Řešení potíží s ověřováním Windows pro objekty zabezpečení Microsoft Entra ve službě Azure SQL Managed Instance

Tento článek obsahuje postup řešení potíží při implementaci objektů zabezpečení systému Windows v Microsoft Entra ID (dříve Azure Active Directory).

Poznámka:

ID Microsoft Entra se dříve označovalo jako Azure Active Directory (Azure AD).

Ověření, že se lístky ukládají do mezipaměti

Pomocí příkazu klist zobrazte seznam aktuálně uložených lístků Kerberos v mezipaměti.

Příkaz klist get krbtgt by měl vrátit lístek z místní Active Directory sféry.

klist get krbtgt/kerberos.microsoftonline.com

Příkaz klist get MSSQLSvc by měl vrátit lístek z kerberos.microsoftonline.com sféry s hlavním názvem služby (SPN) do MSSQLSvc/<miname>.<dnszone>.database.windows.net:1433.

klist get MSSQLSvc/<miname>.<dnszone>.database.windows.net:1433

Tady jsou některé dobře známé kódy chyb:

• 0x6fb: Hlavní název služby SQL nebyl nalezen – Zkontrolujte, jestli jste zadali platný hlavní název služby (SPN). Pokud jste implementovali tok ověřování na základě důvěryhodnosti příchozího vztahu důvěryhodnosti, zkontrolujte kroky pro vytvoření a konfiguraci objektu důvěryhodné domény protokolu Microsoft Entra Kerberos, abyste ověřili, že jste provedli všechny kroky konfigurace.

• 0x51f – Tato chyba pravděpodobně souvisí s konfliktem s nástrojem Fiddler. Pokud chcete tento problém zmírnit, postupujte následovně:

  1. Spuštěním příkazu netsh winhttp reset autoproxy
  2. Spuštěním příkazu netsh winhttp reset proxy
  3. V registru Systému Windows vyhledejte Computer\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\iphlpsvc\Parameters\ProxyMgr a odstraňte všechny podsložky, které mají konfiguraci s portem. :8888
  4. Restartujte počítač a zkuste to znovu pomocí ověřování systému Windows.

• 0x52f – označuje, že odkazované uživatelské jméno a ověřovací informace jsou platné, ale některé omezení uživatelského účtu zabránilo úspěšnému ověření. K tomu může dojít, pokud máte nakonfigurované zásady podmíněného přístupu Microsoft Entra. Pokud chcete tento problém zmírnit, musíte v pravidlech podmíněného přístupu vyloučit aplikaci instančního objektu spravované instance Azure SQL (pojmenované <instance name> principal).

Zkoumání selhání toku zpráv

K monitorování provozu mezi klientem a místním centrem distribuce klíčů Kerberos (KDC) použijte Wireshark nebo analyzátor síťového provozu podle vašeho výběru.

Při použití Wiresharku se očekává následující:

• AS-REQ: Client => on-premises KDC => vrátí místní TGT.
• TGS-REQ: Client => on-premises KDC => vrátí referenční seznam .kerberos.microsoftonline.com

Sdružování připojení

Pokud je povolené sdružování připojení, ovladač spravuje připojení SQL tak, že je ponechá otevřený ve fondu pro opakované použití, a ne jejich zavření. To může vést ke scénáři, kdy se po zneplatnění mezipaměti zabezpečení znovu použije připojení, což způsobí opětovné obnovení lístku Kerberos. Pokud se připojení ve fondu nachází déle než pět minut, považuje se lístek za prošlý, což vede k selhání připojení. Chcete-li tomu zabránit, nastavte životnost připojení na méně než pět minut v připojovací řetězec. Tato změna zajišťuje, aby se připojení starší než zadaná životnost z fondu znovu nepoužila.

Související obsah

Další informace o implementaci ověřování systému Windows pro objekty zabezpečení Microsoft Entra ve službě Azure SQL Managed Instance:

• Co je Integrované ověřování Windows pro objekty zabezpečení Microsoft Entra ve službě Azure SQL Managed Instance?
• Jak nastavit Integrované ověřování Windows pro službu Azure SQL Managed Instance s využitím Microsoft Entra ID a protokolu Kerberos.
• Informace o implementaci Integrovaného ověřování Windows pro službu Azure SQL Managed Instance s Microsoft Entra ID a protokolem Kerberos
• Postup nastavení Integrovaného ověřování Windows pro Microsoft Entra ID s využitím moderního interaktivního toku
• Postup nastavení Integrovaného ověřování Windows pro Microsoft Entra ID s využitím toku založeného na příchozím vztahu důvěryhodnosti