デバッグにしては様々な情報を取得できる SQL Server 2022 のほうが容易かもしれません。

Read the rest of this entry »

私もきちんと理解できておらず、最近まで把握できていなかったのですが、Always Encrypted Secure Enclaves を使用するためには、HGS (Host Guardian Service) による構成証明は必須ではないようです。(実運用環境では構成したほうが良いと思いますが、機能検証をしたい場合には HGS を構成しなくても検証が可能です)

最近、SQL Database で VBS (Virtualization based security) Enclaves を使用した Always Encrypted のサポートがプレビューで開始され、次のアナウンスがありました。

• VBS enclaves for Always Encrypted in Azure SQL Database – preview

これに伴い、Always Encrypted Secure Enclaves のドキュメントを見直していて必須でないことに気づきました。

Read the rest of this entry »

SQL Server 2022 Standard / Enterprise では、従量課金 (PAYG) による SQL Server の利用が可能となり、従来の永続ライセンス (一括購入) の利用形態だけでなく、使用時間に応じた PAYG による利用が可能となりました。

• Manage SQL Server license and billing options

本ブログでも次のような投稿でも SQL Server 2022 の PAYG について触れてきました。

• SQL Server 2022 を従量課金で利用する際の参考情報
• SQL Server 2022 の PAYG による従量課金の仕組みを把握する

この PAYG の仕組みについて、SQL Server 2022 だけでなく SQL Server 2012 以降も対象となる機能追加が、2023/1 から Azure Arc 対応 SQL Server で行われました。(SQL Server の従量課金制 では 2014 以降となっていますが、2012 以降が正しいと思います)

• 2023 年 1 月

• 従量課金制 (PAYG) ライセンス オプションが SQL Server 2012 以降に拡張されました

2012~2019 を対象とした PAYG についてはまだ情報を確認している最中ですが、現状確認ができていることをまとめておきたいと思います。本利用形態はまだ情報が少ないので今後 MS の公式情報も増えていくのではないでしょうか。

Read the rest of this entry »

本日は Windows のセキュリティ更新プログラムの提供日となっていましたが、本日はリモートコードの脆弱性対応として SQL Server に対しての更新プログラムの提供も行われています。(脆弱性の例としては CVE-2023-21528 等があります)

SQL Server 2014

• KB5021037 – Description of the security update for SQL Server 2014 SP3 GDR: February 14, 2023 : 12.0.6174.8
• KB5021045 – Description of the security update for SQL Server 2014 SP3 CU4: February 14, 2023 : 12.0.6444.4

SQL Server 2016

• KB5021129 – Description of the security update for SQL Server 2016 SP3 GDR: February 14, 2023 : 13.0.6430.49

SQL Server 2017

• KB5021127 – Description of the security update for SQL Server 2017 GDR: February 14, 2023 : 14.0.2047.8
• KB5021126 – Description of the security update for SQL Server 2017 CU31: February 14, 2023 : 14.0.3460.9

SQL Server 2019

• KB5021125 – Description of the security update for SQL Server 2019 GDR: February 14, 2023 : 15.0.2101.7
• KB5021124 – Description of the security update for SQL Server 2019 CU18: February 14, 2023 : 15.0.4280.7

SQL Server 2022

• KB5021522 – Description of the security update for SQL Server 2022 GDR: February 14, 2023 : 16.0.1050.5

今回の問題は広範囲のバージョンの SQL Server に影響しており、拡張セキュリティ更新プログラム (ESU) で更新プログラムの提供がお壊れている SQL Server 2008 / 2008 R2 / 2012 にも関係するものとなっていたようです。

これにより、ESU によりこれらのバージョンでも ESU による更新プログラムの提供が開始されました。(今まではセキュリティ更新プログラムのリリースはなく、サポートでのメリット教授となっていたのですが、今回更新プログラムの提供を受けることができるようになりました)

ESU による更新プログラムの提供は GDR (General distribution release) の更新プログラムとして提供が行われるようです。

SQL Server 2008 ～ 2012 の KB の番号は次のようになるようですが、投稿時点ではまだ情報は公開されていないようです。

• SQL Server 2008 SP4 向け GDR : KB5020863
• SQL Server 2008 R2 SP3 向け GDR : KB5021112
• SQL Server 2012 SP4 向け GDR : KB5021123

特典で ESU によるセキュリティ更新プログラムを無償で受け取るためには条件がありますので、今回は Azure Stack HCI 上に構築した仮想マシンで検証をしています。

Read the rest of this entry »