SQL Server のことなら SQL Quality SQL Server パフォーマンス チューニング、コンサルティング、アドバイス、相談、定期診断、トレーニング

ホーム > 技術情報 > SQL Server 2014 実践 No.2 SQL Server 2014 への移行とアップグレードの実践

SQL Server 2014 実践シリーズ (HTML 版)
「No.2 SQL Server 2014 への移行とアップグレードの実践」

松本美穂と松本崇博が執筆した SQL Server 2014 実践シリーズの「No.2 SQL Server 2014 への移行とアップグレードの実践」の HTML 版です。 日本マイクロソフトさんの Web サイトで Word または PDF 形式でダウンロードできますが、今回、HTML 版として公開する許可をいただきましたので、ここに掲載いたします。[2015年12月29日]

目次へ | 前のページへ | 次のページへ

5.12 ログイン アカウントの移行(DB ユーザー、オブジェクト権限)

データベース ユーザーは、ログイン アカウントと紐付いている(マッピングされている)ので、ログイン アカウントの移行を行わないと、データベース ユーザーを利用することができません。また、データベース ユーザーに紐付いたオブジェクト権限(テーブルやビューに対する SELECT 権限INSERT 権限、ストアド プロシージャに対する EXECUTE 権限など)も無力になってしまいます。

ログイン アカウントとのマッピングが切れたデータベース ユーザーは、「不明なデータベース ユーザー」や「孤立ユーザー」と呼ばれ、次のように表示されます。

00438

これは、SQL Server 認証用のログイン アカウントである「sqllogin1」に対応したデータベース ユーザーのプロパティを開いている画面で、[ユーザーの種類]が「ログインを持たない SQL ユーザー」になっています。データベース ユーザーに対応したログイン アカウントが存在しない場合(マッピングが切れている場合)には、このように表示されます。この状態では、sqllogin1 ユーザーはデータベースにアクセスすることができません。

Windows 認証用のログイン アカウントActive Directory ドメイン ユーザーWindows ローカル ユーザーに対応したログイン アカウントの場合)は、次のように[ユーザーの種類]が「Windows ユーザー」と表示されて、[ログイン名]が "" で表示されるものが、不明なデータベース ユーザーとなっていて、利用することができません。

00439

なお、SQL Server 認証用のログイン アカウントとのマッピングが切れたユーザー(不明なデータベース ユーザー)は、次のように sp_change_users_login というシステム ストアド プロシージャを利用して、リストアップすることもできます。

USE データベース名
EXEC sp_change_users_login 'Report'
00440

このような不明なデータベース ユーザーを正しく利用できるようにするには、移行元と移行先で、同一のログイン アカウントを作成しておく必要があります。作成方法/注意点は、Windows認証用のログイン アカウントである Active Directory ユーザーまたは Windows のローカル ユーザーの場合と、SQL Server 認証用のログイン アカウントの場合で異なるので、それぞれごとに説明します。

00441

◆ Active Directory ユーザー(ドメイン ユーザー)の場合

ログイン アカウントが Windows 認証用で、かつ Active Directory ドメイン ユーザー、移行元と移行先が同じドメインに所属している場合には、同一のログイン アカウントを簡単に作成することができます。標準の「スクリプト生成」機能や、後述の「sp_help_revlogin ストアド プロシージャ」、「データベース コピー ウィザード」、「Integration Services のログイン転送タスク」などを利用して、ログイン アカウントを再作成または転送すれば、同一のログイン アカウントを作成できるので、不明なデータベース ユーザーを簡単に解消することができます(データベース ユーザーを移行元とまったく同じように利用できるようになります)。

標準の「スクリプト生成」機能を利用する場合

標準の「スクリプト生成」機能を利用する場合は、次のように、移行元の Management Studio で、スクリプト化をしたいログイン アカウントを右クリックして、[名前を付けてログインをスクリプト化]の[CREATE]から[新しいクエリ エディタ ウィンドウ]をクリックします(画面は SQL Server 2005 の場合ですが、他のバージョンでも同じように操作できます)。

00442

これで CREATE LOGIN ステートメントが生成されるので、このスクリプトを移行先(SQL Server 2014 上)で実行すれば、同じログイン アカウントを作成することができます。

移行先に同じログイン アカウントを作成しておけば、次のようにデータベース ユーザーとログイン アカウントのマッピング(紐付け)が復活して、データベース ユーザーおよびオブジェクト権限を移行元と同じように利用できるようになります。

00443

このように、ログイン アカウントが Active Directory ユーザーで、同じドメイン内の別マシンへ移行する場合には、同一のログイン アカウントを作成するだけで、データベース ユーザーとオブジェクト権限を利用できるようになります。

もし、移行元と移行先が異なるドメインに所属していたり、別のワークグループ環境の別マシンに復元したりする場合には、次のように CREATE LOGIN ステートメントの実行時にエラーになります。

00444

ドメイン ユーザーに対応したログイン アカウントの作成は、あくまでも同じドメイン内に所属している場合にのみ行うことができます。

Tips: 複数のログイン アカウントをまとめてスクリプト化したい場合
移行元で、複数のログイン アカウントをまとめてスクリプト化したい場合は、Management Studio で[表示]メニューから[概要]をクリックして概要ページを表示し、複数のログイン アカウントを Ctrl キーを押しながら選択/右クリックします(SQL Server 2005 の場合)。

これでまとめてスクリプト化できるので、ログイン アカウントが多い場合に便利です。
SQL Server 2008/2008 R2/2012 の場合は、[表示]メニューから[オブジェクト エクスプローラーの詳細]をクリックして詳細ページを表示することで、同様の操作ができます。

◆ Windows のローカル ユーザーの場合

ログイン アカウントが Windows のローカル ユーザーの場合は、移行先(SQL Server 2014 上)でデータベース ユーザーを再作成する必要があります。これには、復元したデータベース ユーザーをいったん削除して、手動で同じデータベース ユーザーを作り直さなければなりません。したがって、データベース ユーザーへ設定したオブジェクト権限についても再設定しなければなりません。

この理由は、Windows のローカル ユーザーの場合は、同じ Windows ユーザー(OS 上のユーザー アカウント)を作り直しても、内部的に生成される SID(OS 上のユーザーを識別する Security ID)が異なるものが割り当てられるためです。

00446

このように、データベース ユーザーは、内部的には、ログイン アカウントの名前とではなく、SID とマッピングされているので、Windows のローカル ユーザーの場合は、復元後のデータベース ユーザーとログイン アカウントをマッピングすることができません(SID が異なる場合には、不明なデータベース ユーザーを解消することができません)。

なお、前述の Active Directory ユーザー(ドメイン ユーザー)の場合に、同一のログイン アカウントを作成するだけで、簡単に再マッピングできたのは、SID が同じものを利用できるためです。同じドメインに所属していれば、共通(同一の SID)のドメイン ユーザーを利用することができます。

したがって、Windows ローカル ユーザーを利用していて、移行先でも同じ名前の Windows ローカル ユーザーを利用したい場合には、手動ですべてを再作成するか、データベース ユーザーやオブジェクト権限を移行元でスクリプト化しておくようにします(詳しくは後述します)。

復元したデータベース ユーザーの削除

再作成にあたっては、移行先(SQL Server 2014 上)で、復元したデータベース ユーザーをいったん削除する必要がありますが、これは Management Studio で[表示]メニューから[オブジェクト エクスプローラーの詳細]をクリックして「詳細」ページを表示することで、次のように複数のデータベース ユーザーをまとめて削除することができるので便利です。

00447

データベース ユーザーとオブジェクト権限のスクリプト化(スクリプト生成ウィザード)

移行元で、ログイン アカウントやデータベース ユーザー、オブジェクト権限をスクリプト化するには、スクリプト生成ウィザードを利用すると便利です。このウィザードを利用するには、次のようにデータベースを右クリックして、[タスク]メニューの[スクリプトの生成]をクリックします(画面は SQL Server 2005 ですが、他のバージョンでも同じように操作できます)。

00448

スクリプト生成ウィザードでは、次のように[スクリプト オプションの選択]ページで、[オブジェクト レベル権限のスクリプトを作成]と[スクリプト ログイン]を「True」へ変更することで、データベース ユーザーとオブジェクト権限、データベース ユーザーに対応したログイン アカウントをスクリプト化することができます(SQL Server 2005/2008 の場合)。

00449

SQL Server 2008 R2/2012 の場合は、次のように操作します。

00450

次の[オブジェクトの種類を選択]ページでは、データベース ユーザーをスクリプト化するために[ユーザー]をチェックし、テーブルに対するオブジェクト権限をスクリプト化する場合には[テーブル]をチェックします。ビューやストアド プロシージャに対するオブジェクト権限をスクリプト化するには、それらもチェックしておきます。

00451

テーブルの選択]ページでは、オブジェクト権限をスクリプト化したいテーブルをチェックします(画面は Products テーブルをチェック。[すべて選択]ボタンをクリックした場合は、すべてのテーブルを選択することができます)。これらの画面は、SQL Server 2005/2008 の場合ですが、SQL Server 2008 R2/2012 の場合は、ウィザードの最初のページで、ユーザーやテーブルを選択することができます。

SQL Server 2005/2008 の場合は、次の[ユーザーの選択]ページで、スクリプト化したいデータベース ユーザーを選択します。

00452

出力オプション]ページで、[スクリプトを新しいクエリ ウィンドウに保存]を選択すれば、クエリ エディターにスクリプトを生成することができます。あとは、次のように[完了]ボタンをクリックすれば、スクリプト生成が開始されます。

00453

00454

テーブルを作成するスクリプト(CREATE TABLE)などが余分に出力されてしまいますが、ログイン アカウントを作成するスクリプト(CREATE LOGIN)や、データベース ユーザーを作成するスクリプト(CREATE USER)、オブジェクト権限を設定するスクリプト(GRANTDENY など)が生成されていることを確認できると思います。Windows のローカル ユーザーの場合は、「サーバー名\ユーザー名」形式の名前になるので、サーバー名の部分を移行先のサーバー名へ変更すれば、移行先で同じユーザー、同じオブジェクト権限を再設定できるようになります。

◆ SQL Server 認証用のログイン アカウントの場合

ログイン アカウントが SQL Server 認証用の場合は、SQL Server 標準のツール(スクリプト生成機能や、データベース コピー ウィザード、ログイン転送タスク ツールなど)では、同一のログイン アカウントを作成することができないことに注意する必要があります。標準ツールでは、パスワードと SID(SQL Server 認証用のログイン アカウントに内部的に割り当てられた Security ID)を生成/複製することができません(パスワードとSIDは、移行元と移行先で異なるものが生成されてしまいます)。

SQL Server 認証用のログイン アカウントの場合にも、Windows 認証用と同様、データベース ユーザーは、SIDとマッピングされているので、SID が異なる場合には、不明なデータベース ユーザーを解消することができません。

00455

不明なデータベース ユーザーを解消するには(データベース ユーザーとログイン アカウントを再マッピングするには)、移行先(SQL Server 2014 上)で、同じ名前/パスワードのログイン アカウントを作成した後に、次のように ALTER USER ステートメントを実行します。

USE データベース名
ALTER USER 不明なデータベース ユーザーの名前
 WITH LOGIN = 移行先に作成した新しいログイン アカウントの名前
00456

このように、ALTER USER ステートメントを実行すると、移行先で作成した新しいログイン アカウントと、復元したデータベース ユーザーを再マッピングすることができます(移行元の古い SID に紐付いていたものを、移行先の新しい SID へ紐付くように更新することができます)。

再マッピングが成功すると、データベース ユーザーのプロパティは、次のように表示されます。

00457

なお、ALTER USER ステートメントの代わりに、次のように sp_change_users_login ストアド プロシージャを実行しても、再マッピングを行うことができますが、このストアド プロシージャは将来のバージョンでは削除される予定です。

USE データベース名
EXEC sp_change_users_login 'Update_One', '不明ユーザー名''新しいログイン名'

ALTER USER ステートメントで不明なデータベース ユーザーの再マッピングを行う方法は、データベース ユーザーごとに実行する必要があるので、データベース ユーザーの数が多い場合には、大変になります(同じパスワードのログイン アカウントを作成する手間もかかります)。これらを解決してくれる方法が、次に説明する sp_help_revlogin ストアド プロシージャになります。これを利用すれば、同じ名前/パスワード かつ、同じ SID のログイン アカウントを一括で作成することができます。

同じ名前/パスワードで、同じ SID のログイン アカウントの作成: sp_help_revlogin

sp_help_revlogin は、同じ名前/パスワードで、同じSIDのログイン アカウントを一括で作成することができる大変便利なストアド プロシージャです。移行元と移行先で、同じ SID のログイン アカウントを移行先で作成すれば、前述の ALTER USER ステートメントを実行しなくても、不明なデータベース ユーザーを解消することができるからです。

sp_help_revlogin ストアド プロシージャは、マイクロソフトのサポート技術情報(KB:Knowledge Base)の文書番号 918992 で提供されています。

SQL Server 2005 のインスタンス間でログインおよびパスワードを転送する方法
http://support.microsoft.com/kb/918992

この文書で提供されるスクリプトを、次のように丸ごとコピーして(手順2 の USE master からスクリプトの最後までを選択してコピー)、移行元の SQL Server のクエリ エディターから実行すれば、sp_help_revlogin ストアド プロシージャを作成することができます。

00458

00459

画面は SQL Server 2005 ですが、このスクリプトは SQL Server 2008/2008 R2/2012 でも同じように利用することができます。

これにより、master データベース内に sp_help_revlogin ストアド プロシージャが作成されるので、次のように実行すれば、同一のパスワード/SIDのログイン アカウントを作成するためのスクリプトを生成することができます。

USE master
EXEC sp_help_revlogin
00460

実行結果には、CREATE LOGIN ステートメントが生成されて、WITH PASSWORD= や SID= 付きのスクリプトが生成されて、同じパスワードおよび同じ SIDのログイン アカウントを作成できるようになります。

なお、このスクリプトには、Windows 認証用のログイン アカウントを作成するものや、SQL Server 2005 が利用している内部ユーザー(SQLServer2005MSSQLUser~や、SQLServer2005SQLAgetUser~ ログイン アカウント)、SQL Server 2005 のインストール時に自動追加されるシステム アカウント(NT AUTHORITY\SYSTEM)、BUILTIN\Administrators グループなどを作成するための CREATE LOGIN ステートメントも生成されるので、必要なログイン アカウントのみを選択して、移行先(SQL Server 2014 上)で実行するようにします。

00461

このように、移行元と移行先で、同じ SID のログイン アカウントを作成すれば、不明なデータベース ユーザーが解消されて、データベースの復元後にも、データベース ユーザーやオブジェクト権限をそのまま利用することができます。

00462

◆ データベース ロールのスクリプト化

データベース ロールを利用して、データベース ユーザーをグループ化している場合には、データベース ロールの設定もスクリプト化しておく必要があります。

00463

前述のスクリプト生成ウィザードでは、データベース ロールの設定をスクリプト化することができないので、データベース ロールのメンバー情報を参照できる database_role_members システム ビューとデータベース ユーザーの情報を参照できる database_principals システム ビューを、次のように利用します。

SELECT 'EXEC sp_addrolemember ''' + p1.name '''''' + p2.name ''''
 FROM sys.database_role_members rm
  INNER JOIN sys.database_principals p1 ON rm.role_principal_id p1.principal_id 
  INNER JOIN sys.database_principals p2 ON rm.member_principal_id p2.principal_id
00464

これで、データベース ロールへメンバーを追加することできる sp_addrolemember を生成することができるので、これを新規マスター側で実行すれば、同じ設定にすることができます。

目次へ | 前のページへ | 次のページへ

事例1

SQLQualityは執筆とセミナーを通じて技術の啓蒙やエンジニアの育成支援も行っています
最新刊
SQL Server 2016 の教科書
SQL Server 2016 の教科書(ソシム)

弊社オリジナル制作の
SQL Server 2016 自習書も
マイクロソフトのサイトで公開中!
ダウンロードはこちら
セミナー風景
セミナー風景

ロングセラー
ASP.NET でいってみよう  SQL Server 2000 でいってみよう
ASP.NET でいってみよう
第7刷 16,500 部発行
SQL Server 2000 でいってみよう
第12刷 28,500 部発行
SQL Server 2014 CTP2 インメモリ OLTP 機能の概要
SQL Server 2014 CTP2 インメモリ OLTP 機能の概要(Amazon Kindle 書籍)

弊社執筆の
SQL Server 2014 自習書
マイクロソフトのサイトで公開中
目次はこちら

弊社執筆の
SQL Server 2012 自習書
マイクロソフトのサイトで公開中
ダウンロードはこちら
松本美穂のコラム
(公開活動などのお知らせ)

第60回:SQL Server 2017 自習書 No.3「SQL Server 2017 Machine Learning Services」のご案内
第59回:SQL Server 2017 自習書 No.2「SQL Server 2017 on Linux」のご案内
第58回:SQL Server 2017 自習書 No.1「SQL Server 2017 新機能の概要」のご案内
第57回:SQL Server 2017 RC 版とこれまでのドキュメントのまとめ
第56回:「SQL Server 2016 への移行とアップグレードの実践」完成&公開!
第55回:書籍「SQL Server 2016の教科書 開発編」(ソシム)が発刊されました
第54回:「SQL Server 2016 プレビュー版 Reporting Services の新機能」自習書のお知らせ
第 53 回:SQL Server 2016 Reporting Services の新しくなったレポート マネージャーとモバイル レポート機能
第 52 回:SQL Server 2016 の自習書を作成しました!
第 51 回:PASS Summit と MVP Summit で進化を確信!
第 50 回:新しくなった Power BI(2.0)の自習書を作成しました!
第49 回:Excel 2016 の Power Query を使う
第 48 回:新しくなった Microsoft Power BI ! 無料版がある!!
第 47 回:「Microsoft Azure SQL Database 入門」 完成&公開!
第 46 回:Microsoft Power BI for Windows app からの Power BI サイト アクセス
第 45 回:Power Query で取得したデータを PowerPivot へ読み込む方法と PowerPivot for Excel 自習書のご紹介
第44回:「SQL Server 2014 への移行とアップグレードの実践」ドキュメントを作成しました
第43回:SQL Server 2014 インメモリ OLTP 機能の上級者向けドキュメントを作成しました
第42回:Power Query プレビュー版 と Power BI for Office 365 へのクエリ保存(共有クエリ)
第41回:「SQL Server 2014 CTP2 インメモリ OLTP 機能の概要」自習書のお知らせです
第40回: SQL Server 2012 自習書(HTML版)を掲載しました
第39回: Power BI for Office 365 プレビュー版は試されましたか?
第38回: SQL Server 2014 CTP2 の公開
第37回: SQL Server 2014 CTP1 の自習書をご覧ください
第36回: SQL Server 2014 CTP1 のクラスター化列ストア インデックスを試す
第35回: SQL Server 2014 CTP1 のインメモリ OLTP の基本操作を試す
第34回: GeoFlow for Excel 2013 のプレビュー版を試す
第33回: iPad と iPhone からの SQL Server 2012 Reporting Servicesのレポート閲覧
第32回: PASS Summit 2012 参加レポート
第31回: SQL Server 2012 Reporting Services 自習書のお知らせ
第30回: SQL Server 2012(RTM 版)の新機能 自習書をご覧ください
第29回: 書籍「SQL Server 2012の教科書 開発編」のお知らせ
第26回: SQL Server 2012 の Power View 機能のご紹介
第25回: SQL Server 2012 の Data Quality Services
第24回: SQL Server 2012 自習書のご案内と初セミナー報告
第23回: Denali CTP1 が公開されました
第22回 チューニングに王道あらず
第21回 Microsoft TechEd 2010 終了しました
第20回 Microsoft TechEd Japan 2010 今年も登壇します
第19回 SQL Server 2008 R2 RTM の 日本語版が公開されました
第18回 「SQL Azure 入門」自習書のご案内
第17回 SQL Server 2008 自習書の追加ドキュメントのお知らせ
第16回 SQL Server 2008 R2 自習書とプレビュー セミナーのお知らせ
第15回 SQL Server 2008 R2 Reporting Services と新刊のお知らせ
第14回 TechEd 2009 のご報告と SQL Server 2008 R2 について
第13回 SQL Server 2008 R2 の CTP 版が公開されました
第12回 MVP Summit 2009 in Seattle へ参加

技術コミュニティでも活動中