Estou pesquisando sobre criptografia de banco de dados e, embora o TDE pareça fazer exatamente o que diz na lata, parece não haver informações sobre como configurá-lo em um Cluster SQL de failover da Microsoft ou se há alguma advertência sobre criptografia em um ambiente de cluster (além daqueles listados no MSDN ).
Tentando destilar as informações que tenho (principalmente daqui e daqui, mas de outros googles aleatórios), acho que a resposta é que não preciso fazer nada e simplesmente funciona. A chave mestra e o certificado estão no banco de dados mestre e o DMK está no banco de dados do usuário, portanto, em uma situação de failover, tudo existe nos arquivos MDF para o nó de failover executar (em vez de quaisquer chaves ocultas no registro que precisariam para ser sincronizado entre nós).
O problema é que não há nada que afirme isso explicitamente (ou falhei completamente em ler a sentença que o diz), então estou apenas buscando esclarecimentos de que não estou perdendo algo óbvio, que nada de especial precisa ser configurado e "simplesmente funciona".
Sim, tenho 2 clusters com TDE no SQL 2008 R1 e no SQL 2012 e nada de especial foi necessário. A chave mestra é criptografada pelo serviço DPAPl do Windows (acho que é o acrônimo correto), mas a chave gerada está no banco de dados mestre que é movido entre os nós, conforme você afirmou.