SQL Server TDE 证书或密钥轮换后出现 Msg 33111 错误

本文可帮助你解决执行透明数据加密 (TDE) 证书或密钥轮换、删除原始认证,然后使用 COMPRESSION+MAXTRANSFERSIZE 执行日志备份后出现的问题。

适用于:SQL Server 2019、SQL Server 2016、SQL Server 2014、SQL Server 2012
原始 KB 编号: 4534430

症状

执行透明数据加密 (TDE) 证书或密钥轮换后,删除原始认证,然后使用 COMPRESSION+MAXTRANSFERSIZE 执行日志备份,收到以下错误:

消息 33111,级别 16,状态 3,Line LineNumber
找不到指纹为“%”的服务器证书。
消息 3013,级别 16,状态 1,LineLineNumber
BACKUP LOG 异常终止。

原因

更改证书或密钥时,当前活动虚拟日志文件 (VLF) (由上一个密钥加密)将关闭。 新认证将使用和加密下一个可用的 VLF (或新创建的 VLF) 。

在此阶段,事务日志文件保留以前证书加密的日志记录,以及由新证书加密的日志记录。

使用 COMPRESSION+MAXTRANSFERSIZE 参数执行日志备份时,先前证书加密的日志记录将被解密,然后由新证书加密,然后保存到备份文件中。

因此,解密需要以前的认证。 如果以前的证书不存在,日志备份将失败。

解决方案

还原以前的认证,然后重试备份。

注意

建议保留认证备份,以防将来出现问题。

状态

Microsoft 正在研究此问题,并且将在获得更多信息之后在本文中添加这些信息。

References

了解 用于描述 Microsoft 软件更新的标准术语的说明,Microsoft 用来描述软件更新。