The server principal already exists – Error 15025 troubleshooting
Thursday 12 November 2015
Πάντα υπάρχει κάτι που μπορεί να σε κάνει να χαμογελάσεις ευχάριστα ακόμα και αν είναι ένα μήνυμα λάθους!.
Κάνοντας ένα τυπικό έλεγχο σε ένα παλιό Always On Availability Group διαπίστωσα ότι ένα domain group που είχε πρόσβαση στο ένα node δεν είχε πρόσβαση στο άλλο. Φυσικά αυτό θα έπρεπε να διορθωθεί καθώς σε περίπτωση που γίνονταν failover οι χρήστες του συγκεκριμένου domain group δεν θα είχαν πρόσβαση στο άλλο.
Τι ποιο απλό από το να κάνει κάνεις αυτή την διαδικασία είτε μέσω SSMS είτε με την εκτέλεση ενός GREATΕ LOGIN command και να βάλεις το domain group αυτό στο node που δεν υπάρχει.
Παρόλα αυτά όμως κατά την διάρκεια της εκτέλεσης της διαδικασίας έλαβα το error message “The server principal ‘…..’ already exists – Msg 15025”, αλλά δεν υπήρχε λόγος ανησυχίας καθώς αμέσως υποψιάστηκα το τι έχει γίνει απλά έπρεπε να το επιβεβαιώσω.
Πήγα στο node όπου το domain group υπήρχε και εκτέλεσα το παρακάτω command για να πάρω το SID του login (που επειδή είναι domain group είναι το ίδιο με το domain SID). Η SUSER_SID επιστρέφει το SID του Login που στην ουσία με αυτό δουλεύει ο SQL Server για να υλοποιήσει το security που διαθέτει.
select SUSER_SID('<domain\groupname>')
Με το SID πλέον γνωστό πήγα στο node που προσπάθησα να δημιουργήσω το login και στο οποίο έλαβα το παραπάνω μήνυμα και εκτέλεσα το παρακάτω sql command στον sys.server_principals o οποίος περιέχει όλα τα logins του instance άρα και του συγκεκριμένου node.
select * from sys.server_principals where sid=<copied_SID>
Όπως ήταν αναμενόμενο αυτό μου επέστρεψε μια εγγραφή στην οποία το name column είχε διαφορετικό όνομα από αυτό που είχα βρει και προσπαθούσα να δημιουργήσω.
Αν τώρα αναρωτιέστε πως συνέβη αυτό η απάντηση είναι απλή.
Αρχικά στο domain group δημιουργήθηκε με το όνομα που βρήκα στο δεύτερο node και με αυτό το όνομα μπήκε στο node αυτό. Κατόπιν έγινε rename στο όνομα που είχα στο πρώτο node και με αυτό δημιουργήθηκε σε αυτό.
Ουσιαστικά δεν υπήρχε κάποιο πρόβλημα παρά μόνο ότι αν κάποιος άλλος έκανε ξανά το έλεγχο αυτό και προσπαθούσε να δημιουργήσει το login στο δεύτερο node να έχανε το χρώμα του για αυτό αποφάσισα να το σβήσω και να το ξαναφτιάξω ώστε να είναι και στα δύο με το ίδιο όνομα
/*antonch*/