我一直在使用基于 Microsoft 脚本的EXEC sp_help_revlogin脚本在主机之间同步 SQL Server 用户名和密码。这已经在 SQL Server 2008 R2 上运行了很长时间,但是在我们计划迁移到 SQL Server 2014 时,我遇到了障碍。
我有三台暂存 SQL Server 2014 机器。在所有服务器上,我运行以下命令:
CREATE LOGIN [TestAccount]
WITH PASSWORD = N'1234567890',
DEFAULT_DATABASE = [master],
CHECK_EXPIRATION = OFF, CHECK_POLICY = OFF
对于其中两个,我得到一个生成的“创建”命令:
CREATE LOGIN [TestAccount]
WITH PASSWORD = 0x010075DDCA54FCEF12CB11C4E64040E877B9FF5872C41EB98095 HASHED,
SID = 0xCA78345104805C4E89004969D05D551B,
DEFAULT_DATABASE = [master],
CHECK_POLICY = OFF, CHECK_EXPIRATION = OFF
凉爽的。到目前为止,一切都很好。但是,在第三台服务器上,我得到一个“创建”命令:
CREATE LOGIN [TestAccount]
WITH PASSWORD = 0x02002F6CB52E7F571AD422689021EB9EC1BE2AB4576AE6EC12485333A4CB892A9197B440E1471376A5AAC5160847F636A637D1F499880D7653ABC4DB4714746856E01DE41E09 HASHED,
SID = 0x19337EA32254A64F8FC018474B58DBA5,
DEFAULT_DATABASE = [master],
CHECK_POLICY = OFF, CHECK_EXPIRATION = OFF
这是行不通的。哈希太大了。
是否有一些兼容性级别标志或我以某种方式在这台生成老式密码哈希或其他东西的服务器上打开的东西?
把复选标记给瑞恩,因为他是对的。我实际上连接到安装在与 SQL Server 2014 实例相同的物理机器上的错误实例。星期五晚上我很累。
这是因为自 SQL Server 2012 以来,哈希算法发生了变化。
从这个版本开始,哈希值是原来的两倍。您可以在sp_help_revlogin微软文章的备注下
阅读用于各种 SQL Server 版本的三个哈希版本:
这意味着如果您想将 SQL Server 2012 或更高版本的用户移动到 2008r2 实例,您需要找到不同的方法。
我现在测试了很多。在使用密码哈希移动到新版本服务器 (2012+) 时在 SHA1 下创建的任何用户都可以被移回,只要密码没有更改。但是,在 2012+ 中创建的任何新用户都不能移动到 2008r2 或更早版本。
当您创建登录时,SQL Server 添加一个 4 字节的盐键(即密码 '12345678' + 键 0x1234abcd)并使用 SHA 算法对其进行哈希处理。
因为盐键是随机生成的,所以每个散列都会不同,除非它两次使用相同的键。(65k 个可能的盐键中的 1 个)
您可以在哈希的开头看到盐键。前 2 个字节用于存储使用的哈希算法的版本。接下来的 4 个字节是盐键。其余字节保存密码的哈希值。
当您登录时,它会从存储的哈希中取出盐键,将其添加到登录窗口的输入中并对其进行哈希处理。然后它将结果与存储的哈希的密码部分进行比较。
0x02002F6CB52E7F571AD422689021EB9EC1BE2AB4576AE6EC12485333A4CB892A9197B440E1471376A5AAC5160847F636A637D1F499880D7653ABC4DB4714746856E01DE41E09我们有:标头版本 = 0x0200
盐 = 0x2F6CB52E
密码 = 0x7F571AD422689021EB9EC1BE2AB4576AE6EC12485333A4CB892A9197B440E1471376A5AAC5160847F636A637D1F499880D7653ABC4DB4714746856E01DE41E09