Példa: Adatbázis-tükrözés beállítása tanúsítványok használatával (Transact-SQL)

A következőkre vonatkozik:SQL Server

Ez a példa az adatbázis-tükrözési munkamenet tanúsítványalapú hitelesítéssel történő létrehozásához szükséges összes szakaszt mutatja be. A jelen témakörben szereplő példák a Transact-SQL-t használják. Hacsak nem tudja garantálni a hálózat biztonságossá tételét, javasoljuk, hogy titkosítást használjon az adatbázis-tükrözési kapcsolatokhoz.

Tanúsítvány másik rendszerbe másolásakor használjon biztonságos másolási módszert. Ügyeljen arra, hogy minden tanúsítványa biztonságban legyen.

Példa

Az alábbi példa bemutatja, hogy mit kell tenni egy olyan partneren, amely a HOST_A-n található. Ebben a példában a két partner az alapértelmezett kiszolgálópéldány három számítógépes rendszeren. A két kiszolgálópéldány nem megbízható Windows-tartományokban fut, ezért tanúsítványalapú hitelesítésre van szükség.

A kezdeti főszerepkört a HOST_A, a tükrözési szerepkört pedig a HOST_B veszi át.

Az adatbázis-tükrözés tanúsítványokkal való beállítása négy általános szakaszt foglal magában, amelyek közül három szakaszt mutat be a példa. Ezek a szakaszok a következők:

1. Kimenő kapcsolatok konfigurálása

   Ez a példa a következő lépésekre mutat be:

   1. Host_A konfigurálása kimenő kapcsolatokhoz.

   2. Host_B konfigurálása kimenő kapcsolatokhoz.

   Az adatbázis-tükrözés beállításának ezen szakaszáról további információt Az adatbázistükrözési végpontok tanúsítványainak használata kimenő kapcsolatokhoz (Transact-SQL)című témakörben talál.

2. Bejövő kapcsolatok konfigurálása

   Ez a példa a következő lépésekre mutat be:

   1. Host_A konfigurálása bejövő kapcsolatokhoz.

   2. Host_B konfigurálása bejövő kapcsolatokhoz.

   Az adatbázis-tükrözés beállításának ezen szakaszáról a Az adatbázis-tükrözési végpontok tanúsítványainak használata bejövő kapcsolatokhoz (Transact-SQL)című témakörben olvashat.

3. A Tükrözés adatbázis létrehozása

   A tükrözött adatbázis létrehozásáról további információt a Tüköradatbázis előkészítése tükrözéshez (SQL Server)című témakörben talál.

4. Tükrözési partnerek konfigurálása

Kimenő kapcsolatok konfigurálása

Kimenő kapcsolatok Host_A konfigurálása

1. A főadatbázison szükség esetén hozza létre az adatbázis főkulcsát. Cserélje le a <password> érvényes jelszóra.

   USE master;  
   CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<password>';  
   GO  
   

2. Hozzon létre egy tanúsítványt ehhez a kiszolgálópéldányhoz.

   USE master;  
   CREATE CERTIFICATE HOST_A_cert   
      WITH SUBJECT = 'HOST_A certificate';  
   GO  
   

3. Hozzon létre egy tükrözési végpontot a kiszolgálópéldányhoz a tanúsítvány használatával.

   CREATE ENDPOINT Endpoint_Mirroring  
      STATE = STARTED  
      AS TCP (  
         LISTENER_PORT=7024  
         , LISTENER_IP = ALL  
      )   
      FOR DATABASE_MIRRORING (   
         AUTHENTICATION = CERTIFICATE HOST_A_cert  
         , ENCRYPTION = REQUIRED ALGORITHM AES  
         , ROLE = ALL  
      );  
   GO  
   

4. Készítsen biztonsági másolatot a HOST_A tanúsítványról, és másolja más rendszerbe, HOST_B.

   BACKUP CERTIFICATE HOST_A_cert TO FILE = 'C:\HOST_A_cert.cer';  
   GO  
   

5. Bármilyen biztonságos másolási módszerrel másolja a C:\HOST_A_cert.cer a HOST_B.

Kimenő kapcsolatok Host_B konfigurálása

1. A főadatbázison szükség esetén hozza létre az adatbázis főkulcsát.

   USE master;  
   CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<Strong_Password_#2>';  
   GO  
   

2. Készítsen tanúsítványt a HOST_B kiszolgálópéldányon.

   CREATE CERTIFICATE HOST_B_cert   
      WITH SUBJECT = 'HOST_B certificate for database mirroring';  
   GO  
   

3. Hozzon létre egy tükrözési végpontot a szerverpéldány számára a HOST_B-n.

   CREATE ENDPOINT Endpoint_Mirroring  
      STATE = STARTED  
      AS TCP (  
         LISTENER_PORT=7024  
         , LISTENER_IP = ALL  
      )   
      FOR DATABASE_MIRRORING (   
         AUTHENTICATION = CERTIFICATE HOST_B_cert  
         , ENCRYPTION = REQUIRED ALGORITHM AES  
         , ROLE = ALL  
      );  
   GO  
   

4. Készítsen biztonsági mentést a HOST_B tanúsítványról.

   BACKUP CERTIFICATE HOST_B_cert TO FILE = 'C:\HOST_B_cert.cer';  
   GO   
   

5. Bármilyen biztonságos másolási módszerrel másolja a C:\HOST_B_cert.cer-t a HOST_A-ra.

További információért lásd: Adatbázis tükrözési végpont hitelesítések használatához a kimenő kapcsolatok során (Transact-SQL).

[Példa tetején]

Bejövő kapcsolatok konfigurálása

Bejövő kapcsolatok Host_A konfigurálása

1. Hozzon létre hozzáférést HOST_A-n a HOST_B számára. Cserélje le a <password> érvényes jelszóra.

   USE master;  
   CREATE LOGIN HOST_B_login WITH PASSWORD = '<password>';  
   GO  
   

2. --Hozzon létre egy felhasználót a bejelentkezéshez.

   CREATE USER HOST_B_user FOR LOGIN HOST_B_login;  
   GO  
   

3. Társítsa a tanúsítványt a felhasználóhoz.

   CREATE CERTIFICATE HOST_B_cert  
      AUTHORIZATION HOST_B_user  
      FROM FILE = 'C:\HOST_B_cert.cer'  
   GO  
   

4. ADJON CONNECT-engedélyt a távoli tükrözési végpont bejelentkezéséhez.

   GRANT CONNECT ON ENDPOINT::Endpoint_Mirroring TO [HOST_B_login];  
   GO  
   

Bejövő kapcsolatok Host_B konfigurálása

1. Hozzon létre egy bejelentkezést a HOST_A számára a HOST_B-n.

   USE master;  
   CREATE LOGIN HOST_A_login WITH PASSWORD = '=Sample#2_Strong_Password2';  
   GO  
   

2. Hozzon létre egy felhasználót a bejelentkezéshez.

   CREATE USER HOST_A_user FOR LOGIN HOST_A_login;  
   GO  
   

3. A tanúsítvány társítása a felhasználóval.

   CREATE CERTIFICATE HOST_A_cert  
      AUTHORIZATION HOST_A_user  
      FROM FILE = 'C:\HOST_A_cert.cer'  
   GO  
   

4. ADJON CONNECT-engedélyt a távoli tükrözési végpont bejelentkezéséhez.

   GRANT CONNECT ON ENDPOINT::Endpoint_Mirroring TO [HOST_A_login];  
   GO  
   

Fontos

Ha magas biztonsági módban szeretne futni automatikus feladatátvétellel, ugyanazokat a telepítési lépéseket kell megismételnie a tanúsító kimenő és bejövő kapcsolatokhoz való konfigurálásához. A bemenő kapcsolatoknak a tanúk bevonásakor történő beállításához be kell állítania a tanúhoz tartozó bejelentkezéseket és felhasználókat mindkét partnernél és a tanú mindkét partnerénél.

További információért lásd: Engedélyezze, hogy az adatbázis tükrözés végpontja tanúsítványokat használjon bejövő kapcsolatokhoz (Transact-SQL).

[Példa tetején]

A Tükröző adatbázis létrehozása

A tükrözött adatbázis létrehozásáról további információt a Tüköradatbázis előkészítése tükrözéshez (SQL Server)című témakörben talál.

A tükrözési partnerek konfigurálása

1. A HOST_B szerver tükrözött kiszolgálópéldányában állítsa be a HOST_A kiszolgálópéldányt partnerként (így az válik az eredeti fő kiszolgálópéldánnyá). Helyettesítse a TCP://HOST_A.Mydomain.Corp.Adventure-Works``.com:7024-t egy érvényes hálózati címmel. További információ: Kiszolgáló hálózati címének megadása (adatbázis-tükrözés).

   --At HOST_B, set server instance on HOST_A as partner (principal server):  
   ALTER DATABASE AdventureWorks   
       SET PARTNER = 'TCP://HOST_A.Mydomain.Corp.Adventure-Works.com:7024';  
   GO  
   

2. A HOST_A fő kiszolgálópéldányán állítsa be a HOST_B szerverpéldányt partnerként (ezáltal kezdeti tükrözött szerverpéldánnyá téve). Helyettesítse TCP://HOST_B.Mydomain.Corp.Adventure-Works.com:7024-t érvényes hálózati címmel.

   --At HOST_A, set server instance on HOST_B as partner (mirror server).  
   ALTER DATABASE AdventureWorks   
       SET PARTNER = 'TCP://HOST_B.Mydomain.Corp.Adventure-Works.com:7024';  
   GO  
   

3. Ez a példa feltételezi, hogy a munkamenet nagy teljesítményű módban fog futni. Ha ezt a munkamenetet nagy teljesítményű módra szeretné konfigurálni, az elsődleges kiszolgálópéldányon (HOST_A) állítsa a tranzakcióbiztonságot KI értékre.

   --Change to high-performance mode by turning off transaction safety.  
   ALTER DATABASE AdventureWorks   
       SET PARTNER SAFETY OFF  
   GO  
   

   Jegyzet

   Ha nagy biztonságú módban szeretne futni automatikus feladatátvétellel, hagyja, hogy a tranzakcióbiztonság FULL értéken maradjon (ami az alapértelmezett beállítás), és a második SET PARTNER 'partner_server' utasítás végrehajtása után a lehető leghamarabb adja hozzá a tanút. Vegye figyelembe, hogy a tanút először a kimenő és bejövő kapcsolatokhoz kell konfigurálni.

[Példa tetején]

Kapcsolódó tevékenységek

• Tüköradatbázis előkészítése tükrözéshez (SQL Server)

• Az adatbázis-tükrözési végpontok tanúsítványainak használata bejövő kapcsolatokhoz (Transact-SQL)

• Az adatbázistükrözési végpontok tanúsítványainak használata kimenő kapcsolatokhoz (Transact-SQL)

• Bejelentkezések és feladatok kezelése szerepkörváltás után (SQL Server)

• Metaadatok kezelése, amikor egy adatbázist elérhetővé tesz egy másik kiszolgálópéldányon (SQL Server) (SQL Server)

• Az adatbázis-tükrözési konfiguráció (SQL Server) hibaelhárítása

Lásd még:

Adatbázis tükrözés és Always On elérhetőségi csoportok szállítási biztonsága (SQL Server)
Kiszolgáló hálózati címének (adatbázis-tükrözés) megadása
Adatbázis-tükrözési végpont (SQL Server)
Tanúsítványok használata adatbázistükrözési végponthoz (Transact-SQL)
ALTER DATABASE (Transact-SQL)
Security Center for SQL Server Database Engine és az Azure SQL Database