Aktivieren von TDE, ohne den vorhandenen Spiegel zu beschädigen

7

Ich habe versucht, TDE in einer gespiegelten SQL Server 2008 R2-Konfiguration zu aktivieren. Das Aktivieren von TDE ist nicht so schwierig. Wenn ich jedoch TDE auf dem Principal aktiviere, wird die Spiegeldatenbank in einen angehaltenen Zustand versetzt.

Es gibt hier und hier einige gute Artikel sowie viele andere, aber alle zeigen, wie TDE in einer gespiegelten Konfiguration aktiviert wird, indem die Datenbank in den Spiegel importiert wird, bevor die Verschlüsselung aktiviert wird. Ich habe noch keine Möglichkeit gefunden, TDE in einem vorhandenen gespiegelten System einfach einzuschalten.

Ich bin so weit gegangen, den Service-Hauptschlüssel und die Service-Schlüssel aus dem Principal zu exportieren und in den Spiegel zu importieren. Ich habe versucht, Transact-SQL-Spiegelung in der Hoffnung durchzuführen, dass das, was ich in der GUI sah, aufgrund einiger fortgeschrittener Spiegelungsfehler fehlerhaft war, ohne Erfolg.

Ist die Aktivierung von TDE über ein vorhandenes gespiegeltes SQL Server-Setup möglich?

Paul White 9
quelle
Gab es einen Fehler beim Wiederherstellen des SMK?
Sean Gallardy - Pensionierter Benutzer
Haben Sie auch die 2 Schritte ausprobiert, die Richard Moulton in Ihrem zweiten Link erwähnt hat? Er sagte: Damit die Spiegelung für mich funktioniert, mussten die folgenden zwei zusätzlichen Anweisungen unmittelbar nach der Wiederherstellung des Hauptschlüssels auf der Mirror-Site ausgeführt werden: OPEN MASTER KEY DECRYPTION BY PASSWORD = '<strong password>'; ALTER MASTER KEY ADD ENCRYPTION BY SERVICE MASTER KEY;
RLF

Antworten:

1

Nach dem Aussehen dieses Artikels müssten Sie wahrscheinlich zuerst den Spiegel zerbrechen, TDE einrichten und dann den Spiegel erneut einrichten. Nicht ideal, aber es würde funktionieren.

Connor
quelle
1

Eigentlich kannst du. Ich habe dies unter SQL Server 2016 SP1 versucht, aber ich denke, es funktioniert auch für frühere Versionen. Die Schritte werden hier beschrieben . Denken Sie daran, dass die Spiegeldatenbank erst nach dem Failover anzeigt, dass die Verschlüsselung aktiviert ist (aber dies ist).

Florin Florea
quelle
1

Wenn wir die Verschlüsselungshierarchie verstehen, können wir leicht ableiten, wie TDB ohne Unterbrechung für eine Datenbank mit DB-Spiegelung aktiviert werden kann.

  1. Überprüfen Sie den Hauptschlüssel sowohl auf dem Prinzipal- als auch auf dem Spiegelungsserver.
  2. Wenn auf dem Hauptserver ein Hauptschlüssel vorhanden ist, führen wir in diesem Schritt nichts aus. Wenn nicht, erstellen Sie einen Hauptschlüssel.
  3. Erstellen Sie auf dem Hauptserver ein Zertifikat, das durch den Hauptschlüssel geschützt ist.
  4. Sichern Sie auf dem Hauptserver das Zertifikat und kopieren Sie das Zertifikat auf den Spiegelungsserver.
  5. Wenn auf dem Spiegelungsserver kein Hauptschlüssel vorhanden ist, erstellen Sie ihn.
  6. Stellen Sie auf dem Spiegelungsserver das Zertifikat wieder her.
  7. Erstellen Sie auf dem Hauptserver einen Datenbankverschlüsselungsschlüssel für die Datenbank, für die TDE aktiviert wird.
  8. Aktivieren Sie auf dem Hauptserver die Verschlüsselung.
Sandig
quelle