Probleemoplossing voor Windows-verificatie voor Microsoft Entra-principals op Azure SQL Managed Instance?
Dit artikel bevat stappen voor probleemoplossing voor het implementeren van Windows-verificatie-principals in Microsoft Entra-id (voorheen Azure Active Directory).
Notitie
Microsoft Entra-id is de nieuwe naam voor Azure Active Directory (Azure AD). Op dit moment wordt de documentatie bijgewerkt.
Controleren of tickets in de cache worden opgeslagen
Gebruik de opdracht klist om een lijst weer te geven met kerberos-tickets die momenteel in de cache zijn opgeslagen.
De klist get krbtgt opdracht moet een ticket retourneren uit de on-premises Active Directory-realm.
klist get krbtgt/kerberos.microsoftonline.com
De klist get MSSQLSvc opdracht moet een ticket retourneren uit de kerberos.microsoftonline.com realm met een Service Principal Name (SPN) naar MSSQLSvc/<miname>.<dnszone>.database.windows.net:1433.
klist get MSSQLSvc/<miname>.<dnszone>.database.windows.net:1433
Hier volgen enkele bekende foutcodes:
0x6fb: SQL SPN is niet gevonden : controleer of u een geldige SPN hebt ingevoerd. Als u de binnenkomende verificatiestroom op basis van een vertrouwensrelatie hebt geïmplementeerd, gaat u opnieuw naar de stappen voor het maken en configureren van het vertrouwde Domeinobject van Microsoft Entra Kerberos om te controleren of u alle configuratiestappen hebt uitgevoerd.
0x51f: deze fout is waarschijnlijk gerelateerd aan een conflict met het hulpprogramma Fiddler. Volg deze stappen om het probleem te verhelpen:
netsh winhttp reset autoproxyuitvoerennetsh winhttp reset proxyuitvoeren- Zoek
Computer\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\iphlpsvc\Parameters\ProxyMgren verwijder in het Windows-register een subentry die een configuratie met een poort heeft:8888 - Start de computer opnieuw op en probeer het opnieuw met Windows-verificatie
0x52f - Geeft aan dat een gebruikersnaam en verificatiegegevens waarnaar wordt verwezen geldig zijn, maar dat sommige gebruikersaccountbeperkingen geslaagde verificatie hebben verhinderd. Dit kan gebeuren als u een Beleid voor voorwaardelijke toegang van Microsoft Entra hebt geconfigureerd. Als u het probleem wilt verhelpen, moet u de Azure SQL Managed Instance-service-principal (benoemde
<instance name> principal) toepassing uitsluiten in de regels voor voorwaardelijke toegang.
Fouten in berichtstromen onderzoeken
Gebruik Wireshark of de netwerkverkeersanalyse van uw keuze om het verkeer tussen de client en het on-premises Kerberos Key Distribution Center (KDC) te bewaken.
Wanneer u Wireshark gebruikt, wordt het volgende verwacht:
- AS-REQ: Client => on-premises KDC => retourneert on-premises TGT.
- TGS-REQ: Client => on-premises KDC => retourneert verwijzingen naar
kerberos.microsoftonline.com.
Volgende stappen
Meer informatie over het implementeren van Windows-verificatie voor Microsoft Entra-principals in Azure SQL Managed Instance:
- Wat is Windows-verificatie voor Microsoft Entra-principals op Azure SQL Managed Instance?
- Hoe Windows-verificatie voor Azure SQL Managed Instance wordt geconfigureerd met Microsoft Entra ID en Kerberos
- Hoe Windows-verificatie voor Azure SQL Managed Instance wordt geïmplementeerd met Microsoft Entra ID en Kerberos
- Hoe Windows-verificatie voor Microsoft Entra ID wordt geconfigureerd met de moderne interactieve stroom
- Hoe Windows-verificatie voor Microsoft Entra ID wordt geconfigureerd met de inkomende stroom op basis van vertrouwen