Configuración de la identidad administrada para servidores vinculados

Se aplica a: Se aplica a: SQL Server 2025 (17.x)

SQL Server 2025 presenta compatibilidad con identidades administradas para servidores vinculados, lo que permite la autenticación segura sin credenciales entre instancias de SQL Server. Esta funcionalidad está disponible para SQL Server en Azure Virtual Machines y SQL Server habilitados por Azure Arc. Con la autenticación de identidad administrada, puede establecer conexiones de servidor vinculadas sin administrar contraseñas ni almacenar credenciales, mejorando la posición de seguridad y simplificando la administración de credenciales.

En este artículo se muestra cómo configurar conexiones de servidor vinculadas mediante la autenticación de identidad administrada. Configurará el servidor de origen para iniciar conexiones y el servidor de destino para aceptar la autenticación basada en identidad administrada.

Prerrequisitos

Antes de comenzar, asegúrese de que tiene lo siguiente:

SQL Server 2025 se ejecuta en:
- Máquina virtual de Azure con la extensión agente de IaaS de SQL Server instalada o
- Máquina virtual o local con Azure Arc habilitado
Autenticación de Microsoft Entra configurada en servidores de origen y destino
Conectividad de red entre servidores de origen y destino con reglas de firewall adecuadas
Permisos adecuados para crear inicios de sesión y configurar servidores vinculados en ambas instancias
Para Azure Virtual Machines: las extensiones SqlIaasExtension y AADLogin habilitadas
Para las instancias habilitadas para Azure Arc: agente de Azure Arc instalado y configurado

Requisitos de máquina virtual de Azure

Al usar SQL Server en Azure Virtual Machines:

Compruebe que las extensiones SqlIaasExtension y AADLogin están instaladas. Estas extensiones se incluyen de forma predeterminada al implementar desde la plantilla de SQL Server de Azure Marketplace.
Configure la autenticación de Microsoft Entra siguiendo las instrucciones de Habilitación de la autenticación de Microsoft Entra para SQL Server en máquinas virtuales de Azure.
Asegúrese de que ambas máquinas virtuales permiten el tráfico de red entrante y saliente para la comunicación con SQL Server.
Configure reglas de firewall en cada máquina virtual para permitir el tráfico de SQL Server.

Requisitos habilitados para Azure Arc

Al usar SQL Server habilitado por Azure Arc:

Instale y configure Azure Arc en las instancias de SQL Server 2025 siguiendo los requisitos previos de SQL Server habilitados por Azure Arc.
Configure la autenticación de Microsoft Entra mediante las instrucciones de Configuración de la autenticación de Microsoft Entra con el registro de aplicaciones.
Compruebe la conectividad de red entre los servidores de origen y de destino.

El servidor de destino debe tener un inicio de sesión que coincida con el nombre del servidor de origen. Cuando el servidor de origen se conecta mediante la identidad administrada, se autentica mediante la identidad administrada de la máquina. El servidor de destino valida esta identidad al verificar que coincide con una cuenta creada de un proveedor externo.

Conéctese a la instancia de SQL Server de destino.

Cree un inicio de sesión con el nombre del servidor de origen:

USE [master];
GO

CREATE LOGIN [AzureSQLVMSource]
FROM EXTERNAL PROVIDER
WITH DEFAULT_DATABASE = [master],
     DEFAULT_LANGUAGE = [us_english];
GO

Conceda al inicio de sesión los permisos adecuados de nivel de servidor. Por ejemplo, para conceder sysadmin el rol:
```
ALTER SERVER ROLE [sysadmin] ADD MEMBER [AzureSQLVMSource];
GO
```
Sugerencia

Aplique el principio de privilegios mínimos concediéndole solo los permisos necesarios para su caso de uso específico en lugar de usar sysadmin.

Configuración del servidor vinculado en el servidor de origen

Después de crear el inicio de sesión en el servidor de destino, configure la conexión del servidor vinculado en el servidor de origen. Esta configuración usa el MSOLEDBSQL proveedor con autenticación de identidad administrada.

Conéctese a la instancia de SQL Server de origen.

Cree el servidor vinculado mediante sp_addlinkedserver:

USE [master];
GO

EXEC master.dbo.sp_addlinkedserver
    @server = N'AzureSQLVMDestination',
    @srvproduct = N'',
    @provider = N'MSOLEDBSQL',
    @datasrc = N'AzureSQLVMDestination',
    @provstr = N'Authentication=ActiveDirectoryMSI;';
GO

El @provstr parámetro especifica ActiveDirectoryMSI la autenticación, que indica al servidor vinculado que use la identidad administrada.

Configura el mapeo de inicio de sesión del servidor enlazado:
```
EXEC master.dbo.sp_addlinkedsrvlogin
    @rmtsrvname = N'AzureSQLVMDestination',
    @useself = N'False',
    @locallogin = NULL,
    @rmtuser = NULL,
    @rmtpassword = NULL;
GO
```
Esta configuración configura el servidor vinculado para usar la identidad administrada sin necesidad de credenciales de usuario explícitas.

Prueba de la conexión del servidor vinculado

Después de la configuración, compruebe que la conexión del servidor vinculado funciona correctamente.

Pruebe la conexión mediante sp_testlinkedserver:

EXECUTE master.dbo.sp_testlinkedserver AzureSQLVMDestination;
GO

Si la prueba se realiza correctamente, puede consultar el servidor remoto. Por ejemplo:
```
SELECT * FROM [AzureSQLVMDestination].[master].[sys].[databases];
GO
```

Si se produce un error en la prueba, compruebe lo siguiente:

La autenticación de Microsoft Entra está configurada correctamente en ambos servidores
El inicio de sesión en el servidor de destino coincide exactamente con el nombre del servidor de origen.
Existe conectividad de red entre los servidores
Las reglas de firewall permiten el tráfico de SQL Server
Las extensiones necesarias (SqlIaasExtension y AADLogin) están habilitadas para máquinas virtuales de Azure.

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2025-12-16

Compartir a través de