La conexión a Microsoft Azure MS-SQL funciona en algunas regiones y falla en otras, a pesar de que se aplican las mismas reglas para todas las regiones

La conexión a Microsoft Azure MS-SQL funciona en algunas regiones y falla en otras, a pesar de que se aplican las mismas reglas para todas las regiones

14261
Created On 06/21/24 09:57 AM - Last Modified 08/14/24 01:48 AM


Symptom


  • El usuario está conectado a GlobalProtect e intenta acceder a Azure MS-SQL
  • Funciona para algunas ubicaciones de puerta de enlace y no funciona en otras ubicaciones de puerta de enlace para el mismo usuario, a pesar de que se aplican las mismas políticas para todas las puertas de enlace.

Environment


  • Acceso Prisma
  • GlobalProtect

Cause


Hay tres maneras de conectarse a Azure SQL DB: Predeterminado, Redireccionamiento y Proxy.
  1. Redireccionamiento: el usuario primero se conectará a una puerta de enlace de Azure en el puerto 1433, luego, el usuario será redirigido a una base de datos en el puerto dentro de 11000-11999.
  2. Proxy: el usuario se conectará a una puerta de enlace de Azure en el puerto 1433 y esa puerta de enlace de Azure funcionará como proxy entre el cliente y el servidor de base de datos SQL.
  3. Valor predeterminado: la directiva predeterminada es Redireccionamiento para todas las conexiones de cliente que se originan dentro de Azure y Proxy para todas las conexiones de cliente que se originan fuera. De forma predeterminada, se utiliza el modo de conexión predeterminado.
  • De forma predeterminada, el modo "Predeterminado" se selecciona en el lado de Azure. (Ref: Direcciones IP de puerta de enlace de Azure)
  • Azure hizo algunos cambios para su infraestructura, y ahora se consideran más conexiones "originalmente internas"
  • Por lo tanto, se utiliza el modo de redireccionamiento en lugar del modo proxy.
  • El problema comenzó, ya que el intervalo TCP/11000-11999 no está permitido de forma predeterminada para la aplicación mssql-db,

 

Resolution


Se puede utilizar uno de los siguientes métodos para resolver esto.

En los cortafuegos de Palo Alto:
  1. Permitir que la aplicación mssql-db en TCP/1433 y TCP/11000-11999 obtenga una conexión correcta a Azure SQL.
  2. Con esta opción, permite las conexiones de modo Redireccionamiento y Proxy, por lo que, independientemente de si Azure decide conectarse mediante Redireccionamiento o Proxy, se permiten ambos modos.
En Azure:
  1. Elija Proxy en lugar de "predeterminado" en el panel de Azure en la base de datos SQL > Redes > conectividad.
  2. Esto obligará a todas las conexiones a usar Proxy.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HDP0CAO&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language