Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of mappen te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen om mappen te wijzigen.
Van toepassing op: Van toepassing op:
SQL Server 2025 (17.x)
SQL Server 2025 introduceert ondersteuning voor beheerde identiteiten voor gekoppelde servers, waardoor veilige, referentievrije verificatie mogelijk is tussen SQL Server-exemplaren. Deze mogelijkheid is beschikbaar voor zowel SQL Server op Azure Virtual Machines als SQL Server ingeschakeld door Azure Arc. Met verificatie van beheerde identiteiten kunt u gekoppelde serververbindingen tot stand brengen zonder wachtwoorden te beheren of referenties op te slaan, uw beveiligingspostuur te verbeteren en referentiebeheer te vereenvoudigen.
In dit artikel leest u hoe u gekoppelde serververbindingen instelt met behulp van verificatie van beheerde identiteiten. U configureert de bronserver voor het initiëren van verbindingen en de doelserver voor het accepteren van verificatie op basis van beheerde identiteiten.
Vereiste voorwaarden
Zorg ervoor dat u het volgende hebt voordat u begint:
- SQL Server 2025 wordt uitgevoerd op een van de volgende:
- Virtuele Azure-machine waarop de SQL Server IaaS Agent-extensie is geïnstalleerd, of
- On-premises of virtuele machine waarvoor Azure Arc is ingeschakeld
- Microsoft Entra-verificatie geconfigureerd op zowel bron- als doelservers
- Netwerkverbinding tussen bron- en doelservers met de juiste firewallregels
- Juiste machtigingen voor het maken van aanmeldingen en het configureren van gekoppelde servers op beide exemplaren
- Voor Virtuele Azure-machines: Zowel SqlIaasExtension - als AADLogin-extensies ingeschakeld
- Voor exemplaren met Azure Arc: Azure Arc-agent geïnstalleerd en geconfigureerd
Vereisten voor virtuele Azure-machines
Wanneer u SQL Server op virtuele Azure-machines gebruikt:
- Controleer of sqlIaasExtension - en AADLogin-extensies zijn geïnstalleerd. Deze extensies worden standaard opgenomen bij het implementeren vanuit de Azure Marketplace SQL Server-sjabloon.
- Configureer Microsoft Entra-verificatie volgens de richtlijnen in Microsoft Entra-verificatie inschakelen voor SQL Server op Azure-VM's.
- Zorg ervoor dat zowel virtuele machines binnenkomend als uitgaand netwerkverkeer toestaan voor SQL Server-communicatie.
- Configureer firewallregels op elke virtuele machine om SQL Server-verkeer toe te staan.
Vereisten voor Azure Arc-ingeschakelde systemen
Wanneer u SQL Server gebruikt die is ingeschakeld door Azure Arc:
- Installeer en configureer Azure Arc op uw SQL Server 2025-exemplaren volgens de vereisten voor SQL Server ingeschakeld door Azure Arc.
- Stel Microsoft Entra-verificatie in met behulp van de richtlijnen in Microsoft Entra-verificatie instellen met app-registratie.
- Controleer de netwerkverbinding tussen de bron- en doelservers.
Aanmelding maken op doelserver
De doelserver moet een aanmelding hebben die overeenkomt met de naam van de bronserver. Wanneer de bronserver verbinding maakt met behulp van een beheerde identiteit, wordt deze geverifieerd met behulp van de beheerde identiteit van de machine. De doelserver valideert deze identiteit door deze te koppelen aan een aanmelding die is gemaakt op basis van een externe provider.
Maak verbinding met het doel-SQL Server-exemplaar.
Maak een aanmelding met de naam van de bronserver:
USE [master]; GO CREATE LOGIN [AzureSQLVMSource] FROM EXTERNAL PROVIDER WITH DEFAULT_DATABASE = [master], DEFAULT_LANGUAGE = [us_english]; GOVerverleent de aanmelding de juiste machtigingen op serverniveau. Bijvoorbeeld om een rol toe te kennen
sysadmin:ALTER SERVER ROLE [sysadmin] ADD MEMBER [AzureSQLVMSource]; GOAanbeveling
Pas het principe van minimale bevoegdheden toe door alleen de machtigingen toe te kennen die vereist zijn voor uw specifieke use-case in plaats van het gebruik
sysadmin.
Gekoppelde server configureren op bronserver
Nadat u de aanmelding op de doelserver hebt gemaakt, configureert u de gekoppelde serververbinding op de bronserver. Deze configuratie maakt gebruik van de MSOLEDBSQL provider met verificatie van beheerde identiteiten.
Maak verbinding met het SQL Server-bronexemplaar.
Maak de gekoppelde server met behulp van
sp_addlinkedserver:USE [master]; GO EXEC master.dbo.sp_addlinkedserver @server = N'AzureSQLVMDestination', @srvproduct = N'', @provider = N'MSOLEDBSQL', @datasrc = N'AzureSQLVMDestination', @provstr = N'Authentication=ActiveDirectoryMSI;'; GODe
@provstrparameter geeftActiveDirectoryMSIverificatie op, die de gekoppelde server opdracht geeft om beheerde identiteit te gebruiken.Stel de gekoppelde server-inlogkoppeling in:
EXEC master.dbo.sp_addlinkedsrvlogin @rmtsrvname = N'AzureSQLVMDestination', @useself = N'False', @locallogin = NULL, @rmtuser = NULL, @rmtpassword = NULL; GOMet deze configuratie stelt u de gekoppelde server in voor het gebruik van de beheerde identiteit zonder expliciete gebruikersreferenties.
De gekoppelde serververbinding testen
Controleer na de configuratie of de gekoppelde serververbinding correct werkt.
Test de verbinding met behulp van
sp_testlinkedserver:EXECUTE master.dbo.sp_testlinkedserver AzureSQLVMDestination; GOAls de test slaagt, kunt u een query uitvoeren op de externe server. Voorbeeld:
SELECT * FROM [AzureSQLVMDestination].[master].[sys].[databases]; GO
Als de test mislukt, controleert u het volgende:
- Microsoft Entra-verificatie is correct geconfigureerd op beide servers
- De aanmelding op de doelserver komt exact overeen met de naam van de bronserver
- Netwerkverbinding bestaat tussen de servers
- Firewallregels maken SQL Server-verkeer mogelijk
- De vereiste extensies (SqlIaasExtension en AADLogin) zijn ingeschakeld voor Azure-VM's
Verwante inhoud
- gekoppelde servers (Database Engine)
- Gekoppelde servers (SQL Server Database Engine) maken
- sp_addlinkedserver (Transact-SQL)
- Microsoft Entra-verificatie inschakelen voor SQL Server op Azure-VM's
- Zelfstudie: Microsoft Entra-verificatie instellen voor SQL Server ingeschakeld door Azure Arc
- Vereisten : SQL Server ingeschakeld door Azure Arc