O que é a Autenticação do Windows para principais do Microsoft Entra no Azure SQL Managed Instance?
Este artigo contém etapas de solução de problemas para uso ao implementar entidades de Autenticação do Windows no Microsoft Entra ID (anteriormente Azure Ative Directory).
Nota
Microsoft Entra ID é o novo nome para o Azure Ative Directory (Azure AD). Estamos atualizando a documentação neste momento.
Verificar se os tíquetes estão sendo armazenados em cache
Use o comando klist para exibir uma lista de tíquetes Kerberos atualmente armazenados em cache.
O klist get krbtgt comando deve retornar um tíquete do realm do Ative Directory local.
klist get krbtgt/kerberos.microsoftonline.com
O klist get MSSQLSvc comando deve retornar um tíquete kerberos.microsoftonline.com do território com um SPN (Nome da Entidade de Serviço) para MSSQLSvc/<miname>.<dnszone>.database.windows.net:1433.
klist get MSSQLSvc/<miname>.<dnszone>.database.windows.net:1433
A seguir estão alguns códigos de erro bem conhecidos:
0x6fb: SQL SPN not found - Verifique se você inseriu um SPN válido. Se você implementou o fluxo de autenticação baseado em confiança de entrada, revisite as etapas para criar e configurar o Objeto de Domínio Confiável Kerberos do Microsoft Entra para validar que você executou todas as etapas de configuração.
0x51f - Este erro está provavelmente relacionado com um conflito com a ferramenta Fiddler. Para mitigar este problema, siga estes passos:
- Executar
netsh winhttp reset autoproxy - Executar
netsh winhttp reset proxy - No registro do Windows, localize
Computer\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\iphlpsvc\Parameters\ProxyMgre exclua qualquer subentrada que tenha uma configuração com uma porta:8888 - Reinicie o computador e tente novamente usando a Autenticação do Windows
- Executar
0x52f - Indica que um nome de usuário referenciado e informações de autenticação são válidos, mas algumas restrições de conta de usuário impediram a autenticação bem-sucedida. Isso pode acontecer se você tiver uma política de Acesso Condicional do Microsoft Entra configurada. Para atenuar o problema, você deve excluir o aplicativo Azure SQL Managed Instance Service Principal (nomeado
<instance name> principal) nas regras de Acesso Condicional.
Investigar falhas no fluxo de mensagens
Use o Wireshark, ou o analisador de tráfego de rede de sua escolha, para monitorar o tráfego entre o cliente e o Centro de Distribuição de Chaves Kerberos (KDC) local.
Ao usar o Wireshark, espera-se o seguinte:
- AS-REQ: Client = KDC local =>> retorna TGT local.
- TGS-REQ: Client = KDC local =>> retorna referência para
kerberos.microsoftonline.com.
Próximos passos
Saiba mais sobre como implementar a Autenticação do Windows para entidades do Microsoft Entra na Instância Gerenciada SQL do Azure:
- O que é a Autenticação do Windows para principais do Microsoft Entra no Azure SQL Managed Instance?
- Como configurar a Autenticação do Windows para o Azure SQL Managed Instance com o Microsoft Entra ID e o Kerberos
- De que forma a Autenticação do Windows para o Azure SQL Managed Instance está implementada no Microsoft Entra ID e no Kerberos
- Como configurar a Autenticação do Windows para o Microsoft Entra ID com o fluxo interativo moderno
- Como configurar a Autenticação do Windows para o Microsoft Entra ID com o fluxo baseado na confiança de entrada