Konfigurieren der verwalteten Identität für verknüpfte Server

Giltfür: Gilt für: SQL Server 2025 (17.x)

SQL Server 2025 führt die Unterstützung für verwaltete Identitäten für verknüpfte Server ein und ermöglicht die sichere, anmeldeinformationsfreie Authentifizierung zwischen SQL Server-Instanzen. Diese Funktion ist sowohl für SQL Server auf virtuellen Azure-Computern als auch für SQL Server verfügbar, die von Azure Arc aktiviert sind. Mit verwalteter Identitätsauthentifizierung können Sie verknüpfte Serververbindungen einrichten, ohne Kennwörter zu verwalten oder Anmeldeinformationen zu speichern, Ihren Sicherheitsstatus zu verbessern und die Verwaltung von Anmeldeinformationen zu vereinfachen.

In diesem Artikel erfahren Sie, wie Sie verknüpfte Serververbindungen mit verwalteter Identitätsauthentifizierung einrichten. Sie konfigurieren den Quellserver, um Verbindungen und den Zielserver zu initiieren, um die verwaltete identitätsbasierte Authentifizierung zu akzeptieren.

Voraussetzungen

Bevor Sie beginnen, stellen Sie folgendes sicher:

SQL Server 2025 läuft in einer der folgenden Umgebungen:
- Azure Virtual Machine mit installierter SQL Server IaaS-Agent-Erweiterung oder
- Lokale oder virtuelle Computer mit aktiviertem Azure Arc
Microsoft Entra-Authentifizierung, die auf Quell- und Zielservern konfiguriert ist
Netzwerkkonnektivität zwischen Quell- und Zielservern mit entsprechenden Firewallregeln
Geeignete Berechtigungen zum Erstellen von Anmeldungen und Konfigurieren von verknüpften Servern auf beiden Instanzen
Für virtuelle Azure-Computer: Sowohl sqlIaasExtension - als auch AADLogin-Erweiterungen aktiviert
Für Azure Arc-fähige Instanzen: Azure Arc-Agent installiert und konfiguriert

Anforderungen für virtuelle Azure-Computer

Bei Verwendung von SQL Server auf virtuellen Azure-Computern:

Überprüfen Sie, ob sqlIaasExtension - und AADLogin-Erweiterungen installiert sind. Diese Erweiterungen sind standardmäßig bei der Bereitstellung aus der Azure Marketplace SQL Server-Vorlage enthalten.
Konfigurieren Sie die Microsoft Entra-Authentifizierung nach den Anleitungen zum Aktivieren der Microsoft Entra-Authentifizierung für SQL Server auf Azure-VMs.
Stellen Sie sicher, dass sowohl virtuelle Computer eingehenden als auch ausgehenden Netzwerkdatenverkehr für die SQL Server-Kommunikation zulassen.
Konfigurieren Sie Firewallregeln auf jedem virtuellen Computer, um SQL Server-Datenverkehr zuzulassen.

Azure Arc-fähige Anforderungen

Bei Verwendung von SQL Server, aktiviert von Azure Arc:

Installieren und konfigurieren Sie Azure Arc auf Ihren SQL Server 2025-Instanzen gemäß den Voraussetzungen, die von Azure Arc für SQL Server aktiviert werden.
Richten Sie die Microsoft Entra-Authentifizierung mithilfe der Anleitung in der Einrichtung der Microsoft Entra-Authentifizierung mit der App-Registrierung ein.
Überprüfen Sie die Netzwerkkonnektivität zwischen den Quell- und Zielservern.

Der Zielserver muss über eine Anmeldung verfügen, die dem Namen des Quellservers entspricht. Wenn der Quellserver eine Verbindung mit verwalteter Identität herstellt, authentifiziert er sich mithilfe der verwalteten Identität des Computers. Der Zielserver validiert diese Identität, indem er sie mit einem von einem externen Anbieter erstellten Login abgleicht.

Stellen Sie eine Verbindung mit der SQL Server-Zielinstanz her.

Erstellen Sie eine Anmeldung mit dem Namen des Quellservers:

USE [master];
GO

CREATE LOGIN [AzureSQLVMSource]
FROM EXTERNAL PROVIDER
WITH DEFAULT_DATABASE = [master],
     DEFAULT_LANGUAGE = [us_english];
GO

Erteilen Sie dem Login die passenden Berechtigungen auf Serverebene. Erteilen Sie z. B. die Rolle sysadmin:
```
ALTER SERVER ROLE [sysadmin] ADD MEMBER [AzureSQLVMSource];
GO
```
Tipp

Wenden Sie das Prinzip der geringsten Berechtigungen an, indem Sie nur die Berechtigungen erteilen, die für Ihren spezifischen Anwendungsfall erforderlich sind, anstatt zu verwenden sysadmin.

Konfigurieren des verknüpften Servers auf dem Quellserver

Konfigurieren Sie nach dem Erstellen der Anmeldung auf dem Zielserver die Verknüpfte Serververbindung auf dem Quellserver. Diese Konfiguration verwendet den MSOLEDBSQL Anbieter mit verwalteter Identitätsauthentifizierung.

Stellen Sie eine Verbindung mit der SQL Server-Quellinstanz her.

Erstellen Sie den verknüpften Server mithilfe von sp_addlinkedserver:

USE [master];
GO

EXEC master.dbo.sp_addlinkedserver
    @server = N'AzureSQLVMDestination',
    @srvproduct = N'',
    @provider = N'MSOLEDBSQL',
    @datasrc = N'AzureSQLVMDestination',
    @provstr = N'Authentication=ActiveDirectoryMSI;';
GO

Der @provstr Parameter gibt die Authentifizierung an ActiveDirectoryMSI , die den verknüpften Server anweist, verwaltete Identität zu verwenden.

Konfigurieren Sie die Zuordnung des Logins zum verknüpften Server.
```
EXEC master.dbo.sp_addlinkedsrvlogin
    @rmtsrvname = N'AzureSQLVMDestination',
    @useself = N'False',
    @locallogin = NULL,
    @rmtuser = NULL,
    @rmtpassword = NULL;
GO
```
Diese Konfiguration richtet den verknüpften Server so ein, dass die verwaltete Identität verwendet wird, ohne dass explizite Benutzeranmeldeinformationen erforderlich sind.

Testen der Verbindung mit dem verknüpften Server

Überprüfen Sie nach der Konfiguration, ob die verknüpfte Serververbindung ordnungsgemäß funktioniert.

Testen Sie die Verbindung mithilfe von sp_testlinkedserver:

EXECUTE master.dbo.sp_testlinkedserver AzureSQLVMDestination;
GO

Wenn der Test erfolgreich ist, können Sie den Remoteserver abfragen. Beispiel:
```
SELECT * FROM [AzureSQLVMDestination].[master].[sys].[databases];
GO
```

Wenn der Test fehlschlägt, überprüfen Sie Folgendes:

Die Microsoft Entra-Authentifizierung ist auf beiden Servern ordnungsgemäß konfiguriert.
Die Anmeldung auf dem Zielserver stimmt exakt mit dem Quellservernamen überein.
Die Netzwerkkonnektivität ist zwischen den Servern vorhanden.
Firewallregeln erlauben SQL Server-Datenverkehr
Die erforderlichen Erweiterungen (SqlIaasExtension und AADLogin) sind für Azure-VMs aktiviert.

Feedback

War diese Seite hilfreich?

Last updated on 2025-12-16

Freigeben über