Řešení potíží s ověřováním Windows pro objekty zabezpečení Microsoft Entra ve službě Azure SQL Managed Instance
Tento článek obsahuje postup řešení potíží při implementaci objektů zabezpečení systému Windows v Microsoft Entra ID (dříve Azure Active Directory).
Poznámka:
ID Microsoft Entra se dříve označovalo jako Azure Active Directory (Azure AD).
Ověření, že se lístky ukládají do mezipaměti
Pomocí příkazu klist zobrazte seznam aktuálně uložených lístků Kerberos v mezipaměti.
Příkaz klist get krbtgt by měl vrátit lístek z místní Active Directory sféry.
klist get krbtgt/kerberos.microsoftonline.com
Příkaz klist get MSSQLSvc by měl vrátit lístek z kerberos.microsoftonline.com sféry s hlavním názvem služby (SPN) do MSSQLSvc/<miname>.<dnszone>.database.windows.net:1433.
klist get MSSQLSvc/<miname>.<dnszone>.database.windows.net:1433
Tady jsou některé dobře známé kódy chyb:
0x6fb: Hlavní název služby SQL nebyl nalezen – Zkontrolujte, jestli jste zadali platný hlavní název služby (SPN). Pokud jste implementovali tok ověřování na základě důvěryhodnosti příchozího vztahu důvěryhodnosti, zkontrolujte kroky pro vytvoření a konfiguraci objektu důvěryhodné domény protokolu Microsoft Entra Kerberos, abyste ověřili, že jste provedli všechny kroky konfigurace.
0x51f – Tato chyba pravděpodobně souvisí s konfliktem s nástrojem Fiddler. Pokud chcete tento problém zmírnit, postupujte následovně:
- Spuštěním příkazu
netsh winhttp reset autoproxy - Spuštěním příkazu
netsh winhttp reset proxy - V registru Systému Windows vyhledejte
Computer\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\iphlpsvc\Parameters\ProxyMgra odstraňte všechny podsložky, které mají konfiguraci s portem.:8888 - Restartujte počítač a zkuste to znovu pomocí ověřování systému Windows.
- Spuštěním příkazu
0x52f – označuje, že odkazované uživatelské jméno a ověřovací informace jsou platné, ale některé omezení uživatelského účtu zabránilo úspěšnému ověření. K tomu může dojít, pokud máte nakonfigurované zásady podmíněného přístupu Microsoft Entra. Pokud chcete tento problém zmírnit, musíte v pravidlech podmíněného přístupu vyloučit aplikaci instančního objektu spravované instance Azure SQL (pojmenované
<instance name> principal).
Zkoumání selhání toku zpráv
K monitorování provozu mezi klientem a místním centrem distribuce klíčů Kerberos (KDC) použijte Wireshark nebo analyzátor síťového provozu podle vašeho výběru.
Při použití Wiresharku se očekává následující:
- AS-REQ: Client => on-premises KDC => vrátí místní TGT.
- TGS-REQ: Client => on-premises KDC => vrátí referenční seznam .
kerberos.microsoftonline.com
Další kroky
Další informace o implementaci ověřování systému Windows pro objekty zabezpečení Microsoft Entra ve službě Azure SQL Managed Instance:
- Co je Integrované ověřování Windows pro objekty zabezpečení Microsoft Entra ve službě Azure SQL Managed Instance?
- Jak nastavit Integrované ověřování Windows pro službu Azure SQL Managed Instance s využitím Microsoft Entra ID a protokolu Kerberos.
- Informace o implementaci Integrovaného ověřování Windows pro službu Azure SQL Managed Instance s Microsoft Entra ID a protokolem Kerberos
- Postup nastavení Integrovaného ověřování Windows pro Microsoft Entra ID s využitím moderního interaktivního toku
- Postup nastavení Integrovaného ověřování Windows pro Microsoft Entra ID s využitím toku založeného na příchozím vztahu důvěryhodnosti
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro