Problemi di autenticazione Windows per le entità di Microsoft Entra in Istanza gestita di SQL di Azure?
Questo articolo contiene i passaggi per la risoluzione dei problemi da usare quando si implementano le entità di autenticazione di Windows in Microsoft Entra ID (in precedenza Azure Active Directory).
Nota
Microsoft Entra ID era precedentemente noto come Azure Active Directory (Azure AD).
Verificare che i ticket vengano memorizzati nella cache
Usare il comando klist per visualizzare un elenco di ticket Kerberos attualmente memorizzati nella cache.
Il klist get krbtgt comando deve restituire un ticket dall'area di autenticazione Active Directory locale.
klist get krbtgt/kerberos.microsoftonline.com
Il klist get MSSQLSvc comando deve restituire un ticket dall'area di autenticazione con un nome dell'entità kerberos.microsoftonline.com servizio (SPN) a MSSQLSvc/<miname>.<dnszone>.database.windows.net:1433.
klist get MSSQLSvc/<miname>.<dnszone>.database.windows.net:1433
Di seguito sono riportati alcuni codici di errore noti:
0x6fb: SPN SQL non trovato - Verificare di aver immesso un nome SPN valido. Se è stato implementato il flusso di autenticazione basata su attendibilità in ingresso, rivedere i passaggi per creare e configurare l'oggetto dominio attendibile Kerberos di Microsoft Entra per verificare che siano stati eseguiti tutti i passaggi di configurazione.
0x51f: questo errore è probabilmente correlato a un conflitto con lo strumento Fiddler. Per mitigare il problema, seguire questa procedura:
- Eseguire
netsh winhttp reset autoproxy - Eseguire
netsh winhttp reset proxy - Nel Registro di sistema di Windows trovare
Computer\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\iphlpsvc\Parameters\ProxyMgred eliminare eventuali sottoentri con una configurazione con una porta:8888 - Riavviare il computer e riprovare a usare l'autenticazione di Windows
- Eseguire
0x52f - Indica che un nome utente di riferimento e informazioni di autenticazione sono valide, ma alcune restrizioni dell'account utente hanno impedito l'autenticazione corretta. Questo problema può verificarsi se sono configurati criteri di accesso condizionale di Microsoft Entra. Per attenuare il problema, è necessario escludere l'applicazione Istanza gestita di SQL di Azure'entità servizio (denominata
<instance name> principal) nelle regole di accesso condizionale.
Analizzare gli errori del flusso dei messaggi
Usare Wireshark o l'analizzatore del traffico di rete preferito per monitorare il traffico tra il client e il Centro distribuzione chiavi Kerberos locale.
Quando si usa Wireshark, è previsto quanto segue:
- AS-REQ: Client => KDC locale => restituisce TGT locale.
- TGS-REQ: Client => KDC locale => restituisce la segnalazione a
kerberos.microsoftonline.com.
Passaggi successivi
Altre informazioni sull'implementazione dell'autenticazione di Windows per le entità di accesso Microsoft in Istanza gestita di SQL di Azure:
- Che cos'è l'autenticazione Windows per le entità di Microsoft Entra in Istanza gestita di SQL di Azure?
- Informazioni su come configurare l'autenticazione Windows per Istanza gestita di SQL di Azure tramite ID Microsoft Entra e Kerberos
- Com'è implementata l'autenticazione Windows per Istanza gestita di SQL di Azure con ID Microsoft Entra e Kerberos
- Come configurare l'autenticazione Windows per ID Microsoft Entra con il flusso interattivo moderno
- Come configurare l'autenticazione Windows per ID Microsoft Entra con il flusso basato sull'attendibilità in ingresso
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per