TDE ile Veritabanı Yansıtma


10

Verilerimiz 'dururken' şifrelenmesi gerektiğinden , birkaç veritabanını yansıtma ve şeffaf veri şifreleme (TDE) kullanma gereksinimim var .

Hem ana hem de ayna üzerinde TDE ayarladım. İki veritabanının yansımasını oluştururken karşılaştığım sorun ortaya çıkıyor. TDE kullandığım için gui aracılığıyla yansıtma kurmanın bir yolunu bilmiyorum, bu yüzden işi yapmak için t-sql kullanmak zorunda kaldım.

Yansıtılmış sunucuda kullandığım kod aşağıdadır

--Restore the full backup to the mirrored mdf and ldf
OPEN MASTER KEY DECRYPTION BY PASSWORD = '1Password'
RESTORE DATABASE TDE
   FROM disk = '\\SERVERNAME\SQL_Stuff\Backup\TDE_FULL.bak'
      WITH NORECOVERY,
       REPLACE,
       MOVE 'TDE' TO 'E:\TDE.mdf',
      REPLACE,
      MOVE 'TDE_log' TO 'G:\TDE.ldf'
CLOSE MASTER KEY 
GO

--Restore the log backup to the mirrored db
OPEN MASTER KEY DECRYPTION BY PASSWORD = '1Password'
RESTORE LOG TDE
    FROM DISK = '\\SERVERNAME\SQL_Stuff\Backup\TDE_LOG.trn'
    WITH NORECOVERY;
CLOSE MASTER KEY
GO


--Drop/Create Mirroring endpoint on mirror
--DROP ENDPOINT TDE
CREATE ENDPOINT TDE
    STATE = STARTED
    AS TCP ( LISTENER_PORT = 7025 )
    FOR DATABASE_MIRRORING (
        ROLE = PARTNER
        );
GO

--Check the endpoints for the mirror
USE MASTER
SELECT * FROM sys.database_mirroring_endpoints
GO

--Set the principal on the mirrored db
OPEN MASTER KEY DECRYPTION BY PASSWORD = '1Password'
ALTER DATABASE TDE SET PARTNER = 'TCP://PRINCIPAL.DOMAIN.local:7022'
GO
CLOSE MASTER KEY
GO

Aşağıda ana sunucuda kullandığım kod var.

----------------------Mirroring Section----------------------------------

--Full Backup of Principal
USE TDE
GO
BACKUP DATABASE TDE
TO DISK = '\\SERVERNAME\SQL_Stuff\Backup\TDE_FULL.bak'
    WITH COMPRESSION,
         NAME = 'Full Backup of TDE';
GO

---Log Backup of Principal
USE TDE
GO
BACKUP LOG TDE
TO DISK = '\\SERVERNAME\SQL_Stuff\Backup\TDE_LOG.trn'
    WITH COMPRESSION,
         NAME = 'Log backup of TDE'
GO

--Drop/Create Mirroring endpoint on principal
--DROP ENDPOINT TDE
CREATE ENDPOINT TDE
    STATE = STARTED
    AS TCP ( LISTENER_PORT = 7022 )
    FOR DATABASE_MIRRORING (
        ROLE = PARTNER
        );
GO

--Check the endpoints for the princple
USE master
select * from sys.database_mirroring_endpoints
GO

--Set the mirror db on the principal db
OPEN MASTER KEY DECRYPTION BY PASSWORD = '1Password'
ALTER DATABASE TDE SET PARTNER = 'TCP://MIRROR.DOMAIN.local:7025'
CLOSE MASTER KEY
GO

Yansıtma uç noktasını önce 1, sonra ana uç noktayı ayarladım. Sonra ALTER DATABASEaynada, daha sonra ilk hatayı, burada ortaya çıkan hatayı almak sorunu :

 Msg 1416, Level 16, State 31, Line 2
Database "TDE" is not configured for database mirroring.

Bu konuda ne yapacağım konusunda bir kaybım var. Ayna "geri yükleme" durumunda, ancak hatanın asıl db hakkında konuştuğundan eminim.

Verebileceğiniz herhangi bir yardım için teşekkürler!

Ana TDE için Güncelleme Kodu:

--Create Master Key in Master Database
USE MASTER
GO
CREATE MASTER KEY ENCRYPTION BY PASSWORD = '1Password';
PRINT 'created master key'
go

--Backing up the master key file
USE master;
OPEN MASTER KEY DECRYPTION BY PASSWORD = '1Password';
BACKUP MASTER KEY TO FILE = '\\SERVERNAME\TDE_Master_Key.key' ENCRYPTION BY PASSWORD = '1Password';
GO

--Create Server Certificate in the Master Database encrypted with master key (created above) which would be used to create USER database encryption key.
USE Master
CREATE CERTIFICATE Cert_For_TDE WITH SUBJECT = 'Master_Cert_for_TDE', EXPIRY_DATE = '3500-Jan-01';
Go

--Backing up the server cert file
--USE master;
BACKUP CERTIFICATE Cert_For_TDE TO FILE = '\\SERVERNAME\TDE_Cert.cer' 
    WITH PRIVATE KEY ( FILE = '\\SERVERNAME\TDE_Cert_Key.key', ENCRYPTION BY PASSWORD = '1Password');
GO

--Create user database key
USE TDE
CREATE DATABASE ENCRYPTION KEY
WITH ALGORITHM = AES_256 ENCRYPTION BY SERVER CERTIFICATE Cert_For_TDE;
GO

--Enabling Transparent Database Encryption for the USER Database
USE master;
GO
ALTER DATABASE TDE SET ENCRYPTION ON
GO

TDE için aynadaki kod:

--restore the backed up key to the mirror
use master
RESTORE MASTER KEY
    FROM FILE = '\\SERVERNAME\TDE_Master_Key.key'
    DECRYPTION BY PASSWORD = '1Password'
    ENCRYPTION BY PASSWORD = '1Password';
GO

--restore the backed up cert to the mirror
USE Master;
OPEN MASTER KEY DECRYPTION BY PASSWORD = '1Password'
CREATE CERTIFICATE Cert_For_TDE    
FROM FILE = '\\SERVERNAME\TDE_Cert.cer' WITH PRIVATE KEY ( FILE = '\\SERVERNAME\TDE_Cert_Key.key', DECRYPTION BY PASSWORD = '1Password');
GO

Güncelleme2 sys.database_mirroring_endpoints Ana şovda sys.tcp_endpoints ile katıldı:

endpoint_id name    principal_id    state_desc  role_desc   connection_auth_desc    certificate_id  encryption_algorithm_desc   port    ip_address
65545   TDE 261 STARTED PARTNER NEGOTIATE   0   RC4 7022    NULL

sys.database_mirroring_endpoints, Mirror programında sys.tcp_endpoints ile katıldı:

endpoint_id name    principal_id    state_desc  role_desc   connection_auth_desc    certificate_id  encryption_algorithm_desc   port    ip_address
65537   TDE 261 STARTED PARTNER NEGOTIATE   0   RC4 7025    NULL

Veritabanı tam kurtarma modelinde mi? Kurulumu gerçekleştirirken çalışan herhangi bir günlük yedekleme işi var mı? Ana anahtarı ana bilgisayarda yedeklediniz ve TDE için aynaya geri yüklediniz mi?
Robert L Davis

Evet, her iki dbs de tamamen iyileşiyor. Yedeklemeyi gerçekleştirirken üzerinde iş yok (4 satırlı sadece 1 tablo) 2 saniye sürüyor. Ana anahtarı yedekledim ve aynaya geri yükledim. İşe döndüğümde yarın bu kodu göndereceğim.
RateControl

TDE komut dosyası ve bazı dmvs ekledim
RateControl 14

Yanıtlar:


10

Üzerinde yorum yapan bir web sitesi buldum.

Kodu hemen sonra anahtarı ve sertifikayı geri yüklediğim yere ekledim

--Mumbojumbo to get mirroring to work
OPEN MASTER KEY DECRYPTION BY PASSWORD = '1Password'
ALTER MASTER KEY ADD ENCRYPTION BY SERVICE MASTER KEY
GO

Bir cazibe gibi çalışır, yeni sunucunun servis ana anahtarı ile geri yüklediğim ana anahtarı şifrelemek zorunda olduğum için biraz mantıklı. Sanırım.

omuz silkme


1
Kendi kendine cevap verebildiğine sevindim: D
jcolebrand
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.