La connexion à Microsoft Azure MS-SQL fonctionne pour certaines régions et échoue pour d’autres, bien que les mêmes règles soient appliquées à toutes les régions

La connexion à Microsoft Azure MS-SQL fonctionne pour certaines régions et échoue pour d’autres, bien que les mêmes règles soient appliquées à toutes les régions

14261
Created On 06/21/24 09:57 AM - Last Modified 08/14/24 01:42 AM


Symptom


  • L’utilisateur est connecté à GlobalProtect et tente d’accéder à Azure MS-SQL
  • Il fonctionne pour certains emplacements de passerelle et échoue pour d’autres emplacements de passerelle pour le même utilisateur, bien que les mêmes stratégies soient appliquées pour toutes les passerelles.

Environment


  • Accès Prisma
  • Protection globale

Cause


Il existe trois façons de se connecter à Azure SQL DB : par défaut, Redirection et Proxy.
  1. Redirection : l’utilisateur se connectera d’abord à une passerelle Azure sur le port 1433, puis à une base de données sur le port 11000-11999.
  2. Proxy : l’utilisateur se connectera à une passerelle Azure sur le port 1433, et cette passerelle Azure fonctionnera comme un proxy entre le client et le serveur de base de données SQL.
  3. Par défaut : la stratégie par défaut est Redirect pour toutes les connexions client provenant de l’intérieur d’Azure et Proxy pour toutes les connexions client provenant de l’extérieur. Par défaut, le mode de connexion par défaut est utilisé.
  • Par défaut, le mode « Par défaut » est sélectionné du côté Azure. (Réf : Azure- Adresses IP de la passerelle)
  • Azure a apporté quelques modifications à son infrastructure, et maintenant plus de connexions sont considérées comme « à l’origine »
  • C’est pourquoi le mode Redirection est utilisé à la place du mode Proxy.
  • Le problème a commencé, car la plage TCP/11000-11999 n'est pas autorisée par défaut pour l'application mssql-db,

 

Resolution


L’une des méthodes suivantes peut être utilisée pour résoudre ce problème.

Sur les pare-feu de Palo Alto :
  1. Autorisez l’application mssql-db sur TCP/1433 et TCP/11000-11999 pour obtenir une connexion réussie à Azure SQL.
  2. À l’aide de cette option, vous autorisez à la fois les connexions en mode Redirection et Proxy, donc qu’Azure décide de se connecter à l’aide de la Redirection ou du Proxy, les deux modes sont autorisés.
Sur Azure :
  1. Choisissez Proxy au lieu de « par défaut » dans le tableau de bord Azure sous la base de données SQL > Mise en réseau > la connectivité.
  2. Cela forcera toutes les connexions à utiliser le proxy.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HDP0CAO&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language