Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Van toepassing op:
SQL ServerAzure SQL Managed Instance
Verandert de service-hoofdsleutel van een instantie van SQL Server.
Transact-SQL syntaxis-conventies
Syntax
ALTER SERVICE MASTER KEY
[ { <regenerate_option> | <recover_option> } ] [;]
<regenerate_option> ::=
[ FORCE ] REGENERATE
<recover_option> ::=
{ WITH OLD_ACCOUNT = 'account_name' , OLD_PASSWORD = 'password' }
|
{ WITH NEW_ACCOUNT = 'account_name' , NEW_PASSWORD = 'password' }
Arguments
KRACHT
Geeft aan dat de service-hoofdsleutel opnieuw moet worden gegenereerd, zelfs met het risico op dataverlies. Voor meer informatie, zie Wijzigen van het SQL Server Service Account later in dit onderwerp.
REGENEREER
Geeft aan dat de service-hoofdsleutel opnieuw gegenereerd moet worden.
OLD_ACCOUNT ='account_name'
Specificeert de naam van het oude Windows-serviceaccount.
Waarschuwing
Deze optie is verouderd. Niet gebruiken. Gebruik in plaats daarvan SQL Server Configuration Manager.
OLD_PASSWORD ='wachtwoord'
Geeft het wachtwoord van het oude Windows-serviceaccount op.
Waarschuwing
Deze optie is verouderd. Niet gebruiken. Gebruik in plaats daarvan SQL Server Configuration Manager.
NEW_ACCOUNT ='account_name'
Specificeert de naam van het nieuwe Windows-serviceaccount.
Waarschuwing
Deze optie is verouderd. Niet gebruiken. Gebruik in plaats daarvan SQL Server Configuration Manager.
NEW_PASSWORD ='wachtwoord'
Specificeert het wachtwoord van het nieuwe Windows-serviceaccount.
Waarschuwing
Deze optie is verouderd. Niet gebruiken. Gebruik in plaats daarvan SQL Server Configuration Manager.
Remarks
De service-hoofdsleutel wordt automatisch gegenereerd de eerste keer dat deze nodig is om een gekoppeld serverwachtwoord, credential of database-hoofdsleutel te versleutelen. De service-hoofdsleutel is versleuteld met behulp van de lokale machinesleutel of de Windows Data Protection API. Deze API gebruikt een sleutel die is afgeleid van de Windows-inloggegevens van het SQL Server-serviceaccount.
SQL Server 2012 (11.x) maakt gebruik van het AES-versleutelingsalgoritmen om de servicehoofdsleutel (SMK) en de databasehoofdsleutel (DMK) te beveiligen. AES is een nieuwere versleutelingsalgoritmen dan 3DES die in eerdere versies worden gebruikt. Na het upgraden van een instantie van de Database Engine naar SQL Server 2012 (11.x) zouden de SMK en DMK opnieuw moeten worden gegenereerd om de hoofdsleutels naar AES te upgraden. Zie (Transact-SQL) voor meer informatie over het regenereren van de DMKALTER MASTER KEY.
Het SQL Server Service-account wijzigen
Om het SQL Server-serviceaccount te wijzigen, gebruik je SQL Server Configuration Manager. Om een wijziging van het serviceaccount te beheren, slaat SQL Server een redundante kopie op van de servicehoofdsleutel die beschermd wordt door het machineaccount dat de benodigde rechten heeft toegekend aan de SQL Server-servicegroep. Als de computer wordt herbouwd, kan dezelfde domeingebruiker die eerder door het serviceaccount werd gebruikt, de service-hoofdsleutel herstellen. Dit werkt niet met lokale accounts of met het Local System, Local Service of Network Service-accounts. Wanneer je SQL Server naar een andere computer verplaatst, migreer dan de service master key met back-up en herstel.
De REGENERE-frase regenereert de service-hoofdsleutel. Wanneer de service-hoofdsleutel wordt geregenereerd, ontsleutelt SQL Server alle sleutels die ermee zijn versleuteld en versleutelt deze vervolgens met de nieuwe diensthoofdsleutel. Dit is een operatie die veel middelen kost. Je moet deze operatie plannen tijdens een periode van lage vraag, tenzij de sleutel is gecompromitteerd. Als een van de decrypties faalt, faalt de hele instructie.
De FORCE-optie zorgt ervoor dat het sleutelregeneratieproces doorgaat, zelfs als het proces de huidige hoofdsleutel niet kan ophalen, of niet alle privésleutels die ermee zijn versleuteld kan ontsleutelen. Gebruik FORCE alleen als regeneratie faalt en je de service master key niet kunt herstellen met de RESTORE SERVICE MASTER KEY instructie.
Caution
De service master key is de wortel van de SQL Server-encryptiehiërarchie. De hoofdsleutel van de service beschermt direct of indirect alle andere sleutels en geheimen in de structuur. Als een afhankelijke sleutel niet kan worden ontsleuteld tijdens een gedwongen regeneratie, gaan de gegevens die de sleutel beveiligt verloren.
Als je SQL naar een andere machine verplaatst, moet je hetzelfde serviceaccount gebruiken om de SMK te ontsleutelen - SQL Server zal de versleuteling van het machineaccount automatisch repareren.
Permissions
Vereist CONTROL SERVER-perspectief op de server.
Examples
Het volgende voorbeeld regenereert de service-hoofdsleutel.
ALTER SERVICE MASTER KEY REGENERATE;
GO
Zie ook
RESTORE
SERVICE
RESTORE SERVICE MASTER KEY (Transact-SQL)
BACKUP
SERVICE
BACKUP SERVICE MASTER KEY (Transact-SQL)
Versleutelingshiërarchie