SQL Benutzer verschwindet, nach Kennwortänderung des ("dazugehörigen") AD Benutzers

[Blase 15]

Moin,

 

Umgebung:

 

AD mit Domänenfunktionsebene: Server 2003 - zwei DCs - ein 2003 Standard und ein 2008 R2 Standard - letzterer beheimatet alle FSMOs.

 

Ein SQL Server 2008 R2 Standard auf einem Memberserver der Domäne mit Windows Server 2008 R2 Standard.

 

Ein Benutzer hat ein merkwürdiges Verhalten.

 

Wir haben seitens unseres ADs vorgeschriebene Kennwortänderungen der AD Benutzer alle 4 Wochen. Ändert dieser eine Benutzer sein Kennwort im AD, verschwindet sein SQL Benutzer und er kann sich nicht mehr an unsere ERP Software anmelden. D.h. der Benutzer taucht im Management Studio unter Sicherheit / Anmeldungen nicht mehr auf - er ist nicht mehr da, nach der Kennwort Änderung im AD.

 

Unsere ERP Software "bemerkt" auf administrativer Ebene dann, dass es SQL Benutzer innerhalb ihrer Datenbank gibt, die noch nicht im SQL Server registriert sind - eben dieser SQL Benutzer. Man kann ihn dann im Kontext wieder herstellen - mit leerem Kennwort. Dann ist er unter Sicherheit / Anmeldungen wieder da und der Benutzer kann sich im ERP wieder (mit leerem Kennwort) anmelden und sich ein Kennwort seiner Wahl vergeben. Bis er in 4 Wochen seinen AD Benutzer wieder ein neues Kennwort verpasst...

 

Das Betrifft wie gesagt nur einen einzigen AD bzw. SQL Benutzer. Bei allen anderen AD Benutzern tritt dies Verhalten nicht auf.

 

Eine Idee, in welche Richtung ich hier überhaupt schauen soll? Bin ziemlich ratlos...

 

Gruß

Björn

[Sanches 22]

Hallo Björn,

 

was sagt der ERP-Hersteller dazu?

Hast du mal den (AD-) User mit einem anderen User verglichen? Gibt es evtl. Unterschiede?

Hast du mal einen neuen User versucht?

 

Gruß Sebastian

 

PS: Win 2003 Server und Supportende - du weist wahrscheinlich bescheid ...

[NilsK 2.969]

Moin,

 

handelt es sich innerhalb des SQL Servers um Windows-Logins? Oder sind es SQL-Logins?

 

Gruß, Nils

[Blase 15]

Hallo ihr beiden,

 

@Sebastian - ich mag das Problem irgendwie noch nicht so richtig in Richtung ERP (ist übrigens die Sage Office Line) schieben. Schließlich hängt es irgendwie mir der Kennwortänderung im AD zusammen im Zusammenhang mit dem "nackten" SQL Benutzer - unabhängig vom ERP. Dennoch habe ich dort eine Anfrage gestartet - hier hält man sich allerdings bisher bedeckt.

Ich könnte so erst einmal keine Unterschiede zu anderen Benutzer ausmachen. Der betroffene Benutzer ist aus dem Team Vertrieb - und ist, wie auch andere Benutzer, dann sowohl im Vertriebsteam im AD und auch im Bereich ERP, was dann beides entsprechende Berechtigungen mit sich bringt. Aber das betrifft wie gesagt auch ein paar andere Benutzer, die das Problem nicht haben. Klar könnte ich ihm auch einen komplett neuen AD Benutzer erstellen - davon wollte ich erst einmal absehen.

 

NACHTRAG: Und der 2003er Server ist nur noch so lange im Einsatz, bis ein weiterer 2012er DC seinen Dienst tut. Ich wollte lieber so, als ohne Replikation...

 

@Nils - das ist eine reine SQL Authentifizierung, also keine Windows Logins. Bei letzterem hätte ich mir das ja noch irgendwie zusammen reimen können. Ist aber tatsächlich nicht der Fall. Wo ist also die "Schnittstelle"? Ich habe einen AD Benutzer, der für eine ERP Software auf einem 0815 MSSQL Server einen (SQL) Benutzer hat. Die beiden Benutzer haben ja so erst einmal nichts miteinander zu tun. Scheinbar aber doch. Wo bzw an welchen Stellen innerhalb des SQL Servers könnte das sein?

 

Gruß

Björn

bearbeitet 6. Juni 2016 von Blase

[NilsK 2.969]

Moin,

 

dann gibt es evtl. irgendeine Logik außerhalb des SQL Servers, die für einen Abgleich oder sowas sorgen soll und sich dabei vertut. Wie du schon richtig sagst, haben AD-Konten und SQL-Logins nichts miteinander zu tun, einen direkten Zusammenhang zum Ändern des AD-Kennworts kann es also nicht geben.

 

Gruß, Nils

[Squire 272]

Hallo,

 

mal ne blöde Frage .. warum arbeitest Du nicht einfach direkt mit nem AD Benutzer, sondern mit einem verknüpften Login?

 

Robert