DROP USER dauert zu lange, wenn viele Benutzer vorhanden sind

11

Auf einer SQL Server 2014-Instanz mit genügend RAM und schnellen Festplatten haben über 160 Benutzer Zugriff auf eine Datenbank. Aus irgendeinem mir unbekannten Grund DROP USER [username]dauert das Ausführen des Befehls in dieser Datenbank bis zu 5 Sekunden pro Benutzer.

Das erneute Zuordnen von Benutzern zu Anmeldungen und das Wiederherstellen ihrer Berechtigungen ist sehr schnell.

Im Rahmen der Aktualisierung von DEV-Datenbanken aus der Produktion muss ich alle Datenbankbenutzer löschen und neu erstellen. Es ist also notwendig, die Datenbankbenutzer zu löschen und neu zu erstellen.

Wie beschleunige ich den DROP USERBefehl?

Denken Sie daran, ich muss es für die Instanz, über die ich schreibe, über 160 Mal ausführen.

Dies ist das SQL, das ich verwende:

DECLARE drop_user_cur CURSOR FOR 
SELECT name FROM #drop_users

OPEN drop_user_cur
FETCH NEXT FROM drop_user_cur INTO @user

WHILE @@FETCH_STATUS = 0
BEGIN
    SET @sql = 'use [' + @db_name + '] DROP USER [' + @user + ']'
    BEGIN TRY
        print @sql
        EXECUTE(@sql)
    END TRY
    BEGIN CATCH
        print 'ERREUR : ' + @sql
    END CATCH
    FETCH NEXT FROM drop_user_cur INTO @user
END

CLOSE drop_user_cur
DEALLOCATE drop_user_cur

Das Problem kommt nicht vom Cursor; Es ist die tatsächliche Zeit DROP USER, die bis zu 5 Sekunden dauert.

Mit sp_whoisactiveist der wait_type NULL.

Geben Sie hier die Bildbeschreibung ein

Achten Sie nicht auf die Dauer, die DROPund CREATE USERin einem ausgeführt wurdenWHILE Schleife ausgeführt, weshalb mehr als eine Minute angezeigt wird.

Der Profiler zeigt über 125.000 auszuführende Lesevorgänge an DROP USER .

Service Broker ist nicht aktiviert.

sql-server security Craig Efrein
quelle
1
@CraigEfrein Sie können Ihre Antwort wiederherstellen. Sieht gut aus und danke, dass Sie meinen Kommentar in Ihre Antwort aufgenommen haben. Ich freue mich, dass Sie die Lösung gefunden haben!
Kin Shah

Antworten:

6

Die Lösung für dieses Problem bestand darin, den Service Broker für die Datenbank zu aktivieren.

ALTER DATABASE [Database_name] SET NEW_BROKER WITH ROLLBACK IMMEDIATE;

Nach dem Aktivieren des Service Brokers für die Datenbank waren Drop-Benutzer praktisch sofort verfügbar.

Kin fragte, ob der Service Broker in einem früheren Kommentar aktiviert war, der mich in die richtige Richtung suchte.

Craig Efrein
quelle
2

Dies ist keine Antwort auf die Frage, sondern ein Argument, sie insgesamt abzulehnen.

Wenn ich Ihren Kommentar richtig verstehe:

Im Rahmen der Aktualisierung von DEV-Datenbanken aus der Produktion muss ich alle Datenbankbenutzer löschen und neu erstellen. Es ist also notwendig, die Datenbankbenutzer zu löschen und neu zu erstellen.

Ihr Ziel ist es, Produktionsdaten auf ein Entwicklungssystem zu kopieren und mit derselben Berechtigung wie das Produktionssystem unter Verwendung derselben Benutzernamen arbeiten zu lassen .

Der schnellste Weg besteht darin, SQL-Anmeldungen vom Produktionssystem auf das Entwicklungssystem zu klonen, indem Sie das in diesem KB-Artikel von ms beschriebene Verfahren verwenden .

Mit der durch ms definierten Prozedur können Sie die Datenbanken auf Ihrem Entwicklungsserver wiederherstellen und die Berechtigung funktioniert ohne Änderungen.

Ich habe das oben erwähnte Verfahren erfolgreich verwendet, um eine SQL 2005-Produktionsumgebung auf Test- und Dev SQL 2012-Umgebungen zu kopieren.
Nach dem Klonen der Benutzer führte mich eine einfache Datenbankwiederherstellung zu zwei voll funktionsfähigen neuen Systemen mit aktuellen Daten.

Das große Plus dieser Lösung ist, dass Sie zum Aktualisieren von Entwicklungsdaten einfach die Produktionsdatenbank wiederherstellen und fertig. Sie müssen Referenzen, Synonyme und dergleichen anpassen, aber die Berechtigungen werden nicht verletzt.

Hier ist der Code aus dem Artikel, nur als Referenz, aber bitte lesen Sie den Artikel, der Anmerkungen und Details zur Kompatibilität mit alten SQL-Versionen, Details zur Kennwortverschlüsselung und andere Informationen enthält, die Ihnen beim Übertragen der Anmeldungen zwischen Servern Kopfschmerzen ersparen können:

USE master
GO
IF OBJECT_ID ('sp_hexadecimal') IS NOT NULL
  DROP PROCEDURE sp_hexadecimal
GO
CREATE PROCEDURE sp_hexadecimal
    @binvalue varbinary(256),
    @hexvalue varchar (514) OUTPUT
AS
DECLARE @charvalue varchar (514)
DECLARE @i int
DECLARE @length int
DECLARE @hexstring char(16)
SELECT @charvalue = '0x'
SELECT @i = 1
SELECT @length = DATALENGTH (@binvalue)
SELECT @hexstring = '0123456789ABCDEF'
WHILE (@i <= @length)
BEGIN
  DECLARE @tempint int
  DECLARE @firstint int
  DECLARE @secondint int
  SELECT @tempint = CONVERT(int, SUBSTRING(@binvalue,@i,1))
  SELECT @firstint = FLOOR(@tempint/16)
  SELECT @secondint = @tempint - (@firstint*16)
  SELECT @charvalue = @charvalue +
    SUBSTRING(@hexstring, @firstint+1, 1) +
    SUBSTRING(@hexstring, @secondint+1, 1)
  SELECT @i = @i + 1
END

SELECT @hexvalue = @charvalue
GO

IF OBJECT_ID ('sp_help_revlogin') IS NOT NULL
  DROP PROCEDURE sp_help_revlogin
GO
CREATE PROCEDURE sp_help_revlogin @login_name sysname = NULL AS
DECLARE @name sysname
DECLARE @type varchar (1)
DECLARE @hasaccess int
DECLARE @denylogin int
DECLARE @is_disabled int
DECLARE @PWD_varbinary  varbinary (256)
DECLARE @PWD_string  varchar (514)
DECLARE @SID_varbinary varbinary (85)
DECLARE @SID_string varchar (514)
DECLARE @tmpstr  varchar (1024)
DECLARE @is_policy_checked varchar (3)
DECLARE @is_expiration_checked varchar (3)

DECLARE @defaultdb sysname

IF (@login_name IS NULL)
  DECLARE login_curs CURSOR FOR

      SELECT p.sid, p.name, p.type, p.is_disabled, p.default_database_name, l.hasaccess, l.denylogin FROM 
sys.server_principals p LEFT JOIN sys.syslogins l
      ON ( l.name = p.name ) WHERE p.type IN ( 'S', 'G', 'U' ) AND p.name <> 'sa'
ELSE
  DECLARE login_curs CURSOR FOR


      SELECT p.sid, p.name, p.type, p.is_disabled, p.default_database_name, l.hasaccess, l.denylogin FROM 
sys.server_principals p LEFT JOIN sys.syslogins l
      ON ( l.name = p.name ) WHERE p.type IN ( 'S', 'G', 'U' ) AND p.name = @login_name
OPEN login_curs

FETCH NEXT FROM login_curs INTO @SID_varbinary, @name, @type, @is_disabled, @defaultdb, @hasaccess, @denylogin
IF (@@fetch_status = -1)
BEGIN
  PRINT 'No login(s) found.'
  CLOSE login_curs
  DEALLOCATE login_curs
  RETURN -1
END
SET @tmpstr = '/* sp_help_revlogin script '
PRINT @tmpstr
SET @tmpstr = '** Generated ' + CONVERT (varchar, GETDATE()) + ' on ' + @@SERVERNAME + ' */'
PRINT @tmpstr
PRINT ''
WHILE (@@fetch_status <> -1)
BEGIN
  IF (@@fetch_status <> -2)
  BEGIN
    PRINT ''
    SET @tmpstr = '-- Login: ' + @name
    PRINT @tmpstr
    IF (@type IN ( 'G', 'U'))
    BEGIN -- NT authenticated account/group

      SET @tmpstr = 'CREATE LOGIN ' + QUOTENAME( @name ) + ' FROM WINDOWS WITH DEFAULT_DATABASE = [' + @defaultdb + ']'
    END
    ELSE BEGIN -- SQL Server authentication
        -- obtain password and sid
            SET @PWD_varbinary = CAST( LOGINPROPERTY( @name, 'PasswordHash' ) AS varbinary (256) )
        EXEC sp_hexadecimal @PWD_varbinary, @PWD_string OUT
        EXEC sp_hexadecimal @SID_varbinary,@SID_string OUT

        -- obtain password policy state
        SELECT @is_policy_checked = CASE is_policy_checked WHEN 1 THEN 'ON' WHEN 0 THEN 'OFF' ELSE NULL END FROM sys.sql_logins WHERE name = @name
        SELECT @is_expiration_checked = CASE is_expiration_checked WHEN 1 THEN 'ON' WHEN 0 THEN 'OFF' ELSE NULL END FROM sys.sql_logins WHERE name = @name

            SET @tmpstr = 'CREATE LOGIN ' + QUOTENAME( @name ) + ' WITH PASSWORD = ' + @PWD_string + ' HASHED, SID = ' + @SID_string + ', DEFAULT_DATABASE = [' + @defaultdb + ']'

        IF ( @is_policy_checked IS NOT NULL )
        BEGIN
          SET @tmpstr = @tmpstr + ', CHECK_POLICY = ' + @is_policy_checked
        END
        IF ( @is_expiration_checked IS NOT NULL )
        BEGIN
          SET @tmpstr = @tmpstr + ', CHECK_EXPIRATION = ' + @is_expiration_checked
        END
    END
    IF (@denylogin = 1)
    BEGIN -- login is denied access
      SET @tmpstr = @tmpstr + '; DENY CONNECT SQL TO ' + QUOTENAME( @name )
    END
    ELSE IF (@hasaccess = 0)
    BEGIN -- login exists but does not have access
      SET @tmpstr = @tmpstr + '; REVOKE CONNECT SQL TO ' + QUOTENAME( @name )
    END
    IF (@is_disabled = 1)
    BEGIN -- login is disabled
      SET @tmpstr = @tmpstr + '; ALTER LOGIN ' + QUOTENAME( @name ) + ' DISABLE'
    END
    PRINT @tmpstr
  END

  FETCH NEXT FROM login_curs INTO @SID_varbinary, @name, @type, @is_disabled, @defaultdb, @hasaccess, @denylogin
   END
CLOSE login_curs
DEALLOCATE login_curs
RETURN 0
GO
Paolo
quelle
1
Hallo. Ich versuche nicht, eine exakte Kopie der Benutzer aus der Produktion zu erstellen. Die DEV ist nicht wirklich eine exakte Kopie der Produktion. Die Anmeldungen verwenden nicht dasselbe Kennwort und dev befindet sich nicht in derselben Domäne. Es gibt andere Einschränkungen, die das Löschen von Datenbankbenutzern erforderlich machen, mit denen ich Sie nicht langweilen werde.
Craig Efrein
Auf der Sicherheitsseite sollten Sie NIEMALS Passwörter aus der Produktion haben, die Ihre Entwicklungsumgebung berühren. Sie haben Ihren Entwicklern gerade Zugriff auf die Produktion gewährt und hoffen, dass keiner von ihnen eine Sicherheitsadministratorrolle hat.
Wenn Benutzer Kennwörter haben, haben Sie es mit SQL-Benutzern zu tun, sodass die Domain nicht relevant ist. Außerdem sind die Passwörter nicht gesperrt, sodass Sie sie ändern können, sobald die Benutzer erstellt wurden. Das Skript kann vor dem Ausführen geändert werden: Entfernen Sie alle unerwünschten / nicht benötigten Benutzer, und Sie sollten in Ordnung sein. Mein Vorschlag ist nicht die Lösung für Ihr Problem, aber nach dem Klonen müssen Sie möglicherweise weniger Benutzer löschen, da die Berechtigung nicht mehr behandelt werden soll. nicht optimal, aber vielleicht eine Verbesserung ^^
Paolo
0

Ein ähnlicher Cursor sollte funktionieren

Use DB_name

declare @username varchar(50)
declare user_cursor cursor for select '['+name+']' from sys.database_principals where type in ('u', 's') and principal_id>4
open user_cursor
fetch next from user_cursor into @username
while (@@fetch_status=0)
begin
EXEC sp_dropuser @username
fetch next from user_cursor into @username
end
close user_cursor
deallocate user_cursor
go
Midhun CN
quelle