Felsöka Windows-autentisering för Microsoft Entra-huvudkonton i Azure SQL Managed Instance

Den här artikeln innehåller felsökningssteg för användning vid implementering av Windows-autentiseringsobjekt i Microsoft Entra-ID (tidigare Azure Active Directory).

Kommentar

Microsoft Entra-ID är det nya namnet för Azure Active Directory (Azure AD). Vi uppdaterar dokumentationen just nu.

Kontrollera att biljetter cachelagras

Använd klist-kommandot för att visa en lista över för närvarande cachelagrade Kerberos-biljetter.

Kommandot klist get krbtgt bör returnera ett ärende från lokal Active Directory-sfären.

klist get krbtgt/kerberos.microsoftonline.com

Kommandot klist get MSSQLSvc bör returnera en biljett från sfären kerberos.microsoftonline.com med ett SPN (Service Principal Name) till MSSQLSvc/<miname>.<dnszone>.database.windows.net:1433.

klist get MSSQLSvc/<miname>.<dnszone>.database.windows.net:1433

Följande är några välkända felkoder:

• 0x6fb: SQL SPN hittades inte – Kontrollera att du har angett ett giltigt SPN. Om du har implementerat det inkommande förtroendebaserade autentiseringsflödet går du tillbaka till stegen för att skapa och konfigurera Microsoft Entra Kerberos Trusted Domain Object för att verifiera att du har utfört alla konfigurationssteg.

• 0x51f – Det här felet är troligen relaterat till en konflikt med Fiddler-verktyget. Åtgärda problemet genom att följa de här stegen:

  1. Kör netsh winhttp reset autoproxy
  2. Kör netsh winhttp reset proxy
  3. I Windows-registret letar du upp Computer\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\iphlpsvc\Parameters\ProxyMgr och tar bort alla underförsök som har en konfiguration med en port :8888
  4. Starta om datorn och försök igen med Windows-autentisering

• 0x52f – Anger att ett refererat användarnamn och autentiseringsinformation är giltiga, men vissa begränsningar för användarkonton har förhindrat lyckad autentisering. Detta kan inträffa om du har konfigurerat en princip för villkorsstyrd åtkomst i Microsoft Entra. För att åtgärda problemet måste du undanta Azure SQL Managed Instance Service Principal (med namnet <instance name> principal) i reglerna för villkorsstyrd åtkomst.

Undersöka fel i meddelandeflödet

Använd Wireshark, eller valfri nätverkstrafikanalysator, för att övervaka trafiken mellan klienten och det lokala Kerberos Key Distribution Center (KDC).

När du använder Wireshark förväntas följande:

• AS-REQ: Klient => lokal KDC => returnerar lokal TGT.
• TGS-REQ: Client => on-premises KDC => returnerar hänvisning till kerberos.microsoftonline.com.

Nästa steg

Läs mer om att implementera Windows-autentisering för Microsoft Entra-huvudnamn på Azure SQL Managed Instance:

• Vad är Windows-autentisering för Microsoft Entra-huvudkonton i Azure SQL Managed Instance?
• Hur du konfigurerar Windows-autentisering för Azure SQL Managed Instance med hjälp av Microsoft Entra ID och Kerberos
• Så här implementeras Windows-autentisering för Azure SQL Managed Instance med Microsoft Entra ID och Kerberos
• Konfigurera Windows-autentisering för Microsoft Entra ID med det moderna interaktiva flödet
• Konfigurera Windows-autentisering för Microsoft Entra ID med det inkommande förtroendebaserade flödet