Устранение неполадок с проверкой подлинности Windows для субъектов Microsoft Entra в Управляемом экземпляре SQL Azure
В этой статье содержатся действия по устранению неполадок при реализации субъектов проверки подлинности Windows в идентификаторе Microsoft Entra (ранее — Azure Active Directory).
Примечание.
Идентификатор Microsoft Entra ранее был известен как Azure Active Directory (Azure AD).
Проверка кэширования билетов
Используйте команду klist для вывода списка кэшированных билетов Kerberos.
Команда klist get krbtgt должна возвращать билет из локальной области определения приложения Active Directory.
klist get krbtgt/kerberos.microsoftonline.com
Команда klist get MSSQLSvc должна возвращать билет из области kerberos.microsoftonline.com с именем субъекта-службы (SPN) в MSSQLSvc/<miname>.<dnszone>.database.windows.net:1433.
klist get MSSQLSvc/<miname>.<dnszone>.database.windows.net:1433
Ниже приведены некоторые хорошо известные коды ошибок.
0x6fb: имя субъекта-службы SQL не найдено . Убедитесь, что вы ввели допустимое имя субъекта-службы. Если вы реализовали поток проверки подлинности на основе доверия, вернитесь к инструкциям по созданию и настройке доверенного объекта домена Microsoft Entra Kerberos, чтобы убедиться, что вы выполнили все действия по настройке.
0x51F — эта ошибка, скорее всего, связана с конфликтом с инструментом Fiddler. Чтобы решить эту проблему, выполните следующие действия.
- Выполнить
netsh winhttp reset autoproxy - Выполнить
netsh winhttp reset proxy - В реестре Windows найдите
Computer\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\iphlpsvc\Parameters\ProxyMgrи удалите все вложенные элементы, имеющие конфигурацию с портом.:8888 - Перезапустите компьютер и повторите попытку с помощью проверки подлинности Windows
- Выполнить
0x52f. Указывает, что указанная ссылка на имя пользователя и сведения о проверке подлинности действительны, но некоторые ограничения учетной записи пользователя не позволили успешно выполнить проверку подлинности. Это может произойти, если настроена политика условного доступа Microsoft Entra. Чтобы устранить проблему, необходимо исключить приложение Управляемый экземпляр SQL Azure субъекта-службы (именованное
<instance name> principal) в правилах условного доступа.
Изучение ошибок потока сообщений
Используйте Wireshark или анализатор сетевого трафика, чтобы отслеживать трафик между клиентом и локальным центром распространения ключей Kerberos (KDC).
При использовании Wireshark ожидается следующее:
- AS-REQ: Client => локальный KDC => возвращает локальный TGT.
- TGS-REQ: Client => локальный KDC => возвращает ссылку
kerberos.microsoftonline.com.
Следующие шаги
Дополнительные сведения о реализации проверки подлинности Windows для субъектов Microsoft Entra в Управляемый экземпляр SQL Azure:
- Что такое проверка подлинности Windows для субъектов Microsoft Entra в Управляемом экземпляре SQL Azure?
- Настройка проверки подлинности Windows для Управляемого экземпляра SQL Azure с помощью Microsoft Entra ID и Kerberos.
- Реализация проверки подлинности Windows при доступе к Управляемому экземпляру SQL Azure с помощью Microsoft Entra ID и Kerberos
- Настройка проверки подлинности Windows для Microsoft Entra ID с помощью современного интерактивного потока
- Настройка проверки подлинности Windows для Microsoft Entra ID с помощью входящего потока на основе доверия
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по