Résolution des problèmes liés à l’authentification Windows pour les principaux Microsoft Entra sur Azure SQL Managed Instance ?
Cet article contient des étapes de résolution des problèmes à utiliser lors de l’implémentation des principaux d’authentification Windows dans Microsoft Entra ID (anciennement Azure Active Directory).
Remarque
Microsoft Entra ID était précédemment connu sous le nom d’Azure Active Directory (Azure AD).
Vérifier que les tickets sont bien mis en cache
Utilisez la commande Klist pour afficher la liste des tickets Kerberos actuellement mis en cache.
La commande klist get krbtgt
doit retourner un ticket à partir du domaine Active Directory local.
klist get krbtgt/kerberos.microsoftonline.com
La commande klist get MSSQLSvc
doit retourner un ticket du domaine kerberos.microsoftonline.com
avec un nom de principal du service (SPN) à MSSQLSvc/<miname>.<dnszone>.database.windows.net:1433
.
klist get MSSQLSvc/<miname>.<dnszone>.database.windows.net:1433
Voici quelques-uns des codes d’erreur connus :
0x6fb : SPN SQL introuvable, vérifiez que vous avez saisi un SPN valide. Si vous avez implémenté le flux entrant d’authentification basée sur la confiance, reprenez les étapes pour créer et configurer l’objet de domaine de confiance Kerberos Microsoft Entra afin de valider l’exécution de toutes les étapes de configuration.
0x51f : cette erreur est probablement liée à un conflit avec l’outil Fiddler. Pour résoudre le problème, effectuez les étapes suivantes :
- Exécutez
netsh winhttp reset autoproxy
- Exécutez
netsh winhttp reset proxy
- Dans le Registre Windows, recherchez
Computer\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\iphlpsvc\Parameters\ProxyMgr
et supprimez les sous-entités qui ont une configuration incluant un port:8888
- Redémarrez l’ordinateur et réessayez en utilisant l’authentification Windows
- Exécutez
0x52f : indique que le nom d’utilisateur et les informations d’authentification mentionnés sont valides, mais qu’une restriction de compte d’utilisateur a empêché l’authentification. Ce cas de figure peut se produire si vous avez configuré une stratégie d’accès conditionnel Microsoft Entra. Pour atténuer le problème, vous devez exclure l’application du principal de service Azure SQL Managed Instance (nommée
<instance name> principal
) selon les règles de l’autorité de certification.
Analysez les échecs du flux de messages
Utilisez Wireshark ou l’analyseur de trafic de votre choix pour superviser le trafic entre le client et le centre de distribution de clés Kerberos (KDC) local.
Lorsque vous utilisez Wireshark, les conditions suivantes sont attendues :
- AS-REQ : Client => KDC local => retourne un TGT local.
- TGS-REQ : Client => KDC local => retourne une référence à
kerberos.microsoftonline.com
.
Étapes suivantes
En savoir plus sur l’implémentation de l’authentification Windows pour les principaux Microsoft Entra sur Azure SQL Managed Instance :
- Qu’est-ce que l’authentification Windows pour les principaux Microsoft Entra sur Azure SQL Managed Instance ?
- Comment configurer l’authentification Windows pour Azure SQL Managed Instance en utilisant Microsoft Entra et Kerberos
- Implémentation de l’Authentification Windows pour Azure SQL Managed Instance avec Microsoft Entra ID et Kerberos
- Configurer l’authentification Windows pour Microsoft Entra ID avec le flux interactif moderne
- Configurer l’authentification Windows pour Microsoft Entra ID avec le flux entrant basé sur la confiance