KB2463682-FIX: SQL Server 2008 または SQL Server 2008 R2 でサーバー証明書が削除されると、透過データ暗号化が有効になっているデータベースが "suspect" とマークされます。

現象

次のような状況で問題が発生します。

• SQL Server 2008 または SQL Server 2008 R2 を実行しているサーバーでは、マスターデータベースでサーバー証明書を作成します。

• サーバー証明書を使用して、データベース暗号化キー (DEK) がセキュリティで保護されているユーザーデータベースの透過データ暗号化を有効にします。

• サーバー証明書を削除します。

• データベースに対して新しいトランザクションを開始します。

このシナリオでは、新しいトランザクションは完了していません。 特に、トランザクションは WRITELOG wait 型で無限に待機します。 さらに、データベースが "疑わしい" とマークされている可能性があります。ノート

• この問題は、バックアップから証明書を復元しても、引き続き発生します。

• この問題が発生すると、SQL Server は停止要求に応答しません。 SQL Server を終了するには、NOWAIT オプションと共に Shutdown コマンドを実行します。

• 特定のシナリオでは、次のようなエラーが SQL Server のエラーログに記録されることがあります。

  日付時刻 spid5s エラー: 33111、Severity:16、都道府県: 3。日付時刻 spid5s 拇印 ' 0xF9384BBA39E82B87D07A8D9AEBD58DDF55B715A3 ' のサーバー証明書が見つかりません。日付時刻 spid175 エラー: 15507、レベル:16、状態: 1。日付時刻 spid175 この操作で必要なキーが破損している可能性があります。日付時刻 spid175 エラー: 3314、Severity:21、状態: 4。日付の時刻 spid175 データベースの "データベース名" でログに記録された操作を元に戻すときに、ログレコード ID (10637:3496:70) でエラーが発生しました。 通常、特定のエラーは、Windows イベントログサービスのエラーとして記録されます。 バックアップからデータベースまたはファイルを復元するか、データベースを修復します。日付時刻 spid18s エラー: 9001、レベル:21、状態: 5。日付時刻 spid18s データベース 'データベース名' のログは使用できません。 イベントログで、関連するエラーメッセージを確認します。 エラーを解決し、データベースを再起動します。

解決方法

状態

Microsoft は、この問題は「適用対象」セクションに記載されている Microsoft 製品の問題であることを確認しています。この問題は、sql server 2008 R2 Service Pack 1 for SQL Server 2008 R2 で最初に修正されました。この問題は、SQL Server 2008 Service Pack 3 で最初に修正されました。

詳細情報

この修正プログラムでは、次のシナリオでエラー33111が発生しないようにすることもできます。

1. データベースは暗号化されます。

2. 同じデータベースの暗号化が解除されます。

3. データベースキーを暗号化する証明書は削除されますが、データベースキーは削除されません。

このシナリオで、SQL Server を実行しているコンピューターが再起動されると、データベースの回復時に次のエラーが返されます。

Service Pack 3 (SP3) が SQL Server 2008 に適用されると、データベースキーがドロップされる前に証明書のドロップが行われると、次のエラーが発生します。

この問題を解決するには、次の手順に従ってデータベースの暗号化を解除します。

1. バックアップから証明書を再作成します。

2. データベースをオンラインにします。

3. 暗号化されたデータベースで [データベース暗号化キーの削除] コマンドを実行します。

4. この場合、証明書をドロップします。

透過的なデータ暗号化 (TDE) の詳細については、次の MSDN web サイトを参照してください。

透過データ暗号化 (TDE) についてソフトウェア更新プログラムに関する用語の関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。

824684 マイクロソフトのソフトウェアの更新で使用される一般的な用語の説明