Tengo el requisito de duplicar algunas bases de datos y también usar cifrado de datos transparente (TDE) en ellas, ya que nuestros datos deben cifrarse mientras están en reposo.
He configurado TDE tanto en el principal como en el espejo. El problema que tengo entra en juego cuando configuro la duplicación de las dos bases de datos. Como estoy usando TDE, no conozco una forma de configurar la duplicación a través de la interfaz gráfica de usuario, por lo que me veo obligado a usar t-sql para hacer el trabajo.
A continuación se muestra el código que he usado en el servidor reflejado
--Restore the full backup to the mirrored mdf and ldf
OPEN MASTER KEY DECRYPTION BY PASSWORD = '1Password'
RESTORE DATABASE TDE
FROM disk = '\\SERVERNAME\SQL_Stuff\Backup\TDE_FULL.bak'
WITH NORECOVERY,
REPLACE,
MOVE 'TDE' TO 'E:\TDE.mdf',
REPLACE,
MOVE 'TDE_log' TO 'G:\TDE.ldf'
CLOSE MASTER KEY
GO
--Restore the log backup to the mirrored db
OPEN MASTER KEY DECRYPTION BY PASSWORD = '1Password'
RESTORE LOG TDE
FROM DISK = '\\SERVERNAME\SQL_Stuff\Backup\TDE_LOG.trn'
WITH NORECOVERY;
CLOSE MASTER KEY
GO
--Drop/Create Mirroring endpoint on mirror
--DROP ENDPOINT TDE
CREATE ENDPOINT TDE
STATE = STARTED
AS TCP ( LISTENER_PORT = 7025 )
FOR DATABASE_MIRRORING (
ROLE = PARTNER
);
GO
--Check the endpoints for the mirror
USE MASTER
SELECT * FROM sys.database_mirroring_endpoints
GO
--Set the principal on the mirrored db
OPEN MASTER KEY DECRYPTION BY PASSWORD = '1Password'
ALTER DATABASE TDE SET PARTNER = 'TCP://PRINCIPAL.DOMAIN.local:7022'
GO
CLOSE MASTER KEY
GO
A continuación se muestra el código que uso en el servidor principal.
----------------------Mirroring Section----------------------------------
--Full Backup of Principal
USE TDE
GO
BACKUP DATABASE TDE
TO DISK = '\\SERVERNAME\SQL_Stuff\Backup\TDE_FULL.bak'
WITH COMPRESSION,
NAME = 'Full Backup of TDE';
GO
---Log Backup of Principal
USE TDE
GO
BACKUP LOG TDE
TO DISK = '\\SERVERNAME\SQL_Stuff\Backup\TDE_LOG.trn'
WITH COMPRESSION,
NAME = 'Log backup of TDE'
GO
--Drop/Create Mirroring endpoint on principal
--DROP ENDPOINT TDE
CREATE ENDPOINT TDE
STATE = STARTED
AS TCP ( LISTENER_PORT = 7022 )
FOR DATABASE_MIRRORING (
ROLE = PARTNER
);
GO
--Check the endpoints for the princple
USE master
select * from sys.database_mirroring_endpoints
GO
--Set the mirror db on the principal db
OPEN MASTER KEY DECRYPTION BY PASSWORD = '1Password'
ALTER DATABASE TDE SET PARTNER = 'TCP://MIRROR.DOMAIN.local:7025'
CLOSE MASTER KEY
GO
Configuré el punto final reflejado primero, luego el punto final principal. Luego emito el ALTER DATABASE
en el espejo, luego en el principal, donde obtengo el error resultante:
Msg 1416, Level 16, State 31, Line 2
Database "TDE" is not configured for database mirroring.
No sé qué hacer al respecto. El espejo está en el estado de "restauración", pero estoy seguro de que el error está hablando del db principal.
¡Gracias por cualquier ayuda que usted puede dar!
Código de actualización para el TDE principal:
--Create Master Key in Master Database
USE MASTER
GO
CREATE MASTER KEY ENCRYPTION BY PASSWORD = '1Password';
PRINT 'created master key'
go
--Backing up the master key file
USE master;
OPEN MASTER KEY DECRYPTION BY PASSWORD = '1Password';
BACKUP MASTER KEY TO FILE = '\\SERVERNAME\TDE_Master_Key.key' ENCRYPTION BY PASSWORD = '1Password';
GO
--Create Server Certificate in the Master Database encrypted with master key (created above) which would be used to create USER database encryption key.
USE Master
CREATE CERTIFICATE Cert_For_TDE WITH SUBJECT = 'Master_Cert_for_TDE', EXPIRY_DATE = '3500-Jan-01';
Go
--Backing up the server cert file
--USE master;
BACKUP CERTIFICATE Cert_For_TDE TO FILE = '\\SERVERNAME\TDE_Cert.cer'
WITH PRIVATE KEY ( FILE = '\\SERVERNAME\TDE_Cert_Key.key', ENCRYPTION BY PASSWORD = '1Password');
GO
--Create user database key
USE TDE
CREATE DATABASE ENCRYPTION KEY
WITH ALGORITHM = AES_256 ENCRYPTION BY SERVER CERTIFICATE Cert_For_TDE;
GO
--Enabling Transparent Database Encryption for the USER Database
USE master;
GO
ALTER DATABASE TDE SET ENCRYPTION ON
GO
Código en espejo para TDE:
--restore the backed up key to the mirror
use master
RESTORE MASTER KEY
FROM FILE = '\\SERVERNAME\TDE_Master_Key.key'
DECRYPTION BY PASSWORD = '1Password'
ENCRYPTION BY PASSWORD = '1Password';
GO
--restore the backed up cert to the mirror
USE Master;
OPEN MASTER KEY DECRYPTION BY PASSWORD = '1Password'
CREATE CERTIFICATE Cert_For_TDE
FROM FILE = '\\SERVERNAME\TDE_Cert.cer' WITH PRIVATE KEY ( FILE = '\\SERVERNAME\TDE_Cert_Key.key', DECRYPTION BY PASSWORD = '1Password');
GO
Update2 sys.database_mirroring_endpoints se unió a sys.tcp_endpoints en el programa Principal:
endpoint_id name principal_id state_desc role_desc connection_auth_desc certificate_id encryption_algorithm_desc port ip_address
65545 TDE 261 STARTED PARTNER NEGOTIATE 0 RC4 7022 NULL
sys.database_mirroring_endpoints se unió a sys.tcp_endpoints en el programa Mirror:
endpoint_id name principal_id state_desc role_desc connection_auth_desc certificate_id encryption_algorithm_desc port ip_address
65537 TDE 261 STARTED PARTNER NEGOTIATE 0 RC4 7025 NULL
fuente
Respuestas:
Encontré un sitio web con un comentario.
Agregué el código justo después de restaurar la clave y el certificado
Funciona de maravilla, tiene un poco de sentido que tuve que cifrar la clave maestra que restauré con la clave maestra de servicio del nuevo servidor. Supongo.
encogimiento de hombros
fuente