Diagnóstico e Solução de Problemas

Permissões do Usuário Ausentes

Os usuários devem receber acesso de segurança por meio de declarações de política por um administrador. É necessária autorização, esteja você usando a Console, a API REST com um SDK ou a CLI. Se você receber uma mensagem de que não tem permissão ou está não autorizado, verifique com o administrador da tenancy do OCI qual tipo de acesso você tem e em qual compartimento trabalhar.

Exemplo de política para gerenciadores de conexão do serviço Database Tools:

allow group <group_name> to use virtual-network-family in compartment <compartment_name>
allow group <group_name> to read database-family in compartment <compartment_name>
allow group <group_name> to read autonomous-database-family in compartment <compartment_name>
allow group <group_name> to use vaults in compartment <compartment_name>
allow group <group_name> to use keys in compartment <compartment_name>
allow group <group_name> to manage secret-family in compartment <compartment_name>
allow group <group_name> to use database-tools-family in compartment <compartment_name>
allow group <group_name> to manage database-tools-connections in compartment <compartment_name>
allow group <group_name> to use database-tools-connections in compartment <compartment_name> 
where target.resource.id != <dbtools-connection-ocid>

Consulte também:

• Políticas do IAM para Conexões do Oracle Database
• Políticas do Serviço IAM para Conexões do MySQL Database

Compartimento Inválido Especificado

Na Console, certifique-se de escolher o compartimento que contém a conexão do serviço Database Tools ou o ponto final privado com o qual deseja trabalhar. Além disso, certifique-se de que um administrador tenha concedido acesso aos recursos do serviço Database Tools nesse compartimento. O compartimento no qual você criou uma conexão pode ser diferente dos compartimentos que contêm o Autonomous Database de destino, o Oracle Base Database ou o sistema de banco de dados MySQL.

Verifique as causas comuns de problemas com novas conexões do serviço Database Tools.

Entrada do Usuário ou Estado do Usuário do Banco de Dados Incorreto

A criação de uma nova conexão requer entrada ou seleções de um usuário durante o processo de criação. Verifique se os seguintes detalhes foram selecionados ou inseridos corretamente para sua conexão:

• String de conexão, host e porta TCP
• Nome do usuário do banco de dados
• Senha do banco de dados conforme armazenada no serviço Vault
• Arquivo da wallet armazenado no serviço vault

O usuário do banco de dados deve estar em um estado válido. Verifique o seguinte para esta conexão:

• O usuário do banco de dados tem todos os privilégios ou concessões necessários
• A senha de usuário do banco de dados não expirou
• A conta de usuário do banco de dados não está bloqueada ou desativada

Se possível, confirme se o usuário do banco de dados pode acessar o banco de dados com a mesma string de conexão e detalhes de autenticação usando outras ferramentas, como cloud shell, SQLcl ou mysqlsh via bastion.

Consulte Usando a Console do Oracle Cloud Infrastructure para obter mais informações sobre como exibir ou gerenciar uma conexão.

Configuração de rede incorreta

O serviço Database Tools permite estabelecer conexão com bancos de dados em sua tenancy roteando com segurança o tráfego da rede por meio de uma VCN (rede virtual na nuvem) do Oracle Cloud Infrastructure. Depois que uma VCN, uma sub-rede, gateways aplicáveis, tabelas de roteamento e listas de segurança ou grupos de segurança de rede forem configurados, as conexões do serviço Database Tools poderão ser configuradas para conexão com seu banco de dados.

Se você encontrar erros relacionados a timeout de conexão ou rede ou hosts de banco de dados inacessíveis, talvez seja necessário revisar o seguinte:

• Certifique-se de que os pontos finais privados estejam configurados para acessar bancos de dados em sua sub-rede privada, se aplicável.
• Confirme se a configuração da sua VCN permite que o tráfego do serviço Database Tools chegue ao banco de dados na sua sub-rede de destino no endereço IP e na porta TCP especificados.
• Para o ADB compartilhado usando um endereço IP público com lista de controle de acesso (ACL), confirme se as regras de ACL para endereços permitidos ou blocos CIDR permitidos estão configuradas corretamente.
• Para bancos de dados Oracle ou MySQL gerenciados pelo cliente, os firewalls executados no sistema operacional do host geralmente exigem regras para permitir que o tráfego de rede atinja portas TCP específicas do banco de dados.
• Se os atributos de segurança e as políticas ZPR (Zero Trust Packet Routing) estiverem configurados, verifique se os atributos necessários estão corretamente designados a recursos relevantes, como Pontos Finais Privados do Serviço Database Tools e VCNs. Certifique-se também de que as políticas ZPR façam referência aos recursos corretamente. A validação falhará com um erro de timeout genérico se os valores estiverem ausentes ou estiverem configurados incorretamente. Para obter detalhes, consulte Política de Roteamento de Pacotes de Confiança Zero.

Consulte Usando Pontos Finais Privados com o Serviço Database Tools para mais informações sobre como usar pontos finais privados. Consulte Visão Geral de VCNs e Sub-redes para mais informações sobre como configurar redes virtuais na nuvem.

Estado/Configuração do banco de dados incorreta

O serviço Database Tools não gerencia o serviço de banco de dados ou a configuração do banco de dados. Verifique com o administrador do banco de dados se o banco de dados de destino:

• Está configurado e iniciado corretamente.
• Está aceitando novas conexões.

Usuário Proxy Não Autorizado a Estabelecer Conexão como Cliente Proxy

O serviço Database Tools fornece suporte à sessão de proxy para conexões do Oracle Database. Ou seja, conecte-se a outros usuários de banco de dados sem conhecer suas senhas usando usuários proxy.

Se você encontrar um erro relacionado ao usuário proxy, talvez seja necessário revisar o seguinte:

• Configure corretamente contas de usuários proxy e autorize os usuários a se conectarem por meio delas. Consulte a documentação Autenticação do Usuário Proxy e Conexão por Meio em Bancos de Dados Oracle.
• Ative a autenticação de proxy e configure o nome de usuário e a senha do banco de dados do cliente proxy.
• Certifique-se de que o nome de usuário e a senha do banco de dados do cliente proxy estejam corretos.

Permissão do Usuário Revogada ou Alterada

É possível que políticas do IAM, associações de grupo ou privilégios de usuário do banco de dados sejam alterados após a criação de uma conexão. Verifique com o administrador da tenancy e com o administrador do banco de dados para confirmar:

• O usuário do OCI não perdeu o acesso por causa de alterações na associação do grupo, alterações na política do IAM ou alterações no compartimento.
• O usuário do banco de dados não perdeu o acesso devido a alterações de função ou privilégio.

Configuração de Rede Alterada

Se uma conexão do serviço Database Tools foi capaz de se comunicar anteriormente com um banco de dados, mas de repente relata problemas relacionados à rede, isso pode ser devido ao estado do banco de dados ou a alterações subsequentes na configuração da VCN.

• Confirme se o serviço de banco de dados está em execução e aceitando conexões TCP.
• Confirme se foram feitas alterações na configuração da sub-rede ou da VCN de destino.
• Confirme se a configuração da sua VCN permite que o tráfego do serviço Database Tools chegue ao banco de dados na sua sub-rede de destino no endereço IP e na porta TCP especificados.
• Para o ADB compartilhado usando um endereço IP público com lista de controle de acesso (ACL), confirme se as regras de ACL para endereços permitidos estão configuradas corretamente.
• Para bancos de dados Oracle ou MySQL gerenciados pelo cliente, verifique se os firewalls executados no sistema operacional do host, se aplicável, permitem acesso a portas TCP específicas do banco de dados.

• Se atributos de segurança e políticas ZPR estiverem configurados, verifique se os valores de atributo não foram modificados e ainda se alinham às regras de política. Uma conexão de trabalho pode falhar devido a valores incompatíveis. Para obter detalhes, consulte Política de Roteamento de Pacotes de Confiança Zero.

Consulte Usando Pontos Finais Privados com Serviço Database Tools para mais informações sobre como usar pontos finais privados. Consulte Visão Geral de VCNs e Sub-redes para mais informações sobre como configurar redes virtuais na nuvem.

Configuração do Banco de Dados Alterada

É possível que uma configuração de banco de dados tenha sido alterada após a criação da conexão. As alterações em detalhes de configuração de banco de dados ou autenticação do usuário não são gerenciadas pelo serviço Database Tools e podem precisar ser atualizadas em suas conexões.

Confirme se alguma das seguintes situações ocorreu e atualize suas conexões de banco de dados, usuário de banco de dados ou Ferramentas de banco de dados adequadamente:

• O usuário do banco de dados foi excluído ou os privilégios foram revogados?
• A conta de usuário do banco de dados está bloqueada ou a senha expirou?
• Para bancos de dados compartilhados do ADB, a instância ou a wallet regional foi girada? (Nesse caso, ele precisa ser atualizado em seu segredo do vault)
• O PDB foi excluído?
• A instância do banco de dados foi interrompida ou pausada devido à inatividade?

Consulte Usando a Console do Oracle Cloud Infrastructure para saber mais sobre como atualizar uma conexão.

ORA-20000: Propriedade do banco de dados SSL_WALLET não encontrada

A mensagem de erro ORA-20000: Database property SSL_WALLET not found é exibida quando a operação de validação de identidade falha nas instalações dos sistemas Oracle Database base. Indica que você não configurou os certificados ou a wallet necessários. Consulte Criar Wallet SSL com Certificados.

A identidade não pode acessar serviços do OCI

Certifique-se de que os grupos dinâmicos e as políticas necessários estejam em vigor para permitir que o recurso de identidade acesse os serviços do OCI. Consulte Grupos Dinâmicos e Políticas.

Após atualizar as políticas, você deverá atualizar a identidade do serviço Database Tools. Consulte Atualizando uma Identidade.

O estado de identidade do ciclo de vida é FAILED ou NEEDS_ATTENTION

Revise as solicitações de serviço e identifique as mensagens de erro associadas à falha.

• Quando uma identidade estiver no estado FAILED, identifique a causa subjacente do problema que pode estar relacionado à conexão do serviço Database Tools, resolva-a e, em seguida, recrie a identidade.
• Quando uma identidade está no estado NEEDS_ATTENTION, ela não é mais atualizada automaticamente. Identifique a causa subjacente do problema, resolva-o e atualize a identidade para iniciar uma atualização de token.

A Oracle recomenda criar notificações para detectar qualquer falha na atualização de identidade. Consulte Monitorando a Atualização de Identidade.

Usando TCP (não TCPS) em uma porta somente TCPS

O TCP é redefinido e não é possível fazer o handshake SSL necessário.

A autenticação de token requer TLS; portanto, a conexão deve usar TCPS. Atualize o URL JDBC para usar protocol=tcps e configure as definições de wallet ou SSL necessárias.

ssl_server_cert_dn inválido no URL JDBC

O ssl_server_cert_dn no URL JDBC está especificando o Nome Distinto do certificado errado (por exemplo, região, nome do host ou serviço incorretos).

A correspondência de DN (Distinguished Name - Nome Distinto) deve ser ativada para autenticação baseada em token.

String de escopo de token inválida

O escopo do token do Banco de Dados do IAM é inválido; portanto, o driver não pode anexar um token de banco de dados válido.

Verifique a instrução da Política do IAM para database-connections ou forneça um escopo válido na propriedade avançada iam.db.token.scope.

A correspondência de DN está desativada (ssl_server_dn_match=no)

A correspondência de DN é obrigatória para autenticação baseada em token e deve ser ativada.

Falta o escopo do token do banco de dados do IAM (nulo)

É necessário um escopo para gerar um token de banco de dados. Se o escopo for nulo, a geração do token falhará.

Verifique a instrução da Política do IAM para database-connections ou forneça um escopo válido na propriedade avançada iam.db.token.scope.

O escopo do token do banco de dados do IAM não corresponde à política ou à tenancy

O escopo não corresponde à tenancy ou política de banco de dados esperada; portanto, o token é rejeitado.

Verifique a instrução da Política do IAM para database-connections ou forneça um escopo válido na propriedade avançada iam.db.token.scope.

A autenticação do IAM está desativada no banco de dados/a política do IAM está ausente ou é insuficiente/o Principal não está mapeado para o usuário do banco de dados global

O banco de dados rejeitou o log-in baseado no IAM. Isso acontece quando:

• A autenticação do IAM não está ativada no banco de dados.
• A política do IAM não concede permissões suficientes ao principal.
• O principal do IAM não está mapeado para um usuário de banco de dados global.

Com base no erro exibido, verifique o seguinte:

• A ativação da autenticação externa do IAM está definida como OCI_IAM.
• Confirme se existe um mapeamento de esquema global para o principal do IAM. Consulte Criar Usuários do Banco de Dados Global

• Certifique-se de que a instrução de política do IAM para use database-connections esteja alinhada com a propriedade avançada iam.db.token.scope, que é usada para solicitar o token do banco de dados.

Caminho da wallet TLS incorreto ou wallet ausente

O directório da wallet não existe ou não é legível.

A versão do banco de dados não suporta autenticação de token

Versões mais antigas do banco de dados podem não suportar os recursos de autenticação de token necessários.

Falha de Autenticação (401 Não Autorizado)

OAuth ou Token de Acesso Pessoal inválido ou expirado.

• Reautenticar e obter um novo token.
• Verifique as definições de expiração do token.
• Verifique o formato correto do cabeçalho de Autorização (Bearer <token>)

Erro de Autorização (403 Proibido)

Funções obrigatórias ausentes do aplicativo, como MCP_User, MCP_Operator e assim por diante.

• Certifique-se de que você recebeu as atribuições apropriadas do aplicativo IAM.
• Verificar mapeamentos de atribuição no Domínio de Identidades.

Não é Possível Acessar o Servidor MCP

Problemas de rede ou configuração.

• Confirme se o URL do Servidor MCP está correto.
• Certifique-se de que o ambiente do cliente possa acessar os pontos finais do MCP Server e do OAuth por HTTPS.

Problemas de Conexão do Cliente MCP

Registro ou configuração incorreta do cliente.

• Certifique-se de que o cliente esteja registrado corretamente no mesmo Domínio de Identidades.
• Verifique o tipo de cliente (Público, Confidencial ou Confiável).
• Verifique os URIs de redirecionamento e os escopos permitidos.

Conexão com ADB-S com ACL de Rede não suportada para contas Free Tier

Você está usando uma Conta Free Tier e está tentando criar uma conexão com um Autonomous Database – Compartilhado (ADB-S) usando regras de acesso à rede que concedem acesso aos Serviços OCI no Oracle Services Network.

Causa: O recurso Lista de Controle de Acesso à Rede (ACL) do ADB-S não fornece suporte para regras de acesso à rede que concedem acesso aos Serviços do OCI no Oracle Services Network. Como solução alternativa, crie conexões usando um Ponto Final Privado e adicione uma Regra de Controle de Acesso à instância do ADB-S para permitir o tráfego dos IPs de Origem de Conexão Reversa do Ponto Final Privado. Como os IPs de Origem de Conexão Reversa são endereços IP Privados, é necessário o uso de um Gateway de Serviço ou de um Gateway NAT para estabelecer conexão com o IP Público do ADB-S. As contas do Free Tier não têm permissão para criar um Gateway de Serviço ou um Gateway NAT em suas VCNs e não podem acessar uma instância do ADB-S com a ACL de Rede.

As conexões autenticadas pelo IAM do serviço Database Tools não suportam o Controlador de Instâncias.