SQL2005系统升级手记之一-解决sa帐户被锁定
概述
在帮一个用户进行系统从Sql2000升级到Sql2005的过程中,遇到了几个问题,因前段时间同时忙于几个项目,没能及时把问题解决方法整理下来。这段时间有些轻松了,更新一下我的blog希望能帮助朋友们解决实践中的问题。
问题描述:
在升级Sql2000的DTS包的时候,试着手工执行了几次,突然系统报18456错误,提示信息是“无法连接到×××服务器”,其他信息为“用户‘sa’登录失败。(Microsoft SQL Server,错误:18456)”。
问题原因:
升级Sql2000的DTS包是这次数据库系统整体升级的一部分。除此之外,系统硬件进行了升级,新升级的系统服务器加入到了用户机构的域中,并更改了数据库sa的用户口令。
原DTS的数据包是保存了原Sql2000数据库库系统的用户凭据,口令自然是原先的数据库口令。在试运行DTS包之前服务器管理员刚刚把新升级成功的数据库服务器加入域。
用户机构的域是设置了“密码策略”。Sql Server 2005的sa用户默认是启用了“强制实施密码策略”。而一般默认的Windows帐户密码策略或者AD(域帐户)密码策略都是3-6次错误口令登陆失败后,系统暂时冻结该用户。冻结的时间要看系统设定的长短。
该问题就出在DTS用错误的sa口令(旧的sa口令)多次试图访问系统,而sa的“强制实施密码策略”起了作用。
图解:
sa帐户被锁定,原因是sa的帐户启用了“强制实施秘密策略”,或者“强制过期”。在登录用户sa的登录属性对话框中,能看到改选项是否选定状态。如下图(1)所示:
图(1)
选中“强制实施秘密策略”后,sql server2005会调用windows或者域的帐户管理策略。如果是windows的帐号管理策略,可以通过“控制面板”的“本地安全设置”中看到“帐户策略”情况,其中的“密码策略”可以设置用户秘密的失效时间、长短等,另外在“帐户锁定策略”可以设置“帐户锁定阈值”,即帐户用错误的口令尝试登录几次,系统即自动锁定该帐户。可以参考图(2)。
图(2)
如果sql server的帐号已经被锁定,在该帐户的登录属性里面能看到如图(3)所示。
图(3)
周五(
这是即使用集成windows的帐户登录sql server,取消图(3)“登录已锁定”的勾选。再重新用sa的正确口令登录sql server时,也会出现18456的错误。如图(4)所示。这是因为sa的口令需要重新设置。再次用集成windows的帐户登录sql server的帐户登录sql server进行sa的密码重新设置,即可解决问题。
图(4)
总结:第一,如果数据库安全性没有特殊的要求,去掉图(2)所示的“强制实施秘密策略”勾选,能避免该类问题的发生。第二,从旧系统数据库升级上来的DTS,尽快修改旧链接的sa登录口令,保证系统帐户登录认证不会出问题,同时保证DTS能正确执行。