Uno de los problemas con los que nos podemos encontrar cuando administramos bases de datos SQL Server y usamos autenticación SQL Server (Microsoft recomienda siempre usar autenticación integrada!!!) es el de los diferentes identificadores de usuario (SID) en caso de mover o restaurar entre diferentes servidores una misma base de datos. Veamoslo con más detalle.

Descripción del problema

Supongamos que tengamos una base de datos llamada BaseDeDatosA en un servidor llamado ServidorA. Ahora supongamos que por algún motivo, tenemos que restaurar una copia de la base de datos BaseDeDatosA en el servidor ServidorB. Una vez restaurada la base de datos (o movidos los ficheros) al ServidorB creamos los usuarios necesarios en el servidor e intentamos acceder con el usuario creado.  No funcionará. Pero como sabemos algo de base de datos lo primero que pensamos es que nos hemos olvidado de asignar permisos al usuario recién creado. Pero nos damos cuenta de que en realidad el usuario ya existe en la base de datos (los permisos vienen asignados desde la base de datos original). Es evidente que el problema se debe básicamente a que los permisos se otorgan por SID (el ID del usuario en el ServidorA), no por nombre de usuario. Esto no es un problema, es como debe ser. Por lo tanto la solución es fácil, primero eliminamos los usuarios heredados de la base de datos original, para posteriormente, recrearlos en el ServidorB, y reasignar los permisos.

Esta solución es muy sencilla para una única base de datos, pero en cuanto tengamos muchas bases de datos la tarea se hace más compleja.

Ejemplo

Tenemos los mismos dos servidores, ServidorA y ServidorB. Supongamos que nos encontramos en un escenario de LogShipping donde al ServidorA es el primario (y contiene 150 bases de datos) y el ServidorB es el secundario (con sus respectivas 150 bases de datos en estado StandBy o Restoring). En caso de caída del servidor principal tendremos que levantar las bases de datos en el ServidorB. Una vez levantadas, si no lo tenemos previsto, tendremos que recrear todos los usuarios de las bases de datos originales, pero aunque los tengamos creados,  no funcionarán. El motivo, los SID. Vale, tenemos que hacer un script para eliminar todos los usuarios de todas las bases de datos, recrearlos, y posteriormente reasignar los permisos. Siempre podemos tener un script para realizar estos trabajos, pero hay otra solución.

Solución

La solución es no tener creados los usuarios y hacer un backup de los usuarios en origen, con sus SID y sus passwords originales. En caso de caída, sencillamente ejecutamos el script en el servidor secundario y éste nos creará todos los usuarios con el SID, nombre y passwords que tienen en el servidor original, y por lo tanto, como los permisos se asignan por SID en las bases de datos, al iniciar las bases de datos en el servidor secundario, todos funcionarán.

Para realizar el backup de los usuarios podemos usar el script que nos ofrece Microsoft y que he colgado en mi cuenta de GitLab.

USE master
GO
IF OBJECT_ID ('sp_hexadecimal') IS NOT NULL
  DROP PROCEDURE sp_hexadecimal
GO
CREATE PROCEDURE sp_hexadecimal
    @binvalue varbinary(256),
    @hexvalue varchar (514) OUTPUT
AS
DECLARE @charvalue varchar (514)
DECLARE @i int
DECLARE @length int
DECLARE @hexstring char(16)
SELECT @charvalue = '0x'
SELECT @i = 1
SELECT @length = DATALENGTH (@binvalue)
SELECT @hexstring = '0123456789ABCDEF'
WHILE (@i <= @length)
BEGIN
  DECLARE @tempint int
  DECLARE @firstint int
  DECLARE @secondint int
  SELECT @tempint = CONVERT(int, SUBSTRING(@binvalue,@i,1))
  SELECT @firstint = FLOOR(@tempint/16)
  SELECT @secondint = @tempint - (@firstint*16)
  SELECT @charvalue = @charvalue +
    SUBSTRING(@hexstring, @firstint+1, 1) +
    SUBSTRING(@hexstring, @secondint+1, 1)
  SELECT @i = @i + 1
END

SELECT @hexvalue = @charvalue
GO
 
IF OBJECT_ID ('sp_help_revlogin') IS NOT NULL
  DROP PROCEDURE sp_help_revlogin
GO
CREATE PROCEDURE sp_help_revlogin @login_name sysname = NULL AS
DECLARE @name sysname
DECLARE @type varchar (1)
DECLARE @hasaccess int
DECLARE @denylogin int
DECLARE @is_disabled int
DECLARE @PWD_varbinary  varbinary (256)
DECLARE @PWD_string  varchar (514)
DECLARE @SID_varbinary varbinary (85)
DECLARE @SID_string varchar (514)
DECLARE @tmpstr  varchar (1024)
DECLARE @is_policy_checked varchar (3)
DECLARE @is_expiration_checked varchar (3)

DECLARE @defaultdb sysname
 
IF (@login_name IS NULL)
  DECLARE login_curs CURSOR FOR

      SELECT p.sid, p.name, p.type, p.is_disabled, p.default_database_name, l.hasaccess, l.denylogin FROM 
sys.server_principals p LEFT JOIN sys.syslogins l
      ON ( l.name = p.name ) WHERE p.type IN ( 'S', 'G', 'U' ) AND p.name <> 'sa'
ELSE
  DECLARE login_curs CURSOR FOR


      SELECT p.sid, p.name, p.type, p.is_disabled, p.default_database_name, l.hasaccess, l.denylogin FROM 
sys.server_principals p LEFT JOIN sys.syslogins l
      ON ( l.name = p.name ) WHERE p.type IN ( 'S', 'G', 'U' ) AND p.name = @login_name
OPEN login_curs

FETCH NEXT FROM login_curs INTO @SID_varbinary, @name, @type, @is_disabled, @defaultdb, @hasaccess, @denylogin
IF (@@fetch_status = -1)
BEGIN
  PRINT 'No login(s) found.'
  CLOSE login_curs
  DEALLOCATE login_curs
  RETURN -1
END
SET @tmpstr = '/* sp_help_revlogin script '
PRINT @tmpstr
SET @tmpstr = '** Generated ' + CONVERT (varchar, GETDATE()) + ' on ' + @@SERVERNAME + ' */'
PRINT @tmpstr
PRINT ''
WHILE (@@fetch_status <> -1)
BEGIN
  IF (@@fetch_status <> -2)
  BEGIN
    PRINT ''
    SET @tmpstr = '-- Login: ' + @name
    PRINT @tmpstr
    IF (@type IN ( 'G', 'U'))
    BEGIN -- NT authenticated account/group

      SET @tmpstr = 'CREATE LOGIN ' + QUOTENAME( @name ) + ' FROM WINDOWS WITH DEFAULT_DATABASE = [' + @defaultdb + ']'
    END
    ELSE BEGIN -- SQL Server authentication
        -- obtain password and sid
            SET @PWD_varbinary = CAST( LOGINPROPERTY( @name, 'PasswordHash' ) AS varbinary (256) )
        EXEC sp_hexadecimal @PWD_varbinary, @PWD_string OUT
        EXEC sp_hexadecimal @SID_varbinary,@SID_string OUT
 
        -- obtain password policy state
        SELECT @is_policy_checked = CASE is_policy_checked WHEN 1 THEN 'ON' WHEN 0 THEN 'OFF' ELSE NULL END FROM sys.sql_logins WHERE name = @name
        SELECT @is_expiration_checked = CASE is_expiration_checked WHEN 1 THEN 'ON' WHEN 0 THEN 'OFF' ELSE NULL END FROM sys.sql_logins WHERE name = @name
 
            SET @tmpstr = 'CREATE LOGIN ' + QUOTENAME( @name ) + ' WITH PASSWORD = ' + @PWD_string + ' HASHED, SID = ' + @SID_string + ', DEFAULT_DATABASE = [' + @defaultdb + ']'

        IF ( @is_policy_checked IS NOT NULL )
        BEGIN
          SET @tmpstr = @tmpstr + ', CHECK_POLICY = ' + @is_policy_checked
        END
        IF ( @is_expiration_checked IS NOT NULL )
        BEGIN
          SET @tmpstr = @tmpstr + ', CHECK_EXPIRATION = ' + @is_expiration_checked
        END
    END
    IF (@denylogin = 1)
    BEGIN -- login is denied access
      SET @tmpstr = @tmpstr + '; DENY CONNECT SQL TO ' + QUOTENAME( @name )
    END
    ELSE IF (@hasaccess = 0)
    BEGIN -- login exists but does not have access
      SET @tmpstr = @tmpstr + '; REVOKE CONNECT SQL TO ' + QUOTENAME( @name )
    END
    IF (@is_disabled = 1)
    BEGIN -- login is disabled
      SET @tmpstr = @tmpstr + '; ALTER LOGIN ' + QUOTENAME( @name ) + ' DISABLE'
    END
    PRINT @tmpstr
  END

  FETCH NEXT FROM login_curs INTO @SID_varbinary, @name, @type, @is_disabled, @defaultdb, @hasaccess, @denylogin
   END
CLOSE login_curs
DEALLOCATE login_curs
RETURN 0
GO

Este script nos crea varios procedimientos almacenados. Uno de ellos es sp_help_revlogin. Si lo ejecutamos en cualquier servidor nos devolverá un script que directamente podemos ejecutarlo en otra instancia de SQL server para crear los usuarios con sus passwords y sus SID. El script genera también los usuarios de sistema, lo ideal es buscar las líneas de generación de estos usuarios y eliminarlos para evitar errores por duplicidad de creación. En realidad si nos da algún error no hay problema, sencillamente no se crearán los que ya existan y listos.

Espero que os sea de utilidad.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s