启用TDE而不破坏现有镜像

Question

我一直试图在镜像的Server 2008 R2配置中启用TDE。启用TDE并不困难，尽管当我在主体上启用TDE时，镜像数据库进入暂停状态。

有一些很好的文章这里和这里以及许多其他文章，但它们都演示了在启用加密之前通过在镜像中导入数据库来在镜像配置上启用TDE。我还没有找到在现有镜像系统中打开TDE的方法。

我已经从主体导出了服务主键和服务密钥并将它们导入到镜像中。我尝试了transact-sql‘in镜像，希望我在GUI中看到的是错误的，因为一些高级的镜像正在进行，但没有成功。

是否可能在现有镜像Server设置中启用TDE？

Answer 1

从这篇文章的外观来看，您可能必须首先打破镜像，设置TDE，然后再设置镜像。不太理想，但会成功的。

Answer 2

其实你可以。我已经在Server 2016 SP1上尝试过这一点，但我认为它也适用于以前的版本。这些步骤被描述为这里。请记住，镜像数据库将不会显示加密是启用的(但它确实是)，直到您完成故障转移。

Answer 3

如果我们理解加密层次结构，我们可以很容易地推断出如何在不中断的情况下启用带有DB镜像的DB。

1. 检查主键的原理和镜像服务器。
2. 在主服务器上，如果存在主键，则在此步骤中不做任何操作，如果没有，则创建主键。
3. 在主服务器上，创建受主密钥保护的证书。
4. 在主服务器上备份证书，然后将证书复制到镜像服务器。
5. 在镜像服务器上，如果没有主键，请创建它。
6. 在镜像服务器上，还原证书。
7. 在主服务器上，为将启用TDE的DB创建数据库加密密钥。
8. 在主服务器上，设置加密。