Enhanced encryption

Applies to: SQL Server Analysis Services Azure Analysis Services Fabric/Power BI Premium

O SQL Server 2022 Analysis Services (SSAS) CU1 e versões posteriores incluem criptografia aprimorada para determinadas operações de gravação no esquema de banco de dados modelo. Ao atualizar de uma versão anterior do SSAS, você deve atualizar seus bancos de dados modelo para usar a criptografia mais recente. Se a criptografia não for atualizada, determinadas operações de gravação de esquema de banco de dados serão bloqueadas. Por exemplo, não é possível adicionar uma nova fonte de dados ou alterar cadeias de conexão.

Atualizando bancos de dados de modelo tabular

Para bancos de dados de modelo tabular no nível de compatibilidade 1600 e superior, o seguinte erro pode ser retornado durante determinadas operações de gravação de esquema:

"New Tabular database '%{DatabaseName/}' não está usando o esquema de criptografia mais recente. Execute o comando RemoveDiscontinuedFeatured com a opção EnsureProperEncryption (ou restaure o banco de dados do arquivo de backup com a mesma opção) para atualizar para a criptografia mais recente."

To upgrade encryption, either back up the database and then restore with the EnsureProperEncryption option enabled by running the following XMLA command in SQL Server Management Studio:

<Batch xmlns="http://schemas.microsoft.com/analysisservices/2003/engine" Transaction="false" xmlns:ddl100_100="http://schemas.microsoft.com/analysisservices/2008/engine/100/100" xmlns:ddl100="http://schemas.microsoft.com/analysisservices/2008/engine/100">
<Restore xmlns="http://schemas.microsoft.com/analysisservices/2003/engine" xmlns:ddl922="http://schemas.microsoft.com/analysisservices/2022/engine/922">
<File>your_backup_file_pathname</File>
<AllowOverwrite>true</AllowOverwrite>
<ddl922:EnsureProperEncryption>true</ddl922:EnsureProperEncryption>
</Restore>
</Batch>

Ou, se o banco de dados já estiver carregado, execute o seguinte comando XML for Analysis (XMLA) no SQL Server Management Studio:

<RemoveDiscontinuedFeatures xmlns='http://schemas.microsoft.com/analysisservices/2003/engine' xmlns:ddl922='http://schemas.microsoft.com/analysisservices/2022/engine/922'>
  <DatabaseID>DatabaseName</DatabaseID>
  <ddl922:EnsureProperEncryption>true</ddl922:EnsureProperEncryption>
</RemoveDiscontinuedFeatures>

Atualizando bancos de dados de modelos multidimensionais

Para bancos de dados de modelo multidimensional em todos os níveis de compatibilidade, o seguinte erro pode ser retornado durante determinadas operações de gravação de esquema:

"Multi-dimensional database '%{DatabaseName/}' não está usando o esquema de criptografia mais recente. Por favor, crie um arquivo de backup e restaure o banco de dados a partir do arquivo de backup com a opção EnsureProperEncryption para atualizar para a criptografia mais recente."

To upgrade encryption, back up the database and then restore with the EnsureProperEncryption option enabled.

Ou, se o banco de dados já estiver carregado, execute o seguinte comando XMLA no SQL Server Management Studio:

<RemoveDiscontinuedFeatures xmlns='http://schemas.microsoft.com/analysisservices/2003/engine' xmlns:ddl922='http://schemas.microsoft.com/analysisservices/2022/engine/922'>
  <DatabaseID>DatabaseName</DatabaseID>
  <ddl922:EnsureProperEncryption>true</ddl922:EnsureProperEncryption>
</RemoveDiscontinuedFeatures>

Gestão do ciclo de vida de chaves

O SQL Server Analysis Services usa uma chave de criptografia de banco de dados para criptografar dados confidenciais por banco de dados, como credenciais de fonte de dados e cadeias de conexão. No SSAS 2025 e versões posteriores, você pode usar o conjunto de linhas de esquema DBSCHEMA_CATALOGS para determinar o nível de criptografia dos bancos de dados modelo, bem como a idade da chave do banco de dados. Verifique a coluna ENCRYPTION_LEVEL e confirme que o nível corresponde ao Analysis Services 2022 CU. Verifique na coluna CRYPTOKEY_UPDATED a data de criação ou a data da última regeneração da chave de criptografia do banco de dados.

Você pode regenerar a chave de criptografia do banco de dados usando o comando RemoveDiscontinuedFeatures. Tal como a atualização da criptografia herdada descrita anteriormente, o comando RemoveDiscontinuedFeatures desencripta os dados securáveis, gera uma nova chave de encriptação de base de dados e, em seguida, re-encripta os dados securáveis utilizando a nova chave de encriptação de base de dados.

<RemoveDiscontinuedFeatures xmlns='http://schemas.microsoft.com/analysisservices/2003/engine' xmlns:ddl922='http://schemas.microsoft.com/analysisservices/2022/engine/922'>
  <DatabaseID>DatabaseName</DatabaseID>
  <ddl922:EnsureProperEncryption>true</ddl922:EnsureProperEncryption>
</RemoveDiscontinuedFeatures>

Procedimentos de alteração de conta de serviço

O SQL Server Analysis Services criptografa cada chave de criptografia de banco de dados usando uma chave de criptografia em todo o servidor. A criptografia aprimorada no SSAS 2022 CU1 e versões posteriores usa a API de proteção de dados (DPAPI) para proteger e acessar com segurança a chave de criptografia do servidor usando informações da conta de serviço atual e da conta da máquina local. A chave de criptografia do servidor só pode ser descriptografada usando a mesma conta de serviço na máquina local. Devido à dependência da conta de serviço atual, siga os procedimentos abaixo para alterar a conta de serviço do SQL Server Analysis Services.

Alterando a conta de serviço de uma instância Multidimensional

Se você precisar alterar a conta de serviço de uma instância de servidor em execução no modo Multidimensional, é essencial fazer backup dos bancos de dados modelo, desinstalar e reinstalar o servidor e, em seguida, restaurar os bancos de dados modelo. Essa abordagem garante que todos os elementos de segurança sejam criptografados corretamente, incluindo as credenciais de QueryLogConnectionString e ImpersonationAccount. Alternatively, you can also use an attach/detach approach, but this approach requires you to preserve the existing data folder.

1. Use o SSMS para fazer backup de cada banco de dados no arquivo .abf.

2. Desinstale a instância do servidor SSAS.

3. Exclua todos os restos da instância do servidor desinstalado, como pastas de dados restantes ou arquivos de configuração.

4. Instale uma nova instância do servidor SSAS e atribua uma nova conta de serviço.

5. Restaure os bancos de dados a partir dos arquivos .abf de backup.

Tenha cuidado ao implementar estas etapas para evitar perda de dados ou vulnerabilidades de segurança. Sempre execute backups de dados e procure orientação do administrador do sistema antes de fazer alterações substanciais nas contas de serviço ou configurações do servidor.

Alterando a conta de serviço de uma instância tabular

As instâncias de servidor tabular não exigem a reinstalação completa do servidor porque os servidores tabulares não usam as credenciais QueryLogConnectionString ou ImpersonationAccount em todo o servidor. Embora o procedimento não dependa de backups de banco de dados, você sempre deve executar backups de dados e buscar orientação do administrador do sistema antes de fazer alterações substanciais nas contas de serviço ou nas configurações do servidor.

1. Recomendado, mas opcional, use o SSMS para fazer backup de cada banco de dados no arquivo .abf.

2. Desanexe todos os bancos de dados modelo.

3. Pare o serviço SSAS.

4. Exclua todos os arquivos na pasta Dados, exceto os arquivos Administrators.xml e master.vmp, exclua a cadeia de conexão do log de consulta e a senha de representação no arquivo msmdsrv.ini e mantenha os diretórios do banco de dados.

5. Altere a conta de serviço do SSAS.

6. Inicie o serviço SSAS.

7. Reanexe todos os bancos de dados modelo.

Movendo bancos de dados modelo para uma instância de servidor diferente

Se precisar transferir bancos de dados modelo entre servidores, é essencial usar um método de backup/restauração ou desanexação/anexação. Consulte Mover um banco de dados do Analysis Services para obter detalhes sobre a utilização da abordagem de desvincular/associar usando SSMS, AMO ou XMLA.

Suporte a Cluster de Failover

O SQL Server 2025 Analysis Services com criptografia aprimorada pode ser instalado em um WSFC (Cluster de Failover do Windows Server) para obter alta disponibilidade. Em um ambiente WSFC, todas as instâncias do servidor devem usar a mesma conta de usuário de domínio do Ative Directory que a conta de serviço para que a chave de criptografia do servidor possa ser descriptografada em todas as instâncias do servidor. Não há suporte para contas locais do Windows, contas Build-In e contas Entra ID.

Troubleshooting

Problem: If the backup/restore steps above aren't followed, changing SQL Server 2022 Analysis Services service account can cause the service to fail to start.

A seguinte mensagem no arquivo Log\msmdsrv.log indica que o serviço não pode ser iniciado porque a conta de serviço foi alterada:

A criptochave Gen2 do servidor não está presente, mas o objeto de montagem do servidor Sistema está definido para usar a criptochave Gen2 do servidor. Encerrando o servidor. (Fonte: \?\C:\Programas\Microsoft SQL Server\MSAS16.MSSQLSERVER\OLAP\Log\msmdsrv.log, Tipo: 1, Categoria: 289, ID do evento: 0x4121005C

Solution: In the msmdsrv.ini file, in ConfigurationSettings>DataDir, determine the location of the Data folder. Then in the Data folder, delete the files with the name containing .asm.xml, and all folders with an .asm extension.

Depois de excluir os arquivos, reinicie o serviço Analysis Services. Os arquivos .asm são criados automaticamente novamente.

As seguintes propriedades criptografadas devem ser configuradas usando o SQL Server Management Studio (SSMS):

• Log\QueryLog\QueryLogConnectionString.
• Cada fonte de dados senha da conta de representação ou senha de autenticação.

See also

Fazer backup e restaurar bancos de dados do Analysis Services
Nível de compatibilidade para modelos tabulares