Bağlı sunucular için yönetilen kimliği yapılandırma

Şunlar için geçerlidir: Şunlar için geçerlidir: SQL Server 2025 (17.x)

SQL Server 2025, bağlı sunucular için yönetilen kimlik desteği sunarak SQL Server örnekleri arasında güvenli, kimlik bilgisi olmayan kimlik doğrulaması sağlar. Bu özellik hem Azure Sanal Makineler'de SQL Server hem de Azure Arc tarafından etkinleştirilen SQL Server için kullanılabilir. Yönetilen kimlik doğrulaması ile, parolaları yönetmeden veya kimlik bilgilerini depolamadan bağlı sunucu bağlantıları kurabilir, güvenlik duruşunuzu geliştirebilir ve kimlik bilgisi yönetimini basitleştirebilirsiniz.

Bu makalede, yönetilen kimlik doğrulaması kullanarak bağlı sunucu bağlantılarının nasıl ayarlanacağı gösterilmektedir. Kaynak sunucuyu bağlantıları başlatacak ve hedef sunucuyu yönetilen kimlik tabanlı kimlik doğrulamasını kabul etmek üzere yapılandıracaksınız.

Önkoşullar

Başlamadan önce aşağıdakilere sahip olduğunuzdan emin olun:

• SQL Server 2025 şu ikisinde de çalışıyor:
  • SQL Server IaaS Aracısı uzantısının yüklü olduğu Azure Sanal Makinesi veya
  • Azure Arc'ın etkinleştirildiği şirket içi veya sanal makine
• Hem kaynak hem de hedef sunucularda yapılandırılan Microsoft Entra kimlik doğrulaması
• Uygun güvenlik duvarı kurallarına sahip kaynak ve hedef sunucular arasında ağ bağlantısı
• Her iki örnekte de oturum açma bilgileri oluşturmak ve bağlı sunucuları yapılandırmak için uygun izinler
• Azure Sanal Makineler için: Hem SqlIaasExtension hem de AADLogin uzantıları etkin
• Azure Arc özellikli örnekler için: Azure Arc aracısı yüklü ve yapılandırılmış

Azure Sanal Makine gereksinimleri

Azure Sanal Makinelerinde SQL Server kullanırken:

• SqlIaasExtension ve AADLogin uzantılarının yüklü olduğunu doğrulayın. Bu uzantılar, Azure Market SQL Server şablonundan dağıtılırken varsayılan olarak eklenir.
• Azure VM'lerinde SQL Server için Microsoft Entra kimlik doğrulamasını etkinleştirme sayfasındaki yönergeleri izleyerek Microsoft Entra kimlik doğrulamasını yapılandırın.
• SQL Server iletişimi için hem sanal makinelerin gelen hem de giden ağ trafiğine izin verin.
• Sql Server trafiğine izin vermek için her sanal makinede güvenlik duvarı kurallarını yapılandırın.

Azure Arc özellikli gereksinimler

Azure Arc tarafından etkinleştirilen SQL Server kullanılırken:

1. Azure Arc tarafından etkinleştirilen SQL Server önkoşullarını izleyerek SQL Server 2025 örneklerinize Azure Arc'ı yükleyin ve yapılandırın.
2. Uygulama kaydıyla Microsoft Entra kimlik doğrulamasını ayarlama makalesindeki yönergeleri kullanarak Microsoft Entra kimlik doğrulamasını ayarlayın.
3. Kaynak ve hedef sunucular arasındaki ağ bağlantısını doğrulayın.

Hedef sunucuda oturum açma oluşturma

Hedef sunucu, kaynak sunucunun adıyla eşleşen bir oturum açma bilgilerine sahip olmalıdır. Kaynak sunucu yönetilen kimlik kullanarak bağlandığında, makinenin yönetilen kimliğini kullanarak kimlik doğrulaması yapar. Hedef sunucu, bu kimliği bir dış sağlayıcıdan oluşturulan oturum açma bilgileriyle eşleştirerek doğrular.

1. Hedef SQL Server örneğine bağlanın.

2. Kaynak sunucunun adını kullanarak oturum açma bilgileri oluşturun:

   USE [master];
   GO
   
   CREATE LOGIN [AzureSQLVMSource]
   FROM EXTERNAL PROVIDER
   WITH DEFAULT_DATABASE = [master],
        DEFAULT_LANGUAGE = [us_english];
   GO
   

3. Oturum açma bilgilerine uygun sunucu düzeyinde izinler verin. Örneğin, sysadmin rolünü vermek için:

   ALTER SERVER ROLE [sysadmin] ADD MEMBER [AzureSQLVMSource];
   GO
   

   Tip

   Kullanmak yerine sysadmin, yalnızca kendi kullanım örneğiniz için gerekli izinleri vererek en az ayrıcalık ilkesini uygulayın.

Kaynak sunucuda bağlı sunucuyu yapılandırma

Hedef sunucuda oturum açma bilgilerini oluşturduktan sonra kaynak sunucuda bağlı sunucu bağlantısını yapılandırın. Bu yapılandırma, MSOLEDBSQL sağlayıcısını yönetilen kimlik doğrulaması ile kullanır.

1. Kaynak SQL Server örneğine bağlanın.

2. sp_addlinkedserver kullanarak bağlı sunucuyu oluşturun.

   USE [master];
   GO
   
   EXEC master.dbo.sp_addlinkedserver
       @server = N'AzureSQLVMDestination',
       @srvproduct = N'',
       @provider = N'MSOLEDBSQL',
       @datasrc = N'AzureSQLVMDestination',
       @provstr = N'Authentication=ActiveDirectoryMSI;';
   GO
   

   @provstr parametresi, bağlı sunucuya yönetilen kimliği kullanma talimatı veren kimlik doğrulamasını belirtirActiveDirectoryMSI.

3. Bağlı sunucu oturum açma eşlemesini yapılandırın:

   EXEC master.dbo.sp_addlinkedsrvlogin
       @rmtsrvname = N'AzureSQLVMDestination',
       @useself = N'False',
       @locallogin = NULL,
       @rmtuser = NULL,
       @rmtpassword = NULL;
   GO
   

   Bu yapılandırma, açık kullanıcı kimlik bilgilerine gerek kalmadan bağlı sunucuyu yönetilen kimliği kullanacak şekilde ayarlar.

Bağlı sunucu bağlantısını test edin

Yapılandırmadan sonra, bağlı sunucu bağlantısının düzgün çalıştığını doğrulayın.

1. kullanarak sp_testlinkedserverbağlantıyı test edin:

   EXECUTE master.dbo.sp_testlinkedserver AzureSQLVMDestination;
   GO
   

2. Test başarılı olursa uzak sunucuyu sorgulayabilirsiniz. Örneğin:

   SELECT * FROM [AzureSQLVMDestination].[master].[sys].[databases];
   GO
   

Test başarısız olursa şunları doğrulayın:

• Microsoft Entra kimlik doğrulaması her iki sunucuda da düzgün yapılandırıldı
• Hedef sunucudaki oturum açma işlemi kaynak sunucu adıyla tam olarak eşleşir
• Sunucular arasında ağ bağlantısı var
• Güvenlik duvarı kuralları SQL Server trafiğine izin verir
• Azure VM'leri için gerekli uzantılar (SqlIaasExtension ve AADLogin) etkinleştirilir

İlgili içerik

• Bağlı Sunucular (Veritabanı Altyapısı)
• Bağlı sunucular oluşturma (SQL Server Veritabanı Altyapısı)
• sp_addlinkedserver (Transact-SQL)
• Azure VM'lerinde SQL Server için Microsoft Entra kimlik doğrulamasını etkinleştirme
• Öğretici: Azure Arc tarafından etkinleştirilen SQL Server için Microsoft Entra kimlik doğrulamasını ayarlama
• Önkoşulları - Azure Arc tarafından etkinleştirilen SQL Server