DROP USER tarda demasiado cuando hay muchos usuarios

11

En una instancia de SQL Server 2014 con suficiente RAM y discos rápidos, hay más de 160 usuarios que tienen acceso a una base de datos. Por alguna razón que yo desconozco, ejecutar el comando DROP USER [username]en esta base de datos toma hasta 5 segundos por usuario.

La reasignación de usuarios a los inicios de sesión y la restauración de sus permisos es muy rápida.

Dentro del contexto de actualizar las bases de datos DEV desde la producción, tengo que eliminar y volver a crear todos los usuarios de la base de datos. Entonces sí, es necesario eliminar los usuarios de la base de datos y recrearlos.

¿Cómo acelerar el DROP USERcomando?

Recuerde, tengo que ejecutarlo más de 160 veces para la instancia sobre la que estoy escribiendo.

Este es el SQL que estoy usando:

DECLARE drop_user_cur CURSOR FOR 
SELECT name FROM #drop_users

OPEN drop_user_cur
FETCH NEXT FROM drop_user_cur INTO @user

WHILE @@FETCH_STATUS = 0
BEGIN
    SET @sql = 'use [' + @db_name + '] DROP USER [' + @user + ']'
    BEGIN TRY
        print @sql
        EXECUTE(@sql)
    END TRY
    BEGIN CATCH
        print 'ERREUR : ' + @sql
    END CATCH
    FETCH NEXT FROM drop_user_cur INTO @user
END

CLOSE drop_user_cur
DEALLOCATE drop_user_cur

El problema no viene del cursor; Es lo real lo DROP USERque toma hasta 5 segundos.

Usando sp_whoisactive, el wait_type es NULL.

ingrese la descripción de la imagen aquí

No preste atención a la duración, la DROPy CREATE USERse ejecutan en un WHILEbucle, por lo que dice más de un minuto.

Profiler muestra más de 125,000 lecturas para ejecutar DROP USER.

Service Broker no está habilitado.

sql-server security Craig Efrein
fuente
1
@CraigEfrein Puedes recuperar tu respuesta. Se ve bien y gracias por incluir mi comentario en su respuesta. ¡Estoy feliz de que haya encontrado la solución funcionando!
Kin Shah

Respuestas:

6

La solución a este problema fue habilitar el agente de servicio en la base de datos como tal.

ALTER DATABASE [Database_name] SET NEW_BROKER WITH ROLLBACK IMMEDIATE;

Después de habilitar el intermediario de servicios para la base de datos, los usuarios descartados fueron prácticamente instantáneos.

Kin preguntó si el agente de servicio estaba habilitado en un comentario anterior que me envió a buscar en la dirección correcta.

Craig Efrein
fuente
2

Esta no es una respuesta a la pregunta, sino un argumento para descartarla por completo.

Si entiendo correctamente tu comentario:

Dentro del contexto de actualizar las bases de datos DEV desde la producción, tengo que eliminar y volver a crear todos los usuarios de la base de datos. Entonces sí, es necesario eliminar los usuarios de la base de datos y recrearlos.

su objetivo es copiar datos de producción en un sistema de desarrollo y hacer que funcione con el mismo permiso que el de producción, utilizando los mismos nombres de usuario .

La ruta más rápida es clonar inicios de sesión sql desde el sistema de producción al sistema de desarrollo utilizando el procedimiento descrito por ms en este artículo de kb .

con el procedimiento definido por ms, el resultado es que puede restaurar las bases de datos en su servidor de desarrollo y el permiso funciona sin cambios.

Utilicé con éxito el procedimiento mencionado anteriormente para copiar un entorno de producción sql 2005 en entornos de prueba y desarrollo sql 2012.
Después de clonar a los usuarios, una simple restauración de la base de datos me llevó a un par de sistemas nuevos totalmente operativos con datos actualizados.

La gran ventaja de esa solución es que para actualizar los datos de desarrollo simplemente restaura la base de datos de producción y listo; tendrá que ajustar referencias, sinónimos y demás, pero los permisos no se romperán.

Aquí está el código del artículo, solo como referencia, pero consulte el artículo que tiene comentarios y detalles sobre la compatibilidad con versiones antiguas de SQL, detalles de cifrado de contraseña y otra información que puede ahorrarle un poco de dolor de cabeza al transferir los inicios de sesión a través de los servidores:

USE master
GO
IF OBJECT_ID ('sp_hexadecimal') IS NOT NULL
  DROP PROCEDURE sp_hexadecimal
GO
CREATE PROCEDURE sp_hexadecimal
    @binvalue varbinary(256),
    @hexvalue varchar (514) OUTPUT
AS
DECLARE @charvalue varchar (514)
DECLARE @i int
DECLARE @length int
DECLARE @hexstring char(16)
SELECT @charvalue = '0x'
SELECT @i = 1
SELECT @length = DATALENGTH (@binvalue)
SELECT @hexstring = '0123456789ABCDEF'
WHILE (@i <= @length)
BEGIN
  DECLARE @tempint int
  DECLARE @firstint int
  DECLARE @secondint int
  SELECT @tempint = CONVERT(int, SUBSTRING(@binvalue,@i,1))
  SELECT @firstint = FLOOR(@tempint/16)
  SELECT @secondint = @tempint - (@firstint*16)
  SELECT @charvalue = @charvalue +
    SUBSTRING(@hexstring, @firstint+1, 1) +
    SUBSTRING(@hexstring, @secondint+1, 1)
  SELECT @i = @i + 1
END

SELECT @hexvalue = @charvalue
GO

IF OBJECT_ID ('sp_help_revlogin') IS NOT NULL
  DROP PROCEDURE sp_help_revlogin
GO
CREATE PROCEDURE sp_help_revlogin @login_name sysname = NULL AS
DECLARE @name sysname
DECLARE @type varchar (1)
DECLARE @hasaccess int
DECLARE @denylogin int
DECLARE @is_disabled int
DECLARE @PWD_varbinary  varbinary (256)
DECLARE @PWD_string  varchar (514)
DECLARE @SID_varbinary varbinary (85)
DECLARE @SID_string varchar (514)
DECLARE @tmpstr  varchar (1024)
DECLARE @is_policy_checked varchar (3)
DECLARE @is_expiration_checked varchar (3)

DECLARE @defaultdb sysname

IF (@login_name IS NULL)
  DECLARE login_curs CURSOR FOR

      SELECT p.sid, p.name, p.type, p.is_disabled, p.default_database_name, l.hasaccess, l.denylogin FROM 
sys.server_principals p LEFT JOIN sys.syslogins l
      ON ( l.name = p.name ) WHERE p.type IN ( 'S', 'G', 'U' ) AND p.name <> 'sa'
ELSE
  DECLARE login_curs CURSOR FOR


      SELECT p.sid, p.name, p.type, p.is_disabled, p.default_database_name, l.hasaccess, l.denylogin FROM 
sys.server_principals p LEFT JOIN sys.syslogins l
      ON ( l.name = p.name ) WHERE p.type IN ( 'S', 'G', 'U' ) AND p.name = @login_name
OPEN login_curs

FETCH NEXT FROM login_curs INTO @SID_varbinary, @name, @type, @is_disabled, @defaultdb, @hasaccess, @denylogin
IF (@@fetch_status = -1)
BEGIN
  PRINT 'No login(s) found.'
  CLOSE login_curs
  DEALLOCATE login_curs
  RETURN -1
END
SET @tmpstr = '/* sp_help_revlogin script '
PRINT @tmpstr
SET @tmpstr = '** Generated ' + CONVERT (varchar, GETDATE()) + ' on ' + @@SERVERNAME + ' */'
PRINT @tmpstr
PRINT ''
WHILE (@@fetch_status <> -1)
BEGIN
  IF (@@fetch_status <> -2)
  BEGIN
    PRINT ''
    SET @tmpstr = '-- Login: ' + @name
    PRINT @tmpstr
    IF (@type IN ( 'G', 'U'))
    BEGIN -- NT authenticated account/group

      SET @tmpstr = 'CREATE LOGIN ' + QUOTENAME( @name ) + ' FROM WINDOWS WITH DEFAULT_DATABASE = [' + @defaultdb + ']'
    END
    ELSE BEGIN -- SQL Server authentication
        -- obtain password and sid
            SET @PWD_varbinary = CAST( LOGINPROPERTY( @name, 'PasswordHash' ) AS varbinary (256) )
        EXEC sp_hexadecimal @PWD_varbinary, @PWD_string OUT
        EXEC sp_hexadecimal @SID_varbinary,@SID_string OUT

        -- obtain password policy state
        SELECT @is_policy_checked = CASE is_policy_checked WHEN 1 THEN 'ON' WHEN 0 THEN 'OFF' ELSE NULL END FROM sys.sql_logins WHERE name = @name
        SELECT @is_expiration_checked = CASE is_expiration_checked WHEN 1 THEN 'ON' WHEN 0 THEN 'OFF' ELSE NULL END FROM sys.sql_logins WHERE name = @name

            SET @tmpstr = 'CREATE LOGIN ' + QUOTENAME( @name ) + ' WITH PASSWORD = ' + @PWD_string + ' HASHED, SID = ' + @SID_string + ', DEFAULT_DATABASE = [' + @defaultdb + ']'

        IF ( @is_policy_checked IS NOT NULL )
        BEGIN
          SET @tmpstr = @tmpstr + ', CHECK_POLICY = ' + @is_policy_checked
        END
        IF ( @is_expiration_checked IS NOT NULL )
        BEGIN
          SET @tmpstr = @tmpstr + ', CHECK_EXPIRATION = ' + @is_expiration_checked
        END
    END
    IF (@denylogin = 1)
    BEGIN -- login is denied access
      SET @tmpstr = @tmpstr + '; DENY CONNECT SQL TO ' + QUOTENAME( @name )
    END
    ELSE IF (@hasaccess = 0)
    BEGIN -- login exists but does not have access
      SET @tmpstr = @tmpstr + '; REVOKE CONNECT SQL TO ' + QUOTENAME( @name )
    END
    IF (@is_disabled = 1)
    BEGIN -- login is disabled
      SET @tmpstr = @tmpstr + '; ALTER LOGIN ' + QUOTENAME( @name ) + ' DISABLE'
    END
    PRINT @tmpstr
  END

  FETCH NEXT FROM login_curs INTO @SID_varbinary, @name, @type, @is_disabled, @defaultdb, @hasaccess, @denylogin
   END
CLOSE login_curs
DEALLOCATE login_curs
RETURN 0
GO
Paolo
fuente
1
Hola a todos. No estoy tratando de crear una copia exacta de los usuarios de la producción. El DEV no es realmente una copia exacta de la producción. Los inicios de sesión no usan la misma contraseña y dev no está dentro del mismo dominio. Hay otras restricciones que hacen que sea necesario eliminar usuarios de la base de datos que no te aburriré.
Craig Efrein
Acutalmente en el lado de la seguridad, NUNCA debe tener contraseñas de producción que toquen su entorno de desarrollo. Acabas de proporcionar a tus desarrolladores acceso a la producción haciendo eso, y esperamos que ninguno de ellos tenga un rol de administrador de seguridad.
si los usuarios tienen contraseñas, entonces está tratando con usuarios de sql, por lo que el dominio no es relevante. Además, las contraseñas no están bloqueadas, por lo que puede cambiarlas tan pronto como se creen los usuarios. el script se puede modificar antes de ejecutarlo: elimine todos los usuarios no deseados / innecesarios y debería estar bien. mi sugerencia no es la solución para su problema, pero tal vez después de la clonación necesitará eliminar menos usuarios porque ya no se deben manejar los permisos. no es óptimo pero tal vez sea una mejora ^^
Paolo
0

Un cursor similar a este debería funcionar

Use DB_name

declare @username varchar(50)
declare user_cursor cursor for select '['+name+']' from sys.database_principals where type in ('u', 's') and principal_id>4
open user_cursor
fetch next from user_cursor into @username
while (@@fetch_status=0)
begin
EXEC sp_dropuser @username
fetch next from user_cursor into @username
end
close user_cursor
deallocate user_cursor
go
Midhun CN
fuente