從舊版 適用於 Microsoft Azure Key Vault 的 SQL Server 連接器 還原備份時發生錯誤 33111

  • 文章

原始 KB 編號: 4470999

本文討論當您嘗試還原 TDE (透明數據加密時所發生的錯誤,) 針對 Microsoft Azure 金鑰保存庫 使用舊版 SQL Server 連接器的伺服器上所做的備份。

徵狀

當您嘗試從使用 SQL Server Connector for SQL Server 金鑰保存庫 1.0.4.0 或舊版的 適用於 Microsoft Azure Key Vault 的 SQL Server 連接器 1.0.5.0 還原資料庫備份時,遇到問題。

假設您部署下列 Microsoft SQL Server 實例:

  • SQL Server 實例sql1已部署 SQL Server Connector for 金鑰保存庫 1.0.4.0。

  • SQL Server 實例sql2已部署 SQL Server Connector for 金鑰保存庫 1.0.5.0。

  • 使用下列查詢,從 金鑰保存庫 中相同非對稱密鑰來源的 和 sql2 實例上sql1部署非對稱密鑰:

    CREATE ASYMMETRIC KEY TDE_KEY 
FROM PROVIDER AzureKeyVaultProvider 
WITH PROVIDER_KEY_NAME = 'key1', 
CREATION_DISPOSITION = OPEN_EXISTING

如果您檢閱這兩部伺服器上的指紋值,您會發現指紋長度不同,雖然它們是從相同的來源建立而來。 1.0.5.0 版指紋的長度超過1.0.4.0版。

1.0.4.0 指紋範例:

0x2C5677D76F76D77F80

1.0.5.0 指紋範例:

0x373B314B78E8D59A0925494558FEF14B726216C5

此變更會導致備份和還原作業期間發生問題。

例如:

您有一個資料庫備份,該備份是由 實例中 金鑰保存庫 sql1 中的非對稱密鑰加密。

sql2 例已建立非對稱密鑰。

如果您嘗試還原實例上的 sql2 備份,作業會失敗,並傳回類似下列訊息的錯誤訊息:

Msg 33111, Level 16, State 4, Line <LineNumber>

找不到指紋為 『0x2C5677D76F76D77F80』 的伺服器非對稱金鑰。

附註:

擷取每個金鑰指紋的查詢如下:

SELECT thumbprint, * FROM master.sys.asymmetric_keys

擷取每個 TDE 資料庫指紋的查詢如下:

SELECT DatabaseName(ddek.database_id) AS DatabaseName, ak.name
AS [Asymmetric key Name], ak.thumbprint FROM
sys.dm_database_encryption_keys ddek INNER JOIN
master.sys.asymmetric_keys ak ON
ak.thumbprint = ddek.encryptor_thumbprint

原因

SQL Server Connector 1.0.5.0 版中引進了更新,金鑰保存庫 會變更程式計算指紋的方式。 在 1.0.5.0 版中,此計算符合程式引擎用來支援下列移轉案例的邏輯:

寄件者:使用可延伸密鑰管理 (EKM) 的內部部署 Microsoft SQL Server

至:使用自備金鑰 (BYOK 的 Microsoft Azure SQL 資料庫) 支援透明數據加密 (TDE)

由於這項變更,當您嘗試從 1.0.4.0 版或舊版還原資料庫備份時,可能會遇到問題。

解決方案

  1. 將 SQL Server Connector for 金鑰保存庫 1.0.4.0 或舊版複製到sql2實例伺服器。

  2. 在伺服器上執行 sql2 下列查詢, CRYPTOGRAPHIC PROVIDER 將 變更為 1.0.4.0 版:

    ALTER CRYPTOGRAPHIC PROVIDER AzureKeyVaultProvider
FROM FILE =
'FilePath\FileName\SQL Server Connector for Microsoft Azure Key Vault\1.0.4.0\Microsoft.AzureKeyVaultService.EKM.dll'

    1. 重新啟動 SQL Server。

    2. 使用 CRYPTOGRAPHIC PROVIDER 1.0.4.0 建立新的非對稱密鑰。

        CREATE ASYMMETRIC KEY TDE_KEY_1040 
  FROM PROVIDER AzureKeyVaultProvider 
  WITH PROVIDER_KEY_NAME = 'key1', 
  CREATION_DISPOSITION = OPEN_EXISTING

  3. 您可以使用下列查詢來確認這兩個非對稱金鑰是否存在:

    SELECT thumbprint,* FROM master.sys.asymmetric_keys

  4. 使用類似下列查詢的查詢,將認證新增至下列範例) 中的非對稱密鑰對應登入 (TDE_Login:

    ALTER LOGIN [Contoso\DomainUser] DROP CREDENTIAL sysadmin_ekm_cred; 
ALTER LOGIN TDE_Login ADD CREDENTIAL sysadmin_ekm_cred;

  5. 您現在應該能夠還原備份。

  6. 在上 sql2 執行下列查詢, CRYPTOGRAPHIC PROVIDER 將 還原為 1.0.5.0 版:

    ALTER CRYPTOGRAPHIC PROVIDER AzureKeyVaultProvider 
FROM FILE =
'FilePath\FileName\SQL Server Connector for Microsoft Azure Key Vault\1.0.5.0\Microsoft.AzureKeyVaultService.EKM.dll'

  7. 重新啟動 SQL Server。

  8. 若要使用新的指紋,請使用相同的非對稱密鑰或新版本的非對稱密鑰來執行下列查詢。

    ALTER DATABASE ENCRYPTION KEY
ENCRYPTION BY SERVER ASYMMETRIC KEY <KeyName_1.0.5.0_version>