O DROP USER leva muito tempo quando há muitos usuários

11

Em uma instância do SQL Server 2014 com RAM e discos rápidos suficientes, existem mais de 160 usuários que têm acesso a um banco de dados. Por alguma razão, sem o meu conhecimento, a execução do comando DROP USER [username]neste banco de dados leva até 5 segundos por usuário.

Remapear os usuários para logins e restaurar suas permissões é muito rápido.

No contexto da atualização de bancos de dados DEV da produção, eu tenho que eliminar e recriar todos os usuários do banco de dados. Portanto, é necessário descartar os usuários do banco de dados e recriá-los.

Como faço para acelerar o DROP USERcomando?

Lembre-se, eu tenho que executá-lo mais de 160 vezes para o exemplo sobre o qual estou escrevendo.

Este é o SQL que estou usando:

DECLARE drop_user_cur CURSOR FOR 
SELECT name FROM #drop_users

OPEN drop_user_cur
FETCH NEXT FROM drop_user_cur INTO @user

WHILE @@FETCH_STATUS = 0
BEGIN
    SET @sql = 'use [' + @db_name + '] DROP USER [' + @user + ']'
    BEGIN TRY
        print @sql
        EXECUTE(@sql)
    END TRY
    BEGIN CATCH
        print 'ERREUR : ' + @sql
    END CATCH
    FETCH NEXT FROM drop_user_cur INTO @user
END

CLOSE drop_user_cur
DEALLOCATE drop_user_cur

O problema não está vindo do cursor; é o real DROP USERque leva até 5 segundos.

Usando sp_whoisactive, o wait_type é NULL.

insira a descrição da imagem aqui

Não preste atenção à duração, ao DROPe CREATE USERestava sendo executado em um WHILEloop, e é por isso que está dizendo mais de um minuto.

O Profiler mostra mais de 125.000 leituras para executar DROP USER.

O Service Broker não está ativado.

sql-server security Craig Efrein
fonte
1
@CraigEfrein Você pode recuperar sua resposta. Parece bom e obrigado por incluir meu comentário em sua resposta. Estou feliz que você encontrou a solução funcionando!
Kin Shah

Respostas:

6

A solução para esse problema foi ativar o service broker no banco de dados.

ALTER DATABASE [Database_name] SET NEW_BROKER WITH ROLLBACK IMMEDIATE;

Após ativar o service broker para o banco de dados, os usuários descartados foram praticamente instantâneos.

Kin perguntou se o corretor de serviço estava habilitado em um comentário anterior, o que me fez procurar na direção certa.

Craig Efrein
fonte
2

isso não é uma resposta para a pergunta, mas um argumento para descartá-la completamente.

Se bem entendi seu comentário:

No contexto da atualização de bancos de dados DEV da produção, eu tenho que eliminar e recriar todos os usuários do banco de dados. Portanto, é necessário descartar os usuários do banco de dados e recriá-los.

seu objetivo é copiar dados de produção em um sistema dev e fazê-los funcionar com a mesma permissão que a produção, usando os mesmos nomes de usuário .

O caminho mais rápido é clonar logons sql do sistema de produção no sistema dev usando o procedimento descrito por ms neste artigo kb .

com o procedimento definido por ms, o resultado é que você pode restaurar os bancos de dados no servidor de desenvolvimento e a permissão está funcionando sem alterações.

Usei com êxito o procedimento acima mencionado para copiar um ambiente de produção do sql 2005 para os ambientes test & dev sql 2012.
Após a clonagem dos usuários, uma simples restauração do banco de dados levou-me a um par de novos sistemas totalmente funcionais com dados atualizados.

A grande vantagem dessa solução é que, para atualizar os dados do desenvolvedor, basta restaurar o banco de dados de produção e pronto; você terá que ajustar referências, sinônimos e coisas do tipo, mas as permissões não serão quebradas.

Aqui está o código do artigo, apenas para referência, mas consulte o artigo que possui observações e detalhes sobre compatibilidade com versões sql antigas, detalhes de criptografia de senha e outras informações que podem lhe poupar dor de cabeça ao transferir os logins entre servidores:

USE master
GO
IF OBJECT_ID ('sp_hexadecimal') IS NOT NULL
  DROP PROCEDURE sp_hexadecimal
GO
CREATE PROCEDURE sp_hexadecimal
    @binvalue varbinary(256),
    @hexvalue varchar (514) OUTPUT
AS
DECLARE @charvalue varchar (514)
DECLARE @i int
DECLARE @length int
DECLARE @hexstring char(16)
SELECT @charvalue = '0x'
SELECT @i = 1
SELECT @length = DATALENGTH (@binvalue)
SELECT @hexstring = '0123456789ABCDEF'
WHILE (@i <= @length)
BEGIN
  DECLARE @tempint int
  DECLARE @firstint int
  DECLARE @secondint int
  SELECT @tempint = CONVERT(int, SUBSTRING(@binvalue,@i,1))
  SELECT @firstint = FLOOR(@tempint/16)
  SELECT @secondint = @tempint - (@firstint*16)
  SELECT @charvalue = @charvalue +
    SUBSTRING(@hexstring, @firstint+1, 1) +
    SUBSTRING(@hexstring, @secondint+1, 1)
  SELECT @i = @i + 1
END

SELECT @hexvalue = @charvalue
GO

IF OBJECT_ID ('sp_help_revlogin') IS NOT NULL
  DROP PROCEDURE sp_help_revlogin
GO
CREATE PROCEDURE sp_help_revlogin @login_name sysname = NULL AS
DECLARE @name sysname
DECLARE @type varchar (1)
DECLARE @hasaccess int
DECLARE @denylogin int
DECLARE @is_disabled int
DECLARE @PWD_varbinary  varbinary (256)
DECLARE @PWD_string  varchar (514)
DECLARE @SID_varbinary varbinary (85)
DECLARE @SID_string varchar (514)
DECLARE @tmpstr  varchar (1024)
DECLARE @is_policy_checked varchar (3)
DECLARE @is_expiration_checked varchar (3)

DECLARE @defaultdb sysname

IF (@login_name IS NULL)
  DECLARE login_curs CURSOR FOR

      SELECT p.sid, p.name, p.type, p.is_disabled, p.default_database_name, l.hasaccess, l.denylogin FROM 
sys.server_principals p LEFT JOIN sys.syslogins l
      ON ( l.name = p.name ) WHERE p.type IN ( 'S', 'G', 'U' ) AND p.name <> 'sa'
ELSE
  DECLARE login_curs CURSOR FOR


      SELECT p.sid, p.name, p.type, p.is_disabled, p.default_database_name, l.hasaccess, l.denylogin FROM 
sys.server_principals p LEFT JOIN sys.syslogins l
      ON ( l.name = p.name ) WHERE p.type IN ( 'S', 'G', 'U' ) AND p.name = @login_name
OPEN login_curs

FETCH NEXT FROM login_curs INTO @SID_varbinary, @name, @type, @is_disabled, @defaultdb, @hasaccess, @denylogin
IF (@@fetch_status = -1)
BEGIN
  PRINT 'No login(s) found.'
  CLOSE login_curs
  DEALLOCATE login_curs
  RETURN -1
END
SET @tmpstr = '/* sp_help_revlogin script '
PRINT @tmpstr
SET @tmpstr = '** Generated ' + CONVERT (varchar, GETDATE()) + ' on ' + @@SERVERNAME + ' */'
PRINT @tmpstr
PRINT ''
WHILE (@@fetch_status <> -1)
BEGIN
  IF (@@fetch_status <> -2)
  BEGIN
    PRINT ''
    SET @tmpstr = '-- Login: ' + @name
    PRINT @tmpstr
    IF (@type IN ( 'G', 'U'))
    BEGIN -- NT authenticated account/group

      SET @tmpstr = 'CREATE LOGIN ' + QUOTENAME( @name ) + ' FROM WINDOWS WITH DEFAULT_DATABASE = [' + @defaultdb + ']'
    END
    ELSE BEGIN -- SQL Server authentication
        -- obtain password and sid
            SET @PWD_varbinary = CAST( LOGINPROPERTY( @name, 'PasswordHash' ) AS varbinary (256) )
        EXEC sp_hexadecimal @PWD_varbinary, @PWD_string OUT
        EXEC sp_hexadecimal @SID_varbinary,@SID_string OUT

        -- obtain password policy state
        SELECT @is_policy_checked = CASE is_policy_checked WHEN 1 THEN 'ON' WHEN 0 THEN 'OFF' ELSE NULL END FROM sys.sql_logins WHERE name = @name
        SELECT @is_expiration_checked = CASE is_expiration_checked WHEN 1 THEN 'ON' WHEN 0 THEN 'OFF' ELSE NULL END FROM sys.sql_logins WHERE name = @name

            SET @tmpstr = 'CREATE LOGIN ' + QUOTENAME( @name ) + ' WITH PASSWORD = ' + @PWD_string + ' HASHED, SID = ' + @SID_string + ', DEFAULT_DATABASE = [' + @defaultdb + ']'

        IF ( @is_policy_checked IS NOT NULL )
        BEGIN
          SET @tmpstr = @tmpstr + ', CHECK_POLICY = ' + @is_policy_checked
        END
        IF ( @is_expiration_checked IS NOT NULL )
        BEGIN
          SET @tmpstr = @tmpstr + ', CHECK_EXPIRATION = ' + @is_expiration_checked
        END
    END
    IF (@denylogin = 1)
    BEGIN -- login is denied access
      SET @tmpstr = @tmpstr + '; DENY CONNECT SQL TO ' + QUOTENAME( @name )
    END
    ELSE IF (@hasaccess = 0)
    BEGIN -- login exists but does not have access
      SET @tmpstr = @tmpstr + '; REVOKE CONNECT SQL TO ' + QUOTENAME( @name )
    END
    IF (@is_disabled = 1)
    BEGIN -- login is disabled
      SET @tmpstr = @tmpstr + '; ALTER LOGIN ' + QUOTENAME( @name ) + ' DISABLE'
    END
    PRINT @tmpstr
  END

  FETCH NEXT FROM login_curs INTO @SID_varbinary, @name, @type, @is_disabled, @defaultdb, @hasaccess, @denylogin
   END
CLOSE login_curs
DEALLOCATE login_curs
RETURN 0
GO
Paolo
fonte
1
Olá. Não estou tentando criar uma cópia exata dos usuários da produção. O DEV não é realmente uma cópia exata da produção. Os logins não usam a mesma senha e o dev não está no mesmo domínio. Existem outras restrições que tornam a exclusão de usuários do banco de dados necessários, que eu não vou aborrecer.
Craig Efrein
De maneira aguda, no lado da segurança, NUNCA deve que as senhas da produção entrem no ambiente de desenvolvimento. Você acabou de fornecer aos desenvolvedores acesso à produção, e espero que nenhum deles tenha a função de administrador de segurança.
se os usuários tiverem senhas, você estará lidando com usuários sql para que o domínio não seja relevante. as senhas também não estão bloqueadas, para que você possa alterá-las assim que os usuários forem criados. o script pode ser alterado antes de executá-lo: remova todos os usuários indesejados / desnecessários e você deve estar bem. minha sugestão não é a solução para o seu problema, mas talvez após a clonagem você precise eliminar menos usuários porque a permissão não deve mais ser tratada. Não ideal, mas talvez uma melhoria ^^
Paolo
0

Um cursor semelhante a este deve funcionar

Use DB_name

declare @username varchar(50)
declare user_cursor cursor for select '['+name+']' from sys.database_principals where type in ('u', 's') and principal_id>4
open user_cursor
fetch next from user_cursor into @username
while (@@fetch_status=0)
begin
EXEC sp_dropuser @username
fetch next from user_cursor into @username
end
close user_cursor
deallocate user_cursor
go
Midhun CN
fonte