Sql Always On, gdy dane odzyskiwania funkcji BitLocker są szyfrowane w bazie danych

W przypadku zawsze włączonej usługi SQL wymagane są dodatkowe kroki, gdy informacje funkcji BitLocker są szyfrowane, korzystając z instrukcji podanych w temacie Encrypt recovery data in the database (Szyfrowanie danych odzyskiwania w bazie danych). Dodatkowe kroki zapewniają, że wszystkie węzły zawsze włączone mogą automatycznie otwierać klucz główny bazy danych (DMK) w przypadku wystąpienia zdarzenia trybu failover. Poniższe kroki umożliwiają bezproblemowe pobieranie kluczy funkcji BitLocker bez interwencji ręcznej.

Omówienie funkcji SQL Always On, gdy dane odzyskiwania funkcji BitLocker są szyfrowane w bazie danych

SQL Server szyfruje dane przy użyciu infrastruktury hierarchicznej i jest szczegółowo opisana w temacie Hierarchia szyfrowania.

• Klucz główny lokacji (SMK) — ten klucz jest kluczem dla poszczególnych wystąpień, który jest unikatowy dla każdego SQL Server zawsze włączonego węzła i nie jest replikowany. Służy do szyfrowania klucza głównego bazy danych.
• Klucz główny bazy danych (DMK) — ten klucz jest przechowywany w bazie danych i replikowany. Służy do szyfrowania BitLockerManagement_CERT.
• BitLockerManagement_CERT — ten certyfikat jest przechowywany w bazie danych i replikowany. Służy do szyfrowania niektórych danych związanych z funkcją BitLocker, takich jak klucze odzyskiwania.

Zestaw SMK szyfruje hasło zestawu DMK. Zestawy SMK są specyficzne dla węzłów. W przypadku wystąpienia zdarzenia trybu failover nowy węzeł podstawowy nie może odszyfrować hasła zestawu DMK, ponieważ zostało ono zaszyfrowane przy użyciu innego zestawu SMK. Ustawienie hasła zestawu DMK w każdym węźle umożliwia węzłowi odszyfrowanie hasła podczas pracy w trybie failover.

Jeśli hasło klucza głównego bazy danych (DMK) jest znane

Wykonaj następujące polecenie w każdym węźle w grupie dostępności, która hostuje bazę danych Configuration Manager:

EXEC sp_control_dbmasterkey_password
    @db_name = N'CM_XXX',
    @password = N'password',
    @action = N'add';

To polecenie rejestruje hasło zestawu DMK przy użyciu lokalnego klucza głównego usługi (SMK), co umożliwia SQL Server automatyczne otwieranie zestawu DMK w przypadku wystąpienia zdarzenia trybu failover. Ten proces gwarantuje, że zestaw DMK może zostać odszyfrowany automatycznie w tym węźle po przejściu w tryb failover lub ponownym uruchomieniu.

Aby sprawdzić, czy wszystkie węzły mogą automatycznie otworzyć klucz główny bazy danych (DMK) i odszyfrować dane, zobacz sekcję Sprawdź, czy wszystkie węzły mogą automatycznie otworzyć klucz główny bazy danych (DMK) i odszyfrować dane w tym artykule.

Jeśli istniejące hasło klucza głównego bazy danych (DMK) jest nieznane

Jeśli istniejące hasło zestawu DMK jest nieznane, istniejący zestaw DMK musi zostać usunięty, a nowy musi zostać utworzony przy użyciu znanego hasła. W tych krokach opisano sposób wykonywania tej procedury.

Znajdowanie prawidłowego zestawu DMK

Jeśli nie wiadomo, który węzeł ma prawidłowy zestaw DMK, wykonaj następujące kroki, aby określić, gdzie jest otwarty istniejący zestaw DMK:

1. Uruchom następujące zapytanie w węźle podstawowym:

   SELECT TOP 5 RecoveryAndHardwareCore.DecryptString(RecoveryKey, DEFAULT)
   FROM RecoveryAndHardwareCore_Keys
   ORDER BY LastUpdateTime DESC
   

2. W wynikowym zapytaniu:

   • Jeśli zestaw DMK jest otwarty, zapytanie zwraca wartości zwykłego tekstu dla wierszy, które mają prawidłowy klucz. Ten węzeł jest węzłem, który ma się rozpocząć, a następny krok można pominąć.
   • Jeśli zestaw DMK nie jest otwarty, zapytanie zwraca wartości NULL dla wszystkich wierszy. Bieżący węzeł nie jest węzłem, w którym jest otwarty zestaw DMK. Wykonaj następny krok, aby znaleźć węzeł, w którym jest otwarty zestaw DMK.

3. Jeśli zapytanie zwróci wszystkie wartości NULL, przełączenie w tryb failover do każdego węzła pomocniczego i powtórz poprzednie kroki do momentu znalezienia węzła, który może pomyślnie odszyfrować RecoveryAndHardwareCore_Keys . Ten węzeł jest węzłem, który ma się rozpocząć.

Tworzenie nowego klucza głównego bazy danych (DMK)

Po zidentyfikowaniu właściwego węzła z otwartym zestawem DMK wykonaj następujące kroki:

1. W węźle, który został zidentyfikowany w poprzednich krokach, uruchom następujące zapytanie, aby wyeksportować certyfikat BitLockerManagement_CERT z kluczem prywatnym. Upewnij się, że używasz silnego hasła:

   BACKUP CERTIFICATE BitLockerManagement_CERT
   TO FILE = 'C:\Windows\Temp\BitLockerManagement_CERT'
   WITH PRIVATE KEY
   (
       FILE = 'C:\Windows\Temp\BitLockerManagement_CERT_KEY',
       ENCRYPTION BY PASSWORD = 'password'
   );
   

2. Utwórz kopię zapasową istniejącego klucza głównego bazy danych (DMK), uruchamiając następujące zapytanie w celu wyeksportowania istniejącego zestawu DMK:

   BACKUP MASTER KEY
   TO FILE = 'C:\Windows\Temp\DMK'
   ENCRYPTION BY PASSWORD = 'password';
   

   Uwaga

   Ten krok jest opcjonalny, ale zalecany. Pamiętaj, aby zachować kopię zapasową w bezpiecznej znanej lokalizacji.

3. Uruchom następujące zapytanie, aby usunąć istniejący certyfikat i zestaw DMK:

   DROP CERTIFICATE BitLockerManagement_CERT;
   DROP MASTER KEY;
   

   Ten krok usuwa stare klucze.

4. Uruchom następujące zapytanie, aby utworzyć nowy zestaw DMK. Upewnij się, że używasz silnego hasła:

   CREATE MASTER KEY
   ENCRYPTION BY PASSWORD = 'password';
   

5. Uruchom następujące zapytanie, aby zarejestrować nowe hasło zestawu DMK przy użyciu lokalnego zestawu SMK:

   EXEC sp_control_dbmasterkey_password
       @db_name = N'CM_XXX',
       @password = N'password',
       @action = N'add';
   

6. Uruchom następujące zapytanie, aby zaimportować wcześniej wyeksportowany certyfikat BitLockerManagement_CERT:

   CREATE CERTIFICATE BitLockerManagement_CERT AUTHORIZATION RecoveryAndHardwareCore
   FROM FILE = 'C:\Windows\Temp\BitLockerManagement_CERT'
   WITH PRIVATE KEY
   (
       FILE = 'C:\Windows\Temp\BitLockerManagement_CERT_KEY',
       DECRYPTION BY PASSWORD = 'password'
   );
   

7. Uruchom następujące zapytanie, aby udzielić wymaganych uprawnień kontroli certyfikatu:

   GRANT CONTROL ON CERTIFICATE::BitLockerManagement_CERT TO RecoveryAndHardwareRead;
   GRANT CONTROL ON CERTIFICATE::BitLockerManagement_CERT TO RecoveryAndHardwareWrite;
   

8. Przełącz w tryb failover do następnego węzła.

9. Uruchom następujące zapytanie, aby zarejestrować hasło zestawu DMK przy użyciu lokalnego zestawu SMK. Wykonaj raz na replikę:

   EXEC sp_control_dbmasterkey_password
       @db_name = N'CM_XXX',
       @password = N'password',
       @action = N'add';
   

10. Wykonaj dwa poprzednie kroki na wszystkich pozostałych węzłach.

11. Przełącz w tryb failover do oryginalnego węzła.

12. Aby sprawdzić, czy wszystkie węzły mogą automatycznie otwierać klucz główny bazy danych (DMK) i odszyfrowywać dane, zobacz następną sekcję Sprawdź, czy wszystkie węzły mogą automatycznie otworzyć klucz główny bazy danych (DMK) i odszyfrować dane w tym artykule.

Sprawdź, czy wszystkie węzły mogą automatycznie otworzyć klucz główny bazy danych (DMK) i odszyfrować dane

Aby sprawdzić, czy wszystkie węzły mogą automatycznie otworzyć klucz główny bazy danych (DMK) i odszyfrować dane:

1. Przełączenie w tryb failover do węzła.

2. Uruchom następujące zapytanie:

   SELECT TOP 5 RecoveryAndHardwareCore.DecryptString(RecoveryKey, DEFAULT)
   FROM RecoveryAndHardwareCore_Keys
   ORDER BY LastUpdateTime DESC
   

3. Jeśli zapytanie zwraca wartości zwykłego tekstu dla wierszy, które mają prawidłowy klucz, węzeł może automatycznie otworzyć klucz główny bazy danych (DMK) i odszyfrować dane.

4. Powtórz poprzednie trzy kroki dla każdego dodatkowego węzła.

Artykuły pokrewne

• Szyfrowanie danych odzyskiwania w bazie danych.
• Przygotuj się do użycia zawsze włączonej grupy dostępności SQL Server z Configuration Manager.
• Skonfiguruj zawsze włączoną grupę dostępności SQL Server dla Configuration Manager.