У меня шесть серверов SQL Server 2014. Я не использую TDE (прозрачное шифрование данных) ни на одном сервере.
Я хотел бы получить зашифрованный резервное копирование базы данных на ЛЮБОЙ сервер и восстановите эту резервную копию на ЛЮБОЙ ДРУГОЙ сервер.
Какие действия мне нужно предпринять на каждом сервере с главным ключом службы, главным ключом базы данных и сертификатом? Я хотел бы использовать минимальное количество ключей, сертификатов и файлов резервных копий для этих ключей и сертификатов.
Какие действия мне нужно предпринять, если я добавлю в группу дополнительный SQL Server 2014?
Спасибо вам всем. Сбой сервера и переполнение стека мне много раз помогали в прошлом.
В SQL Server есть два основных приложения для ключей: главный ключ службы (SMK), созданный на экземпляре SQL Server и для него, и главный ключ базы данных (DMK), используемый для базы данных.
SMK автоматически создается при первом запуске экземпляра SQL Server и используется для шифрования пароля связанного сервера, учетных данных и главного ключа базы данных. SMK шифруется с помощью ключа локального компьютера с помощью Windows Data Protection API (DPAPI).
DPAPI использует ключ, полученный из учетных данных Windows для учетной записи службы SQL Server и учетных данных компьютера. Главный ключ службы может быть расшифрован только учетной записью службы, под которой он был создан, или участником, имеющим доступ к учетным данным машины.
Главный ключ базы данных - это симметричный ключ, который используется для защиты закрытых ключей сертификатов и асимметричных ключей, присутствующих в базе данных. Его также можно использовать для шифрования данных, но разносчик у него есть ограничения по длине, которые делают его менее практичным для данных, чем использование симметричного ключа.
При создании главный ключ зашифровывается с использованием алгоритма Triple DES и пароля, вводимого пользователем. Чтобы включить автоматическое дешифрование главного ключа, его копия шифруется с помощью SMK. Он хранится как в базе данных, в которой он используется, так и в базе данных главной системы.
Копия DMK, хранящаяся в главной базе данных системы, автоматически обновляется при изменении DMK. Однако это значение по умолчанию можно изменить, используя параметр DROP ENCRYPTION BY SERVICE MASTER KEY оператора ALTER MASTER KEY. DMK, который не зашифрован с помощью главного ключа службы, должен быть открыт с помощью оператора OPEN MASTER KEY и пароля.
или посетите https://msdn.microsoft.com/en-us/library/bb964742.aspx