Problemen met Active Directory-verificatie voor SQL Server in Linux en containers oplossen
van toepassing op:
SQL Server- - Linux
Dit artikel helpt u bij het oplossen van problemen met Active Directory Domain Services-verificatie met SQL Server in Linux en containers. Het bevat vereistencontroles en tips voor een geslaagde Active Directory-configuratie, en een lijst met veelvoorkomende fouten en stappen voor probleemoplossing.
Huidige configuratie valideren
Voordat u begint met het oplossen van problemen, moet u de huidige gebruiker, mssql.conf, Service Principal Name (SPN) en realm-instellingen valideren.
Verkrijg of vernieuw de Kerberos TGT (ticket-granting ticket) met
kinit.kinit privilegeduser@CONTOSO.COMVoer de volgende opdracht uit en zorg ervoor dat de gebruiker waaronder u deze opdracht uitvoert, toegang heeft tot de
mssql.keytab:/opt/mssql/bin/mssql-conf validate-ad-config /var/opt/mssql/secrets/mssql.keytabVoor meer informatie over het commando
validate-ad-config, bekijk de help met de opdracht/opt/mssql/bin/mssql-conf validate-ad-config --help.
DNS en omgekeerde DNS-zoekopdrachten
DNS-zoekopdrachten op de domeinnaam en NetBIOS-naam moeten hetzelfde IP-adres retourneren, wat normaal gesproken overeenkomt met het IP-adres voor de domeincontroller (DC). Voer deze opdrachten uit vanaf de SQL Server-hostcomputer.
nslookup contoso nslookup contoso.comAls de IP-adressen niet overeenkomen, raadpleegt u SQL Server op een Linux-host toevoegen aan een Active Directory-domein om DNS-zoekopdrachten en -communicatie met de domeincontroller op te lossen.
Voer een omgekeerde DNS-zoekopdracht (rDNS) uit voor elk IP-adres dat in de vorige resultaten wordt vermeld. Vergeet niet om IPv4- en IPv6-adressen op te nemen, indien van toepassing.
nslookup <IPs returned from the above commands>Iedereen moet
<hostname>.contoso.comretourneren. Als dat niet het geval is, controleert u de PTR-records (pointer) die zijn gemaakt in Active Directory.Mogelijk moet u samenwerken met uw domeinbeheerder om rDNS te laten werken. Als u geen PTR-vermeldingen kunt toevoegen voor alle geretourneerde IP-adressen, kunt u SQL Server ook beperken tot een subset van domeincontrollers. Deze wijziging is van invloed op andere services die gebruikmaken van
krb5.confop de host.
Keytab-bestand en -machtigingen controleren
Controleer of u het sleuteltabbestand (sleuteltabel) hebt gemaakt en of mssql-conf- is geconfigureerd voor het gebruik van het juiste bestand met de juiste machtigingen. De keytab moet toegankelijk zijn voor het
mssqlgebruikersaccount. Zie Adutil gebruiken voor het configureren van Active Directory-verificatie met SQL Server op Linuxvoor meer informatie.Zorg ervoor dat u de inhoud van de keytab kunt weergeven en dat u de juiste SPN's, poort, versleutelingstype en gebruikersaccount hebt toegevoegd. Als u de wachtwoorden niet correct typt bij het maken van de SPN's en keytabvermeldingen, treden er fouten op bij het aanmelden met Active Directory-verificatie.
klist -kte /var/opt/mssql/secrets/mssql.keytabEen voorbeeld van een werkende keytab volgt. In het voorbeeld worden twee versleutelingstypen gebruikt, maar u kunt slechts een of meer typen gebruiken, afhankelijk van de versleutelingstypen die in uw omgeving worden ondersteund. In het voorbeeld is
sqluser@CONTOSO.COMhet bevoegde account (dat overeenkomt met denetwork.privilegedadaccount-instelling in mssql-conf), en de hostnaam voor SQL Server luistertsqllinux.contoso.comop de standaardpoort1433.$ kinit privilegeduser@CONTOSO.COM Password for privilegeduser@CONTOSO.COM: $ klist Ticket cache: FILE:/tmp/krb5cc_1000 Default principal: privilegeduser@CONTOSO.COM Valid starting Expires Service principal 01/26/22 20:42:02 01/27/22 06:42:02 krbtgt/CONTOSO.COM@CONTOSO.COM renew until 01/27/22 20:41:57 $ klist -kte mssql.keytab Keytab name: FILE:mssql.keytab KVNO Timestamp Principal ---- ----------------- -------------------------------------------------------- 2 01/13/22 13:19:47 MSSQLSvc/sqllinux@CONTOSO.COM (aes256-cts-hmac-sha1-96) 2 01/13/22 13:19:47 MSSQLSvc/sqllinux@CONTOSO.COM (aes128-cts-hmac-sha1-96) 2 01/13/22 13:19:47 MSSQLSvc/sqllinux.contoso.com@CONTOSO.COM (aes256-cts-hmac-sha1-96) 2 01/13/22 13:19:47 MSSQLSvc/sqllinux.contoso.com@CONTOSO.COM (aes128-cts-hmac-sha1-96) 2 01/13/22 13:19:47 MSSQLSvc/sqllinux:1433@CONTOSO.COM (aes256-cts-hmac-sha1-96) 2 01/13/22 13:19:47 MSSQLSvc/sqllinux:1433@CONTOSO.COM (aes128-cts-hmac-sha1-96) 2 01/13/22 13:19:47 MSSQLSvc/sqllinux.contoso.com:5533@CONTOSO.COM (aes256-cts-hmac-sha1-96) 2 01/13/22 13:19:47 MSSQLSvc/sqllinux.contoso.com:5533@CONTOSO.COM (aes128-cts-hmac-sha1-96) 2 01/13/22 13:19:55 sqluser@CONTOSO.COM (aes256-cts-hmac-sha1-96) 2 01/13/22 13:19:55 sqluser@CONTOSO.COM (aes128-cts-hmac-sha1-96)
Realmgegevens valideren in krb5.conf
Controleer in
krb5.conf(op/etc/krb5.conf) of u waarden opgeeft voor de standaarddomein-, realm-informatie en domein-naar-realmtoewijzing. Het volgende voorbeeld is een voorbeeld van eenkrb5.conf-bestand. Zie Inzicht in Active Directory-verificatie voor SQL Server op Linux en containersvoor meer informatie.[libdefaults] default_realm = CONTOSO.COM default_keytab_name = /var/opt/mssql/secrets/mssql.keytab default_ccache_name = "" [realms] CONTOSO.COM = { kdc = adVM.contoso.com admin_server = adVM.contoso.com default_domain= contoso.com } [domain_realm] .contoso.com = CONTOSO.COM contoso.com = CONTOSO.COMU kunt SQL Server beperken om contact op te maken met een subset van domeincontrollers. Dit is handig als uw DNS-configuratie meer domeincontrollers retourneert dan SQL Server nodig heeft om contact op te maken. Met SQL Server op Linux kunt u een lijst opgeven met domeincontrollers die SQL Server op een round robin-manier gebruikt bij het uitvoeren van een LDAP-zoekactie (Lightweight Directory Access Protocol).
Er zijn twee stappen die u moet uitvoeren. Wijzig eerst
krb5.confdoor een willekeurig aantal domeincontrollers toe te voegen dat u nodig hebt, voorafgegaan doorkdc =.[realms] CONTOSO.COM = { kdc = kdc1.contoso.com kdc = kdc2.contoso.com .. .. }Houd er rekening mee dat
krb5.confeen algemeen Kerberos-clientconfiguratiebestand is, dus eventuele wijzigingen die u in dit bestand aanbrengt, van invloed zijn op andere services naast SQL Server. Neem contact op met uw domeinbeheerder voordat u wijzigingen aanbrengt.Vervolgens kunt u de
network.enablekdcfromkrb5conf-instelling inschakelen met behulp van mssql-conf-en vervolgens SQL Server opnieuw starten:sudo /opt/mssql/bin/mssql-conf set network.enablekdcfromkrb5conf true sudo systemctl restart mssql-server
Problemen met Kerberos oplossen
Zie de volgende informatie om u te helpen bij het oplossen van Active Directory-verificatieproblemen en het identificeren van specifieke foutberichten.
Kerberos traceren
Nadat u de gebruiker, SPN's en keytabs hebt gemaakt en mssql-conf- hebt geconfigureerd om te zien dat de Active Directory-configuratie voor SQL Server op Linux juist is, kunt u de Kerberos-traceringsberichten weergeven naar de console (stdout) wanneer u de Kerberos-TGT met het bevoegde account probeert te verkrijgen of vernieuwen met behulp van deze opdracht:
root@sqllinux mssql# KRB5_TRACE=/dev/stdout kinit -kt /var/opt/mssql/secrets/mssql.keytab sqluser
Als er geen problemen zijn, ziet u uitvoer die lijkt op het volgende voorbeeld. Als dat niet het geval is, biedt de trace context over welke stappen u moet controleren.
3791545 1640722276.100275: Getting initial credentials for sqluser@CONTOSO.COM
3791545 1640722276.100276: Looked up etypes in keytab: aes256-cts, aes128-cts
3791545 1640722276.100278: Sending unauthenticated request
3791545 1640722276.100279: Sending request (202 bytes) to CONTOSO.COM
3791545 1640722276.100280: Initiating TCP connection to stream 10.0.0.4:88
3791545 1640722276.100281: Sending TCP request to stream 10.0.0.4:88
3791545 1640722276.100282: Received answer (185 bytes) from stream 10.0.0.4:88
3791545 1640722276.100283: Terminating TCP connection to stream 10.0.0.4:88
3791545 1640722276.100284: Response was from master KDC
3791545 1640722276.100285: Received error from KDC: -1765328359/Additional pre-authentication required
3791545 1640722276.100288: Preauthenticating using KDC method data
3791545 1640722276.100289: Processing preauth types: PA-PK-AS-REQ (16), PA-PK-AS-REP_OLD (15), PA-ETYPE-INFO2 (19), PA-ENC-TIMESTAMP (2)
3791545 1640722276.100290: Selected etype info: etype aes256-cts, salt "CONTOSO.COMsqluser", params ""
3791545 1640722276.100291: Retrieving sqluser@CONTOSO.COM from /var/opt/mssql/secrets/mssql.keytab (vno 0, enctype aes256-cts) with result: 0/Success
3791545 1640722276.100292: AS key obtained for encrypted timestamp: aes256-cts/E84B
3791545 1640722276.100294: Encrypted timestamp (for 1640722276.700930): plain 301AA011180F32303231313XXXXXXXXXXXXXXXXXXXXXXXXXXXXX, encrypted 333109B95898D1B4FC1837DAE3E4CBD33AF8XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
3791545 1640722276.100295: Preauth module encrypted_timestamp (2) (real) returned: 0/Success
3791545 1640722276.100296: Produced preauth for next request: PA-ENC-TIMESTAMP (2)
3791545 1640722276.100297: Sending request (282 bytes) to CONTOSO.COM
3791545 1640722276.100298: Initiating TCP connection to stream 10.0.0.4:88
3791545 1640722276.100299: Sending TCP request to stream 10.0.0.4:88
3791545 1640722276.100300: Received answer (1604 bytes) from stream 10.0.0.4:88
3791545 1640722276.100301: Terminating TCP connection to stream 10.0.0.4:88
3791545 1640722276.100302: Response was from master KDC
3791545 1640722276.100303: Processing preauth types: PA-ETYPE-INFO2 (19)
3791545 1640722276.100304: Selected etype info: etype aes256-cts, salt "CONTOSO.COMsqluser", params ""
3791545 1640722276.100305: Produced preauth for next request: (empty)
3791545 1640722276.100306: AS key determined by preauth: aes256-cts/E84B
3791545 1640722276.100307: Decrypted AS reply; session key is: aes256-cts/05C0
3791545 1640722276.100308: FAST negotiation: unavailable
3791545 1640722276.100309: Initializing KCM:0:37337 with default princ sqluser@CONTOSO.COM
3791545 1640722276.100310: Storing sqluser@CONTOSO.COM -> krbtgt/CONTOSO.COM@CONTOSO.COM in KCM:0:37337
3791545 1640722276.100311: Storing config in KCM:0:37337 for krbtgt/CONTOSO.COM@CONTOSO.COM: pa_type: 2
3791545 1640722276.100312: Storing sqluser@CONTOSO.COM -> krb5_ccache_conf_data/pa_type/krbtgt/CONTOSO.COM@CONTOSO.COM@X-CACHECONF: in KCM:0:37337
$ sudo klist
Ticket cache: KCM:0:37337
Default principal: sqluser@CONTOSO.COM
Valid starting Expires Service principal
12/28/2021 20:11:16 12/29/2021 06:11:16 krbtgt/CONTOSO.COM@CONTOSO.COM
renew until 01/04/2022 20:11:16
Kerberos- en op beveiliging gebaseerde PAL-logboekregistratie inschakelen
U kunt security.kerberos en security.ldap logboekregistratie inschakelen om specifieke foutberichten in de PAL (Platform Abstraction Layer) te identificeren. Maak een logger.ini-bestand met de volgende inhoud op /var/opt/mssql/, start SQL Server opnieuw op en reproduceer de fout. De Active Directory-fout- en foutopsporingsberichten van de PAL worden vastgelegd in /var/opt/mssql/log/security.log.
[Output:security]
Type = File
Filename = /var/opt/mssql/log/security.log
[Logger]
Level = Silent
[Logger:security.kerberos]
Level = Debug
Outputs = security
[Logger:security.ldap]
Level = debug
Outputs = security
U hoeft SQL Server niet opnieuw te starten om de logboekregistratiewijzigingen op te halen uit logger.ini, maar er kunnen fouten optreden tijdens de initialisatie van de Active Directory-service tijdens het opstarten van SQL Server die anders onopgemerkt zou blijven. Als u SQL Server opnieuw start, worden alle foutberichten vastgelegd.
Het beveiligingslogboek blijft naar het station schrijven totdat u de wijzigingen in logger.iniverwijdert. Vergeet niet om security.kerberos- en security.ldap-logboekregistratie uit te schakelen zodra u het probleem hebt geïdentificeerd en opgelost, om te voorkomen dat de schijf volraakt.
De PAL-logger genereert logbestanden in de volgende indeling:
<DATETIME> <Log level> [<logger>] <<process/thread identifier>> <message>
Een voorbeeldregel uit het logboek volgt bijvoorbeeld:
12/28/2021 13:56:31.609453055 Error [security.kerberos] <0003753757/0x00000324> Request ticket server MSSQLSvc/sql.contoso.com:1433@CONTOSO.COM kvno 3 enctype aes256-cts found in keytab but cannot decrypt ticket
Zodra u PAL-logboekregistratie heeft ingeschakeld en u het probleem reproduceert, zoekt u het eerste bericht met een logboekniveau van Error. Gebruik vervolgens de volgende tabel om de fout te vinden en volg de richtlijnen en aanbevelingen om het probleem op te lossen.
Veelvoorkomende foutberichten
Foutbericht: 'Aanmelden is mislukt. De aanmelding is afkomstig van een niet-vertrouwd domein en kan niet worden gebruikt met geïntegreerde verificatie.
Mogelijke oorzaak
Deze fout treedt op wanneer u zich probeert aan te melden met een Active Directory-account, nadat u Active Directory-verificatie hebt geconfigureerd.
Begeleiding
Voor dit algemene foutbericht moet u PAL-logboekregistratie inschakelen om de specifieke fout te identificeren.
Raadpleeg de volgende lijst met veelvoorkomende fouten om de mogelijke oorzaak voor elke fout te identificeren en volg vervolgens de richtlijnen voor probleemoplossing om het probleem op te lossen.
Foutbericht: Windows NT-gebruiker of -groep 'CONTOSO\user' is niet gevonden
Mogelijke oorzaak
Deze fout kan optreden bij het maken van de Windows-aanmelding of tijdens het vernieuwen van groep.
Begeleiding
Als u het probleem wilt valideren, volgt u de richtlijnen zoals beschreven voor Aanmelden is mislukt. De aanmelding is afkomstig van een niet-vertrouwd domein en kan niet worden gebruikt met geïntegreerde verificatie. (Microsoft SQL Server, Fout: 18452)" PAL-logboekregistratie inschakelen om de specifieke fout te identificeren en problemen dienovereenkomstig op te lossen.
Foutbericht: 'Kan korte domeinnaam niet opzoeken vanwege een fout'
Mogelijke oorzaak
De Transact-SQL syntaxis voor het maken van een Active Directory-aanmelding is:
CREATE LOGIN [CONTOSO\user]
FROM WINDOWS;
De NetBIOS-naam (CONTOSO) is vereist in het commando, maar in de back-end moet bij het maken van een LDAP-verbinding de FQDN van het domein (contoso.com) worden opgegeven. Om deze conversie uit te voeren, wordt een DNS-zoekopdracht uitgevoerd op CONTOSO om te worden omgezet in het IP-adres van een domeincontroller, die vervolgens kan worden gebonden aan voor LDAP-query's.
Begeleiding
Het foutbericht 'Kan korte domeinnaam niet opzoeken vanwege een fout' suggereert dat nslookup voor contoso niet wordt omgezet in het IP-adres van de domeincontroller. Controleer DNS- en omgekeerde DNS-zoekacties om te controleren of nslookup voor zowel de NetBIOS- als de domeinnaam moet overeenkomen.
Foutberichten: 'Kan geen rDNS-zoekopdracht uitvoeren voor host-<hostnaam> vanwege een fout' of 'FQDN niet geretourneerd door rDNS-zoekactie'
Mogelijke oorzaak
Dit foutbericht geeft meestal aan dat de omgekeerde DNS-records (PTR-records) niet bestaan voor alle domeincontrollers.
Begeleiding
Controleer de DNS en omgekeerde DNS-zoekacties. Zodra de domeincontrollers zonder rDNS-vermeldingen zijn geïdentificeerd, zijn er twee opties:
rDNS-vermeldingen toevoegen voor alle domeincontrollers
Deze instelling is geen SQL Server-instelling en moet worden geconfigureerd op domeinniveau. Mogelijk moet u samenwerken met uw domeinbeheerteam om de vereiste PTR-records te maken voor alle domeincontrollers die worden geretourneerd bij het uitvoeren van
nslookupop de domeinnaam.SQL Server beperken tot een subset van domeincontrollers
Als het toevoegen van PTR-records niet mogelijk is voor alle geretourneerde domeincontrollers, kunt u SQL Server beperken tot een subset van domeincontrollers.
Foutbericht: 'Kan geen verbinding maken met LDAP-server ldap://CONTOSO.COM:3268: Lokale fout'
Mogelijke oorzaak
Deze algemene fout van OpenLDAP betekent normaal gesproken een van de volgende twee dingen:
- Geen referenties
- rDNS-problemen
Hier volgt een voorbeeld van het foutbericht:
12/09/2021 14:32:11.319933684 Error [security.ldap] <0000000142/0x000001c0> Failed to bind to LDAP server ldap://[CONTOSO.COM:3268]: Local error
Begeleiding
Geen referenties
Eerst worden andere foutberichten gegenereerd als inloggegevens niet worden geladen voor LDAP-verbindingen. U moet PAL-logboekregistratie inschakelen en het foutenlogboek controleren op foutberichten vóór dit bericht. Als er geen andere fouten zijn, is dit waarschijnlijk geen probleem met referenties. Als er een wordt gevonden, werkt u aan het oplossen van het foutbericht dat u ziet. In de meeste gevallen is dit een van de foutberichten die in dit artikel worden behandeld.
rDNS-problemen
Controleer de DNS en omgekeerde DNS-zoekacties.
Wanneer de OpenLDAP-bibliotheek verbinding maakt met een domeincontroller, wordt de FQDN (Fully Qualified Domain Name), die in dit voorbeeld is
contoso.com, of de FQDN (kdc1.contoso.com) van de DC opgegeven. Zodra de verbinding is gemaakt (maar voordat er succes aan de aanroeper wordt bevestigd), controleert de OpenLDAP-bibliotheek het IP-adres van de server waarmee verbinding is gemaakt. Vervolgens wordt een omgekeerde DNS-zoekopdracht uitgevoerd en wordt gecontroleerd of de naam van de server die is verbonden met (kdc1.contoso.com) overeenkomt met het domein waarvoor de verbinding is aangevraagd (contoso.com). Als deze niet overeenkomt, mislukt de verbinding met de OpenLDAP-bibliotheek als beveiligingsfunctie. Dit maakt deel uit van de reden waarom de rDNS-instellingen zo belangrijk zijn voor SQL Server op Linux en de focus van dit artikel zijn.
Foutmelding: 'sleuteltabelvermelding niet gevonden'
Mogelijke oorzaak
Deze fout geeft aan dat er toegangsproblemen zijn met het keytab-bestand, of dat niet alle vereiste vermeldingen in de keytab staan.
Begeleiding
Zorg ervoor dat het keytab-bestand het juiste toegangsniveau en de juiste machtigingen heeft. De standaardlocatie en de naam voor het keytab-bestand zijn /var/opt/mssql/secrets/mssql.keytab. Als u de huidige machtigingen voor alle bestanden in de map geheimen wilt weergeven, kunt u deze opdracht uitvoeren:
sudo ls -lrt /var/opt/mssql/secrets
U kunt deze opdrachten gebruiken om de machtigingen en het toegangsniveau voor het keytab-bestand in te stellen:
sudo chown mssql /var/opt/mssql/secrets/mssql.keytab
sudo chmod 440 /var/opt/mssql/secrets/mssql.keytab
Raadpleeg de vorige sectie Keytab-bestand en machtigingen controleren voor meer informatie over het weergeven van de keytab-vermeldingen en het instellen van de juiste machtigingen. Als aan een van de voorwaarden in die sectie niet wordt voldaan, ziet u deze of equivalente fout: "Key table entry not found".
Foutbericht: 'Er is geen sleuteltabelvermelding gevonden voor <principal>'
Mogelijke oorzaak
Bij een poging om de referenties van <principal> op te halen uit de keytab, zijn er geen toepasselijke vermeldingen gevonden.
Begeleiding
Als u alle vermeldingen in de keytab wilt weergeven, volgt u de sectie Keytab-bestand en -machtigingen controleren van dit artikel. Zorg ervoor dat <principal> aanwezig is. In dit geval is het principal-account meestal het network.privilegedadaccount waarop de SPN's zijn geregistreerd. Als dat niet het geval is, voegt u het toe met de adutil opdracht. Zie Adutil gebruiken voor het configureren van Active Directory-verificatie met SQL Server op Linuxvoor meer informatie.
Foutbericht: "Aanvraag ticketserver <principal> niet gevonden in keytab (ticket kvno <KVNO>)"
Mogelijke oorzaak
Deze fout geeft aan dat SQL Server geen keytab-vermelding kan vinden voor het aangevraagde ticket met het opgegeven KVNO (Key Version Number).
Begeleiding
Als u alle vermeldingen in de keytab wilt weergeven, volgt u de sectie Keytab-bestand en -machtigingen controleren van dit artikel. Als u geen foutbericht kunt vinden dat overeenkomt met de <principal> en KVNO, voegt u deze vermelding toe door het keytabbestand bij te werken met behulp van de stappen die in die sectie worden genoemd.
U kunt tevens het volgende commando uitvoeren om de meest recente KVNO van de DC op te halen. Voordat u deze opdracht uitvoert, moet u de Kerberos TGT verkrijgen of vernieuwen met behulp van de opdracht kinit. Zie Adutil gebruiken om een Active Directory-gebruiker voor SQL Server te maken en de SPN-(Service Principal Name) in te stellen voor meer informatie.
kvno MSSQLSvc/<hostname>
Foutbericht: "Aanvraag ticketserver <principal> kvno <KVNO-> gevonden in keytab, maar niet met enctype <versleutelingstype>"
Mogelijke oorzaak
Deze fout betekent dat het versleutelingstype dat door de client is aangevraagd, niet aanwezig was in het sleuteltabblad van SQL Server.
Begeleiding
Als u wilt valideren, volgt u de Keytab-bestand en machtigingen controleren sectie van dit document om alle vermeldingen in de keytab weer te geven. Als u geen foutbericht kunt vinden dat overeenkomt met het type principal, KVNO en versleuteling, voegt u deze vermelding toe door het keytab-bestand bij te werken met behulp van de stappen in die sectie.
Foutbericht: "Aanvraag ticketserver <principal> kvno <KVNO> enctype <versleutelingstype> gevonden in keytab, maar kan ticket niet ontsleutelen"
Mogelijke oorzaak
Deze fout geeft aan dat SQL Server geen referentie uit het keytab-bestand kan gebruiken om de binnenkomende verificatieaanvraag te ontsleutelen. De fout is vaak het resultaat van een onjuist wachtwoord.
Begeleiding
Maak de keytab opnieuw met het juiste wachtwoord. Als u adutilgebruikt, maakt u de keytab met het juiste wachtwoord, met behulp van de stappen in Zelfstudie: Adutil gebruiken om Active Directory-verificatie te configureren met SQL Server op Linux.
Algemene poorten
In deze tabel ziet u de algemene poorten die worden gebruikt door SQL Server in Linux voor het configureren en beheren van Active Directory-verificatie.
| Active Directory-Service | Haven |
|---|---|
| DNS | 53 |
| LDAP | 389 |
| LDAPS | 636 |
| Kerberos | 88 |