既存のミラーを壊さずにTDEを有効にする
ミラー化されたSQL Server 2008 R2構成でTDEを有効にしようとしています。 TDEを有効にするのはそれほど難しくありませんが、プリンシパルでTDEを有効にすると、ミラーデータベースが一時停止状態になります。
いくつかの優れた記事 here と here だけでなく他の多くの記事がありますが、それらはすべて、ミラーにデータベースをインポートすることで、ミラー構成でTDEを有効にすることを示していますbefore暗号化を有効にします。既存のミラーリングされたシステムでTDEをオンにする方法はまだ見つかりません。
ここまでは、プリンシパルからサービスマスターキーとサービスキーをエクスポートし、それらをミラーにインポートしました。高度なミラーリングが行われているためにGUIに表示されていた内容に誤りがあり、成功しなかったことを期待して、transact-sqlによるミラーリングを試みました。
既存のミラーリングされたSQL ServerセットアップでTDEを有効にすることはできますか?
実際にできます。 SQL Server 2016 SP1でこれを試しましたが、以前のバージョンでも動作すると思います。手順は here で説明されています。フェイルオーバーを実行するまで、ミラーデータベースには暗号化が有効になっていることが表示されます(ただし、有効になっています)。
暗号化階層を理解していれば、DBミラーリングを使用するDBを中断することなくTDBを有効にする方法を簡単に推測できます。
- プリンシパルサーバーとミラーリングサーバーの両方でマスターキーを確認します。
- プリンシパルサーバーでは、マスターキーが存在する場合、このステップでは何も行いません。存在しない場合は、マスターキーを作成します。
- プリンシパルサーバーで、マスターキーで保護された証明書を作成します。
- プリンシパルサーバーで証明書をバックアップし、証明書をミラーリングサーバーにコピーします。
- ミラーリングサーバーで、マスターキーがない場合は作成します。
- ミラーリングサーバーで、証明書を復元します。
- プリンシパルサーバーで、TDEを有効にするDBのデータベース暗号化キーを作成します。
- プリンシパルサーバーで、暗号化をオンに設定します。
この記事 の外観から、おそらく最初にミラーを解除し、TDEをセットアップしてから、もう一度ミラーをセットアップする必要があります。理想的ではありませんが、うまくいきます。