Solução de problemas de Autenticação do Windows para as entidades de segurança do Microsoft Entra na Instância Gerenciada de SQL do Azure?

Este artigo contém etapas de solução de problemas a serem usadas durante a implementação das entidades de segurança de Autenticação do Windows no Microsoft Entra ID (antigo Azure Active Directory).

Observação

O Microsoft Entra ID era anteriormente conhecido como Azure Active Directory (Azure AD).

Verificar se os tíquetes estão sendo armazenados em cache

Use o comando klist para exibir uma lista de tíquetes Kerberos atualmente armazenados em cache.

O comando klist get krbtgt deve retornar um tíquete do realm do Active Directory local.

klist get krbtgt/kerberos.microsoftonline.com

O comando klist get MSSQLSvc deve retornar um tíquete do realm kerberos.microsoftonline.com com um SPN (nome da entidade de serviço) para MSSQLSvc/<miname>.<dnszone>.database.windows.net:1433.

klist get MSSQLSvc/<miname>.<dnszone>.database.windows.net:1433

Estes são alguns códigos de erro bem conhecidos:

• 0x6fb: SQL SPN não encontrado – verifique se você inseriu um SPN válido. Se você tiver implementado o fluxo de autenticação baseado em confiança de entrada, visite novamente as etapas para criar e configurar o objeto de domínio confiável do Kerberos do Microsoft Entra para validar que você executou todas as etapas de configuração.

• 0x51f - esse erro provavelmente está relacionado a um conflito com a ferramenta Fiddler. Para atenuar o problema, siga estas etapas:

  1. Execute netsh winhttp reset autoproxy
  2. Execute netsh winhttp reset proxy
  3. No Registro do Windows, localize Computer\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\iphlpsvc\Parameters\ProxyMgr e exclua qualquer subentidade que tenha uma configuração com uma porta :8888
  4. Reinicialize o computador e tente novamente usando a Autenticação do Windows

• 0x52f – Indica que um nome de usuário referenciado e informações de autenticação são válidos, mas alguma restrição de conta de usuário impediu a autenticação bem-sucedida. Isso pode acontecer se você tiver uma política de acesso condicional do Microsoft Entra configurada. Para mitigar o problema, exclua o aplicativo Instância Gerenciada de SQL do Azure Entidade de Serviço (denominado <instance name> principal) nas regras de acesso condicional.

Investigar falhas de fluxo de mensagens

Use o Wireshark ou o analisador de tráfego de rede de sua escolha para monitorar o tráfego entre o cliente e o KDC (centro de distribuição de chaves) do Kerberos local.

Ao usar o Wireshark, o seguinte é esperado:

• AS-REQ: Client = > KDC local = > retorna um TGT local.
• TGS-REQ: Client = > KDC local = > retorna referência a kerberos.microsoftonline.com.

Próximas etapas

Saiba mais sobre como implementar a Autenticação do Windows para entidades de segurança do Microsoft Entra na Instância Gerenciada de SQL do Azure:

• O que é Autenticação do Windows para as entidades de segurança do Microsoft Entra na Instância Gerenciada de SQL do Azure?
• Como configurar a Autenticação do Windows para a Instância Gerenciada de SQL do Azure usando o do Microsoft Entra ID e o Kerberos
• Como a Autenticação do Windows para a Instância Gerenciada de SQL do Azure é implementada com o Microsoft Entra ID e Kerberos (versão preliminar)
• Como configurar a Autenticação do Windows para o Microsoft Entra ID com o fluxo interativo moderno
• Como configurar a Autenticação do Windows para o Microsoft Entra ID com o fluxo baseado em relação de confiança de entrada