ALTER SERVICE MASTER KEY (Transact-SQL)
Berlaku untuk:
SQL ServerAzure SQL Managed Instance
Mengubah kunci master layanan instans SQL Server.
Sintaksis
ALTER SERVICE MASTER KEY
[ { <regenerate_option> | <recover_option> } ] [;]
<regenerate_option> ::=
[ FORCE ] REGENERATE
<recover_option> ::=
{ WITH OLD_ACCOUNT = 'account_name' , OLD_PASSWORD = 'password' }
|
{ WITH NEW_ACCOUNT = 'account_name' , NEW_PASSWORD = 'password' }
Catatan
Untuk melihat sintaks Transact-SQL untuk SQL Server 2014 (12.x) dan versi yang lebih lama, lihat Dokumentasi versi sebelumnya.
Argumen
KEKUATAN
Menunjukkan bahwa kunci master layanan harus diregenerasi, bahkan dengan risiko kehilangan data. Untuk informasi selengkapnya, lihat Mengubah Akun Layanan SQL Server nanti dalam topik ini.
REGENERASI
Menunjukkan bahwa kunci master layanan harus diregenerasi.
OLD_ACCOUNT ='account_name'
Menentukan nama akun layanan Windows lama.
Peringatan
Opsi ini usang. Jangan gunakan. Gunakan Pengelola Konfigurasi SQL Server sebagai gantinya.
OLD_PASSWORD ='password'
Menentukan kata sandi akun layanan Windows lama.
Peringatan
Opsi ini usang. Jangan gunakan. Gunakan Pengelola Konfigurasi SQL Server sebagai gantinya.
NEW_ACCOUNT ='account_name'
Menentukan nama akun layanan Windows baru.
Peringatan
Opsi ini usang. Jangan gunakan. Gunakan Pengelola Konfigurasi SQL Server sebagai gantinya.
NEW_PASSWORD ='password'
Menentukan kata sandi akun layanan Windows baru.
Peringatan
Opsi ini usang. Jangan gunakan. Gunakan Pengelola Konfigurasi SQL Server sebagai gantinya.
Keterangan
Kunci master layanan secara otomatis dihasilkan saat pertama kali diperlukan untuk mengenkripsi kata sandi server tertaut, kredensial, atau kunci master database. Kunci master layanan dienkripsi menggunakan kunci komputer lokal atau API Perlindungan Data Windows. API ini menggunakan kunci yang berasal dari kredensial Windows dari akun layanan SQL Server.
SQL Server 2012 (11.x) menggunakan algoritma enkripsi AES untuk melindungi kunci master layanan (SMK) dan kunci master database (DMK). AES adalah algoritma enkripsi yang lebih baru dari 3DES yang digunakan dalam versi sebelumnya. Setelah meningkatkan instans Mesin Database ke SQL Server 2012 (11.x) SMK dan DMK harus diregenerasi untuk meningkatkan kunci master ke AES. Untuk informasi selengkapnya tentang meregenerasi DMK, lihat MENGUBAH KUNCI MASTER (Transact-SQL).
Mengubah Akun Layanan SQL Server
Untuk mengubah akun layanan SQL Server, gunakan Pengelola Konfigurasi SQL Server. Untuk mengelola perubahan akun layanan, SQL Server menyimpan salinan berlebihan dari kunci master layanan yang dilindungi oleh akun komputer yang memiliki izin yang diperlukan yang diberikan ke grup layanan SQL Server. Jika komputer dibangun kembali, pengguna domain yang sama yang sebelumnya digunakan oleh akun layanan dapat memulihkan kunci master layanan. Ini tidak berfungsi dengan akun lokal atau akun Sistem Lokal, Layanan Lokal, atau Layanan Jaringan. Saat Anda memindahkan SQL Server ke komputer lain, migrasikan kunci master layanan dengan menggunakan pencadangan dan pemulihan.
Frasa REGENERATE meregenerasi kunci master layanan. Ketika kunci master layanan diregenerasi, SQL Server mendekripsi semua kunci yang telah dienkripsi dengannya, lalu mengenkripsinya dengan kunci master layanan baru. Ini adalah operasi intensif sumber daya. Anda harus menjadwalkan operasi ini selama periode permintaan rendah, kecuali kunci telah disusupi. Jika salah satu dekripsi gagal, seluruh pernyataan gagal.
Opsi FORCE menyebabkan proses regenerasi kunci berlanjut meskipun proses tidak dapat mengambil kunci master saat ini, atau tidak dapat mendekripsi semua kunci privat yang dienkripsi dengannya. Gunakan FORCE hanya jika regenerasi gagal dan Anda tidak dapat memulihkan kunci master layanan dengan menggunakan pernyataan RESTORE SERVICE MASTER KEY .
Perhatian
Kunci master layanan adalah akar hierarki enkripsi SQL Server. Kunci master layanan secara langsung atau tidak langsung melindungi semua kunci dan rahasia lain di pohon. Jika kunci dependen tidak dapat didekripsi selama regenerasi paksa, data yang diamankan kunci akan hilang.
Jika Anda memindahkan SQL ke komputer lain, maka Anda harus menggunakan akun layanan yang sama untuk mendekripsi SMK - SQL Server akan memperbaiki enkripsi akun Komputer secara otomatis.
Izin
Memerlukan izin SERVER KONTROL pada server.
Contoh
Contoh berikut meregenerasi kunci master layanan.
ALTER SERVICE MASTER KEY REGENERATE;
GO
Lihat Juga
PULIHKAN KUNCI MASTER LAYANAN (Transact-SQL)
KUNCI MASTER LAYANAN CADANGAN (T-SQL)
Hierarki Enkripsi
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk