透過的なデータ暗号化 (TDE) 環境のミラーリングの構成でエラー 927

佐藤 美菜 (さとう みな)

SQL Server Support Engineer

皆さん、こんにちは。

今回は、透過的なデータ暗号化 (TDE) 環境のミラーリンクを構成するときに、コマンド (Transact-SQL) で実行しないとエラーになってしまうという現象をご紹介します。

※ ミラーリングを構成するには、SQL Server Management Studio の「データベース ミラーリング セキュリティ構成ウィザード」を使って構成をする方法と Transact-SQL を使って構成する方法の 2 種類があります。

現象

透過的なデータ暗号化 (TDE) 環境でミラーリングを構成します。このとき、「データベース ミラーリング セキュリティ構成ウィザード」を使って構成をすると、エンドポイントの作成までは正常に終了します。その後、「ミラーリングの開始」をすると以下のエラーが発生します。

※ 透過的なデータ暗号化の環境以外では発生しません。 Management Studio 内で SMO (SQL Server 管理オブジェクト)を使用している過程で本現象が発生していますので、その回避策を証明書を使った Transact-SQL 実行手順で以下に紹介します。

 

回避策

透過的なデータ暗号化 (TDE) 環境では、コマンド (Transact-SQL) を使ってミラーリングを構成します。

ここでは、プリンシパル、ミラーサーバーの構築手順の例をご紹介します。

[ 事前作業 ]

プリンシパル、ミラー側のエンドポイントでリッスンするポート (本手順例では 5022 ポート) が F/W でブロックされている場合は、事前にブロックの解除をします。

※ プリンシパル、ミラー の両環境にて、エンドポイントでリッスンするポートを解放します。

A. プリンシパル側での作業 (発信接続設定)

A-1) データベース マスター キーを作成します。

CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'Passw@rd1'; GO

※ PASSWORD= には任意のパスワードを指定します。

A-2) 証明書を作成します。

CREATE CERTIFICATE ss2008r2p_cert WITH SUBJECT = 'ss2008r2p certificate for database mirroring',START_DATE = '09/01/2011',EXPIRY_DATE = '09/01/2021'; GO

※ 証明書名 ( 例では、”ss2008r2p_cert ) は、任意の名前を指定します。

A-3) エンドポイントを作成します。

CREATE ENDPOINT Endpoint_Mirroring STATE = STARTED AS TCP (LISTENER_PORT=5022, LISTENER_IP=(192.168.20.1)) FOR DATABASE_MIRRORING (AUTHENTICATION = CERTIFICATE ss2008r2p_cert,ENCRYPTION = REQUIRED ALGORITHM RC4,ROLE = ALL); GO

※ LISTENER_IP= にはプリンシパル マシンの IP アドレスを指定します。

A-4) 手順 A-2 で作成した証明書のバックアップを任意の場所 (例では、C ドライブ直下) にとります。

BACKUP CERTIFICATE ss2008r2p_cert TO FILE = 'C:¥ss2008r2p_cert.cer'; GO

A-5) 手順 A-4 で取得したバックアップをミラー側の任意の場所にコピーします。

B. ミラー側での作業 (発信接続設定)

B-1) データベース マスターキーを作成します。

CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'Passw@rd1'; GO

※ PASSWORD= には任意のパスワードを指定します。

B-2) 証明書を作成します。

CREATE CERTIFICATE ss2008r2m_cert WITH SUBJECT = 'ss2008r2m certificate for database mirroring',START_DATE = '09/01/2011',EXPIRY_DATE = '09/01/2021'; GO

B-3) エンドポイントを作成します。

CREATE ENDPOINT Endpoint_Mirroring STATE = STARTED AS TCP (LISTENER_PORT=5022, LISTENER_IP=(192.168.20.2)) FOR DATABASE_MIRRORING (AUTHENTICATION = CERTIFICATE ss2008r2m_cert,ENCRYPTION = REQUIRED ALGORITHM RC4,ROLE = ALL); GO

B-4) 手順 B-2 で作成した証明書のバックアップを任意の場所 (例では、C ドライブ直下) にとります。

BACKUP CERTIFICATE ss2008r2m_cert TO FILE = 'C:¥ss2008r2m_cert.cer'; GO

B-5) 手順 B-4 で取得したバックアップをプリンシパル側の任意の場所にコピーします。

 

C. プリンシパル側での作業 (着信接続設定)

C-1) ミラー着信用の新規ログインおよびユーザーを作成します。

CREATE LOGIN ss2008r2m WITH PASSWORD = 'Passw@rd1'; GO CREATE USER ss2008r2m FOR LOGIN ss2008r2m; GO

※ PASSWORD= には任意のパスワードを指定します。

C-2) 手順 C-1 で作成したユーザーと証明書を関連付けます。

CREATE CERTIFICATE ss2008r2m_cert AUTHORIZATION ss2008r2m FROM FILE = 'C:¥ss2008r2m_cert.cer'; GO

※ FILE= には、手順 B-5 で任意の場所にコピーした証明書のバックアップ ファイルを指定します。

C-3) エンドポイントに対する接続権限を付与します。

GRANT CONNECT ON ENDPOINT::Endpoint_Mirroring TO ss2008r2m; GO

D. ミラー側での作業 (着信接続設定)

D-1) ミラー着信用の新規ログインおよびユーザーを作成します。

CREATE LOGIN ss2008r2p WITH PASSWORD = 'Passw@rd1'; GO CREATE USER ss2008r2p FOR LOGIN ss2008r2p; GO

※ PASSWORD= には任意のパスワードを指定します。

D-2) 手順 D-1 で作成したユーザーと証明書を関連付けます。

CREATE CERTIFICATE ss2008r2p_cert AUTHORIZATION ss2008r2p FROM FILE = 'C:¥ss2008r2p_cert.cer'; GO

※ FILE= には、手順 A-5 で任意の場所にコピーした証明書のバックアップファイルを指定します。

D-3) エンドポイントに対する接続権限を付与します。

GRANT CONNECT ON ENDPOINT::Endpoint_Mirroring TO ss2008r2p; GO

 

E. プリンシパル側での作業 (バックアップ)

E-1) ミラーリング対象データベースの完全バックアップおよびトランザクション ログのバックアップを取得します。

E-2) 手順 E-1 で取得したバックアップをミラー側の任意の場所にコピーします。

 

F. ミラー側での作業 (リストア)

F-1) 手順 E-2 でコピーしたバックアップをミラーリング対象のデータベースに RESTORE WITH NORECOVERY で復元します。

 

G. ミラー側での作業 (ミラーリング実行 )

G-1) ミラーリング開始コマンドを実行します。

ALTER DATABASE <MirrorDB> SET PARTNER = 'tcp://192.168.20.1:5022'

※ PARTNER= にはプリンシパル側の IP アドレスを指定します。

H. プリンシパル側での作業 (ミラーリング実行)

H-1) ミラーリング開始コマンドを実行します。

ALTER DATABASE <MirrorDB> SET PARTNER = 'tcp://192.168.20.2:5022'

※ PARTNER= には、ミラー側の IP アドレスを指定します。

 

以上が手順となります。

無事、ミラーリングが開始できましたでしょうか。ウィザードと比べコマンドの方が少し面倒かもしれませんが、何卒、ご容赦ください。

 

<参照資料>

証明書を使用したデータベース ミラーリングの設定の例 (Transact-SQL)

<https://msdn.microsoft.com/ja-jp/library/ms191140(v=SQL.105)>