Устранение неполадок с проверкой подлинности Windows для субъектов Azure AD в Управляемом экземпляре SQL Azure

Эта статья содержит инструкции по устранению неполадок при реализации проверки подлинности Windows для субъектов Azure AD.

Проверка кэширования билетов

Используйте команду klist для вывода списка кэшированных билетов Kerberos.

Команда klist get krbtgt должна возвращать билет из локальной области определения приложения Active Directory.

klist get krbtgt/kerberos.microsoftonline.com

Команда klist get MSSQLSvc должна возвращать билет из области kerberos.microsoftonline.com с именем субъекта-службы (SPN) в MSSQLSvc/<miname>.<dnszone>.database.windows.net:1433.

klist get MSSQLSvc/<miname>.<dnszone>.database.windows.net:1433

Ниже приведены некоторые хорошо известные коды ошибок.

  • 0x6fb: имя субъекта-службы SQL не найдено . Убедитесь, что вы ввели допустимое имя субъекта-службы. Если вы реализовали входящий поток проверки подлинности на основе доверия, вернитесь к шагам по созданию и настройке Azure AD объекта доверенного домена Kerberos, чтобы убедиться, что вы выполнили все действия по настройке.
  • 0x51F — эта ошибка, скорее всего, связана с конфликтом с инструментом Fiddler. Включите Fiddler, чтобы устранить ее.

Изучение ошибок потока сообщений

Используйте Wireshark или анализатор сетевого трафика по своему выбору, чтобы отслеживать трафик между клиентом и локальным центром распространения ключей Kerberos (KDC).

При использовании Wireshark ожидается следующее:

  • AS-REQ: Клиент => локальный KDC => возвращает локальный TGT.
  • TGS-REQ: Клиент => локальный KDC => возвращает реферал в kerberos.microsoftonline.com.

Дальнейшие действия

Дополнительные сведения о реализации проверки подлинности Windows для субъектов Azure AD в Управляемом экземпляре SQL Azure см. в следующих разделах: