Megosztás:

Az Sql Server Active Directory-hitelesítésének hibaelhárítása Linuxon és tárolókon

A következőkre vonatkozik:SQL Server Linux rendszeren

Ez a cikk segítséget nyújt a Linuxon és tárolókon futó SQL Serverrel kapcsolatos Active Directory Domain Services-hitelesítési problémák elhárításában. Tartalmazza az előfeltétel-ellenőrzéseket és tippeket a sikeres Active Directory-konfigurációhoz, valamint a gyakori hibák és hibaelhárítási lépések listáját.

Az aktuális konfiguráció ellenőrzése

A hibaelhárítás megkezdése előtt ellenőriznie kell az aktuális felhasználót, mssql.conf, a szolgáltatási alapnevet (SPN) és a tartománybeállításokat.

  1. Szerezze be vagy újítsa meg a Kerberos TGT-t (jegykiadó jegyet) kinithasználatával:

    kinit privilegeduser@CONTOSO.COM

  2. Futtassa a következő parancsot, és győződjön meg arról, hogy a parancsot futtató felhasználó hozzáfér a mssql.keytab:

    /opt/mssql/bin/mssql-conf validate-ad-config /var/opt/mssql/secrets/mssql.keytab

    A validate-ad-config paranccsal kapcsolatos további információkért tekintse meg a súgót a /opt/mssql/bin/mssql-conf validate-ad-config --help parancs segítségével.

DNS- és fordított DNS-keresések

  1. A tartománynév és a NetBIOS-név DNS-kereséseinek ugyanazt az IP-címet kell visszaadnia, amely általában megegyezik a tartományvezérlő (DC) IP-címével. Futtassa ezeket a parancsokat az SQL Server gazdagépéről.

    nslookup contoso
nslookup contoso.com

    Ha az IP-címek nem egyeznek, tekintse meg Csatlakozás SQL Serverhez Linux-gazdagépen active Directory-tartományhoz a DNS-keresések javításához és a tartományvezérlővel való kommunikációhoz.

  2. Végezzen fordított DNS-(rDNS-) kereséseket az előző eredményekben felsorolt IP-címekhez. Ne felejtse el az IPv4- és IPv6-címeket megadni, ha vannak ilyenek.

    nslookup <IPs returned from the above commands>

    Mindannyiuknak vissza kell térniük <hostname>.contoso.com. Ha nem ez a helyzet, ellenőrizze az Active Directoryban létrehozott PTR-rekordokat (mutató).

    Előfordulhat, hogy az rDNS működéséhez a tartományi rendszergazdával kell dolgoznia. Ha nem tud PTR-bejegyzéseket hozzáadni az összes visszaadott IP-címhez, akkor az SQL Servert a tartományvezérlőkegy részhalmazára is korlátozhatja. Ez a módosítás a gazdagépen krb5.conf használó egyéb szolgáltatásokat is érinti.

    További információ a fordított DNS-ről: Mi a fordított DNS?

Keytab-fájl és engedélyek ellenőrzése

  1. Ellenőrizze, hogy létrehozta-e a keytab (key table) fájlt, és hogy mssql-conf úgy van-e konfigurálva, hogy a megfelelő fájlt használja a megfelelő engedélyekkel. A kulcstartónak elérhetőnek kell lennie a mssql felhasználói fiók számára. További információ: Active Directory-hitelesítés konfigurálása az Adutil használatával linuxos SQL Serverrel.

  2. Győződjön meg arról, hogy listázhatja a keytab tartalmát, és hogy a megfelelő SPN-eket, portot, titkosítási típust és felhasználói fiókot adta hozzá. Ha nem írja be helyesen a jelszavakat az egyszerű felhasználónevek és a keytab-bejegyzések létrehozásakor, hibaüzenetek jelennek meg az Active Directory-hitelesítéssel való bejelentkezéskor.

    klist -kte /var/opt/mssql/secrets/mssql.keytab

    Egy példa egy munkakulcsra. A példa két titkosítási típust használ, de a környezetben támogatott titkosítási típustól függően csak egy vagy több használható. A példában sqluser@CONTOSO.COM a kiemelt fiók (amely megfelel az mssql-conf network.privilegedadaccount beállításának), és az SQL Server gazdagépneve sqllinux.contoso.com figyeli az alapértelmezett port 1433.

    $ kinit privilegeduser@CONTOSO.COM
Password for privilegeduser@CONTOSO.COM:

$ klist
Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: privilegeduser@CONTOSO.COM
Valid starting     Expires            Service principal
01/26/22 20:42:02  01/27/22 06:42:02  krbtgt/CONTOSO.COM@CONTOSO.COM
    renew until 01/27/22 20:41:57

$ klist -kte mssql.keytab
Keytab name: FILE:mssql.keytab
KVNO Timestamp         Principal
---- ----------------- --------------------------------------------------------
   2 01/13/22 13:19:47 MSSQLSvc/sqllinux@CONTOSO.COM (aes256-cts-hmac-sha1-96)
   2 01/13/22 13:19:47 MSSQLSvc/sqllinux@CONTOSO.COM (aes128-cts-hmac-sha1-96)
   2 01/13/22 13:19:47 MSSQLSvc/sqllinux.contoso.com@CONTOSO.COM (aes256-cts-hmac-sha1-96)
   2 01/13/22 13:19:47 MSSQLSvc/sqllinux.contoso.com@CONTOSO.COM (aes128-cts-hmac-sha1-96)
   2 01/13/22 13:19:47 MSSQLSvc/sqllinux:1433@CONTOSO.COM (aes256-cts-hmac-sha1-96)
   2 01/13/22 13:19:47 MSSQLSvc/sqllinux:1433@CONTOSO.COM (aes128-cts-hmac-sha1-96)
   2 01/13/22 13:19:47 MSSQLSvc/sqllinux.contoso.com:5533@CONTOSO.COM (aes256-cts-hmac-sha1-96)
   2 01/13/22 13:19:47 MSSQLSvc/sqllinux.contoso.com:5533@CONTOSO.COM (aes128-cts-hmac-sha1-96)
   2 01/13/22 13:19:55 sqluser@CONTOSO.COM (aes256-cts-hmac-sha1-96)
   2 01/13/22 13:19:55 sqluser@CONTOSO.COM (aes128-cts-hmac-sha1-96)

Tartományadatok ellenőrzése a krb5.conf

  1. A krb5.conf (/etc/krb5.conf) területen ellenőrizze, hogy megadja-e az alapértelmezett birodalom, a birodalom információi, valamint a tartomány-birodalom leképezés értékeit. Az alábbi példa egy mintafájl krb5.conf. További információ: Az SQL Server Active Directory-hitelesítésének ismertetése Linuxon és tárolókon.

    [libdefaults]
default_realm = CONTOSO.COM
default_keytab_name = /var/opt/mssql/secrets/mssql.keytab
default_ccache_name = ""

[realms]
CONTOSO.COM = {
    kdc = adVM.contoso.com
    admin_server = adVM.contoso.com
    default_domain= contoso.com
}

[domain_realm]
.contoso.com = CONTOSO.COM
contoso.com = CONTOSO.COM

  2. Korlátozhatja, hogy az SQL Server kapcsolatba lépjen a tartományvezérlők egy részhalmazával, ami akkor hasznos, ha a DNS-konfiguráció több tartományvezérlőt ad vissza, mint amennyit az SQL Servernek kapcsolatba kell lépnie. A Linuxon futó SQL Server lehetővé teszi azon tartományvezérlők listájának megadását, amelyekkel az SQL Server ciklikus időszeleteléses módon lép kapcsolatba az Lightweight Directory Access Protocol (LDAP) keresés során.

    Két lépést kell elvégeznie. Először módosítsa a krb5.conf-t úgy, hogy hozzáadja a szükséges számú tartományvezérlőt, előtte a kdc =előtaggal.

    [realms]
CONTOSO.COM = {
  kdc = kdc1.contoso.com
  kdc = kdc2.contoso.com
  ..
  ..
}

    Ne feledje, hogy a krb5.conf egy gyakori Kerberos-ügyfélkonfigurációs fájl, így a fájlban végrehajtott módosítások az SQL Serveren kívül más szolgáltatásokat is érintenek. Mielőtt bármilyen módosítást végez, forduljon a tartományi rendszergazdához.

    Ezután engedélyezheti a network.enablekdcfromkrb5conf beállítást mssql-confhasználatával, majd indítsa újra az SQL Servert:

    sudo /opt/mssql/bin/mssql-conf set network.enablekdcfromkrb5conf true
sudo systemctl restart mssql-server

Kerberos hibaelhárítása

Az Active Directory hitelesítési problémáinak elhárításában és az adott hibaüzenetek azonosításában az alábbi részletek nyújtanak segítséget.

Kerberos nyomkövetése

Miután létrehozta a felhasználót, az SPN-eket és a keytabs-t, és konfigurálta mssql-conf, hogy a Linuxon futó SQL Server Active Directory-konfigurációja helyes legyen, a Kerberos-nyomkövetési üzeneteket megjelenítheti a konzolon (stdout), amikor megkísérli beszerezni vagy megújítani a Kerberos TGT-t a kiemelt fiókkal a következő paranccsal:

root@sqllinux mssql# KRB5_TRACE=/dev/stdout kinit -kt /var/opt/mssql/secrets/mssql.keytab sqluser

Ha nincs probléma, az alábbi mintához hasonló kimenetnek kell megjelennie. Ha nem, a nyomkövetés kontextust biztosít arról, hogy mely lépéseket érdemes áttekinteni.

3791545 1640722276.100275: Getting initial credentials for sqluser@CONTOSO.COM
3791545 1640722276.100276: Looked up etypes in keytab: aes256-cts, aes128-cts
3791545 1640722276.100278: Sending unauthenticated request
3791545 1640722276.100279: Sending request (202 bytes) to CONTOSO.COM
3791545 1640722276.100280: Initiating TCP connection to stream 10.0.0.4:88
3791545 1640722276.100281: Sending TCP request to stream 10.0.0.4:88
3791545 1640722276.100282: Received answer (185 bytes) from stream 10.0.0.4:88
3791545 1640722276.100283: Terminating TCP connection to stream 10.0.0.4:88
3791545 1640722276.100284: Response was from master KDC
3791545 1640722276.100285: Received error from KDC: -1765328359/Additional pre-authentication required
3791545 1640722276.100288: Preauthenticating using KDC method data
3791545 1640722276.100289: Processing preauth types: PA-PK-AS-REQ (16), PA-PK-AS-REP_OLD (15), PA-ETYPE-INFO2 (19), PA-ENC-TIMESTAMP (2)
3791545 1640722276.100290: Selected etype info: etype aes256-cts, salt "CONTOSO.COMsqluser", params ""
3791545 1640722276.100291: Retrieving sqluser@CONTOSO.COM from /var/opt/mssql/secrets/mssql.keytab (vno 0, enctype aes256-cts) with result: 0/Success
3791545 1640722276.100292: AS key obtained for encrypted timestamp: aes256-cts/E84B
3791545 1640722276.100294: Encrypted timestamp (for 1640722276.700930): plain 301AA011180F32303231313XXXXXXXXXXXXXXXXXXXXXXXXXXXXX, encrypted 333109B95898D1B4FC1837DAE3E4CBD33AF8XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
3791545 1640722276.100295: Preauth module encrypted_timestamp (2) (real) returned: 0/Success
3791545 1640722276.100296: Produced preauth for next request: PA-ENC-TIMESTAMP (2)
3791545 1640722276.100297: Sending request (282 bytes) to CONTOSO.COM
3791545 1640722276.100298: Initiating TCP connection to stream 10.0.0.4:88
3791545 1640722276.100299: Sending TCP request to stream 10.0.0.4:88
3791545 1640722276.100300: Received answer (1604 bytes) from stream 10.0.0.4:88
3791545 1640722276.100301: Terminating TCP connection to stream 10.0.0.4:88
3791545 1640722276.100302: Response was from master KDC
3791545 1640722276.100303: Processing preauth types: PA-ETYPE-INFO2 (19)
3791545 1640722276.100304: Selected etype info: etype aes256-cts, salt "CONTOSO.COMsqluser", params ""
3791545 1640722276.100305: Produced preauth for next request: (empty)
3791545 1640722276.100306: AS key determined by preauth: aes256-cts/E84B
3791545 1640722276.100307: Decrypted AS reply; session key is: aes256-cts/05C0
3791545 1640722276.100308: FAST negotiation: unavailable
3791545 1640722276.100309: Initializing KCM:0:37337 with default princ sqluser@CONTOSO.COM
3791545 1640722276.100310: Storing sqluser@CONTOSO.COM -> krbtgt/CONTOSO.COM@CONTOSO.COM in KCM:0:37337
3791545 1640722276.100311: Storing config in KCM:0:37337 for krbtgt/CONTOSO.COM@CONTOSO.COM: pa_type: 2
3791545 1640722276.100312: Storing sqluser@CONTOSO.COM -> krb5_ccache_conf_data/pa_type/krbtgt/CONTOSO.COM@CONTOSO.COM@X-CACHECONF: in KCM:0:37337

$ sudo klist
Ticket cache: KCM:0:37337
Default principal: sqluser@CONTOSO.COM
Valid starting Expires Service principal
12/28/2021 20:11:16 12/29/2021 06:11:16 krbtgt/CONTOSO.COM@CONTOSO.COM
renew until 01/04/2022 20:11:16

Kerberos és biztonsági alapú PAL-naplózás engedélyezése

Engedélyezheti security.kerberos és security.ldap naplózást a PAL -ban (platform absztrakciós réteg) található konkrét hibaüzenetek azonosításához. Hozzon létre egy logger.ini fájlt a következő tartalommal a /var/opt/mssql/, indítsa újra az SQL Servert, majd reprodukálja a hibát. A PAL Active Directory hibáját és hibakeresési üzeneteit a /var/opt/mssql/log/security.lognaplózza.

[Output:security]
Type = File
Filename = /var/opt/mssql/log/security.log
[Logger]
Level = Silent
[Logger:security.kerberos]
Level = Debug
Outputs = security
[Logger:security.ldap]
Level = debug
Outputs = security

Nem kell újraindítania az SQL Servert ahhoz, hogy a logger.ini-ból átvegye a naplózó módosításait, de előfordulhatnak hibák az Active Directory szolgáltatás inicializálása és az SQL Server indítás közben, amelyek különben észrevétlenek maradnának. Az SQL Server újraindítása biztosítja az összes hibaüzenet rögzítését.

A biztonsági napló továbbra is a meghajtóra ír, amíg el nem távolítja a logger.inimódosításait. A probléma azonosítása és megoldása után tiltsa le a security.kerberos és security.ldap naplózást, hogy ne fogyjon el a lemezterület.

A PAL-naplózó a következő formátumban hoz létre naplófájlokat:

<DATETIME> <Log level> [<logger>] <<process/thread identifier>> <message>

A naplóból például egy mintasor a következő:

12/28/2021 13:56:31.609453055 Error [security.kerberos] <0003753757/0x00000324> Request ticket server MSSQLSvc/sql.contoso.com:1433@CONTOSO.COM kvno 3 enctype aes256-cts found in keytab but cannot decrypt ticket

Miután engedélyezte a PAL-naplózást, és reprodukálta a problémát, keresse meg az első Errornaplószintű üzenetet, majd az alábbi táblázat segítségével keresse meg a hibát, és kövesse az útmutatásokat és javaslatokat a probléma elhárításához és megoldásához.

Gyakori hibaüzenetek

Hibaüzenet: "A bejelentkezés nem sikerült. A bejelentkezés nem megbízható tartományból származik, és nem használható integrált hitelesítéssel."

Lehetséges ok

Ez a hiba akkor jelenik meg, ha Active Directory-fiókkal próbál bejelentkezni, miután konfigurálta az Active Directory-hitelesítést.

Útmutatás

Ez az általános hibaüzenet megköveteli, hogy engedélyezze a PAL naplózást az adott hiba azonosításához.

Az egyes hibák lehetséges okának azonosításához tekintse meg az alábbi gyakori hibákat, majd kövesse a hibaelhárítási útmutatót a probléma megoldásához.

Hibaüzenetek
Windows NT-felhasználó vagy "CONTOSO\user" csoport nem található
Nem sikerült megkeresni a rövid tartománynevet hibából kifolyólag
Nem sikerült a gazdagép <gazdagépnév rDNS-visszafejtését végrehajtani> a hiba miatt
Az FQDN nem került visszaküldésre az rDNS keresés által
NEM sikerült az LDAP-kiszolgálóhoz való kötés
kulcstábla-bejegyzés nem található
Nem található kulcstábla-bejegyzés a(z) <fő> számára.
Jegykiszolgáló kérés <főelem> nem található a keytabban (jegy kvno <KVNO>)
Jegykiszolgáló kérése <principal> KVNO <KVNO> található a keytabban, de nem az <titkosítási típussal>
Kérés a jegy kiszolgálójához <felhasználó> kvno <KVNO> tikosítási forma <titkosítási típus> a keytabban található, de a jegy visszafejtése nem lehetséges

Hibaüzenet: Windows NT-felhasználó vagy "CONTOSO\user" csoport nem található

Lehetséges ok

A hiba akkor jelentkezhet, amikor megpróbálja létrehozni a Windows-bejelentkezést, vagy a csoport frissítésesorán.

Útmutatás

A probléma érvényesítéséhez kövesse a "Sikertelen bejelentkezés" című témakör útmutatását. A bejelentkezés nem megbízható tartományból származik, és nem használható integrált hitelesítéssel. (Microsoft SQL Server, Hiba: 18452)" Engedélyezze a PAL naplózást az adott hiba azonosításához és a megfelelő hibaelhárításhoz.

Hibaüzenet: "Hiba miatt nem sikerült megkeresni a rövid tartománynevet"

Lehetséges ok

Az Active Directory-bejelentkezés létrehozásához használt Transact-SQL szintaxis a következő:

CREATE LOGIN [CONTOSO\user]
    FROM WINDOWS;

A parancsban a NetBIOS-név (CONTOSO) megadása kötelező, de LDAP-kapcsolat végrehajtásakor a háttérrendszerben meg kell adni a tartomány teljes tartománynevét (contoso.com). A konverzió végrehajtásához DNS-keresést hajtanak végre a CONTOSO címen, hogy megkapják egy tartományvezérlő IP-címét, amelyhez ezután LDAP-lekérdezéseket lehet kötni.

Útmutatás

A "Nem sikerült a rövid tartománynevet feloldani az alábbi hiba miatt" hibaüzenet azt jelzi, hogy a nslookup a contoso számára nem oldódik fel a tartományvezérlő IP-címére. Tekintse át DNS- és fordított DNS-kereséseket annak ellenőrzéséhez, hogy a NetBIOS és a tartománynév nslookup egyeznie kell-e.

Hibaüzenetek: "Nem sikerült végrehajtani az rDNS-keresést a <hoszt> miatt bekövetkezett hiba miatt" vagy "Az rDNS-keresés nem adta vissza az FQDN-t"

Lehetséges ok

Ez a hibaüzenet általában azt jelzi, hogy a fordított DNS-rekordok (PTR-rekordok) nem léteznek minden tartományvezérlő esetében.

Útmutatás

Ellenőrizze a DNS- és fordított DNS-kereséseket. Az rDNS-bejegyzésekkel nem rendelkező tartományvezérlők azonosítása után két lehetőség közül választhat:

  • RDNS-bejegyzések hozzáadása az összes tartományvezérlőhöz

    Ez a beállítás nem SQL Server-beállítás, és tartományszinten kell konfigurálni. Előfordulhat, hogy a tartományfelügyeleti csapattal együtt kell létrehoznia a szükséges PTR-rekordokat a tartománynév nslookup futtatásakor visszaadott összes tartományvezérlőhöz.

  • Az SQL Server korlátozása a tartományvezérlők egy részhalmazára

    Ha nem lehet PTR-rekordokat hozzáadni az összes visszaadott tartományvezérlőhöz, korlátozhatja az SQL Servert a tartományvezérlők egy részhalmazára.

Hibaüzenet: "Nem sikerült csatlakozni az LDAP-kiszolgálóhoz ldap://CONTOSO.COM:3268: Helyi hiba"

Lehetséges ok

Az OpenLDAP általános hibája általában két dolog egyikét jelenti:

  • Hitelesítő adatok nélkül
  • rDNS-problémák

Íme egy ilyen példa a hibaüzenetre:

12/09/2021 14:32:11.319933684 Error [security.ldap] <0000000142/0x000001c0> Failed to bind to LDAP server ldap://[CONTOSO.COM:3268]: Local error

Útmutatás

  • Hitelesítő adatok nélkül

    Az egyéb hibaüzenetek akkor jelennek meg először, ha a hitelesítő adatok nem töltődnek be AZ LDAP-kapcsolatokhoz. Engedélyeznie kell a PAL naplózást, és ellenőriznie kell a hibanaplót a hibaüzenetekért. Ha nincs más hiba, valószínűleg nem hitelesítő adatokkal kapcsolatos probléma. Ha talál ilyet, végezze el a megjelenő hibaüzenet javítását. A legtöbb esetben ez a jelen cikkben ismertetett hibaüzenetek egyike.

  • rDNS-problémák

    Ellenőrizze a DNS- és fordított DNS-kereséseket.

    Amikor az OpenLDAP-könyvtár egy tartományvezérlőhöz csatlakozik, a teljes tartománynév (FQDN), amely ebben a példában contoso.com, vagy a tartományvezérlő teljes tartományneve (kdc1.contoso.com) kerül megadásra. A kapcsolat létrejötte után (de a hívónak való sikeres visszatérés előtt) az OpenLDAP-kódtár ellenőrzi annak a kiszolgálónak az IP-címét, amelyhez csatlakozott. Ezután elvégzi a fordított DNS-keresést, és ellenőrzi, hogy a csatlakoztatott kiszolgáló neve (kdc1.contoso.com) megegyezik-e azzal a tartománnyal, amelyhez a kapcsolatot kérték (contoso.com). Ha nem egyezik, az OpenLDAP könyvtár biztonsági funkcióként megszakítja a kapcsolatot. Ez az oka annak, hogy az rDNS-beállítások annyira fontosak a Linuxon futó SQL Server esetében, és ezek a cikk középpontjában állnak.

Hibaüzenet: "A kulcstábla bejegyzése nem található"

Lehetséges ok

Ez a hiba azt jelzi, hogy hozzáférési problémák merülnek fel a keytab-fájllal kapcsolatban, vagy ha nem szerepel az összes szükséges bejegyzés a keytabban.

Útmutatás

Győződjön meg arról, hogy a keytab fájl a megfelelő hozzáférési szinttel és engedélyekkel rendelkezik. A keytab fájl alapértelmezett helye és neve /var/opt/mssql/secrets/mssql.keytab. A titkos kódok mappában lévő összes fájl aktuális engedélyeinek megtekintéséhez futtassa a következő parancsot:

sudo ls -lrt /var/opt/mssql/secrets

Az alábbi parancsokkal állíthatja be az engedélyeket és a hozzáférési szintet a keytab-fájlban:

sudo chown mssql /var/opt/mssql/secrets/mssql.keytab
sudo chmod 440 /var/opt/mssql/secrets/mssql.keytab

A keytab-bejegyzések listázásával és a megfelelő engedélyek beállításával kapcsolatos további információkért tekintse meg az előző Keytab-fájl és engedélyek ellenőrzése szakaszt. Ha az adott szakaszban szereplő feltételek valamelyike nem teljesül, a következő vagy azzal egyenértékű hiba jelenik meg: "Key table entry not found".

Hibaüzenet: "Nem található kulcstábla-bejegyzés a(z) <alapkulcshoz>"

Lehetséges ok

Amikor megkísérli lekérni <principal> hitelesítő adatait a keytabból, nem található megfelelő bejegyzés.

Útmutatás

A keytab összes bejegyzésének listázásához kövesse a cikk Keytab-fájl és engedélyek ellenőrzése szakaszát. Győződjön meg arról, hogy <principal> jelen van. Ebben az esetben a fő fiók általában az a network.privilegedadaccount, amelyhez az egyszerű szolgáltatásnevek regisztrálva vannak. Ha nem, akkor adja hozzá az adutil paranccsal. További információ: Active Directory-hitelesítés konfigurálása az Adutil használatával linuxos SQL Serverrel.

Hibaüzenet: "A kért jegykiszolgáló <főazonosító> nem található a keytab fájlban (jegy kvno <KVNO>)"

Lehetséges ok

Ez a hiba azt jelzi, hogy az SQL Server nem talált keytab bejegyzést a kért jegyhez a megadott kulcsverziószámmal (KVNO).

Útmutatás

A keytab összes bejegyzésének listázásához kövesse a cikk Keytab-fájl és engedélyek ellenőrzése szakaszát. Ha nem talál olyan hibaüzenetet, amely megfelel a <principal> és a KVNO-nak, adja hozzá ezt a bejegyzést a keytab fájl frissítésével az adott szakaszban említett lépések végrehajtásával.

A következő parancs futtatásával megszerezheti a legfrissebb KVNO-t a DC-ből. A parancs futtatása előtt be kell szereznie vagy meg kell újítania a Kerberos TGT-t a kinit paranccsal. További információért lásd: Az adutil használata az Active Directory felhasználó létrehozására az SQL Serverhez, és a szolgáltatásnév (SPN) beállítása.

kvno MSSQLSvc/<hostname>

Hibaüzenet: "A jegykiszolgáló kérése <fő> kvno <KVNO> megtalálható a keytabban, de nem az enctype <titkosítási típussal>"

Lehetséges ok

Ez a hiba azt jelenti, hogy az ügyfél által kért titkosítási típus nem volt jelen az SQL Server kulcstáblájában.

Útmutatás

Az ellenőrzéshez kövesse a Keytab-fájl és -engedélyek ellenőrzése szakaszban leírtakat, hogy a dokumentumban listázza az összes bejegyzést a keytabban. Ha nem talál olyan hibaüzenetet, amely megfelel a fő, a KVNO-nak és a titkosítási típusnak, adja hozzá ezt a bejegyzést a keytab-fájl frissítésével az ebben a szakaszban ismertetett lépésekkel.

Hibaüzenet: "Jegykiszolgáló kérés <, principális>, kvno <, KVNO>, enctype <, titkosítási típus,> található a keytabban, de a ticket nem fejthető vissza."

Lehetséges ok

Ez a hiba azt jelzi, hogy az SQL Server nem tudta használni a keytab-fájl hitelesítő adatait a bejövő hitelesítési kérelem visszafejtéséhez. A hiba gyakran helytelen jelszó eredménye.

Útmutatás

Hozza létre újra a kulcstartót a megfelelő jelszóval. Ha adutilhasznál, hozza létre a kulcstartót a megfelelő jelszóval, az oktatóanyag lépéseit követve: Az adutil használatával konfigurálhatja az Active Directory-hitelesítést az SQL Serverrel Linux.

Gyakori portok

Ez a táblázat azOkat a gyakori portokat mutatja be, amelyeket az SQL Server használ Linuxon az Active Directory-hitelesítés konfigurálásához és felügyeletéhez.

Active Directory-szolgáltatás Kikötő
DNS 53
LDAP 389
LDAPS 636
Kerberos 88

Kapcsolódó tartalom

  • Last updated on