Memecahkan masalah autentikasi Direktori Aktif untuk SQL Server di Linux dan kontainer

Berlaku untuk:SQL Server di Linux

Artikel ini membantu Anda memecahkan masalah autentikasi Active Directory Domain Services dengan SQL Server di Linux dan kontainer. Ini termasuk pemeriksaan prasyarat dan tips untuk konfigurasi Direktori Aktif yang berhasil, dan daftar kesalahan umum dan langkah-langkah pemecahan masalah.

Memvalidasi konfigurasi saat ini

Sebelum memulai pemecahan masalah, Anda harus memvalidasi pengaturan pengguna saat ini, mssql.conf, Nama Prinsipal Layanan (SPN), dan realm.

1. Dapatkan atau perbarui Kerberos TGT (tiket pemberian tiket) menggunakan kinit:

   kinit privilegeduser@CONTOSO.COM
   

2. Jalankan perintah berikut, pastikan bahwa pengguna tempat Anda menjalankan perintah ini memiliki akses ke mssql.keytab:

   /opt/mssql/bin/mssql-conf validate-ad-config /var/opt/mssql/secrets/mssql.keytab
   

   Untuk informasi selengkapnya tentang perintah validate-ad-config, lihat bantuan menggunakan perintah /opt/mssql/bin/mssql-conf validate-ad-config --help.

Pencarian DNS dan pencarian terbalik DNS

1. Pencarian DNS pada nama domain dan nama NetBIOS harus mengembalikan alamat IP yang sama, yang biasanya cocok dengan alamat IP untuk pengendali domain (DC). Jalankan perintah ini dari komputer host SQL Server.

   nslookup contoso
   nslookup contoso.com
   

   Jika alamat IP tidak cocok, lihat Bergabung SQL Server di host Linux ke domain Active Directory untuk memperbaiki pencarian DNS dan komunikasi dengan DC.

2. Lakukan pencarian REVERSE DNS (rDNS) untuk setiap alamat IP yang tercantum dalam hasil sebelumnya. Ingatlah untuk menyertakan alamat IPv4 dan IPv6 jika berlaku.

   nslookup <IPs returned from the above commands>
   

   Semua harus mengembalikan <hostname>.contoso.com. Jika bukan itu masalahnya, periksa rekaman PTR (pointer) yang dibuat di Direktori Aktif.

   Anda mungkin harus bekerja dengan administrator domain Anda agar rDNS berfungsi. Jika Anda tidak dapat menambahkan entri PTR untuk semua alamat IP yang dikembalikan, Anda juga dapat membatasi SQL Server ke subset pengendali domain. Perubahan ini memengaruhi layanan lain yang menggunakan krb5.conf pada host.

   Untuk informasi selengkapnya tentang REVERSE DNS, lihat Apa itu REVERSE DNS?

Periksa file keytab dan izin

1. Periksa apakah Anda membuat file keytab (tabel kunci), dan bahwa mssql-conf dikonfigurasi untuk menggunakan file yang benar dengan izin yang sesuai. Keytab harus dapat diakses oleh mssql akun pengguna. Untuk informasi selengkapnya, lihat Menggunakan adutil untuk mengonfigurasi autentikasi Direktori Aktif dengan SQL Server di Linux.

2. Pastikan Anda dapat mencantumkan konten keytab, dan Anda menambahkan SPN, port, jenis enkripsi, dan akun pengguna yang benar. Jika Anda tidak mengetik kata sandi dengan benar saat membuat ENTRI SPN dan keytab, Anda mengalami kesalahan saat mencoba masuk menggunakan autentikasi Direktori Aktif.

   klist -kte /var/opt/mssql/secrets/mssql.keytab
   

   Contoh keytab yang berfungsi adalah sebagai berikut. Contohnya menggunakan dua jenis enkripsi, tetapi Anda hanya dapat menggunakan satu atau beberapa jenis enkripsi yang didukung di lingkungan Anda. Dalam contoh, sqluser@CONTOSO.COM adalah akun istimewa (yang cocok dengan network.privilegedadaccount pengaturan di mssql-conf), dan nama host untuk SQL Server sqllinux.contoso.com mendengarkan di port default 1433.

   $ kinit privilegeduser@CONTOSO.COM
   Password for privilegeduser@CONTOSO.COM:
   
   $ klist
   Ticket cache: FILE:/tmp/krb5cc_1000
   Default principal: privilegeduser@CONTOSO.COM
   Valid starting     Expires            Service principal
   01/26/22 20:42:02  01/27/22 06:42:02  krbtgt/CONTOSO.COM@CONTOSO.COM
       renew until 01/27/22 20:41:57
   
   $ klist -kte mssql.keytab
   Keytab name: FILE:mssql.keytab
   KVNO Timestamp         Principal
   ---- ----------------- --------------------------------------------------------
      2 01/13/22 13:19:47 MSSQLSvc/sqllinux@CONTOSO.COM (aes256-cts-hmac-sha1-96)
      2 01/13/22 13:19:47 MSSQLSvc/sqllinux@CONTOSO.COM (aes128-cts-hmac-sha1-96)
      2 01/13/22 13:19:47 MSSQLSvc/sqllinux.contoso.com@CONTOSO.COM (aes256-cts-hmac-sha1-96)
      2 01/13/22 13:19:47 MSSQLSvc/sqllinux.contoso.com@CONTOSO.COM (aes128-cts-hmac-sha1-96)
      2 01/13/22 13:19:47 MSSQLSvc/sqllinux:1433@CONTOSO.COM (aes256-cts-hmac-sha1-96)
      2 01/13/22 13:19:47 MSSQLSvc/sqllinux:1433@CONTOSO.COM (aes128-cts-hmac-sha1-96)
      2 01/13/22 13:19:47 MSSQLSvc/sqllinux.contoso.com:5533@CONTOSO.COM (aes256-cts-hmac-sha1-96)
      2 01/13/22 13:19:47 MSSQLSvc/sqllinux.contoso.com:5533@CONTOSO.COM (aes128-cts-hmac-sha1-96)
      2 01/13/22 13:19:55 sqluser@CONTOSO.COM (aes256-cts-hmac-sha1-96)
      2 01/13/22 13:19:55 sqluser@CONTOSO.COM (aes128-cts-hmac-sha1-96)
   

Memeriksa informasi realm di krb5.conf

1. Di krb5.conf (terletak di /etc/krb5.conf), periksa apakah Anda memberikan nilai untuk realm default, informasi realm, dan pemetaan domain ke realm. Contoh berikut adalah file sampel krb5.conf . Untuk informasi selengkapnya, lihat Memahami autentikasi Direktori Aktif untuk SQL Server di Linux dan kontainer.

   [libdefaults]
   default_realm = CONTOSO.COM
   default_keytab_name = /var/opt/mssql/secrets/mssql.keytab
   default_ccache_name = ""
   
   [realms]
   CONTOSO.COM = {
       kdc = adVM.contoso.com
       admin_server = adVM.contoso.com
       default_domain= contoso.com
   }
   
   [domain_realm]
   .contoso.com = CONTOSO.COM
   contoso.com = CONTOSO.COM
   

2. Anda dapat membatasi SQL Server untuk menghubungi subset pengendali domain, yang berguna jika konfigurasi DNS Anda mengembalikan lebih banyak pengontrol domain daripada yang perlu dihubungi SQL Server. SQL Server di Linux memungkinkan Anda menentukan daftar pengendali domain yang dihubungi SQL Server dengan cara round-robin saat melakukan pencarian Lightweight Directory Access Protocol (LDAP).

   Ada dua langkah yang perlu Anda selesaikan. Pertama, ubah krb5.conf dengan menambahkan sejumlah pengendali domain yang Anda butuhkan, diawali dengan kdc =.

   [realms]
   CONTOSO.COM = {
     kdc = kdc1.contoso.com
     kdc = kdc2.contoso.com
     ..
     ..
   }
   

   Perlu diingat bahwa krb5.conf adalah file konfigurasi klien Kerberos umum, sehingga setiap perubahan yang Anda buat dalam file ini memengaruhi layanan lain selain SQL Server. Sebelum membuat perubahan apa pun, konsultasikan dengan administrator domain Anda.

   Anda kemudian dapat mengaktifkan network.enablekdcfromkrb5conf pengaturan menggunakan mssql-conf, lalu memulai ulang SQL Server:

   sudo /opt/mssql/bin/mssql-conf set network.enablekdcfromkrb5conf true
   sudo systemctl restart mssql-server
   

Memecahkan masalah Kerberos

Lihat detail berikut untuk membantu Anda memecahkan masalah autentikasi Direktori Aktif dan mengidentifikasi pesan kesalahan tertentu.

Melacak Kerberos

Setelah Anda membuat pengguna, SPN, dan keytabs, dan mengonfigurasi mssql-conf untuk melihat bahwa konfigurasi Direktori Aktif untuk SQL Server di Linux sudah benar, Anda dapat menampilkan pesan pelacakan Kerberos ke konsol (stdout) saat mencoba mendapatkan atau memperbarui Kerberos TGT dengan akun istimewa, menggunakan perintah ini:

root@sqllinux mssql# KRB5_TRACE=/dev/stdout kinit -kt /var/opt/mssql/secrets/mssql.keytab sqluser

Jika tidak ada masalah, Anda akan melihat output yang mirip dengan sampel berikut. Jika tidak, jejak memberikan konteks tentang langkah-langkah mana yang harus Anda tinjau.

3791545 1640722276.100275: Getting initial credentials for sqluser@CONTOSO.COM
3791545 1640722276.100276: Looked up etypes in keytab: aes256-cts, aes128-cts
3791545 1640722276.100278: Sending unauthenticated request
3791545 1640722276.100279: Sending request (202 bytes) to CONTOSO.COM
3791545 1640722276.100280: Initiating TCP connection to stream 10.0.0.4:88
3791545 1640722276.100281: Sending TCP request to stream 10.0.0.4:88
3791545 1640722276.100282: Received answer (185 bytes) from stream 10.0.0.4:88
3791545 1640722276.100283: Terminating TCP connection to stream 10.0.0.4:88
3791545 1640722276.100284: Response was from master KDC
3791545 1640722276.100285: Received error from KDC: -1765328359/Additional pre-authentication required
3791545 1640722276.100288: Preauthenticating using KDC method data
3791545 1640722276.100289: Processing preauth types: PA-PK-AS-REQ (16), PA-PK-AS-REP_OLD (15), PA-ETYPE-INFO2 (19), PA-ENC-TIMESTAMP (2)
3791545 1640722276.100290: Selected etype info: etype aes256-cts, salt "CONTOSO.COMsqluser", params ""
3791545 1640722276.100291: Retrieving sqluser@CONTOSO.COM from /var/opt/mssql/secrets/mssql.keytab (vno 0, enctype aes256-cts) with result: 0/Success
3791545 1640722276.100292: AS key obtained for encrypted timestamp: aes256-cts/E84B
3791545 1640722276.100294: Encrypted timestamp (for 1640722276.700930): plain 301AA011180F32303231313XXXXXXXXXXXXXXXXXXXXXXXXXXXXX, encrypted 333109B95898D1B4FC1837DAE3E4CBD33AF8XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
3791545 1640722276.100295: Preauth module encrypted_timestamp (2) (real) returned: 0/Success
3791545 1640722276.100296: Produced preauth for next request: PA-ENC-TIMESTAMP (2)
3791545 1640722276.100297: Sending request (282 bytes) to CONTOSO.COM
3791545 1640722276.100298: Initiating TCP connection to stream 10.0.0.4:88
3791545 1640722276.100299: Sending TCP request to stream 10.0.0.4:88
3791545 1640722276.100300: Received answer (1604 bytes) from stream 10.0.0.4:88
3791545 1640722276.100301: Terminating TCP connection to stream 10.0.0.4:88
3791545 1640722276.100302: Response was from master KDC
3791545 1640722276.100303: Processing preauth types: PA-ETYPE-INFO2 (19)
3791545 1640722276.100304: Selected etype info: etype aes256-cts, salt "CONTOSO.COMsqluser", params ""
3791545 1640722276.100305: Produced preauth for next request: (empty)
3791545 1640722276.100306: AS key determined by preauth: aes256-cts/E84B
3791545 1640722276.100307: Decrypted AS reply; session key is: aes256-cts/05C0
3791545 1640722276.100308: FAST negotiation: unavailable
3791545 1640722276.100309: Initializing KCM:0:37337 with default princ sqluser@CONTOSO.COM
3791545 1640722276.100310: Storing sqluser@CONTOSO.COM -> krbtgt/CONTOSO.COM@CONTOSO.COM in KCM:0:37337
3791545 1640722276.100311: Storing config in KCM:0:37337 for krbtgt/CONTOSO.COM@CONTOSO.COM: pa_type: 2
3791545 1640722276.100312: Storing sqluser@CONTOSO.COM -> krb5_ccache_conf_data/pa_type/krbtgt/CONTOSO.COM@CONTOSO.COM@X-CACHECONF: in KCM:0:37337

$ sudo klist
Ticket cache: KCM:0:37337
Default principal: sqluser@CONTOSO.COM
Valid starting Expires Service principal
12/28/2021 20:11:16 12/29/2021 06:11:16 krbtgt/CONTOSO.COM@CONTOSO.COM
renew until 01/04/2022 20:11:16

Mengaktifkan Kerberos dan pengelogan PAL berbasis keamanan

Anda dapat mengaktifkan pencatatan security.kerberos dan security.ldap untuk mengidentifikasi pesan kesalahan tertentu di PAL (Lapisan Abstraksi Platform). Buat logger.ini file dengan konten berikut di /var/opt/mssql/, mulai ulang SQL Server, lalu reproduksi kegagalan. Kesalahan Active Directory PAL dan pesan debug dicatat ke /var/opt/mssql/log/security.log.

[Output:security]
Type = File
Filename = /var/opt/mssql/log/security.log
[Logger]
Level = Silent
[Logger:security.kerberos]
Level = Debug
Outputs = security
[Logger:security.ldap]
Level = debug
Outputs = security

Anda tidak perlu menghidupkan ulang SQL Server agar perubahan pencatat dapat diambil dari logger.ini, tetapi kegagalan dapat terjadi selama inisialisasi layanan Active Directory atau selama startup SQL Server yang mungkin tidak diketahui. Memulai ulang SQL Server memastikan semua pesan kesalahan ditangkap.

Log keamanan akan terus menulis ke drive sampai Anda menghapus perubahan di logger.ini. Ingatlah untuk menonaktifkan pencatatan security.kerberos dan security.ldap setelah Anda mengidentifikasi dan memecahkan masalah, untuk mencegah kehabisan ruang pada drive.

Pencatat PAL menghasilkan file log dalam format berikut:

<DATETIME> <Log level> [<logger>] <<process/thread identifier>> <message>

Misalnya, baris sampel dari log mengikuti:

12/28/2021 13:56:31.609453055 Error [security.kerberos] <0003753757/0x00000324> Request ticket server MSSQLSvc/sql.contoso.com:1433@CONTOSO.COM kvno 3 enctype aes256-cts found in keytab but cannot decrypt ticket

Setelah penelogaran PAL diaktifkan dan Anda mereproduksi masalah, cari pesan pertama dengan tingkat log Error, lalu gunakan tabel berikut untuk menemukan kesalahan dan ikuti panduan serta rekomendasi untuk memecahkan dan menyelesaikan masalah.

Pesan kesalahan umum

Pesan kesalahan: "Gagal masuk. Login berasal dari domain yang tidak tepercaya dan tidak dapat digunakan dengan autentikasi Terintegrasi."

Kemungkinan penyebab

Kesalahan ini ditemui saat Anda mencoba masuk menggunakan akun Direktori Aktif, setelah Anda mengonfigurasi autentikasi Direktori Aktif.

Panduan

Pesan kesalahan umum ini mengharuskan Anda mengaktifkan pengelogan PAL untuk mengidentifikasi kesalahan tertentu.

Lihat daftar kesalahan umum berikut untuk mengidentifikasi kemungkinan penyebab setiap kesalahan, lalu ikuti panduan pemecahan masalah untuk mengatasi masalah tersebut.

Pesan kesalahan
Pengguna atau grup Windows NT 'CONTOSO\user' tidak ditemukan
Tidak dapat mencari nama domain pendek karena kesalahan
Tidak dapat melakukan pencarian rDNS untuk host <nama> karena terjadi kesalahan
FQDN tidak dikembalikan oleh pencarian rDNS
Gagal mengikat ke server LDAP
Entri tabel kunci tidak ditemukan
Tidak ada entri tabel kunci yang ditemukan untuk <prinsipal>
Permintaan tiket server <prinsipal> tidak ditemukan di keytab (tiket kvno <KVNO>)
Permintaan tiket server < utama > kvno <KVNO> ditemukan di keytab tetapi tidak dengan jenis enkripsi <>
Permintaan tiket <server >principal< KVNO> jenis enkripsi <encryption type> ditemukan di keytab tetapi tidak dapat mendekripsi tiket

Pesan kesalahan: Pengguna atau grup Windows NT 'CONTOSO\user' tidak ditemukan

Kemungkinan penyebab

Anda mungkin mengalami kesalahan ini ketika mencoba membuat login Windows, atau selama penyegaran grup.

Panduan

Untuk memvalidasi masalah, ikuti panduan seperti yang didokumenkan untuk "Login gagal." Login berasal dari domain yang tidak tepercaya dan tidak dapat digunakan dengan autentikasi Terintegrasi. (Microsoft SQL Server, Kesalahan: 18452)" mengaktifkan pencatatan PAL untuk mengidentifikasi kesalahan tertentu, dan menyelesaikan masalah yang sesuai.

Pesan kesalahan: "Tidak dapat mencari nama domain pendek karena kesalahan"

Kemungkinan penyebab

Sintaks Transact-SQL untuk membuat login Direktori Aktif adalah:

CREATE LOGIN [CONTOSO\user]
    FROM WINDOWS;

Nama NetBIOS (CONTOSO) diperlukan dalam perintah, tetapi di backend saat melakukan koneksi LDAP, FQDN domain (contoso.com) harus disediakan. Untuk melakukan konversi ini, pencarian DNS dilakukan pada CONTOSO untuk menemukan IP dari pengendali domain, yang kemudian dapat dihubungkan untuk kueri LDAP.

Panduan

Pesan kesalahan "Tidak dapat mencari nama domain pendek karena kesalahan" menunjukkan bahwa nslookup untuk contoso tidak terhubung ke alamat IP pengendali domain. Anda harus meninjau pencarian DNS dan pencarian DNS terbalik untuk mengonfirmasi bahwa nslookup untuk baik NetBIOS maupun nama domain harus cocok.

Pesan kesalahan: "Tidak dapat melakukan pencarian rDNS untuk <nama> host karena kesalahan" atau "FQDN tidak dikembalikan oleh pencarian rDNS"

Kemungkinan penyebab

Pesan kesalahan ini biasanya menunjukkan bahwa rekaman REVERSE DNS (catatan PTR) tidak ada untuk semua pengontrol domain.

Panduan

Periksa dns dan reverse DNS lookups. Setelah pengontrol domain yang tidak memiliki entri rDNS diidentifikasi, ada dua opsi:

• Menambahkan entri rDNS untuk semua pengendali domain

  Pengaturan ini bukan pengaturan SQL Server, dan harus dikonfigurasi di tingkat domain. Anda mungkin harus bekerja dengan tim administrasi domain Anda untuk membuat catatan PTR yang diperlukan untuk semua pengendali domain yang dihasilkan saat menjalankan nslookup pada nama domain.

• Membatasi SQL Server ke subset pengendali domain

  Jika menambahkan catatan PTR tidak dimungkinkan untuk semua pengontrol domain yang dikembalikan, Anda dapat membatasi SQL Server ke subset pengendali domain.

Pesan kesalahan: "Gagal mengikat ke server LDAP ldap://CONTOSO.COM:3268: Kesalahan Lokal"

Kemungkinan penyebab

Kesalahan umum dari OpenLDAP ini biasanya berarti salah satu dari dua hal:

• Tidak ada kredensial
• masalah rDNS

Berikut adalah salah satu contoh pesan kesalahan tersebut:

12/09/2021 14:32:11.319933684 Error [security.ldap] <0000000142/0x000001c0> Failed to bind to LDAP server ldap://[CONTOSO.COM:3268]: Local error

Panduan

• Tidak ada kredensial

  Pesan kesalahan lainnya dilemparkan terlebih dahulu jika kredensial tidak dimuat untuk koneksi LDAP. Anda harus mengaktifkan pencatatan PAL dan memeriksa log kesalahan untuk pesan kesalahan sebelum yang ini. Jika tidak ada kesalahan lain, kemungkinan besar itu bukan masalah kredensial. Jika ditemukan, maka bekerjalah untuk memperbaiki pesan kesalahan yang Anda lihat. Dalam kebanyakan kasus, ini adalah salah satu pesan kesalahan yang tercakup dalam artikel ini.

• masalah rDNS

  Periksa dns dan reverse DNS lookups.

  Ketika pustaka OpenLDAP terhubung ke pengontrol domain, nama domain yang sepenuhnya memenuhi syarat (FQDN), yang dalam contoh ini adalah contoso.com, atau FQDN DC (kdc1.contoso.com) disediakan. Setelah koneksi dibuat (tetapi sebelum mengembalikan keberhasilan ke pemanggil), pustaka OpenLDAP memeriksa IP server yang tersambung dengannya. Kemudian melakukan pencarian DNS terbalik dan memeriksa apakah nama server yang tersambung ke (kdc1.contoso.com) cocok dengan domain yang diminta koneksi (contoso.com). Jika tidak cocok, pustaka OpenLDAP gagal melakukan koneksi sebagai tindakan keamanan. Ini adalah bagian dari mengapa pengaturan rDNS sangat penting untuk SQL Server di Linux, dan merupakan fokus dari artikel ini.

Pesan kesalahan: "Entri tabel kunci tidak ditemukan"

Kemungkinan penyebab

Kesalahan ini menunjukkan masalah akses dengan file keytab, atau tidak memiliki semua entri yang diperlukan dalam keytab.

Panduan

Pastikan file keytab memiliki tingkat akses dan izin yang benar. Lokasi default dan nama untuk file keytab adalah /var/opt/mssql/secrets/mssql.keytab. Untuk melihat izin saat ini pada semua file di bawah folder rahasia, Anda dapat menjalankan perintah ini:

sudo ls -lrt /var/opt/mssql/secrets

Anda dapat menggunakan perintah ini untuk mengatur izin dan tingkat akses pada file keytab:

sudo chown mssql /var/opt/mssql/secrets/mssql.keytab
sudo chmod 440 /var/opt/mssql/secrets/mssql.keytab

Untuk informasi selengkapnya tentang mencantumkan entri keytab dan mengatur izin yang benar, lihat bagian Periksa file dan izin keytab sebelumnya. Jika salah satu kondisi di bagian tersebut tidak terpenuhi, Anda akan melihat kesalahan ini atau yang setara: "Key table entry not found".

Pesan kesalahan: "Tidak ada entri tabel kunci yang ditemukan untuk <prinsipal>"

Kemungkinan penyebab

Saat mencoba mengambil kredensial <principal> dari keytab, tidak ada entri yang berlaku yang ditemukan.

Panduan

Untuk mencantumkan semua entri dalam tab kunci, ikuti bagian Periksa file keytab dan izin di artikel ini. Pastikan ada <principal> . Dalam hal ini, akun utama biasanya network.privilegedadaccount adalah tempat SPN terdaftar. Jika tidak, tambahkan dengan perintah adutil . Untuk informasi selengkapnya, lihat Menggunakan adutil untuk mengonfigurasi autentikasi Direktori Aktif dengan SQL Server di Linux.

Pesan kesalahan: "Server permintaan tiket <prinsipal> tidak ditemukan di keytab (tiket kvno <KVNO>)"

Kemungkinan penyebab

Kesalahan ini menunjukkan bahwa SQL Server tidak dapat menemukan entri keytab untuk tiket yang diminta dengan Nomor Versi Kunci (KVNO) yang ditentukan.

Panduan

Untuk mencantumkan semua entri dalam tab kunci, ikuti bagian Periksa file keytab dan izin di artikel ini. Jika Anda tidak dapat menemukan pesan kesalahan yang cocok dengan <principal> dan KVNO, tambahkan entri ini dengan memperbarui file keytab menggunakan langkah-langkah yang disebutkan di bagian tersebut.

Anda juga dapat menjalankan perintah berikut untuk mendapatkan KVNO terbaru dari DC. Sebelum menjalankan perintah ini, Anda perlu mendapatkan atau memperbarui TGT Kerberos menggunakan perintah kinit . Untuk informasi selengkapnya, lihat Menggunakan adutil untuk membuat pengguna Direktori Aktif untuk SQL Server dan mengatur Nama Perwakilan Layanan (SPN).

kvno MSSQLSvc/<hostname>

Pesan kesalahan: "Permintaan server tiket <prinsipal> kvno <KVNO> ditemukan di keytab tetapi tidak dengan tipe enkripsi <>"

Kemungkinan penyebab

Kesalahan ini berarti bahwa jenis enkripsi yang diminta oleh klien tidak ada di keytab SQL Server.

Panduan

Untuk memvalidasi, ikuti bagian Periksa file keytab dan izin dokumen ini untuk mencantumkan semua entri dalam tab kunci. Jika Anda tidak dapat menemukan pesan kesalahan yang cocok dengan prinsipal, KVNO, dan jenis enkripsi, tambahkan entri ini dengan memperbarui file keytab menggunakan langkah-langkah yang disebutkan di bagian tersebut.

Pesan kesalahan: "Permintaan tiket server< prinsipal> kvno <KVNO> enctype <jenis enkripsi> ditemukan di keytab tetapi tidak dapat mendekripsi tiket"

Kemungkinan penyebab

Kesalahan ini menunjukkan bahwa SQL Server tidak dapat menggunakan kredensial dari file keytab untuk mendekripsi permintaan autentikasi masuk. Kesalahan sering kali merupakan hasil dari kata sandi yang salah.

Panduan

Buat ulang keytab menggunakan kata sandi yang benar. Jika Anda menggunakan adutil, buat keytab dengan kata sandi yang tepat, menggunakan langkah-langkah dalam Tutorial: Gunakan adutil untuk mengonfigurasi autentikasi Direktori Aktif dengan SQL Server di Linux.

Port umum

Tabel ini memperlihatkan port umum yang digunakan oleh SQL Server di Linux untuk mengonfigurasi dan mengelola autentikasi Direktori Aktif.

Layanan Active Directory	Pelabuhan
DNS	53
LDAP	389
LDAPS	636
Kerberos	88

Konten terkait

• Memahami autentikasi Direktori Aktif untuk SQL Server di Linux dan kontainer
• Tutorial: Menggunakan adutil untuk mengonfigurasi autentikasi Direktori Aktif dengan SQL Server di Linux