Fehlerbehebung

Benutzerberechtigungen fehlen

Benutzern muss der Sicherheitszugriff über Policy-Anweisungen von einem Administrator erteilt werden. Die Autorisierung ist erforderlich, unabhängig davon, ob Sie die Konsole, die REST-API mit einem SDK oder die CLI verwenden. Wenn Sie eine Meldung erhalten, dass Sie nicht berechtigt sind oder keine Autorisierung besitzen, fragen Sie den OCI-Mandantenadministrator, welcher Zugriffstyp Ihnen zugewiesen wurde und in welchem Compartment Sie arbeiten sollen.

Beispiel-Policy für Database Tools Connection Manager:

allow group <group_name> to use virtual-network-family in compartment <compartment_name>
allow group <group_name> to read database-family in compartment <compartment_name>
allow group <group_name> to read autonomous-database-family in compartment <compartment_name>
allow group <group_name> to use vaults in compartment <compartment_name>
allow group <group_name> to use keys in compartment <compartment_name>
allow group <group_name> to manage secret-family in compartment <compartment_name>
allow group <group_name> to use database-tools-family in compartment <compartment_name>
allow group <group_name> to manage database-tools-connections in compartment <compartment_name>
allow group <group_name> to use database-tools-connections in compartment <compartment_name> 
where target.resource.id != <dbtools-connection-ocid>

Siehe auch:

• IAM-Policys für Oracle Database-Verbindungen
• IAM-Policys für MySQL Database-Verbindungen

Falsches Compartment angegeben

Stellen Sie in der Konsole sicher, dass Sie das Compartment auswählen, das die Verbindung zu den Datenbanktools oder den privaten Endpunkt enthält, mit dem Sie arbeiten möchten. Stellen Sie außerdem sicher, dass Ihnen ein Administrator Zugriff auf Datenbanktoolressourcen in diesem Compartment erteilt hat. Das Compartment, in dem Sie eine Verbindung erstellt haben, kann sich von Compartments unterscheiden, die das Ziel-Autonomous Database-, Oracle Base Database- oder MySQL-DB-System enthalten.

Häufige Ursachen für Probleme mit neuen Datenbanktoolverbindungen prüfen.

Benutzereingabe oder Datenbankbenutzerstatus ist falsch

Für das Erstellen einer neuen Verbindung sind während des Erstellungsprozesses Eingaben oder Auswahlen von einem Benutzer erforderlich. Prüfen Sie, ob die folgenden Details für Ihre Verbindung ausgewählt oder korrekt eingegeben wurden:

• Verbindungszeichenfolge, Host und TCP-Port
• Datenbankbenutzername
• Datenbankkennwort wie im Vault-Service gespeichert
• Wallet-Datei wie im Vault-Service gespeichert

Der Datenbankbenutzer muss einen gültigen Status aufweisen. Prüfen Sie Folgendes für diese Verbindung:

• Datenbankbenutzer verfügt über alle erforderlichen Datenbankberechtigungen oder Berechtigungen
• Datenbankbenutzerkennwort ist nicht abgelaufen
• Datenbankbenutzeraccount ist nicht gesperrt oder deaktiviert

Wenn möglich, überprüfen Sie, ob der Datenbankbenutzer mit der gleichen Verbindungszeichenfolge und den gleichen Authentifizierungsdetails auf die Datenbank zugreifen kann, indem Sie andere Tools wie cloud shell, SQLcl oder mysqlsh über Bastion verwenden.

Weitere Informationen zum Anzeigen oder Verwalten einer Verbindung finden Sie unter Oracle Cloud Infrastructure-Konsole verwenden.

Falsche Netzwerkkonfiguration

Mit dem Datenbanktoolservice können Sie eine Verbindung zu Datenbanken in Ihrem Mandanten herstellen, indem Sie Netzwerktraffic sicher über ein virtuelles Oracle Cloud Infrastructure-Cloud-Netzwerk (VCN) weiterleiten. Nachdem ein VCN, Subnetz, anwendbare Gateways, Routentabellen und Sicherheitslisten oder Netzwerksicherheitsgruppen konfiguriert wurden, können Datenbanktoolverbindungen so konfiguriert werden, dass eine Verbindung zur Datenbank hergestellt wird.

Wenn Netzwerk- oder Verbindungstimeoutfehler oder nicht erreichbare Datenbankhosts auftreten, müssen Sie möglicherweise Folgendes prüfen:

• Stellen Sie sicher, dass private Endpunkte für den Zugriff auf Datenbanken in Ihrem privaten Subnetz konfiguriert sind, sofern anwendbar.
• Bestätigen Sie, dass die VCN-Konfiguration dem Datenbanktoolservicetraffic die Datenbank im Zielsubnetz unter der angegebenen IP-Adresse und dem angegebenen TCP-Port ermöglicht.
• Bei ADB, die mit einer öffentlichen IP-Adresse mit Access Control-Liste (ACL) gemeinsam verwendet wird, müssen Sie sicherstellen, dass die ACL-Regeln für zulässige Adressen oder zulässige CIDR-Blöcke korrekt konfiguriert sind.
• Für vom Kunden verwaltete Oracle- oder MySQL-Datenbanken erfordern Firewalls, die auf dem Hostbetriebssystem ausgeführt werden, in der Regel Regeln, mit denen der Netzwerkverkehr datenbankspezifische TCP-Ports erreichen kann.
• Wenn Sicherheitsattribute und Zero Trust Packet Routing-(ZPR-)Policys konfiguriert sind, prüfen Sie, ob die erforderlichen Attribute den relevanten Ressourcen, wie privaten Datenbanktools und VCNs, korrekt zugewiesen sind. Stellen Sie außerdem sicher, dass ZPR-Policys Ressourcen korrekt referenzieren. Die Validierung ist mit einem allgemeinen Timeoutfehler nicht erfolgreich, wenn Werte fehlen oder falsch konfiguriert sind. Weitere Informationen finden Sie unter Zero Trust Packet Routing Policy.

Weitere Informationen zur Verwendung privater Endpunkte finden Sie unter Private Endpunkte mit Datenbanktools nutzen. Weitere Informationen zum Konfigurieren virtueller Cloud-Netzwerke finden Sie unter VCNs und Subnetze - Überblick.

Falscher Datenbankstatus/-konfiguration

Der Datenbanktoolservice verwaltet Ihre Datenbankservice- oder Datenbankkonfiguration nicht. Fragen Sie den Datenbankadministrator, um sicherzustellen, dass die Zieldatenbank:

• Ist korrekt konfiguriert und gestartet.
• Akzeptiert neue Verbindungen.

Proxybenutzer ist nicht zur Verbindung als Proxyclient autorisiert

Der Datenbanktoolservice bietet Unterstützung für Proxysessions für Oracle Database-Verbindungen. Das heißt, stellen Sie eine Verbindung zu anderen Datenbankbenutzern her, ohne deren Passwörter über Proxybenutzer zu kennen.

Wenn ein Proxy-Benutzerfehler auftritt, müssen Sie möglicherweise Folgendes überprüfen:

• Konfigurieren Sie Proxy-Benutzerkonten korrekt und autorisieren Sie Benutzer, sich über diese zu verbinden. Weitere Informationen finden Sie in der Dokumentation zu Proxybenutzerauthentifizierung und -verbindung in Oracle-Datenbanken.
• Aktivieren Sie die Proxyauthentifizierung, und konfigurieren Sie den Benutzernamen und das Kennwort der Proxyclientdatenbank.
• Stellen Sie sicher, dass der Benutzername und das Kennwort der Proxyclientdatenbank korrekt sind.

Benutzerberechtigung widerrufen oder geändert

Nach dem Erstellen einer Verbindung können IAM-Policys, Gruppenmitgliedschaften oder Datenbankbenutzerberechtigungen geändert werden. Wenden Sie sich an den Mandantenadministrator und den Datenbankadministrator, um Folgendes zu bestätigen:

• Der OCI-Benutzer hat den Zugriff aufgrund von Gruppenmitgliedschaftsänderungen, IAM-Policy-Änderungen oder Compartment-Änderungen nicht verloren.
• Der Datenbankbenutzer hat den Zugriff aufgrund von Rollen- oder Berechtigungsänderungen nicht verloren.

Netzwerkkonfiguration geändert

Wenn eine Verbindung zu Datenbanktools zuvor mit einer Datenbank kommunizieren konnte, aber plötzlich netzwerkbezogene Probleme meldet, kann dies auf den Datenbankstatus oder nachfolgende Änderungen der VCN-Konfiguration zurückzuführen sein.

• Vergewissern Sie sich, dass der Datenbankservice ausgeführt wird und TCP-Verbindungen akzeptiert.
• Bestätigen Sie, ob Änderungen in der Zielsubnetz- oder VCN-Konfiguration vorgenommen wurden.
• Bestätigen Sie, dass die VCN-Konfiguration dem Datenbanktoolservicetraffic die Datenbank im Zielsubnetz unter der angegebenen IP-Adresse und dem angegebenen TCP-Port ermöglicht.
• Prüfen Sie bei einer gemeinsam genutzten ADB mit einer öffentlichen IP-Adresse mit Access Control List (ACL), ob die ACL-Regeln für zulässige Adressen korrekt konfiguriert sind.
• Prüfen Sie bei vom Kunden verwalteten Oracle- oder MySQL-Datenbanken, ob Firewalls, die auf dem Hostbetriebssystem ausgeführt werden, gegebenenfalls den Zugriff auf datenbankspezifische TCP-Ports zulassen.

• Wenn Sicherheitsattribute und ZPR-Policys konfiguriert sind, prüfen Sie, ob die Attributwerte nicht geändert wurden und dennoch mit Policy-Regeln übereinstimmen. Eine funktionierende Verbindung kann aufgrund von nicht übereinstimmenden Werten fehlschlagen. Weitere Informationen finden Sie unter Zero Trust Packet Routing Policy.

Weitere Informationen zur Verwendung privater Endpunkte finden Sie unter Private Endpunkte mit Datenbanktools nutzen. Weitere Informationen zum Konfigurieren virtueller Cloud-Netzwerke finden Sie unter VCNs und Subnetze - Überblick.

Datenbankkonfiguration geändert

Möglicherweise wurde eine Datenbankkonfiguration geändert, nachdem die Verbindung erstellt wurde. Änderungen an einer Datenbankkonfiguration oder Benutzerauthentifizierungsdetails werden nicht vom Datenbanktoolservice verwaltet und müssen möglicherweise in Ihren Verbindungen aktualisiert werden.

Bestätigen Sie, ob einer der folgenden Punkte aufgetreten ist, und aktualisieren Sie Ihre Datenbank-, Datenbankbenutzer- oder Datenbanktoolverbindungen entsprechend:

• Wurde der Datenbankbenutzer gelöscht oder wurden Berechtigungen entzogen?
• Ist der Datenbankbenutzeraccount gesperrt oder ist das Kennwort abgelaufen?
• Wurde die Instanz oder das regionale Wallet für gemeinsam genutzte ADB-Datenbanken rotiert? (In diesem Fall muss es in Ihrem Vault Secret aktualisiert werden)
• Wurde die PDB gelöscht?
• Wird die Datenbankinstanz aufgrund von Inaktivität gestoppt oder angehalten?

Weitere Informationen zum Aktualisieren einer Verbindung finden Sie unter Oracle Cloud Infrastructure-Konsole nutzen.

ORA-20000: Datenbankeigenschaft SSL_WALLET nicht gefunden

Die Fehlermeldung ORA-20000: Database property SSL_WALLET not found wird angezeigt, wenn der Identitätsvalidierungsvorgang auf Basisinstallationen von Oracle Database-Systemen nicht erfolgreich verläuft. Es gibt an, dass Sie die erforderlichen Zertifikate oder das erforderliche Wallet nicht eingerichtet haben. Siehe SSL-Wallet mit Zertifikaten erstellen.

Identität kann nicht auf OCI-Services zugreifen

Stellen Sie sicher, dass die erforderlichen dynamischen Gruppen und Policys vorhanden sind, damit die Identitätsressource auf OCI-Services zugreifen kann. Siehe Dynamische Gruppen und Policys.

Nachdem Sie die Policys aktualisiert haben, müssen Sie die Identität der Datenbanktools aktualisieren. Siehe Identität aktualisieren.

Lebenszyklusstatus der Identität ist FAILED oder NEEDS_ATTENTION

Prüfen Sie Arbeitsanforderungen, und identifizieren Sie Fehlermeldungen, die mit dem Fehler verknüpft sind.

• Wenn sich eine Identität im Status FAILED befindet, identifizieren Sie die zugrunde liegende Ursache des Problems, das sich auf die Verbindung zu den Datenbanktools beziehen kann, lösen Sie es, und erstellen Sie die Identität dann neu.
• Wenn eine Identität den Status NEEDS_ATTENTION aufweist, wird die Identität nicht mehr automatisch aktualisiert. Identifizieren Sie die zugrunde liegende Ursache des Problems, beheben Sie es, und aktualisieren Sie dann die Identität, um eine Tokenaktualisierung zu initiieren.

Oracle empfiehlt, Benachrichtigungen zu erstellen, um Fehler bei der Identitätsaktualisierung zu erkennen. Siehe Identitätsaktualisierung überwachen.

TCP (nicht TCPS) für einen reinen TCPS-Port verwenden

TCP setzt den erforderlichen SSL-Handshake zurück und kann nicht ausgeführt werden.

Die Tokenauthentifizierung erfordert TLS, daher muss die Verbindung TCPS verwenden. Aktualisieren Sie die JDBC-URL so, dass sie protocol=tcps verwendet, und konfigurieren Sie die erforderlichen Wallet- oder SSL-Einstellungen.

Ungültige ssl_server_cert_dn in JDBC-URL

Die ssl_server_cert_dn in der JDBC-URL gibt den falschen Distinguished Name des Zertifikats an (z.B. falsche Region, Hostname oder Service).

Distinguished Name-(DN-)Abgleich muss für tokenbasierte Authentifizierung aktiviert sein.

Ungültige Zeichenfolge für Tokengeltungsbereich

Der Geltungsbereich des IAM-Datenbanktokens ist ungültig. Daher kann der Treiber kein gültiges Datenbanktoken anhängen.

Prüfen Sie die IAM-Policy-Anweisung für database-connections, oder geben Sie einen gültigen Geltungsbereich in der erweiterten Eigenschaft iam.db.token.scope an.

DN-Abgleich ist deaktiviert (ssl_server_dn_match=no)

DN-Abgleich ist für die tokenbasierte Authentifizierung erforderlich und muss aktiviert sein.

Geltungsbereich des IAM-Datenbanktokens fehlt (Null)

Zum Generieren eines Datenbanktokens ist ein Geltungsbereich erforderlich. Wenn der Geltungsbereich Null ist, verläuft die Tokengenerierung nicht erfolgreich.

Prüfen Sie die IAM-Policy-Anweisung für database-connections, oder geben Sie einen gültigen Geltungsbereich in der erweiterten Eigenschaft iam.db.token.scope an.

Geltungsbereich von IAM-Datenbanktoken stimmt nicht mit der Policy oder dem Mandanten überein

Der Geltungsbereich stimmt nicht mit dem erwarteten Datenbankmandanten oder der erwarteten Datenbank-Policy überein, daher wird das Token abgelehnt.

Prüfen Sie die IAM-Policy-Anweisung für database-connections, oder geben Sie einen gültigen Geltungsbereich in der erweiterten Eigenschaft iam.db.token.scope an.

IAM-Authentifizierung ist in der Datenbank deaktiviert/IAM-Policy fehlt oder ist nicht ausreichend/Principal ist dem globalen Datenbankbenutzer nicht zugeordnet

Die Datenbank hat die IAM-basierte Anmeldung abgelehnt. Dies kann in folgenden Fällen auftreten:

• Die IAM-Authentifizierung ist in der Datenbank nicht aktiviert.
• Die IAM-Policy erteilt dem Principal keine ausreichenden Berechtigungen.
• Der IAM-Principal ist keinem globalen Datenbankbenutzer zugeordnet.

Prüfen Sie basierend auf dem angezeigten Fehler Folgendes:

• "Externe IAM-Authentifizierung aktivieren" ist auf OCI_IAM gesetzt.
• Vergewissern Sie sich, dass eine globale Schemazuordnung für den IAM-Principal vorhanden ist. Siehe Globale Datenbankbenutzer erstellen

• Stellen Sie sicher, dass die IAM-Policy-Anweisung für use database-connections mit der erweiterten Eigenschaft iam.db.token.scope ausgerichtet ist, mit der das Datenbanktoken angefordert wird.

TLS-Wallet-Pfad falsch oder Wallet fehlt

Das Wallet-Verzeichnis ist nicht vorhanden oder nicht lesbar.

Die Datenbankversion unterstützt keine Tokenauthentifizierung

Ältere Datenbankversionen unterstützen möglicherweise nicht die erforderlichen Tokenauthentifizierungsfunktionen.

Authentifizierungsfehler (401 nicht autorisiert)

OAuth oder persönliches Zugriffstoken ungültig oder abgelaufen.

• Authentifizieren Sie erneut, und rufen Sie ein neues Token ab.
• Prüfen Sie die Tokenablaufeinstellungen.
• Korrektes Autorisierungsheaderformat sicherstellen (Bearer <token>)

Autorisierungsfehler (403 Verboten)

Erforderliche Anwendungsrollen fehlen, z.B. MCP_User, MCP_Operator usw.

• Stellen Sie sicher, dass Ihnen die entsprechenden IAM-Anwendungsrollen zugewiesen sind.
• Prüfen Sie die Rollenzuordnungen in der Identitätsdomain.

Zugriff auf MCP-Server nicht möglich

Netzwerk- oder Konfigurationsprobleme.

• Stellen Sie sicher, dass die MCP-Server-URL korrekt ist.
• Stellen Sie sicher, dass die Clientumgebung MCP-Server- und OAuth-Endpunkte über HTTPS erreichen kann.

Probleme bei der MCP-Clientverbindung

Falsche Clientregistrierung oder -konfiguration.

• Stellen Sie sicher, dass der Client ordnungsgemäß in derselben Identitätsdomain registriert ist.
• Überprüfen Sie den Clienttyp (öffentlich, vertraulich oder vertrauenswürdig).
• Prüfen Sie Umleitungs-URIs und zulässige Geltungsbereiche.

Verbindung zu ADB-S mit Netzwerk-ACL wird für Free Tier-Accounts nicht unterstützt

Sie verwenden einen Free Tier-Account und versuchen, eine Verbindung zu einer Autonomous Database - Shared (ADB-S) mit Netzwerkzugriffsregeln zu erstellen, die Zugriff auf OCI-Services in Oracle Services Network erteilen.

Ursache: Das Network Access Control List-(ACL-)Feature von ADB-S unterstützt keine Netzwerkzugriffsregeln, die Zugriff auf OCI-Services in Oracle Services Network erteilen. Erstellen Sie als Workaround Verbindungen mit einem privaten Endpunkt, und fügen Sie der ADB-S-Instanz eine Zugriffskontrollregel hinzu, um Traffic von den Reverse Connection Source-IPs des privaten Endpunkts zuzulassen. Da die Reverse Connection-Quell-IPs private IP-Adressen sind, ist die Verwendung eines Servicegateways oder NAT-Gateways erforderlich, um eine Verbindung zur öffentlichen IP von ADB-S herzustellen. Free Tier-Accounts dürfen kein Servicegateway oder NAT-Gateway in ihren VCNs erstellen und können nicht mit der Netzwerk-ACL auf eine ADB-S-Instanz zugreifen.

Von IAM authentifizierte Verbindungen zu Datenbanktools unterstützen keinen Instanz-Principal.