Estamos migrando um banco de dados com TDE habilitado de uma máquina SQL 2016 SP3 para uma máquina SQL 2022 CU17.
Nova configuração do servidor: para preparar o novo servidor, restaurei a chave mestra do serviço e a chave mestra do banco de dados mestre (com chave privada), bem como o certificado TDE armazenado no mestre. Eu tive um problema muito cedo com a chave mestra do serviço, mas consegui resolvê-lo executando o novo serviço SQL como a mesma conta do Windows AD do servidor anterior. Posso fornecer os scripts que usei para fazer qualquer/toda essa configuração, mas não queria desorganizar muito o post
Quando restauro o banco de dados no novo servidor, estou executando:
USE [master]
GO
Open Master Key Decryption by password = '8675309'
RESTORE DATABASE mysecuredb FROM
DISK = '\\myshare\mysecuredbbackup.bak'
WITH REPLACE
USE [mysecuredb]
OPEN MASTER KEY DECRYPTION BY PASSWORD = '12345'
ALTER MASTER KEY REGENERATE WITH ENCRYPTION BY PASSWORD = '54321'
Ambos os comandos são bem-sucedidos, então parece que a chave está acessível como esperado após a restauração. DBCC CHECKDB também aparece limpo.
Quando restauro o banco de dados, ele executa as etapas de atualização para 2022 e fica online, mas quando executo ALTER DATABASE mysecuredb SET ENCRYPTION ON, recebo o seguinte conjunto de erros
Informações: Iniciando verificação de criptografia do banco de dados 'mysecuredb'.
Erro 15581: Crie uma chave mestra no banco de dados ou abra a chave mestra na sessão antes de executar esta operação.
Erro 9001: O log do banco de dados 'mysecuredb' não está disponível. Verifique o log de erros do sistema operacional para mensagens de erro relacionadas. Resolva quaisquer erros e reinicie o banco de dados.
O banco de dados não se torna suspeito como eu esperaria com corrupção, mas sys.dm_database_encryption_keys mostra que o banco de dados está preso no estado 2 (Criptografia em andamento), aparentemente sem nenhuma maneira de continuar ou reverter a ação de criptografia. Pode valer a pena notar que o banco de dados também tem criptografia de célula habilitada para algumas colunas, no entanto, consigo descriptografar esses dados usando as chaves SYM/ASYM após a restauração (mas enquanto o TDE está desabilitado).
Esta é a minha primeira vez interagindo com o TDE, pois o antigo dono desta infraestrutura navegou para pastos mais verdes, mas não tenho certeza do que estou perdendo na documentação disponível da MS. Qualquer ajuda é bem-vinda!