若要在指定的伺服器實例上啟用資料庫鏡像的憑證驗證,系統管理員必須將每個伺服器實例設定為在輸出和輸入聯機上使用憑證。 必須先設定輸出連線。
備註
伺服器執行個體上的所有鏡像連接都使用單一資料庫鏡像端點,而您必須在建立端點時指定伺服器執行個體的驗證方法。 因此,針對資料庫鏡像,每個伺服器實例只能使用一種驗證形式。
設定傳出網路連線
在您要設定資料庫鏡像的每個伺服器實例上,遵循下列步驟:
在 master 資料庫中,建立資料庫主要密鑰。
在 master 資料庫中,建立伺服器執行個體的加密憑證。
使用伺服器執行個體的憑證來建立其端點。
將憑證備份至檔案中,並以安全的方式將其複製到其他一或多個系統。
您必須為每一個夥伴或見證 (如果有的話) 完成上述步驟。
如需詳細資訊,請參閱允許資料庫鏡像端點使用憑證進行輸出連線 (Transact-SQL)。
設定傳入連接
接下來,針對您要針對資料庫鏡像設定的每個合作夥伴,遵循下列步驟。 在 master 資料庫中:
為其他系統建立登入。
為該登入建立使用者。
取得其他伺服器實例鏡像端點的證書。
使憑證與步驟 2 所建立的使用者產生關聯。
將 CONNECT 權限授與登入,以連接該鏡像端點。
如果有見證人,您也必須為他設定傳入連接。 這需要在兩個夥伴上設定見證的登入、使用者和憑證,反之亦然。
如需詳細資訊,請參閱 允許資料庫鏡像端點使用憑證進行輸入連線 (Transact-SQL)。
安全
除非您可保證網路的安全無虞,否則建議您對資料庫鏡像連接使用加密。 如需詳細資訊,請參閱資料庫鏡像端點 (SQL Server)。
將憑證複製到另一個系統時,請使用安全複製方法。 務必將您所有的憑證小心保管。
另請參閱
建立資料庫主要金鑰
CREATE MASTER KEY (Transact-SQL)
資料庫鏡像和 AlwaysOn 可用性群組的傳輸安全性 (SQL Server)
SQL Server Database Engine 和 Azure SQL Database 的資訊安全中心
資料庫鏡像端點 (SQL Server)