Discussion :

[Kropernic]

Bonjour,

Encore un nouveau problème que je ne sais pas dans quel sens abordé.

Voici le contexte :

Il y a 2 DB qui entrent en jeu. L'une nommée GIFT_MANAGEMENT et l'autre nommée ERROR. La première sert pour la gestion des gifts (giftcards et giftvouchers) de nos magasins via une application interne et la seconde sert pour le log des erreurs non traitées que l'application rencontre.

Histoire de ne pas gérer les privilèges utilisateurs par utilisateurs, nous utilisons les groupes d'Active Directory. Tout marche bien en général.

Sauf que ici, pour au moins un utilisateur (c'est le seul pour lequel je suis au courant), l'accès à la DB ERROR lui est refusé.
Pour un autre utilisateur à priori tout aussi lambda (appartenant bien sûr au même groupe), tout fonctionne bien.
Ce qui fait que je ne sais pas dans quel sens abordé ce problème, c'est que pour 2 utilisateurs du même groupe, le comportement est différent.

Je suis donc à la recherche d'infos supplémentaires pour savoir ce qui peut bien se passer de travers.
Existe-t-il des vues systèmes avec des infos relatives à cela ?

P.S. : Je n'ai pas le message d'erreur exact mais c'était quelque chose du genre "Unable to open database ERROR. Login failed for user XXXX"

[Kropernic]

J'ai p-e une piste !! P-e n'était-il pas connecté sur le bon domaine...

Je vais vérifier ça !

[mikedavem]

Tu as le message d'erreur complet lorsque ton utilisateur essaie de se connecter ?

++

[Kropernic]

Je dois me le procurer... J'attends actuellement qu'il ait fini sa pause midi pour refaire un test et pouvoir capturer le message d'erreur.

De mémoire selon lui (je l'ai croisé au refectoire^^), il était bien sur le bon domaine.

[mikedavem]

A voir avec le message d'erreur mais tu peux toujours vérifier que ton utilisateur en question ne fasse pas parti d'un autre groupe et que ce groupe ne soit pas explicitement interdit d'accès à ta base. Même chose si ton utilisateur est explicitement créé en tant que login sur ton serveur SQL et qu'explicitement ce dernier ne soit pas autorisé à avoir accès à ta base.

++

[Kropernic]

A voir avec le message d'erreur mais tu peux toujours vérifier que ton utilisateur en question ne fasse pas parti d'un autre groupe et que ce groupe ne soit pas explicitement interdit d'accès à ta base. Même chose si ton utilisateur est explicitement créé en tant que login sur ton serveur SQL et qu'explicitement ce dernier ne soit pas autorisé à avoir accès à ta base.

++

J'attends toujours le message d'erreur exact mais pour ces deux points, c'est négatif.

A part l'un ou l'autre collègue à l'IT, aucun utilisateur n'est défini en tant que tel sur sql server. Tout passe par des groupes de l'AD. En fait, pour les accès aux applications, on travaille une plateforme citrix et pour qu'un user puisse avoir accès à l'icone d'une application sur cette plate-forme, il doit faire partie du groupe AD correspondant. Du coup, chaque application à son groupe. Et chaque application à sa DB (rare sont les DB utilisées par plusieurs applications) à donc son groupe. Pas de groupe en "deny" donc.

[Kropernic]

Voilà, j'ai le message d'erreur au complet... Rien de très folichon. Le voici

Cannot open database "ERROR" requested by the login. The login failed. Login failed for user 'DOMAIN\USERNAME'.

Je vais fouiller au hasard des logs sql server pour voir si je trouve quelque chose de plus explicite...

N.B. :
Pour info, je suppute que l'application tente de se connecter à la database GIFT_MANAGEMENT et n'y arrive pas. Elle tente donc de logguer cette erreur dans la database ERROR mais n'y arrive pas non plus...

[mikedavem]

Oui il faudrait le message d'erreur complet que tu trouveras dans le journal des erreurs SQL

++

[Kropernic]

J'vais faire mon boulet mais je le trouve où ce journal ?

EDIT : j'ai trouvé, le temps de recopier et le message sera là.

EDIT 2 : Voilà, alors le message d'erreur semble être en 2 partie et, en double ! Ce qui confirmerai mon hypothèse (tentative de connexion sur la 1e DB --> erreur --> tentative de connexion sur la 2e DB --> erreur)
Voici les 2 parties du message :

Message
Error: 18456, Severity: 14, State: 38.

Message
Login failed for user 'DOMAIN\USERNAME'. Reason: Failed to open the explicitly specified database. [CLIENT: XX.XX.XX.XX]

La DB n'est pas précisée. J'entame les recherches sur le state 38 mais du peu que j'ai déjà vu sur le net, ça dit que l'utilisateur tente de se connection à une DB à laquelle il n'a pas accès. Bref, rien que je ne sache pas déjà XD.

[Kropernic]

J'ai trouvé ceci pour les error states :

1 'Account is locked out'
2 'User id is not valid'
3-4 'Undocumented'
5 'User id is not valid'
6 'Undocumented'
7 'The login being used is disabled'
8 'Incorrect password'
9 'Invalid password'
10 'Related to a SQL login being bound to Windows domain password policy enforcement. See KB925744.'
11-12 'Login valid but server access failed'
16 'Login valid, but not permissioned to use the target database'
18 'Password expired'
27 'Initial database could not be found'
38 'Login valid but database unavailable (or login not permissioned)'

Sur base de cela, je me pose la question suivante :
Comment vérifier si c'est la DB qui serait indisponible ou non ?

[Kropernic]

Par acquis de conscience, j'ai été vérifier moi-même dans l'AD si ce user était bien dans le groupe (plutot que de croire ce que l'équipe en charge me dit) et je vois que non.

Il est donc plus que probable que le souci vienne de là !

J'attends que quelqu'un de cette équipe soit dispo pour faire la modif et le test.

Je vous donne le feedback dès que je l'ai !

[Kropernic]

Bon bin c'était bien cela...

M'apprendra à faire confiance aux gens .

Merci tout de même à ceux qui auront pris la peine de tenter de m'aider