Como transferir os logons e senhas entre instâncias do SQL Server 2005 e SQL Server 2008

Este artigo descreve como transferir logons e senhas entre instâncias do Microsoft SQL Server 2005 e Microsoft SQL Server 2008, em diferentes servidores.

Para obter mais informações sobre como transferir os logons e as senhas entre as instâncias de outras versões do SQL Server, clique no número do artigo correspondente para visualizá-lo na Base de Dados de Conhecimento Microsoft:

Neste artigo, o servidor A e B são diferentes. Além disso, ambos os servidores A e B estão executando o SQL Server 2005.

Observação Esta informação também se aplica ao SQL Server 2008.

Depois de mover o banco de dados de uma instância do SQL Server no servidor A para o servidor B, os usuários podem não ser capazes de fazer logon no banco de dados do servidor B. Além disso, os usuários pode receber a seguinte mensagem de erro:Este problema ocorre porque você não transferiu os logons e senhas da instância do SQL Server no servidor A para o servidor B.

Para transferir os logons e senhas da instância do SQL Server no servidor A para o servidor B, siga estas etapas:

1. No servidor A, inicie o SQL Server Management Studio e conecte na instância do SQL Server a partir do qual você moveu o banco de dados.
2. Abra uma nova janela do Editor de Consultas e execute o seguinte script.

   USE master
   GO
   IF OBJECT_ID ('sp_hexadecimal') IS NOT NULL
     DROP PROCEDURE sp_hexadecimal
   GO
   CREATE PROCEDURE sp_hexadecimal
       @binvalue varbinary(256),
       @hexvalue varchar (514) OUTPUT
   AS
   DECLARE @charvalue varchar (514)
   DECLARE @i int
   DECLARE @length int
   DECLARE @hexstring char(16)
   SELECT @charvalue = '0x'
   SELECT @i = 1
   SELECT @length = DATALENGTH (@binvalue)
   SELECT @hexstring = '0123456789ABCDEF'
   WHILE (@i <= @length)
   BEGIN
     DECLARE @tempint int
     DECLARE @firstint int
     DECLARE @secondint int
     SELECT @tempint = CONVERT(int, SUBSTRING(@binvalue,@i,1))
     SELECT @firstint = FLOOR(@tempint/16)
     SELECT @secondint = @tempint - (@firstint*16)
     SELECT @charvalue = @charvalue +
       SUBSTRING(@hexstring, @firstint+1, 1) +
       SUBSTRING(@hexstring, @secondint+1, 1)
     SELECT @i = @i + 1
   END
   
   SELECT @hexvalue = @charvalue
   GO
    
   IF OBJECT_ID ('sp_help_revlogin') IS NOT NULL
     DROP PROCEDURE sp_help_revlogin
   GO
   CREATE PROCEDURE sp_help_revlogin @login_name sysname = NULL AS
   DECLARE @name sysname
   DECLARE @type varchar (1)
   DECLARE @hasaccess int
   DECLARE @denylogin int
   DECLARE @is_disabled int
   DECLARE @PWD_varbinary  varbinary (256)
   DECLARE @PWD_string  varchar (514)
   DECLARE @SID_varbinary varbinary (85)
   DECLARE @SID_string varchar (514)
   DECLARE @tmpstr  varchar (1024)
   DECLARE @is_policy_checked varchar (3)
   DECLARE @is_expiration_checked varchar (3)
   
   DECLARE @defaultdb sysname
    
   IF (@login_name IS NULL)
     DECLARE login_curs CURSOR FOR
   
         SELECT p.sid, p.name, p.type, p.is_disabled, p.default_database_name, l.hasaccess, l.denylogin FROM 
   sys.server_principals p LEFT JOIN sys.syslogins l
         ON ( l.name = p.name ) WHERE p.type IN ( 'S', 'G', 'U' ) AND p.name <> 'sa'
   ELSE
     DECLARE login_curs CURSOR FOR
   
   
         SELECT p.sid, p.name, p.type, p.is_disabled, p.default_database_name, l.hasaccess, l.denylogin FROM 
   sys.server_principals p LEFT JOIN sys.syslogins l
         ON ( l.name = p.name ) WHERE p.type IN ( 'S', 'G', 'U' ) AND p.name = @login_name
   OPEN login_curs
   
   FETCH NEXT FROM login_curs INTO @SID_varbinary, @name, @type, @is_disabled, @defaultdb, @hasaccess, @denylogin
   IF (@@fetch_status = -1)
   BEGIN
     PRINT 'No login(s) found.'
     CLOSE login_curs
     DEALLOCATE login_curs
     RETURN -1
   END
   SET @tmpstr = '/* sp_help_revlogin script '
   PRINT @tmpstr
   SET @tmpstr = '** Generated ' + CONVERT (varchar, GETDATE()) + ' on ' + @@SERVERNAME + ' */'
   PRINT @tmpstr
   PRINT ''
   WHILE (@@fetch_status <> -1)
   BEGIN
     IF (@@fetch_status <> -2)
     BEGIN
       PRINT ''
       SET @tmpstr = '-- Login: ' + @name
       PRINT @tmpstr
       IF (@type IN ( 'G', 'U'))
       BEGIN -- NT authenticated account/group
   
         SET @tmpstr = 'CREATE LOGIN ' + QUOTENAME( @name ) + ' FROM WINDOWS WITH DEFAULT_DATABASE = [' + @defaultdb + ']'
       END
       ELSE BEGIN -- SQL Server authentication
           -- obtain password and sid
               SET @PWD_varbinary = CAST( LOGINPROPERTY( @name, 'PasswordHash' ) AS varbinary (256) )
           EXEC sp_hexadecimal @PWD_varbinary, @PWD_string OUT
           EXEC sp_hexadecimal @SID_varbinary,@SID_string OUT
    
           -- obtain password policy state
           SELECT @is_policy_checked = CASE is_policy_checked WHEN 1 THEN 'ON' WHEN 0 THEN 'OFF' ELSE NULL END FROM sys.sql_logins WHERE name = @name
           SELECT @is_expiration_checked = CASE is_expiration_checked WHEN 1 THEN 'ON' WHEN 0 THEN 'OFF' ELSE NULL END FROM sys.sql_logins WHERE name = @name
    
               SET @tmpstr = 'CREATE LOGIN ' + QUOTENAME( @name ) + ' WITH PASSWORD = ' + @PWD_string + ' HASHED, SID = ' + @SID_string + ', DEFAULT_DATABASE = [' + @defaultdb + ']'
   
           IF ( @is_policy_checked IS NOT NULL )
           BEGIN
             SET @tmpstr = @tmpstr + ', CHECK_POLICY = ' + @is_policy_checked
           END
           IF ( @is_expiration_checked IS NOT NULL )
           BEGIN
             SET @tmpstr = @tmpstr + ', CHECK_EXPIRATION = ' + @is_expiration_checked
           END
       END
       IF (@denylogin = 1)
       BEGIN -- login is denied access
         SET @tmpstr = @tmpstr + '; DENY CONNECT SQL TO ' + QUOTENAME( @name )
       END
       ELSE IF (@hasaccess = 0)
       BEGIN -- login exists but does not have access
         SET @tmpstr = @tmpstr + '; REVOKE CONNECT SQL TO ' + QUOTENAME( @name )
       END
       IF (@is_disabled = 1)
       BEGIN -- login is disabled
         SET @tmpstr = @tmpstr + '; ALTER LOGIN ' + QUOTENAME( @name ) + ' DISABLE'
       END
       PRINT @tmpstr
     END
   
     FETCH NEXT FROM login_curs INTO @SID_varbinary, @name, @type, @is_disabled, @defaultdb, @hasaccess, @denylogin
      END
   CLOSE login_curs
   DEALLOCATE login_curs
   RETURN 0
   GO
   

   Observação Este script cria dois procedimentos armazenados no banco de dados master. Os dois procedimentos armazenados são nomeados de procedimento armazenado sp_hexadecimal e sp_help_revlogin.
3. Execute a seguinte instrução.

   EXEC sp_help_revlogin

   O script de saída que foi gerado pelo procedimento armazenado sp_help_revlogin no script do logon. Este script de logon cria os logons que tem o Identificador de Segurança (SID) e a senha original.
4. No servidor B, inicie o SQL Server Management Studio e conecte à instância do SQL Server para a qual você moveu o banco de dados.
   
   Importante Antes de ir para a etapa 5, reveja a informação na seção "Observações".
5. Abra uma nova janela do Editor de Consultas e execute o script de saída que é gerada na etapa 3.

Observações

Reveja a informação seguinte antes de executar o script de saída na instância no servidor B:

• Reveja o script de saída cuidadosamente. Se o servidor A e B estão em domínios diferentes, você tem que modificar o script de saída. Em seguida, você deve substituir o nome do domínio original com o nome do novo domínio na instrução CRIAR LOGON. Os logons integrados que tem acesso garantido no novo domínio não tem o mesmo SID como os logons do domínio original. Portanto, os usuários são órfãos destes logons. Para obter mais informações sobre como resolver estes usuários órfãos, clique no número do artigo correspondente para visualizá-lo na Base de Dados de Conhecimento Microsoft:
  240872

  (http://support.microsoft.com/kb/240872/pt-br/ )

  Como resolver problemas de permissão ao mover o banco de dados entre os servidores que estão executando o SQL Server
  Se o servidor A e B estão no mesmo domínio, o mesmo SID é usado. Portanto, os usuários não são suscetíveis de serem órfãos.
• No script de saída, os logons são criados usando a senha criptografada. Isto é por causa do argumento HASHED na instrução CRIAR LOGON. Este argumento especifica que a senha que foi inserida depois do argumento SENHA já foi transformada em hash.
• Por padrão, somente um membro da função do servidor fixo sysadmin pode executar uma instrução SELECIONAR da visualização sys.server_principals. Pelo menos um membro da função do servidor fixo sysadmin garante as permissões necessárias aos usuários, os usuários podem criar ou executar o script de saída.
• As etapas neste artigo não transferem a informação do banco de dados padrão para um logon particular. Isto é porque o banco de dados pode não existir sempre no servidor B. Para definir o banco de dados padrão para um logon, use a instrução ALTER LOGIN passando no nome do logon e no banco de dados padrão como argumentos.
• A ordem de classificação do servidor A pode não diferenciar maiúscula de minúscula, e a ordem de classificação do servidor B pode diferenciar maiúscula de minúscula. Neste caso, os usuários devem digitar todas as letras nas senhas como letras maiúsculas depois de transferir os logons e as senhas para a instância no servidor B.
  
  Em alternativa, a ordem de classificação do servidor A pode diferenciar maiúsculas de minúsculas e a ordem de classificação do servidor B não pode diferenciar maiúsculas de minúsculas. Neste caso, os usuários não podem fazer logon usando os logons e as senhas que transferiu para a instância no servidor B a menos que uma das seguintes condições seja verdadeira:
  • As senhas originais não contêm letras.
  • Todas as letras nas senhas originais são maiúsculas.
  A ordem de classificação do servidor A e B pode diferenciar maiúsculas de minúsculas ou a ordem de classificação do servidor A e B não podem diferenciar maiúsculas de minúsculas. Nestes casos, os usuários não experimentam um problema.
• Um logon que já está na instância no servidor B pode ter um nome que é o mesmo como um nome no script de saída. Neste caso, você recebe a seguinte mensagem de erro ao executar o script de saída na instância no servidor B:
  Msg 15025, Nível 16, Estado 1, Linha 1
  O servidor principal 'MyLogin' já existe.
  Da mesma forma, um logon que já existe na instância no servidor B pode ter um SID que é o mesmo do que um SID no script de saída. Neste caso, você recebe a seguinte mensagem de erro ao executar o script de saída na instância no servidor B:
  Msg 15433, Nível 16, Estado 1, Linha 1
  O sid do parâmetro fornecido está em uso.
  Portanto, você deve fazer o seguinte:
  1. Reveja o script de saída cuidadosamente.
  2. Examine os conteúdos do sys.server_principals visualizando na instância no servidor B.
  3. Encaminhe estas mensagens de erro adequadamente.
• No SQL Server 2005, o SID para um logon é usado como a base para implementação do acesso de nível do banco de dados. Um logon pode ter dois SIDs diferentes em dois bancos de dados diferentes em um servidor. Neste caso, o logon somente pode acessar o banco de dados que tenha o SID que combine com o SID na visualização do sys.server_principals. Este problema pode ocorrer se os dois bancos de dados são consolidados em dois servidores diferentes. Para resolver este problema, remova manualmente o logon do banco de dados que tem um SID incompatível usando a instrução REMOVER USUÁRIO. Em seguida, adicione o logon novamente usando a instrução CRIAR USUÁRIO.

Para obter mais informações sobre como resolver problemas de usuários órfãos, visite o seguinte site da Microsoft Developer Network (MSDN): Para obter mais informações sobre a instrução CRIAR LOGON, visite o seguinte site MSDN: Para obter mais informações sobre a instrução ALTER LOGIN, visite o site MSDN: