Die Verbindung zu Microsoft Azure MS-SQL funktioniert in einigen Regionen und schlägt in anderen fehl, obwohl für alle Regionen die gleichen Regeln angewendet werden

Die Verbindung zu Microsoft Azure MS-SQL funktioniert in einigen Regionen und schlägt in anderen fehl, obwohl für alle Regionen die gleichen Regeln angewendet werden

14261
Created On 06/21/24 09:57 AM - Last Modified 08/14/24 01:47 AM


Symptom


  • Der Benutzer ist mit GlobalProtect verbunden und versucht, auf Azure MS-SQL zuzugreifen
  • Es funktioniert für einige Gateway-Standorte und schlägt bei anderen Gateway-Standorten für denselben Benutzer fehl, obwohl für alle Gateways dieselben Richtlinien angewendet werden.

Environment


  • Prisma-Zugang
  • GlobalProtect

Cause


Es gibt drei Möglichkeiten, eine Verbindung mit Azure SQL-Datenbank herzustellen: Standard, Umleitung und Proxy.
  1. Umleitung: Der Benutzer stellt zuerst eine Verbindung mit einem Azure-Gateway an Port 1433 her, dann wird er zu einer Datenbank an Port zwischen 11000 und 11999 umgeleitet.
  2. Proxy: Der Benutzer stellt eine Verbindung mit einem Azure-Gateway an Port 1433 her, und dieses Azure-Gateway fungiert als Proxy zwischen dem Client und dem SQL-Datenbankserver.
  3. Standard: Die Standardrichtlinie lautet Umleitung für alle Clientverbindungen, die aus Azure stammen, und Proxy für alle Clientverbindungen, die von außerhalb stammen. Standardmäßig wird der Standardverbindungsmodus verwendet.
  • Standardmäßig ist der Modus "Standard" auf der Azure-Seite ausgewählt. (Bezug: Azure-Gateway-IP-Adressen)
  • Azure hat einige Änderungen an seiner Infrastruktur vorgenommen, und jetzt werden mehr Verbindungen als "ursprünglich innen" betrachtet
  • Daher wird der Umleitungsmodus anstelle des Proxy-Modus verwendet.
  • Das Problem begann, da der Bereich TCP/11000-11999 für die Anwendung mssql-db standardmäßig nicht zulässig ist.

 

Resolution


Eine der folgenden Methoden kann verwendet werden, um dieses Problem zu beheben.

Auf Palo Alto Firewalls:
  1. Zulassen, dass die mssql-db-Anwendung sowohl auf TCP/1433 als auch auf TCP/11000-11999 eine erfolgreiche Verbindung mit Azure SQL herstellt.
  2. Mit dieser Option lassen Sie sowohl die Verbindungen im Umleitungsmodus als auch im Proxymodus zu, sodass unabhängig davon, ob Azure sich für die Verbindung über die Umleitung oder den Proxy entscheidet, beide Modi zulässig sind.
In Azure:
  1. Wählen Sie im Azure-Dashboard unter der SQL-Datenbank > Netzwerk- >Konnektivität die Option Proxy anstelle von "Standard" aus.
  2. Dadurch wird erzwungen, dass alle Verbindungen den Proxy verwenden.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HDP0CAO&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language