আমি মাস্টার ডাটাবেস পুনরুদ্ধার করে একটি টিডিই শংসাপত্র পুনরুদ্ধার করতে পারি?


10

(আমরা সৌভাগ্যক্রমে, বর্তমানে এই পরিস্থিতিতে নেই, আমাদের বিকল্পগুলি যদি কখনও ঘটে থাকে তবে কী হবে তা দেখার জন্য কেবল পরিকল্পনা করছি)

স্বচ্ছ তারিখ এনক্রিপশন (টিডিডি) দিয়ে এনক্রিপ্ট করা একটি ডাটাবেসের জন্য, ডাটাবেস ব্যাকআপের একটি অনুলিপি পাওয়া যায় না যদি না আপনার কাছে এনক্রিপ্ট করার জন্য ব্যবহৃত শংসাপত্রের ব্যাকআপ থাকে।

আপনার যদি তা না থাকে? কোন অতিরিক্ত বিকল্প আছে?

মোট সার্ভার ব্যর্থতার ক্ষেত্রে নতুন হার্ডওয়ারে মাস্টার ডাটাবেসের ব্যাকআপ পুনরুদ্ধার করা শংসাপত্রটি পুনরুদ্ধার করবে?

উত্তর:


9

যেহেতু টিডিই মাস্টারগুলিতে সঞ্চিত শংসাপত্রের উপর নির্ভর করে (যা ডাটাবেস এনক্রিপশন কীটি এনক্রিপ্ট করার জন্য ব্যবহৃত হয়), তখন আপনি কেবলমাত্র অন্য কোনও সার্ভারে মাস্টার ডাটাবেসটিকে এমনভাবে পুনরুদ্ধার করতে পারেন যাতে শংসাপত্রটি ডিক্রিপ্ট করা যায় this

এটি টিডিই এনক্রিপশন শ্রেণিবদ্ধ:

  1. পরিষেবা মাস্টার কী (উইন্ডোজ দ্বারা সুরক্ষিত; পরিষেবা অ্যাকাউন্ট শংসাপত্রগুলিতে আবদ্ধ এবং একটি মেশিন কী)
  2. ডাটাবেস মাস্টার কী (এই ক্ষেত্রে, মাস্টার ডাটাবেসের জন্য একটি)
  3. সনদপত্র
  4. টিডিই এনক্রিপশন কী

প্রথম তিনটি আইটেম মাস্টার ডাটাবেসে সংরক্ষণ করা হয় এবং সমস্ত ব্যাক আপ নেওয়া যায়। চতুর্থটি এনক্রিপ্ট করা ডাটাবেসের শিরোনামে (# 3 থেকে শংসাপত্র দ্বারা এনক্রিপ্ট করা) থাকে।

সুতরাং একটি ব্যর্থতার দৃশ্যে, আপনাকে টিডিডি কী পড়তে দেওয়ার জন্য আপনাকে যথেষ্ট এনক্রিপশন হায়ারার্কি পুনরুদ্ধার করতে হবে। এসকিউএল সার্ভার ইনস্টলেশনে পরিষেবা মাস্টার কী তৈরি করে; এইভাবে মাস্টার ডাটাবেসটিকে অন্য কোনও পরিস্থিতিতে পুনরুদ্ধার করার সময় আইটেম 2 এবং 3 পুনরুদ্ধার করা হবে, তাদের ডিক্রিপ্ট করার জন্য প্রয়োজনীয় কী (গুলি) উপস্থিত হবে না। ফলাফল: অপঠনযোগ্য ডেটা।

দুটি সেরা বিকল্প হ'ল হয় ব্যাকআপ থেকে শংসাপত্র (# 3) পুনরুদ্ধার করা (একটি ভাল বিকল্প যদি কোনও কারণেই পুনরুদ্ধার করা যায় না), বা ব্যাকআপ থেকে আপনার মাস্টার ডাটাবেস এবং তার মাস্টার কী (# 2) পুনরুদ্ধার করুন। মাস্টার কীটি পুনরুদ্ধার করা আরও ভাল বিকল্প হতে পারে যদি আপনার এই চাবি দ্বারা প্রচুর শংসাপত্র / কীগুলি সুরক্ষিত থাকে এবং সেগুলি একবারে অ্যাক্সেসযোগ্য করে তুলতে হবে। এটি মাস্টার ডাটাবেস পুনঃস্থাপনের সাথে সাধারণত জড়িত একই সতর্কতার সাথে আসে (জোট, লগইনস, ডাটাবেসের নাম এবং ফাইলের পাথ ইত্যাদি))

সাধারণত, আমি কেবল পুনরুদ্ধারের দৃশ্যে মাস্টার পুনরুদ্ধার করার পরামর্শ দিই। মাইগ্রেশন / স্কেল-আউট দৃশ্যের জন্য (যেমন টিভিডি-এনক্রিপ্ট করা ডাটাবেসের সাথে অ্যাভিবিলিটি গ্রুপগুলি ব্যবহার করা / মিরর করা), শংসাপত্রটি পুনরুদ্ধার করা বা পুনরুদ্ধার করা ভাল (# 3) যাতে এটি চলমান প্রতিটি পরিস্থিতিতে স্বতন্ত্র চাবিগুলি ব্যবহার করে এনক্রিপ্ট করা যায় প্রতি. শংসাপত্র ব্যাকআপের সাথে আপনাকে ব্যক্তিগত কীটি অন্তর্ভুক্ত করতে হবে।

যাই হোক না কেন, আপনাকে কী / শংসাপত্রের ব্যাকআপ নিতে হবে, তাই এগুলিকে ভালভাবে রক্ষা করুন এবং এগুলি অনর্থক, সুরক্ষিত জায়গায় সংরক্ষণ করুন। কেবলমাত্র মাস্টারের ব্যাকআপ থাকলে আপনি টিডিই বিপর্যয়ের হাত থেকে রক্ষা পাবেন না ; আপনার কমপক্ষে একটি কী বা শংসাপত্রের ব্যাকআপ দরকার।


হুঁ, সুতরাং কীভাবে আমরা এসএমকে (1) বা মাস্টার ডিবি ডিএমকে (2) পুনরুদ্ধার না করেই অন্য সার্ভারে শংসাপত্রটি পুনরুদ্ধার করতে পারি? এটি নতুন সার্ভার থেকে এসএমকে / ডিএমকেতে নিজেকে "সংযুক্ত" করে?
ব্র্যাডিসি

আহ, আমি মনে করি এটি পেয়েছি: আপনি যখন শংসাপত্রটি রপ্তানি করবেন, আপনি রফতানির জন্য স্পষ্টভাবে একটি কী সরবরাহ করছেন, যা মূল সার্ভার থেকে এসএমকে / ডিএমকে নির্ভরতা প্রতিস্থাপন করে। নতুন সার্ভারে আমদানির পরে আপনি নির্ভরতাটি নতুন সার্ভারের এসএমকে / ডিএমকে-তে স্থানান্তর করছেন। এটা ঠিক আছে?
ব্র্যাডিসি

হ্যাঁ, এটি ঠিক এটি ঠিক। আপনি যখন শংসাপত্র রফতানি বা আমদানি করেন, আপনাকে অবশ্যই এমন পাসওয়ার্ড সরবরাহ করতে হবে যা ব্যাকআপটিকে এনক্রিপ্ট / ডিক্রিপ্ট করার জন্য ব্যবহৃত হয়। আপনি যখন ব্যাকআপটি পুনরুদ্ধার করেন, শংসাপত্রটি আমদানি করা হয় এবং গন্তব্য সার্ভারের ডিএমকে দিয়ে পুনরায় এনক্রিপ্ট করা হয়।
db2

5

1. যদি আপনি যথারীতি অন্য সার্ভারে একটি এনক্রিপ্ট করা ব্যাকআপ পুনরুদ্ধার করতে চান তবে নীচের ত্রুটির মুখোমুখি হন

 Cannot find server certificate with thumbprint …...

সার্টিফিকেটের নামটি সন্ধান করুন: এই উদাহরণে ওয়েস্ট্যাসের্ট

   SELECT  * FROM   sys.certificates

সোর্স সার্ভার (সোর্স এনক্রিপটেড সার্ভার) থেকে সার্টিফিকেটটি ব্যাকআপ করুন:

BACKUP CERTIFICATE vestacert
TO FILE = 'c:\Backup\certificate_TDE_Test_Certificate.cer'
WITH PRIVATE KEY
(FILE = 'c:\Backup\certificate_TDE_Test_Key.pvk',
ENCRYPTION BY PASSWORD = 'Password12#')

4. ইতিমধ্যে বিদ্যমান না থাকলে ইউএটি সার্ভারে নতুন মাস্টার সার্ট তৈরি করুন

USE master GO
CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'D1ffPa$$w0rd'

ইউএটি সার্ভারে ইউটিআর সার্ভারে (ইউএটিএসভার) পুনরায় সঞ্চয় করুন

CREATE CERTIFICATE vestacert2
FROM FILE = 'C:\tmp\certificate_TDE_Test_Certificate.cer'     
WITH PRIVATE KEY (FILE = 'C:\tmp\LCMS\certificate_TDE_Test_Key.pvk', 
DECRYPTION BY PASSWORD = 'Passsword12#')

Backup. এই পদক্ষেপটি পুনরুদ্ধারের পরে ব্যাকআপে কোনও ত্রুটি নেই এবং সমস্ত ডেটা পাঠযোগ্য ছিল।

B. তবে মজার বিষয় হ'ল এনক্রিপশনটি সরানো এবং নতুন ব্যাকআপ নেওয়া এবং এটি ফাইনাল সার্ভারে পুনরুদ্ধার করা (ফাইনাল সার্ভার) কাজ করে না এবং নিম্নলিখিত ত্রুটিটি দেয় "mydb_log" ফাইলটি সঠিকভাবে আরম্ভ করতে ব্যর্থ হয়েছে। আরও বিশদ জন্য ত্রুটি লগ পরীক্ষা।

৮. ইউএটি থেকে এনক্রিপশন সরিয়ে ফেলার সঠিক উপায় হ'ল নীচের ধাপে ধাপে এবং নীচে থেকে উপরে সমস্ত চিহ্ন সরিয়ে ফেলা

    USE master
    ALTER DATABASE mydb SET ENCRYPTION OFF
    USE mydb
    DROP DATABASE ENCRYPTION KEY 
    USE master
    DROP CERTIFICATE vestacert2 
    DROP MASTER KEY

9. এখন ইউএটি সার্ভার থেকে একটি নতুন ব্যাকআপ তৈরি করুন এবং এটি চূড়ান্ত সার্ভারে পুনরুদ্ধার করুন

ভাল নিবন্ধ: http://sqlserverzest.com/2013/10/03/sql-server-restoring-a-tde-encrypted-database-to-a-different-server/


1
লগ পুনরুদ্ধার ব্যর্থ হয়েছে কারণ লগ ফাইলটিতে এখনও এনক্রিপ্ট করা সামগ্রী রয়েছে। অক্ষম করার পরে, সিম্পল মোডে স্যুইচ করুন, লগটি কেটে ফেলার জন্য আবার পিছনে করুন এবং তারপরে আবার ব্যাকআপ করুন।
এডিজিপোজযোগ্য

0

যদি আপনার সিস্টেমটি ক্র্যাশ হয়ে যায় এবং ব্যবহারযোগ্য না হয়ে যায় তবে আপনি নতুন সিস্টেমে একই পরিষেবা অ্যাকাউন্টটি ব্যবহার করার পরে আপনি টিডিডি শংসাপত্র পুনরুদ্ধার করার জন্য একটি নতুন সিস্টেম তৈরি করতে এবং বিদ্যমান ডিফল্টের উপর দিয়ে মাস্টার ডাটাবেস পুনরুদ্ধার করতে পারবেন। তারপরে আপনাকে স্থানীয় মেশিন কী দ্বারা পরিষেবা মাস্টার কী এর এনক্রিপশন ঠিক করতে সিস্টেমটি পুনরায় চালু করা উচিত। এর পরে, আপনার টিডিই শংসাপত্রটি ব্যাক আপ করতে বা ব্যবহারকারীর ডাটাবেসটি পুনরুদ্ধার করতে এবং ডেটা অ্যাক্সেস করতে সক্ষম হওয়া উচিত। সার্ভিস মাস্টার কী দুটি পদ্ধতিতে উইন্ডোজ সার্ভারের ডেটা প্রোটেকশন এপিআই দ্বারা সুরক্ষিত রয়েছে, প্রথমে স্থানীয় মেশিন কী ব্যবহার করে যা সিস্টেমের সাথে সুনির্দিষ্ট এবং দ্বিতীয়টি ডাটাবেস ইঞ্জিনের পরিষেবা অ্যাকাউন্ট ব্যবহার করে। যেহেতু সিস্টেম ক্রাশের কারণে আপনার কাছে মূল সিস্টেমের স্থানীয় মেশিন কী থাকবে না, আপনাকে অবশ্যই একই পরিষেবা অ্যাকাউন্টটি ব্যবহার করতে হবে। টিডিই শংসাপত্রটি ডাটাবেসের সাহায্যে ব্যাক আপ করা হয়, তবে এনক্রিপশন শ্রেণিবদ্ধতা সম্পন্ন না হওয়া অবধি অ্যাক্সেসযোগ্য।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.