Condividi tramite

Problemi di autenticazione Windows per le entità di Microsoft Entra in Istanza gestita di SQL di Azure?

  • Articolo

Questo articolo contiene i passaggi per la risoluzione dei problemi da usare quando si implementano entità di autenticazione di Windows in Microsoft Entra ID (in precedenza Azure Active Directory).

Nota

Microsoft Entra ID era precedentemente conosciuto come Azure Active Directory (Azure AD).

Verificare che i ticket vengano memorizzati nella cache

Usare il comando klist che visualizza un elenco di ticket Kerberos attualmente memorizzati nella cache.

Il comando klist get krbtgt deve restituire un ticket dall'area di autenticazione Active Directory locale.

klist get krbtgt/kerberos.microsoftonline.com

Il comando klist get MSSQLSvc deve restituire un ticket dall'area di autenticazione kerberos.microsoftonline.com con un nome dell'entità di servizio (SPN) a MSSQLSvc/<miname>.<dnszone>.database.windows.net:1433.

klist get MSSQLSvc/<miname>.<dnszone>.database.windows.net:1433

Di seguito sono riportati alcuni codici di errore noti:

  • 0x6fb: SPN SQL non trovato - Verificare di aver immesso un nome SPN valido. Se è stato implementato il flusso di autenticazione basata su attendibilità in ingresso, rivedere i passaggi per creare e configurare l'oggetto di dominio attendibile Kerberos di Microsoft Entra per verificare che siano stati eseguiti tutti i passaggi di configurazione.

  • 0x51f - questo errore è probabilmente correlato a un conflitto con lo strumento Fiddler. Per mitigare il problema, seguire questa procedura:

    1. Eseguire netsh winhttp reset autoproxy
    2. Eseguire netsh winhttp reset proxy
    3. Nel Registro di sistema di Windows trovare Computer\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\iphlpsvc\Parameters\ProxyMgr ed eliminare eventuali sottovoci con una configurazione con porta :8888
    4. Riavviare il computer e riprovare a usare l'autenticazione di Windows

  • 0x52f - Indica che nome utente di riferimento e informazioni di autenticazione sono validi, ma alcune restrizioni dell'account utente hanno impedito un'autenticazione corretta. Questo problema può verificarsi se sono stati configurati criteri di accesso condizionale di Microsoft Entra. Per attenuare il problema, è necessario escludere l'entità di servizio di Istanza gestita di SQL di Azure (denominata <instance name> principal) nelle regole di accesso condizionale.

Analizzare gli errori del flusso dei messaggi

Usare Wireshark o l'analizzatore del traffico di rete preferito per monitorare il traffico tra il client e il Centro distribuzione chiavi Kerberos locale (KDC).

Quando si usa Wireshark, è previsto quanto segue:

  • AS-REQ: Client => on-premise KDC => restituisce on-premise TGT.
  • TGS-REQ: Client => on-premise KDC => restituisce il riferimento a kerberos.microsoftonline.com.

Pool di connessioni

Quando il pool di connessioni è abilitato, il driver gestisce le connessioni SQL mantenendole aperte in un pool per il riutilizzo, anziché chiuderle. Ciò può portare a uno scenario in cui una connessione viene riutilizzata dopo un invalidamento della cache di sicurezza, causando la riconvalida del ticket Kerberos. Se la connessione è stata inserita nel pool per più di cinque minuti, il ticket viene considerato scaduto, causando un errore di connessione. Per evitare questo problema, impostare la durata della connessione su meno di cinque minuti nel stringa di connessione. Questa modifica garantisce che le connessioni precedenti alla durata specificata non vengano riutilizzate dal pool.

Contenuto correlato

Scopri di più sull’implementazione delll'autenticazione Windows per le entità di Microsoft Entra sull’istanza gestita di SQL di Azure: