SQL2005系统升级手记之一-解决sa帐户被锁定

概述
    在帮一个用户进行系统从Sql2000升级到Sql2005的过程中,遇到了几个问题,因前段时间同时忙于几个项目,没能及时把问题解决方法整理下来。这段时间有些轻松了,更新一下我的blog希望能帮助朋友们解决实践中的问题。

问题描述:
      在升级Sql2000的DTS包的时候,试着手工执行了几次,突然系统报18456错误,提示信息是“无法连接到×××服务器”,其他信息为“用户‘sa’登录失败。(Microsoft SQL Server,错误:18456)”。

问题原因:
      升级Sql2000的DTS包是这次数据库系统整体升级的一部分。除此之外,系统硬件进行了升级,新升级的系统服务器加入到了用户机构的域中,并更改了数据库sa的用户口令。
      原DTS的数据包是保存了原Sql2000数据库库系统的用户凭据,口令自然是原先的数据库口令。在试运行DTS包之前服务器管理员刚刚把新升级成功的数据库服务器加入域。
      用户机构的域是设置了“密码策略”。Sql Server 2005的sa用户默认是启用了“强制实施密码策略”。而一般默认的Windows帐户密码策略或者AD(域帐户)密码策略都是3-6次错误口令登陆失败后,系统暂时冻结该用户。冻结的时间要看系统设定的长短。
   该问题就出在DTS用错误的sa口令(旧的sa口令)多次试图访问系统,而sa的“强制实施密码策略”起了作用。

图解:
   
sa帐户被锁定,原因是sa的帐户启用了“强制实施秘密策略”,或者“强制过期”。在登录用户sa的登录属性对话框中,能看到改选项是否选定状态。如下图(1)所示:
   

            图(1

     选中“强制实施秘密策略”后,sql server2005会调用windows或者域的帐户管理策略。如果是windows的帐号管理策略,可以通过“控制面板”的“本地安全设置”中看到“帐户策略”情况,其中的“密码策略”可以设置用户秘密的失效时间、长短等,另外在“帐户锁定策略”可以设置“帐户锁定阈值”,即帐户用错误的口令尝试登录几次,系统即自动锁定该帐户。可以参考图(2)。


            图(2

      如果sql server的帐号已经被锁定,在该帐户的登录属性里面能看到如图(3)所示。


            图(3
 

    周五(1020)遇到的问题是因为,旧有的DTS包中设置的链接还是旧数据库的sa口令,当多次测试执行该DTS时,已经超过了尝试sa错误口令的次数,造成了图(3)所示的sql server帐户被锁定。

    这是即使用集成windows的帐户登录sql server,取消图(3)“登录已锁定”的勾选。再重新用sa的正确口令登录sql server时,也会出现18456的错误。如图(4)所示。这是因为sa的口令需要重新设置。再次用集成windows的帐户登录sql server的帐户登录sql server进行sa的密码重新设置,即可解决问题。


            图(4


      
总结:第一,如果数据库安全性没有特殊的要求,去掉图(2)所示的“强制实施秘密策略”勾选,能避免该类问题的发生。第二,从旧系统数据库升级上来的DTS,尽快修改旧链接的sa登录口令,保证系统帐户登录认证不会出问题,同时保证DTS能正确执行。






posted on 2006-11-22 16:03  志坚苍狼  阅读(8028)  评论(2编辑  收藏  举报

导航