SQL2005系统升级手记之一-解决sa帐户被锁定

概述
    在帮一个用户进行系统从Sql2000升级到Sql2005的过程中，遇到了几个问题，因前段时间同时忙于几个项目，没能及时把问题解决方法整理下来。这段时间有些轻松了，更新一下我的blog希望能帮助朋友们解决实践中的问题。

问题描述：
      在升级Sql2000的DTS包的时候，试着手工执行了几次，突然系统报18456错误，提示信息是“无法连接到×××服务器”，其他信息为“用户‘sa’登录失败。（Microsoft SQL Server，错误：18456）”。

问题原因：
      升级Sql2000的DTS包是这次数据库系统整体升级的一部分。除此之外，系统硬件进行了升级，新升级的系统服务器加入到了用户机构的域中，并更改了数据库sa的用户口令。
      原DTS的数据包是保存了原Sql2000数据库库系统的用户凭据，口令自然是原先的数据库口令。在试运行DTS包之前服务器管理员刚刚把新升级成功的数据库服务器加入域。
      用户机构的域是设置了“密码策略”。Sql Server 2005的sa用户默认是启用了“强制实施密码策略”。而一般默认的Windows帐户密码策略或者AD（域帐户）密码策略都是3－6次错误口令登陆失败后，系统暂时冻结该用户。冻结的时间要看系统设定的长短。
   该问题就出在DTS用错误的sa口令（旧的sa口令）多次试图访问系统，而sa的“强制实施密码策略”起了作用。

图解：
   sa帐户被锁定，原因是sa的帐户启用了“强制实施秘密策略”，或者“强制过期”。在登录用户sa的登录属性对话框中，能看到改选项是否选定状态。如下图（1）所示：
   

            图（1）

     选中“强制实施秘密策略”后，sql server2005会调用windows或者域的帐户管理策略。如果是windows的帐号管理策略，可以通过“控制面板”的“本地安全设置”中看到“帐户策略”情况，其中的“密码策略”可以设置用户秘密的失效时间、长短等，另外在“帐户锁定策略”可以设置“帐户锁定阈值”，即帐户用错误的口令尝试登录几次，系统即自动锁定该帐户。可以参考图（2）。

            图（2 ）

      如果sql server的帐号已经被锁定，在该帐户的登录属性里面能看到如图（3）所示。

            图（3）
 

    周五（ 10 月 20 日 ）遇到的问题是因为，旧有的DTS包中设置的链接还是旧数据库的sa口令，当多次测试执行该DTS时，已经超过了尝试sa错误口令的次数，造成了图（3）所示的sql server帐户被锁定。

    这是即使用集成windows的帐户登录sql server，取消图（3）“登录已锁定”的勾选。再重新用sa的正确口令登录sql server时，也会出现18456的错误。如图（4）所示。这是因为sa的口令需要重新设置。再次用集成windows的帐户登录sql server的帐户登录sql server进行sa的密码重新设置，即可解决问题。

            图（4）


       总结：第一，如果数据库安全性没有特殊的要求，去掉图（2）所示的“强制实施秘密策略”勾选，能避免该类问题的发生。第二，从旧系统数据库升级上来的DTS，尽快修改旧链接的sa登录口令，保证系统帐户登录认证不会出问题，同时保证DTS能正确执行。