DROP USER prend trop de temps quand il y a beaucoup d'utilisateurs

11

Sur une instance SQL Server 2014 avec suffisamment de RAM et de disques rapides, plus de 160 utilisateurs ont accès à une base de données. Pour une raison inconnue pour moi, l'exécution de la commande DROP USER [username]dans cette base de données prend jusqu'à 5 secondes par utilisateur.

Le remappage des utilisateurs aux connexions et la restauration de leurs autorisations est très rapide.

Dans le contexte de l'actualisation des bases de données DEV à partir de la production, je dois supprimer et recréer tous les utilisateurs de base de données. Alors oui, il est nécessaire de supprimer les utilisateurs de la base de données et de les recréer.

Comment accélérer la DROP USERcommande?

Rappelez-vous, je dois l'exécuter plus de 160 fois pour l'instance sur laquelle j'écris.

Voici le SQL que j'utilise:

DECLARE drop_user_cur CURSOR FOR 
SELECT name FROM #drop_users

OPEN drop_user_cur
FETCH NEXT FROM drop_user_cur INTO @user

WHILE @@FETCH_STATUS = 0
BEGIN
    SET @sql = 'use [' + @db_name + '] DROP USER [' + @user + ']'
    BEGIN TRY
        print @sql
        EXECUTE(@sql)
    END TRY
    BEGIN CATCH
        print 'ERREUR : ' + @sql
    END CATCH
    FETCH NEXT FROM drop_user_cur INTO @user
END

CLOSE drop_user_cur
DEALLOCATE drop_user_cur

Le problème ne vient pas du curseur; c'est le réel DROP USERqui prend jusqu'à 5 secondes.

En utilisant sp_whoisactive, le wait_type est NULL.

entrez la description de l'image ici

Ne faites pas attention à la durée, le DROPet CREATE USERétaient exécutés en WHILEboucle, c'est pourquoi cela en dit plus d'une minute.

Le profileur affiche plus de 125 000 lectures à exécuter DROP USER.

Service Broker n'est pas activé.

sql-server security Craig Efrein
la source
1
@CraigEfrein Vous pouvez annuler la suppression de votre réponse. Semble bon et merci d'avoir inclus mon commentaire dans votre réponse. Je suis heureux que vous ayez trouvé la solution efficace!
Kin Shah

Réponses:

6

La résolution de ce problème activait le courtier de services sur la base de données.

ALTER DATABASE [Database_name] SET NEW_BROKER WITH ROLLBACK IMMEDIATE;

Après avoir activé Service Broker pour la base de données, les utilisateurs de suppression étaient pratiquement instantanés.

Kin a demandé si le courtier de services était activé dans un commentaire précédent qui m'a envoyé chercher dans la bonne direction.

Craig Efrein
la source
2

ce n'est pas une réponse à la question mais un argument pour la rejeter complètement.

Si je comprends bien votre commentaire:

Dans le contexte de l'actualisation des bases de données DEV à partir de la production, je dois supprimer et recréer tous les utilisateurs de base de données. Alors oui, il est nécessaire de supprimer les utilisateurs de la base de données et de les recréer.

votre objectif est de copier les données de production sur un système de développement et de les faire fonctionner avec les mêmes autorisations que celles de production, en utilisant les mêmes noms d'utilisateur .

Le chemin le plus rapide consiste à cloner des connexions sql du système de production vers le système de développement en utilisant la procédure décrite par ms dans cet article kb .

avec la procédure définie par ms, le résultat est que vous pouvez restaurer les bases de données sur votre serveur de développement et que l'autorisation fonctionne sans modifications.

J'ai utilisé avec succès la procédure mentionnée ci-dessus pour copier un env de production sql 2005 sur les environnements test & dev sql 2012.
Après le clonage des utilisateurs, une simple restauration de la base de données m'a conduit à une paire de nouveaux systèmes pleinement opérationnels avec des données à jour.

L'énorme avantage de cette solution est que pour actualiser les données de développement, vous venez de restaurer la base de données de production et c'est tout; vous devrez ajuster les références, les synonymes et autres, mais les autorisations ne seront pas rompues.

Voici le code de l'article, juste pour référence, mais veuillez vous référer à l'article qui contient des remarques et des détails sur la compatibilité avec les anciennes versions de SQL, les détails de cryptage des mots de passe et d'autres informations qui peuvent vous éviter des maux de tête lors du transfert des connexions entre les serveurs:

USE master
GO
IF OBJECT_ID ('sp_hexadecimal') IS NOT NULL
  DROP PROCEDURE sp_hexadecimal
GO
CREATE PROCEDURE sp_hexadecimal
    @binvalue varbinary(256),
    @hexvalue varchar (514) OUTPUT
AS
DECLARE @charvalue varchar (514)
DECLARE @i int
DECLARE @length int
DECLARE @hexstring char(16)
SELECT @charvalue = '0x'
SELECT @i = 1
SELECT @length = DATALENGTH (@binvalue)
SELECT @hexstring = '0123456789ABCDEF'
WHILE (@i <= @length)
BEGIN
  DECLARE @tempint int
  DECLARE @firstint int
  DECLARE @secondint int
  SELECT @tempint = CONVERT(int, SUBSTRING(@binvalue,@i,1))
  SELECT @firstint = FLOOR(@tempint/16)
  SELECT @secondint = @tempint - (@firstint*16)
  SELECT @charvalue = @charvalue +
    SUBSTRING(@hexstring, @firstint+1, 1) +
    SUBSTRING(@hexstring, @secondint+1, 1)
  SELECT @i = @i + 1
END

SELECT @hexvalue = @charvalue
GO

IF OBJECT_ID ('sp_help_revlogin') IS NOT NULL
  DROP PROCEDURE sp_help_revlogin
GO
CREATE PROCEDURE sp_help_revlogin @login_name sysname = NULL AS
DECLARE @name sysname
DECLARE @type varchar (1)
DECLARE @hasaccess int
DECLARE @denylogin int
DECLARE @is_disabled int
DECLARE @PWD_varbinary  varbinary (256)
DECLARE @PWD_string  varchar (514)
DECLARE @SID_varbinary varbinary (85)
DECLARE @SID_string varchar (514)
DECLARE @tmpstr  varchar (1024)
DECLARE @is_policy_checked varchar (3)
DECLARE @is_expiration_checked varchar (3)

DECLARE @defaultdb sysname

IF (@login_name IS NULL)
  DECLARE login_curs CURSOR FOR

      SELECT p.sid, p.name, p.type, p.is_disabled, p.default_database_name, l.hasaccess, l.denylogin FROM 
sys.server_principals p LEFT JOIN sys.syslogins l
      ON ( l.name = p.name ) WHERE p.type IN ( 'S', 'G', 'U' ) AND p.name <> 'sa'
ELSE
  DECLARE login_curs CURSOR FOR


      SELECT p.sid, p.name, p.type, p.is_disabled, p.default_database_name, l.hasaccess, l.denylogin FROM 
sys.server_principals p LEFT JOIN sys.syslogins l
      ON ( l.name = p.name ) WHERE p.type IN ( 'S', 'G', 'U' ) AND p.name = @login_name
OPEN login_curs

FETCH NEXT FROM login_curs INTO @SID_varbinary, @name, @type, @is_disabled, @defaultdb, @hasaccess, @denylogin
IF (@@fetch_status = -1)
BEGIN
  PRINT 'No login(s) found.'
  CLOSE login_curs
  DEALLOCATE login_curs
  RETURN -1
END
SET @tmpstr = '/* sp_help_revlogin script '
PRINT @tmpstr
SET @tmpstr = '** Generated ' + CONVERT (varchar, GETDATE()) + ' on ' + @@SERVERNAME + ' */'
PRINT @tmpstr
PRINT ''
WHILE (@@fetch_status <> -1)
BEGIN
  IF (@@fetch_status <> -2)
  BEGIN
    PRINT ''
    SET @tmpstr = '-- Login: ' + @name
    PRINT @tmpstr
    IF (@type IN ( 'G', 'U'))
    BEGIN -- NT authenticated account/group

      SET @tmpstr = 'CREATE LOGIN ' + QUOTENAME( @name ) + ' FROM WINDOWS WITH DEFAULT_DATABASE = [' + @defaultdb + ']'
    END
    ELSE BEGIN -- SQL Server authentication
        -- obtain password and sid
            SET @PWD_varbinary = CAST( LOGINPROPERTY( @name, 'PasswordHash' ) AS varbinary (256) )
        EXEC sp_hexadecimal @PWD_varbinary, @PWD_string OUT
        EXEC sp_hexadecimal @SID_varbinary,@SID_string OUT

        -- obtain password policy state
        SELECT @is_policy_checked = CASE is_policy_checked WHEN 1 THEN 'ON' WHEN 0 THEN 'OFF' ELSE NULL END FROM sys.sql_logins WHERE name = @name
        SELECT @is_expiration_checked = CASE is_expiration_checked WHEN 1 THEN 'ON' WHEN 0 THEN 'OFF' ELSE NULL END FROM sys.sql_logins WHERE name = @name

            SET @tmpstr = 'CREATE LOGIN ' + QUOTENAME( @name ) + ' WITH PASSWORD = ' + @PWD_string + ' HASHED, SID = ' + @SID_string + ', DEFAULT_DATABASE = [' + @defaultdb + ']'

        IF ( @is_policy_checked IS NOT NULL )
        BEGIN
          SET @tmpstr = @tmpstr + ', CHECK_POLICY = ' + @is_policy_checked
        END
        IF ( @is_expiration_checked IS NOT NULL )
        BEGIN
          SET @tmpstr = @tmpstr + ', CHECK_EXPIRATION = ' + @is_expiration_checked
        END
    END
    IF (@denylogin = 1)
    BEGIN -- login is denied access
      SET @tmpstr = @tmpstr + '; DENY CONNECT SQL TO ' + QUOTENAME( @name )
    END
    ELSE IF (@hasaccess = 0)
    BEGIN -- login exists but does not have access
      SET @tmpstr = @tmpstr + '; REVOKE CONNECT SQL TO ' + QUOTENAME( @name )
    END
    IF (@is_disabled = 1)
    BEGIN -- login is disabled
      SET @tmpstr = @tmpstr + '; ALTER LOGIN ' + QUOTENAME( @name ) + ' DISABLE'
    END
    PRINT @tmpstr
  END

  FETCH NEXT FROM login_curs INTO @SID_varbinary, @name, @type, @is_disabled, @defaultdb, @hasaccess, @denylogin
   END
CLOSE login_curs
DEALLOCATE login_curs
RETURN 0
GO
Paolo
la source
1
Bonjour. Je n'essaie pas de créer une copie exacte des utilisateurs de la production. Le DEV n'est pas vraiment une copie exacte de la production. Les connexions n'utilisent pas le même mot de passe et dev n'est pas dans le même domaine. Il y a d'autres contraintes qui rendent nécessaire la suppression des utilisateurs de base de données que je ne vous ennuierai pas.
Craig Efrein
Sur le plan de la sécurité, vous ne devez JAMAIS avoir de mots de passe de production touchant votre environnement de développement. Vous venez de fournir à vos développeurs un accès à la production en faisant cela, et j'espère qu'aucun d'entre eux n'a de rôle d'administrateur de sécurité.
si les utilisateurs ont des mots de passe, vous avez affaire à des utilisateurs SQL, le domaine n'est donc pas pertinent. les mots de passe ne sont pas non plus verrouillés, vous pouvez donc les modifier dès que les utilisateurs sont créés. le script peut être modifié avant de l'exécuter: supprimez tous les utilisateurs indésirables / inutiles et tout devrait bien se passer. ma suggestion n'est pas la solution à votre problème mais peut-être qu'après le clonage, vous devrez supprimer moins d'utilisateurs car les autorisations ne seront plus gérées. pas optimal mais peut-être une amélioration ^^
Paolo
0

Un curseur similaire à celui-ci devrait fonctionner

Use DB_name

declare @username varchar(50)
declare user_cursor cursor for select '['+name+']' from sys.database_principals where type in ('u', 's') and principal_id>4
open user_cursor
fetch next from user_cursor into @username
while (@@fetch_status=0)
begin
EXEC sp_dropuser @username
fetch next from user_cursor into @username
end
close user_cursor
deallocate user_cursor
go
Midhun CN
la source