Partager via

Résolution des problèmes liés à l’authentification Windows pour les principaux Microsoft Entra sur Azure SQL Managed Instance ?

  • Article

Cet article contient des étapes de résolution des problèmes à utiliser lors de l’implémentation des principaux d’authentification Windows dans Microsoft Entra ID (anciennement Azure Active Directory).

Remarque

Microsoft Entra ID était précédemment connu sous le nom d’Azure Active Directory (Azure AD).

Vérifier que les tickets sont bien mis en cache

Utilisez la commande Klist pour afficher la liste des tickets Kerberos actuellement mis en cache.

La commande klist get krbtgt doit retourner un ticket à partir du domaine Active Directory local.

klist get krbtgt/kerberos.microsoftonline.com

La commande klist get MSSQLSvc doit retourner un ticket du domaine kerberos.microsoftonline.com avec un nom de principal du service (SPN) à MSSQLSvc/<miname>.<dnszone>.database.windows.net:1433.

klist get MSSQLSvc/<miname>.<dnszone>.database.windows.net:1433

Voici quelques-uns des codes d’erreur connus :

  • 0x6fb : SPN SQL introuvable, vérifiez que vous avez saisi un SPN valide. Si vous avez implémenté le flux entrant d’authentification basée sur la confiance, reprenez les étapes pour créer et configurer l’objet de domaine de confiance Kerberos Microsoft Entra afin de valider l’exécution de toutes les étapes de configuration.

  • 0x51f : cette erreur est probablement liée à un conflit avec l’outil Fiddler. Pour résoudre le problème, effectuez les étapes suivantes :

    1. Exécutez netsh winhttp reset autoproxy
    2. Exécutez netsh winhttp reset proxy
    3. Dans le Registre Windows, recherchez Computer\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\iphlpsvc\Parameters\ProxyMgr et supprimez les sous-entités qui ont une configuration incluant un port :8888
    4. Redémarrez l’ordinateur et réessayez en utilisant l’authentification Windows

  • 0x52f : indique que le nom d’utilisateur et les informations d’authentification mentionnés sont valides, mais qu’une restriction de compte d’utilisateur a empêché l’authentification. Ce cas de figure peut se produire si vous avez configuré une stratégie d’accès conditionnel Microsoft Entra. Pour atténuer le problème, vous devez exclure l’application du principal de service Azure SQL Managed Instance (nommée <instance name> principal) selon les règles de l’autorité de certification.

Analysez les échecs du flux de messages

Utilisez Wireshark ou l’analyseur de trafic de votre choix pour superviser le trafic entre le client et le centre de distribution de clés Kerberos (KDC) local.

Lorsque vous utilisez Wireshark, les conditions suivantes sont attendues :

  • AS-REQ : Client => KDC local => retourne un TGT local.
  • TGS-REQ : Client => KDC local => retourne une référence à kerberos.microsoftonline.com.

Étapes suivantes

En savoir plus sur l’implémentation de l’authentification Windows pour les principaux Microsoft Entra sur Azure SQL Managed Instance :