SQL Bulkinsert Access Denied

[phoefliger_bytelink 0]

Hallo zusammen,

 

Ich hätte da man eine Frage bezüglich SQL 2016. Wir haben bei einem Kunden eine neue IT Infrastruktur bereitgestellt. Einer der Softwarehersteller hat dementsprechend deren Applikation implementiert. 
Der Hersteller meldet jetzt, dass die TSQL Scripts zwar ablaufen jedoch mit Fehlern kollidieren.

 

Fehlermeldung: Massenladen nicht möglich da die Datei, xxx nicht geöffnet werden konnte. Betriebssystemfehlercode: 5 (Zugriff verweigert)

Der SQL Agent läuft unter einem Domänenkonto (Berechtigungen etc. sind gesetzt sowie lokale Benutzerrichtlinien kontrolliert).

 

Im ersten Schritt habe ich ein TSQL Script erstellt welches simpel eine Datei in dem besagten Verzeichnis anlegt und beim nächsten Zyklus wieder löscht - das ganze alle 5 Minuten. Der Task hat keine Probleme die Datei zu erstellen/löschen.
Ausgeführt wird dies mit dem SQLAgent Benutzer. Ich bin absolut kein SQL Spezialist und ich dachte eigentlich, dass die Hersteller/Entwickler da einen Plan haben wie was aufgesetzt werden muss. 

 

Danke

 

[Sunny61 810]

Liegt die Datei in einem Netzlaufwerk? Falls ja, dann kann natürlich sein, dass zu dem Zeitpunkt kein NW-Laufwerk vorhanden war.

[phoefliger_bytelink 0]

Hallo Sunny, ja liegt im Netzwerk - wird jedoch direkt über UNC Pfad angesprochen. 

[Sunny61 810]

Kommt die Datei evtl. aus einer nicht vertrauenswürdigen Quelle? Rechtsklick > Haken setzen bei Zulassen.

[phoefliger_bytelink 0]

Okay sind ein wenig weiter gekommen... 

Wir haben eine neue Freigabe erstellt und die Berechtigungen ein wenig angepasst und getestet...  Folgendes Szenario...

Wird der SQL Agent User ( sqlau@domain.local ) direkt auf NTFS Ebene Berechtigt (Order Import) dann funktioniert der Bulk Insert bzw. der Zugriff auf die Datei - sobald der Benutzer in der Domain Local Group (oder auch Global geht beides nicht) sich befindet so wird der Zugriff verweigert. Was übersehe ich da ? 

 

Grüsse

 

bearbeitet 14. Januar 2019 von phoefliger_bytelink

[DerFrank 15]

Hört sich an als ob der entsprechende ordner nicht die notwendigen rechte für den zugriff besitzt.

Soweit ich weiss muss der sql-agent user die lese schreibrechte für den Ordner haben, sonst kommt immer der fehler "Zugriff verweigert."

 

Vg

DerFrank

bearbeitet 14. Januar 2019 von DerFrank

[phoefliger_bytelink 0]

Wie gesagt wir haben eine Testfreigabe erstellt und die Share & NTFS Berechtigungen neu vergeben. Wenn wir den SQL Agent Benutzer direkt auf NTFS gewähren dann funktioniert es - ersetzten wir den User mit der Domänen lokalen Gruppe welcher unter anderem auch den SQL Agent Benutzer beinhaltet dann geht es nicht mehr.

Also explizit berechtigt geht - als Mitglied der Gruppe geht nicht...

 

[phoefliger_bytelink 0]

Ich frag mal so in die Runde der SQL Spezialisten - macht es Sinn den SQL Server Agent User direkt explizit auf dem Filesystem zu berechtigen - also nicht wie sonst verschachtelt in Globale und dann DL Gruppen? 

 

 

[DerFrank 15]

Der sql-agent user darf meines wissens nicht in einer gruppe definiert sein..

Ich kann mich auch irren... ich habe bisher nur eine Sql-Agent User (technical account) anlegen lassen, also so einen mit dem man sich nicht irgendwo einlogen kann. Der ist nur für das lesen bzw. Schreiben auf den jeweiligen ordner zugelassen.

 

Wie das geht, da muss ich passen bin kein windos admin.. da gehe ich immer zu unserem admin  und sage ihr was ich möchte.

 

Hoffe das hilft dir weiter

 

Vg

DerFrank

[Sunny61 810]

Pack den User in eine Globale Gruppe, die Globale Gruppe in eine Domain Lokale Gruppe, die letzte auf die Freigabe berechtigen. Anschließend auch den Dienst SQL Agent neu starten, damit der User von seiner neuen Gruppenmitgliedschaft auch etwas mitkriegt.