Oracle数据库 ORA-00093 错误分析和解决

好的，我们来详细解析一个与Oracle数据库密码文件（Password File）认证密切相关的错误：ORA-00093。

🔑 ORA-00093: 密码文件缺少或已损坏

1. 官方正式说明

错误名称：ORA-00093: password file missing or corrupted

官方解释：此错误表明Oracle数据库实例在尝试使用密码文件进行特权用户（如具有SYSDBA, SYSOPER, SYSBACKUP等权限的用户）身份验证时，无法找到指定的密码文件，或者检测到该文件的内容已损坏且无法读取。密码文件是用于在数据库实例未启动或处于非打开状态时，对需要进行远程管理（Remote Login）的特权用户进行身份验证的关键外部文件。

错误信息结构：
ORA-00093: password file missing or corrupted
这是一个静态错误消息，明确指出密码文件要么不存在于预期位置，要么其格式或内容已损坏。

2. 错误原因与原理

• 根本原因：Oracle数据库无法访问或解析用于远程身份验证的密码文件。这通常是由文件系统层面的问题或文件内容的不一致引起的。

• 认证原理：Oracle有两种主要方式授予用户管理权限：

  1. 操作系统认证：对于本地登录，如果用户属于特定的OS组（如OSDBA, OSOPER），则被授予相应权限。这种方式不依赖密码文件。
  2. 密码文件认证：对于远程连接（即使客户端在数据库服务器本机上，使用SQL*Net即通过网络连接），Oracle依赖一个外部的密码文件（通常名为orapw<SID>）来验证SYSDBA等权限。当您执行 CONNECT / AS SYSDBA 时使用的是OS认证；而执行 CONNECT sys@orcl AS SYSDBA（提供了网络服务名）时，即使在本机，也会尝试使用密码文件认证。

  当初始化参数 REMOTE_LOGIN_PASSWORDFILE 被设置为 EXCLUSIVE 或 SHARED 时，Oracle实例期望在 $ORACLE_HOME/dbs 目录（Unix/Linux）或 %ORACLE_HOME%\database 目录（Windows）下存在一个有效的密码文件。如果该文件：

  • 不存在于预期路径。
  • 文件权限设置不正确，导致Oracle软件所有者用户（如oracle）无法读取。
  • 内部结构因未使用orapwd工具创建或不完整的I/O操作而损坏。
    数据库将无法完成特权用户的认证过程，从而抛出ORA-00093错误。

3. 常见场景

1. 密码文件被意外删除：管理员可能在执行清理操作时误删了密码文件。
2. 错误的文件位置或名称：密码文件没有放在$ORACLE_HOME/dbs目录下，或者其命名不符合 orapw<SID> 的约定（其中<SID>是实例名）。
3. 文件权限问题：密码文件的读写权限没有授予Oracle软件所有者用户（如在Linux上，oracle用户需要对文件有读权限）。
4. 使用错误的方式创建了文件：使用cp, echo等操作系统命令而不是专用的orapwd工具来创建或修改密码文件，导致其内部格式不正确。
5. 存储问题： underlying storage出现故障，导致文件内容损坏。
6. 参数配置错误：REMOTE_LOGIN_PASSWORDFILE参数被设置为EXCLUSIVE/SHARED，但密码文件实际上并不存在。

4. 相关联的其他ORA错误

• ORA-01017: invalid username/password; logon denied。在密码文件认证过程中，如果提供的用户名/密码错误，会报此错，它与ORA-00093（文件本身问题）不同。
• ORA-01031: insufficient privileges。如果用户不具备SYSDBA权限但仍尝试以此身份连接，或者密码文件中未包含该用户，会报此错。
• ORA-09968: unable to lock password file。在RAC环境中，无法以独占模式锁定密码文件。
• 操作系统错误：在尝试打开密码文件时，可能会在警报日志中看到伴随的操作系统错误（如No such file or directory或Permission denied）。

5. 定位原因与分析过程

当遭遇ORA-00093错误时，可以按以下步骤排查：

1. 检查警报日志（Alert Log）：查看数据库警报日志，错误发生时会记录更详细的上下文信息，可能包含操作系统返回的错误代码。
2. 确认参数设置：检查 REMOTE_LOGIN_PASSWORDFILE 参数的当前设置。

   -- 如果数据库能启动，可以连接查询
   SHOW PARAMETER remote_login_passwordfile
   

   如果值为 NONE，则不会使用密码文件，也就不会报此错。如果值为 EXCLUSIVE 或 SHARED，则必须存在密码文件。
3. 查找密码文件：登录到数据库服务器操作系统，切换到Oracle用户，检查密码文件是否存在且命名正确。

   # Unix/Linux 示例
   cd $ORACLE_HOME/dbs
   ls -l orapw$ORACLE_SID # 检查文件是否存在及其权限
   

4. 检查文件权限：确保Oracle用户对该文件有读权限。

   ls -l orapw$ORACLE_SID
   # 输出应为类似：-r-------- 1 oracle oinstall  ... orapwORCL
   # 权限应为至少 600 (rw-------)，保证所有者可读可写。
   

5. 验证文件完整性（最后手段）：如果文件存在，但怀疑其损坏，可以尝试使用strings命令查看其内容（虽然大部分是二进制，但开头应有可读的魔数）。

   strings orapw$ORACLE_SID | head
   

6. 解决方案与预防措施

即时解决

解决方案：使用orapwd工具重新创建密码文件。

1. 定位到正确目录：

   cd $ORACLE_HOME/dbs
   

2. （可选）备份旧文件：如果文件存在但已损坏，先将其移动或重命名。

   mv orapw$ORACLE_SID orapw$ORACLE_SID.corrupted
   

3. 使用orapwd工具创建新的密码文件：

   orapwd file=orapw$ORACLE_SID password=<sys_password> entries=<max_users>
   

   • file: 指定密码文件路径和名称。
   • password: 设置SYS用户的密码。注意：在Oracle 12c及以后版本中，SYS的密码最好与容器数据库（CDB）的根容器中的密码保持一致。如果不同，在数据库打开后，数据库内的密码会覆盖密码文件中的密码。
   • entries: 指定密码文件中最多可容纳多少個特权用户（如SYSDBA）。通常设置一个足够大的数，如10或20。
     示例：

   orapwd file=orapwORCL password=mysecret entries=10
   

4. 设置正确的文件权限：

   chmod 600 orapw$ORACLE_SID
   chown oracle:oinstall orapw$ORACLE_SID
   

5. 重新尝试连接：创建新的密码文件后，再次尝试以SYSDBA身份远程连接。

   sqlplus sys@orcl AS SYSDBA
   

6. 重新授予权限：如果之前密码文件中为其他用户（如SYSTEM）授予了SYSDBA权限，需要在数据库打开后，使用新创建的密码文件重新授予这些权限。

   -- 以SYSDBA身份连接后
   GRANT SYSDBA TO system;
   

根本性解决与预防

1. 使用正确的工具：始终且仅使用orapwd实用程序来创建、修改或重新创建密码文件。切勿使用文本编辑器或系统命令直接修改。
2. 定期备份：将密码文件纳入数据库服务器常规备份策略中。虽然它可以重建，但备份可以节省时间。
3. 权限管理：确保密码文件始终具有严格的权限（600），并且所有者是Oracle软件所有者用户。
4. 参数审核：在数据库配置检查中，确认REMOTE_LOGIN_PASSWORDFILE的设置符合你的管理需求（EXCLUSIVE允许添加其他用户，SHARED仅允许SYS，NONE禁用）。

7. 通俗易懂的讲解

让我们用一个保险库和特殊钥匙的比喻来理解ORA-00093：

• Oracle数据库：一个巨大的保险库。
• SYSDBA权限：一把能打开保险库主控制室的特殊钥匙。
• 密码文件：存放在保险库大门外的一个特殊钥匙柜。这个柜子里记录着哪些人拥有那把特殊钥匙的复制品。

ORA-00093错误的发生场景是这样的：
你（一位管理员）走到保险库大门外，对守卫（Oracle监听器）说：“我有SYSDBA权限，让我进去。” 守卫说：“好的，请稍等，我需要去检查一下外面的钥匙柜（密码文件），看看名单上有没有你。”

过了一会儿，守卫跑回来，慌慌张张地说：“错误ORA-00093：密码文件（钥匙柜）丢失或已损坏！ 我根本找不到那个钥匙柜！/ 或者柜子还在，但锁锈死了打不开/里面的名单被水泡烂了看不清！”

为什么会发生？

• 钥匙柜被人搬走了（密码文件被删除）。
• 钥匙柜的钥匙丢了（文件权限错误，Oracle用户读不了）。
• 有人用假货替换了钥匙柜（文件被错误创建或已损坏）。

怎么解决？
重新打造一个钥匙柜（使用orapwd工具重建密码文件）！

1. 找个工匠（orapwd命令）。
2. 告诉他柜子要叫什么名字（file=orapwORCL）。
3. 告诉他第一把主钥匙（SYS用户）的密码是什么（password=mysecret）。
4. 告诉他这个柜子最多能放多少把钥匙副本（entries=10）。
5. 把新做好的柜子放回原来的位置（$ORACLE_HOME/dbs），并且保管好钥匙（用chmod设置正确权限）。

做完之后，守卫就能正常检查钥匙柜，让你进去了。

总而言之，ORA-00093是一个“认证设施故障”错误。它意味着Oracle数据库找不到那把用来验证谁有“管理员中的管理员”权限的“外部钥匙柜”了。解决方法就是用Oracle提供的专用工具（orapwd）重新打造这个钥匙柜（密码文件）。这是一个虽然不常见但一旦发生就需要DBA立即干预的严重问题，因为它会阻断所有远程的管理员访问。

欢迎关注我的公众号《IT小Chen》