استكشاف أخطاء مصادقة Windows لمبادئ Azure AD على Azure SQL Managed Instance وإصلاحها
تحتوي هذه المقالة على خطوات استكشاف الأخطاء وإصلاحها لاستخدامها عند تنفيذ مصادقة Windows لمبادئAzure AD.
التحقق من تخزين التذاكر مؤقتاً
استخدم الأمر klist لعرض قائمة تذاكر Kerberos المخزنة مؤقتاً حالياً.
يجب أن يرجع الأمر klist get krbtgt
تذكرة من النطاق Active Directory محلي.
klist get krbtgt/kerberos.microsoftonline.com
يجب أن يرجع الأمر klist get MSSQLSvc
تذكرة من النطاق kerberos.microsoftonline.com
باسم الخدمة الأساسي (SPN) إلى MSSQLSvc/<miname>.<dnszone>.database.windows.net:1433
.
klist get MSSQLSvc/<miname>.<dnszone>.database.windows.net:1433
فيما يلي بعض رموز الخطأ المعروفة:
- 0x6fb: لم يتم العثور على SQL SPN - تحقق من إدخال اسم خدمة أساسي صالح. إذا قمت بتنفيذ تدفق المصادقة الوارد المستند إلى الثقة، فراجع الخطوات لإنشاء وتكوين عنصر المجال الموثوق لـ Azure AD Kerberos للتحقق من أنك قمت بتنفيذ جميع خطوات التكوين.
- 0x51f - من المحتمل أن يكون هذا الخطأ مرتبطاً بالتعارض مع أداة Fiddler. قم بتشغيل Fiddler للتخفيف من المشكلة.
التحقيق في حالات فشل تدفق الرسائل
استخدم Wireshark، أو محلل نسبة استخدام الشبكة الذي تختاره، لمراقبة نسبة استخدام الشبكة بين العميل ومركز توزيع مفتاح Kerberos المحلي (KDC).
عند استخدام Wireshark، من المتوقع ما يلي:
- AS-REQ: العميل => KDC المحلي => يقوم بإرجاع TGT محلي.
- TGS-REQ: العميل => KDC المحلي => يقوم بإرجاع الإحالة إلى
kerberos.microsoftonline.com
.
الخطوات التالية
تعرف على المزيد حول تنفيذ مصادقة Windows لكيانات Microsoft Azure Active Directory على مثيل Azure SQL المُدار:
- ما هي مصادقة Windows لمبادئ Azure Active Directory في Azure SQL Managed Instance؟ معاينة
- كيفية إعداد مصادقة Windows لـ Azure SQL Managed Instance باستخدام Azure Active Directory وKerberos (إصدار أولي)
- كيفية تنفيذ مصادقة Windows لـ Azure SQL Managed Instance باستخدام Azure Active Directory وKerberos (إصدار أولي)
- كيفية إعداد مصادقة Windows لـ Azure Active Directory باستخدام التدفق التفاعلي الحديث (إصدار أولي)
- كيفية إعداد مصادقة Windows لـ Azure AD من خلال التدفق الوارد المستند إلى الثقة (إصدار أولي)