SQL Server 2005 镜像构建

一、镜像简介

1.1 简介

数据库镜像是将数据库事务处理从一个SQL Server数据库移动到不同SQL Server环境中的另一个SQL  Server数据库中。镜像不能直接访问;它只用在错误恢复的情况下才可以被访问。

要进行数据库镜像所需的最小需求包括了两个不同的SQL  Server运行环境。主服务器被称为“主机”，第二个服务器被称作“备机”。主机数据库就是你实际用着的数据库，镜像数据库就是你的数据库的备用拷贝。当事务写入你的基本服务器的时候，他们也同样被传送到并写入你的镜像数据库中。

除了基本和镜像之外，你还可以引入另一个可选的组件，名为“见证”。见证服务器是第三个SQL Server  2005运行实例，它是在判断什么时候进行错误恢复的时候，用于基本和镜像之间内部交流。只有当你想实现自动错误恢复的时候用到这个选项。它实现了2比1投票的能力，当我的一个组件不可达，并因此需要进行错误恢复的时候。见证服务器只有在你想实现自动错误恢复的时候才需要用到。

1．2、 优点
下表是SQL  Server可用性官方解决方案的一个对照表，通常来说“热备份”比“冷备份”的可用性更高，恢复更快。如果不从成本考虑的话，“热备份”中的“故障转移群集”的可用性是最高的，但是故障转移群集需要借助磁盘阵列而且建设本身复杂性较高。数据库镜像的建立并没有太多的硬件要求，最起码没有像“故障转移群集”需要共享存储这么高的要求。

1.3、 缺点
（1）由于SQL  Server是一个实例多个数据库的产品，数据库镜像技术是基于数据库级别的，因此每次主数据库新增数据库都必须为备机增加数据库并且为新增的数据库建立镜像关系。

（2）数据库的登录名和用户是存储在master数据库，master数据库是不能做镜像的，所以每次操作数据库的登录名和用户也是需要多维护一份，

（3）数据库作业不能得到相应的维护。

（4）微软号称镜像可以让客户端对故障透明，但是实际测试中发现只有满足特定的条件才能实现透明化，而且透明化得客户端支持才可行（.net Framework  2.0以上，Microsoft jdbc驱动 1.1以上）。

（5）跨数据库事务和分布式事务均不支持数据库镜像。

纵观以上几种方式，仅有“热备份”的“故障转移群集”没有这些问题。

二、安装环境要求
2.1、说明：
DB_Mirror：本例中我们测试用的数据库名

（A）192.168.0.2：主机

（B）192.168.0.3：备机

(C）192.168.0.4：见证

三、配置主备机
3．1、 物理连接
    主、备、见证机须相互连通。考虑日志传输的快速性  ，建议三台机器放在同一局域网内，如有条件可考虑主机和备机用交叉线直连，以利于日志文件的传输。

3．2、 检查SQL Server 2005数据库版本
只有SQL Server 2005  标准版、企业版和开发版才可以建立数据镜像。其他版本即Express只能作为见证服务器。如果实在不清楚什么版本，执行如下语句查看：

select @@version;

3.3、建立要做镜像的数据库
-- 建立镜像主体数据库

-- 此操作主体服务器上执行

CREATE DATABASE DB_Mirror

ON( NAME = DB_Mirror_DATA,FILENAME = N'C:/DB_Mirror.mdf')

LOG ON( NAME = DB_Mirror_LOG,FILENAME = N'C:/DB_Mirror.ldf')

ALTER DATABASE DB_Mirror SET RECOVERY FULL –设置为完整恢复模式

--界面操作：在数据库属性的 选项中恢复模式 修改 数据库的恢复模式 作用同上

--若要对此数据库进行数据库镜像，必须将它更改为使用完整恢复模式

GO

3.4、完全备份数据库 用于在备机上还原数据库
-- 完全备份

BACKUP DATABASE DB_Mirror

TO DISK = N'C:/DB_Mirror.bak'

WITH FORMAT

GO

3.5、在备机上还原镜像数据库 注意使用 WITH NORECOVERY 选项还原数据库
-- 初始化镜像主体数据库

-- 此操作镜像服务器上执行

-- 假设主体数据库的完全备份已经复制到c:/DB_Mirror.bak

RESTORE DATABASE DB_Mirror FROM DISK = N'C:/DB_Mirror.bak'

WITH REPLACE, NORECOVERY

-- 如果镜像数据库文件要放在指定位置, 则启用下面的Move 选项

-- , MOVE 'DB_Mirror_DATA' TO N'C:/DB_Mirror.mdf'

-- , MOVE 'DB_Mirror_LOG' TO N'C:/DB_Mirror.ldf'

GO

四、主、备、见证、互通实例
实现互通可以使用域或证书来实现，考虑实现的简单，以下选取证书的方式实现。注意：实现“主备数据库实例互通”的操作只需要做一次，例如为了将两个SQL  Server 2005的实例中的5个数据库建成镜像关系，则只需要做一次以下操作就可以了；或者这样理解：每一对主备实例（不是数据库）做一次互通。

4.1、作流程描述
1、 在 主机、备机、见证机上分别创建数据库主密钥（用于加密证书）

2、 在 主机、备机、见证机上分别创建 证书（用于建立端点和登录用户）

3、 在 主机、备机、见证机上分别创建 端点（用于主、备、见证机的镜像连接）

4、 在 主机、备机、见证机上分别 备份 各自的证书

5、 在 主机、备机、见证机上分别创建 登录用户

创建原则如下：

主机：分别用 备机和见证机的证书 创建 主机 的证书 然后用 该证书创建 登录 用户。 最后分别 授予 对主机数据库镜像端点的connect 权限

备机：分别用 主机和见证机的证书 创建 主机 的证书 然后用 该证书创建 登录 用户。 最后分别 授予 对主机数据库镜像端点的connect 权限

见证机：分别用 备机和主机的证书 创建 主机 的证书 然后用 该证书创建 登录 用户。 最后分别 授予 对主机数据库镜像端点的connect 权限

1、      在 主机、备机上 分别建立 镜像：

主机： 启用到 备机和见证机的 数据库镜像

备机： 启用到 主机 的 数据库镜像

4.2、创建证书（主、备、见证可并行执行）

--主机执行：

--DROP MASTER KEY --删除密钥

--DROP CERTIFICATE HOST_A_cert --删除证书

CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'baijunlin' --创建密钥

CREATE CERTIFICATE HOST_A_cert WITH SUBJECT = 'HOST_A_certificate',START_DATE  = '04/09/2009' '创建证书

-- baijunlin 加密密钥字符串。HOST_A_cert 主机证书名称，START_DATE 开始生效日期，必须小于当前系统时间

--备机执行：

--DROP MASTER KEY --删除密钥

--DROP CERTIFICATE HOST_A_cert --删除证书

CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'baijunlin' --创建密钥

CREATE CERTIFICATE HOST_B_cert WITH SUBJECT = 'HOST_B_certificate',START_DATE  = '04/09/2009',EXPIRY_DATE = '07/17/2099'

--创建证书，baijunlin 加密密钥字符串。HOST_A_cert 主机证书名称，START_DATE 开始生效日-期，必须小于当前系统时间， EXPIRY_DATE失效日期，如果不指定失效日期，默认过期的时间是一年。当证书过期之后，数据库服务重启之后镜像将不工作。

--见证机执行：

--DROP MASTER KEY --删除密钥

--DROP CERTIFICATE HOST_A_cert --删除证书

CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'baijunlin' --创建密钥

CREATE CERTIFICATE HOST_C_cert WITH SUBJECT = 'HOST_C_certificate',START_DATE  = '04/09/2009',EXPIRY_DATE = '07/17/2099'

--创建证书，baijunlin 加密密钥字符串。HOST_A_cert证书名称，START_DATE 开始生效日期，必须小于当前系统时间

4.3、创建连接的端点（主、备、见证 可并行执行）
主机和备机的端点名称可以相同 也可不同（建议相同）

--主机执行：

--DROP ENDPOINT Endpoint_Name –删除端点

create ENDPOINT Endpoint_Name –端点 名称 Endpoint_Name

STATE = STARTED

AS

TCP ( LISTENER_PORT=5022 , LISTENER_IP = ALL)

FOR

DATABASE_MIRRORING

( AUTHENTICATION = CERTIFICATE HOST_A_cert , ENCRYPTION = REQUIRED ALGORITHM  AES , ROLE = ALL )

-- Endpoint_Name 端点名称 LISTENER_PORT 指定TCP连接的端口号 LISTENER_IP---连接的IP  此处设置任意IP均可连接

--备机执行：

--DROP ENDPOINT Endpoint_Name

create ENDPOINT Endpoint_Name

STATE = STARTED

AS

TCP ( LISTENER_PORT=5022 , LISTENER_IP = ALL)

FOR

DATABASE_MIRRORING

( AUTHENTICATION = CERTIFICATE HOST_B_cert , ENCRYPTION = REQUIRED ALGORITHM  AES , ROLE = ALL )

-- Endpoint_Name 端点名称 LISTENER_PORT 指定TCP连接的端口号 LISTENER_IP--连接的IP  此处任意IP均可连接

--见证机执行：

--DROP ENDPOINT Endpoint_Name

create ENDPOINT Endpoint_Name

STATE = STARTED

AS

TCP ( LISTENER_PORT=5022 , LISTENER_IP = ALL)

FOR

DATABASE_MIRRORING

( AUTHENTICATION = CERTIFICATE HOST_C_cert , ENCRYPTION = REQUIRED ALGORITHM  AES , ROLE = ALL )

-- Endpoint_Name 端点名称 LISTENER_PORT 指定TCP连接的端口号 LISTENER_IP--连接的IP  此处任意IP均可连接

以上用各自证书建立各自的镜像端点

4.4、备份证书以备建立互联（主备可并行执行）
--主机执行：

BACKUP CERTIFICATE HOST_A_cert TO FILE = 'D:/HOST_A_cert.cer';

--备机执行：

BACKUP CERTIFICATE HOST_B_cert TO FILE = 'D:/HOST_B_cert.cer';

--见证机执行：

BACKUP CERTIFICATE HOST_C_cert TO FILE = 'D:/HOST_C_cert.cer';

4．5、互换证书
将备份到D:/的证书进行互换，即

HOST_A_cert.cer复制到备机的D:/

HOST_A_cert.cer复制到见证机的D:/

HOST_B_cert.cer复制到主机的D:/

HOST_B_cert.cer复制到见证机的D:/

HOST_C_cert.cer复制到主机的D:/

HOST_C_cert.cer复制到备机的D:/

注意保存该三份证书 存放目录可任意修改

4.6、添加登陆名、用户（主、备、见证、可并行执行）
以下操作只能通过命令行运行，通过图形界面无法完成。（截至文档编写结束，SQL  Server2005的不定号为SP2）

主机执行：

--在主体服务器上完成镜像服务器数据库镜像端点的传输安全模式配置

--建立 备机 登录 用户

CREATE LOGIN HOST_B_login WITH PASSWORD = 'baijunlin';

CREATE USER HOST_B_user FOR LOGIN HOST_B_login;

CREATE CERTIFICATE HOST_B_cert AUTHORIZATION HOST_B_user FROM FILE =

'D:/HOST_B_cert.cer';

GRANT CONNECT ON ENDPOINT:: Endpoint_Name TO [HOST_B_login];

--给HOST_B_login 用户 赋予 数据库镜像端点connect 权限

--建立 见证机 登录 用

CREATE LOGIN HOST_C_login WITH PASSWORD = 'baijunlin';

CREATE USER HOST_C_user FOR LOGIN HOST_C_login;

CREATE CERTIFICATE HOST_C_cert AUTHORIZATION HOST_C_user FROM FILE =

'D:/HOST_C_cert.cer';

GRANT CONNECT ON ENDPOINT:: Endpoint_Name TO [HOST_C_login];

--给HOST_B_login 用户 赋予 数据库镜像端点connect 权限

备机执行：

--在备机服务器上完成镜像服务器数据库镜像端点的传输安全模式配置

--建立 主机 登录 用户

CREATE LOGIN HOST_A_login WITH PASSWORD = 'baijunlin';

CREATE USER HOST_A_user FOR LOGIN HOST_A_login;

CREATE CERTIFICATE HOST_A_cert AUTHORIZATION HOST_A_user FROM FILE =

'D:/HOST_A_cert.cer';

GRANT CONNECT ON ENDPOINT:: Endpoint_Name_B TO [HOST_A_login];

--给HOST_B_login 用户赋予 数据库镜像端点connect 权限

--建立见证机 登录 用

CREATE LOGIN HOST_C_login WITH PASSWORD = 'baijunlin';

CREATE USER HOST_C_user FOR LOGIN HOST_C_login;

CREATE CERTIFICATE HOST_C_cert AUTHORIZATION HOST_C_user FROM FILE =

'D:/HOST_C_cert.cer';

GRANT CONNECT ON ENDPOINT:: Endpoint_Name TO [HOST_C_login];

--给HOST_B_login 用户赋予 数据库镜像端点connect 权限

见证 机执行：

--在见证机服务器上完成镜像服务器数据库镜像端点的传输安全模式配置

--建立 主机 登录 用户

CREATE LOGIN HOST_B_login WITH PASSWORD = 'baijunlin';

CREATE USER HOST_B_user FOR LOGIN HOST_B_login;

CREATE CERTIFICATE HOST_B_cert AUTHORIZATION HOST_B_user FROM FILE =

'D:/HOST_B_cert.cer';

GRANT CONNECT ON ENDPOINT:: Endpoint_Name_B TO [HOST_B_login];

--给HOST_B_login 用户赋予 数据库镜像端点connect 权限

--建立见证机 登录 用

CREATE LOGIN HOST_A_login WITH PASSWORD = 'baijunlin';

CREATE USER HOST_A_user FOR LOGIN HOST_A_login;

CREATE CERTIFICATE HOST_A_cert AUTHORIZATION HOST_A_user FROM FILE =

'D:/HOST_A_cert.cer';

GRANT CONNECT ON ENDPOINT:: Endpoint_Name TO [HOST_A_login];

--给HOST_B_login 用户赋予 数据库镜像端点connect 权限

4.7、建立镜像关系

在上文中提到数据库镜像的缺点之一是无法维护登录名，所以需要我们手工维护登录。

通常来说数据库都将会有若干个用户作为访问数据库的用户，并且数据库会有相应的登录名，但是在备机中缺少与之相对应的登录名，例如某业务系统使用’myuser’作为登录名访问数据库，但是在备机中没有’myuser’这个登录名，因此一旦主备切换，业务系统就无法登录数据库了，这种情况称为"孤立用户"

在主数据库中执行如下语句：

1）USE master;

2）select sid,name from syslogins;

查找出相应的用户名和sid，例如：上述的’myuser’

在备数据库中执行如下语句：

1）USE master;

2）exec sp_addlogin

3）@loginame = '<LoginName>',

4）@passwd = '<Password>',

5）@sid = <sid> ;

这里的’LoginName’即主数据库中的登录名，sid即是上述通过SQL语句查找出的sid。

例如,查询得到的sid和name如下所示。

1）sid name

2）0x074477739DCA0E499C29394FFFC4ADE4 cz_account

则建立登录名的SQL语句：

1）USE master;

2）exec sp_addlogin

3）@loginame = 'cz_account',

4）@passwd = 'password',

5）@sid = 0x074477739DCA0E499C29394FFFC4ADE4;

到此为止可以认为备机数据库的环境已经与主机同步了，还差数据库内的数据未同步。

4.8、 建立镜像
 1）备机先执行：

ALTER DATABASE DB_Mirror SET PARTNER = 'TCP://192.168.0.2:5022';

--建立与主机的镜像

2）主机执行：

ALTER DATABASE DB_Mirror SET PARTNER = 'TCP://192.168.0.3:5022';

--建立与备机的镜像

ALTER DATABASE DB_Mirror SET WITNESS = 'TCP:// 192.168.0.4:5022'

--建立与见证机的镜像

如果建立失败，提示类似数据库事务日志未同步，则说主备数据库的数据（日志）未同步，为保证主备数据库内的数据一致，应在主数据库中实施一次;事务日志;备份，并还原到备数据库上。备份;事务日志;如图所示：

还原事务日志时需在选项中选择&ldquo;restore with norecovery&rdquo;，如图所示：

成功还原以后再次执行建立镜像的SQL语句。

ALTER DATABASE DB_Mirror SET PARTNER = 'TCP://192.168.0.3:5022';

五、疑难解答
创建数据库主密钥：

语法：CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'password'    --DROP MASTER KEY  '删除密钥

数据库主密钥是指用于保护证书私钥的对称密钥以及数据库中存在的非对称密钥。当创建主密钥时，会使用 Triple DES  算法以及用户提供的密码对其进行加密。若要启用主密钥的自动解密功能，请使用服务主密钥对该主密钥的副本进行加密，并将副本存储在数据库和 master  中。通常，每当主密钥更改时，便会在不进行提示的情况下更新存储在 master 中的副本。可以使用 ALTER MASTER KEY 的 DROP  ENCRYPTION BY SERVICE MASTER KEY 选项对该默认行为进行更改。必须使用 OPEN MASTER KEY  语句和密码打开未使用服务主密钥进行加密的主密钥。

master 中 sys.databases 目录视图的 is_master_key_encrypted_by_server  列指示是否使用服务主密钥对数据库主密钥进行加密。

可以在 sys.symmetric_keys 目录视图中查看有关数据库主密钥的信息。

重要事项：

您应该使用 BACKUP MASTER KEY 备份主密钥，并将备份存储于另外一个安全的位置中

参数：PASSWORD = 'password' 用于对数据库中主密钥进行加密的密码。

创建证书：CREATE CERTIFICATE

证书是一个数据库级别的安全对象，它遵循 X.509 标准并支持 X.509 V1 字段。CREATE CERTIFICATE  可以通过文件或程序集加载证书。该语句也可生成密钥对并创建自我签名的证书。

SQL Server 生成的私钥的长度为 1024 位。从外部源导入的私钥的最小长度为 384 位，最大长度为 3,456 位。导入的私钥的长度必须是  64 位的整数倍。

私钥必须与 certificate_name 指定的公钥相对应。

当您通过容器创建证书时，可选择是否加载私钥。但是当 SQL Server  生成自我签名的证书时，始终会创建私钥。默认情况下，私钥使用数据库主密钥进行加密。如果数据库主密钥不存在并且未指定密码，则该语句将失败。

当使用数据库主密钥对私钥进行加密时，不需要 ENCRYPTION BY PASSWORD  选项。只有在使用密码对私钥进行加密时，才使用该选项。如果未指定密码，则使用数据库主密钥对证书的私钥进行加密。如果数据库主密钥无法打开，则省略该子句会导致错误。

如果使用数据库主密钥对私钥进行加密，则不一定必须指定解密密码。

1、 端点：参见 sql server 2005 联机丛书 CREATE ENDPOINT 语句 祥解

5.1为什么用set  witness连接见证服务器时总报1416或1456的错误？
答：请检查你参与镜像的三台服务器上用作镜像功能的网卡配置，比如DNS属性页上的DNS后缀选项、WINS属性页的启用LMHOSTS查找以及默认NETBIOS等这些最好都开启。第二个问题我后来进一步验证了一下，只需要开启TCPIP上的NETBIOS就可以了。
检查一下开启NETBIOS的网卡IP是否是指定的IP，和你的ENDPOINT上指定的IP是否相同。
在主体服务器上telnet见证服务器的5022是否能连接上。
尝试用机器名指定见证，如：'TCP://机器名:5022'

5.2、    么用set  partner连接伙伴时总是报1418的错误？
答：在配置时，特别是在工作组环境下最好使用证书，否则伙伴之间无法进行连接，域环境下用windows验证方式或证书验证方式均可。

5.3、附件1：(只包含主机和备机的数据库镜像)
主机端执行的sql 语句

--sql server 2005 需要安装sp2 补丁

--创建证书

--DROP MASTER KEY '删除密钥

--DROP CERTIFICATE HOST_A_cert '删除证书

CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'baijunlin' --创建密钥

CREATE CERTIFICATE HOST_A_cert WITH SUBJECT = 'HOST_A_certificate',START_DATE  = '04/09/2009',EXPIRY_DATE = '07/17/2099' --创建证书

--创建连接的端点

--DROP ENDPOINT Endpoint_Mirroring

create ENDPOINT Endpoint_NAME_A

STATE = STARTED

AS

TCP ( LISTENER_PORT=5022 , LISTENER_IP = ALL )

FOR

DATABASE_MIRRORING

( AUTHENTICATION = CERTIFICATE HOST_A_cert , ENCRYPTION = REQUIRED ALGORITHM  AES , ROLE = ALL )

-- 备份证书

BACKUP CERTIFICATE HOST_A_cert TO FILE = 'D:/HOST_A_cert.cer';

-- 添加登陆名、用户（主备可并行执行）

CREATE LOGIN HOST_A_login WITH PASSWORD = 'baijunlin';

CREATE USER HOST_A_user FOR LOGIN HOST_A_login;

CREATE CERTIFICATE HOST_A_cert AUTHORIZATION HOST_A_user FROM FILE =  'D:/HOST_B_cert.cer';

GRANT CONNECT ON ENDPOINT::Endpoint_NAME_A TO [HOST_A_login];

--建立镜像

ALTER DATABASE SJDD SET PARTNER = 'TCP://192.168.0.2:5022'

-- 查询密钥对和证书

select * from sys.symmetric_keys

SELECT * FROM sys.certificates;

SELECT name, role_desc, state_desc, connection_auth_desc,  encryption_algorithm_desc FROM sys.database_mirroring_endpoints;

BACKUP CERTIFICATE PARTNER TO FILE = 'C:/HOST_A_cert.cer';

delete sys.symmetric_keys where symmetric_Key_ID ='101'

备机端执行的sql 语句

--创建证书

--DROP MASTER KEY '删除密钥

--DROP CERTIFICATE HOST_A_cert '删除证书

CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'baijunlin' --创建密钥

CREATE CERTIFICATE HOST_B_cert WITH SUBJECT = 'HOST_B_certificate',START_DATE  = '04/09/2009',EXPIRY_DATE = '07/17/2099' --创建证书

--创建连接的端点

--DROP ENDPOINT Endpoint_Mirroring

create ENDPOINT Endpoint_NAME_B

STATE = STARTED

AS

TCP ( LISTENER_PORT=5022 , LISTENER_IP = ALL )

FOR

DATABASE_MIRRORING

( AUTHENTICATION = CERTIFICATE HOST_B_cert , ENCRYPTION = REQUIRED ALGORITHM  AES , ROLE = ALL )

-- 备份证书

BACKUP CERTIFICATE HOST_B_cert TO FILE = 'D:/HOST_B_cert.cer';

--添加登陆名、用户（主备可并行执行）

CREATE LOGIN HOST_B_login WITH PASSWORD = 'baijunlin';

CREATE USER HOST_B_user FOR LOGIN HOST_B_login;

CREATE CERTIFICATE HOST_B_cert AUTHORIZATION HOST_B_user FROM FILE =  'D:/HOST_A_cert.cer';

GRANT CONNECT ON ENDPOINT::Endpoint_NAME_B TO [HOST_B_login];

--建立镜像

ALTER DATABASE SJDD SET PARTNER = 'TCP://192.168.0.3:5022'

--restore database SJDD from disk='d:/SJDD' with NORECOVERY ,

--MOVE 'SJDD' to 'C:/砂浆系统/数据库/SJDD.mdf',

--Move 'SJDD_log' to 'C:/砂浆系统/数据库/SJDD_log.mdf'

5.4、附件2：(包含主机、备机、见证机的数据库镜像)
--  ===========================================

-- 无论是主体服务器、镜像服务器, 还是见证服务器

-- 除特别说明外，均需要保证下面的操作在master库中执行

USE master

GO

-- ===========================================

--（） 建立镜像主体数据库

-- 此操作主体服务器上执行

-- a. 建立测试数据库

CREATE DATABASE DB_Mirror

ON( NAME = DB_Mirror_DATA,FILENAME = N'C:/DB_Mirror.mdf')

LOG ON( NAME = DB_Mirror_LOG,FILENAME = N'C:/DB_Mirror.ldf')

ALTER DATABASE DB_Mirror SET

RECOVERY FULL

GO

-- b. 完全备份

BACKUP DATABASE DB_Mirror

TO DISK = N'C:/DB_Mirror.bak'

WITH FORMAT

GO

-- ===========================================

--（） 主体服务器上的数据库镜像端点及身份验证用的证书

-- 此操作主体服务器上执行

-- a. 用于数据库镜像端点身份验证的证书

IF NOT EXISTS( -- 使用数据库主密钥加密证书

SELECT * FROM sys.symmetric_keys

WHERE name = N'##MS_DatabaseMasterKey##')

CREATE MASTER KEY

ENCRYPTION BY PASSWORD = N'baijunlin'

CREATE CERTIFICATE HOST_A_cert --证书

WITH

SUBJECT = N'HOST_A_cert',

START_DATE = '20090101', --证书开始日期

EXPIRY_DATE = '99991231' --证书结束日期

GO

-- b. 备份证书, 以便在与此端点通信的另一端建立此证书

BACKUP CERTIFICATE HOST_A_cert

TO FILE = 'D:/JXZS/HOST_A_cert.cer'

GO

-- c. 数据库镜像端点

CREATE ENDPOINT EDP_Mirror --EDP_Mirror 证书名称（和其它两台服务器可以不同,但端点名最好相同）

STATE = STARTED

AS TCP(

LISTENER_PORT = 6000, -- 镜像端点使用的通信端口

LISTENER_IP = ALL)     -- 侦听的IP地址

FOR DATABASE_MIRRORING(

AUTHENTICATION = CERTIFICATE HOST_A_cert, -- 证书身份验证

ENCRYPTION = DISABLED,                       --  不对传输的数据加密,如果需要加密,可以配置为SUPPORTED 或REQUIRED, 并可选择加密算法

ROLE = ALL)                                  -- 端点支持所有的数据库镜像角色,  也可以设置为WITNESS(仅见证服务器),或PARTNER(仅镜像伙伴)

GO

--############

--以下部分在见证机和备机执行完创建证书后执行

-- ===========================================

--（） 在主体服务器上完成镜像服务器数据库镜像端点的传输安全模式配置

-- 此操作主体服务器上执行

-- a. 建立主体服务器上的证书(假设镜像服务器上备份的证书已经复制到C:/CT_Mirror_SrvB.cer)

CREATE LOGIN HOST_B_login WITH PASSWORD = 'baijunlin'; --建立登录

CREATE USER HOST_B_user FOR LOGIN HOST_B_login; --

CREATE CERTIFICATE HOST_B_cert AUTHORIZATION HOST_B_user FROM FILE =  'D:/JXZS/HOST_B_cert.cer'; --建立主体服务器上的证书

GRANT CONNECT ON ENDPOINT::EDP_Mirror TO [HOST_B_login];

go

-- ===========================================

--（） 在主体服务器上完成见证服务器数据库镜像端点的传输安全模式配置

-- 此操作主体服务器上执行

-- a. 建立见证服务器上的证书(假设见证服务器上备份的证书已经复制到C:/CT_Mirror_SrvWitness.cer)

CREATE LOGIN HOST_C_login WITH PASSWORD = 'baijunlin'; --建立登录

CREATE USER HOST_C_user FOR LOGIN HOST_C_login; --

CREATE CERTIFICATE HOST_C_cert AUTHORIZATION HOST_C_user FROM FILE =  'D:/JXZS/HOST_C_cert.cer'; --建立主体服务器上的证书

GRANT CONNECT ON ENDPOINT::EDP_Mirror TO [HOST_C_login];

go

--############

--以下部分在见证机和备机执行完传输安全模式配置后执行

--（） 在主体服务器上启用数据库镜像(默认为高安全性模式,所以不用进行模式设置)

-- 此操作主体服务器上执行

ALTER DATABASE DB_Mirror SET

PARTNER = 'TCP://ntserver8bak:6001'

GO

-- ===========================================

--（） 在主体服务器上为数据库镜像启用见证服务器

-- 此操作主体服务器上执行

ALTER DATABASE DB_Mirror SET WITNESS = 'TCP://192.168.0.3:6002'

GO

--####################################

--以下部分在备机执行

--####################################

-- ===========================================

--（） 初始化镜像主体数据库

-- 此操作镜像服务器上执行

-- 假设主体数据库的完全备份已经复制到c:/DB_Mirror.bak

RESTORE DATABASE DB_Mirror

FROM DISK = N'C:/DB_Mirror.bak'

WITH REPLACE , NORECOVERY

-- 如果镜像数据库文件要放在指定位置, 则启用下面的Move 选项

, MOVE 'DB_Mirror_DATA' TO N'D:/jxzs/DB_Mirror.mdf'

, MOVE 'DB_Mirror_LOG' TO N'D:/jxzs/DB_Mirror.ldf'

GO

-- ===========================================

--（） 镜像服务器上的数据库镜像端点及身份验证用的证书

-- 此操作镜像服务器上执行

-- a. 用于数据库镜像端点身份验证的证书

IF NOT EXISTS( -- 使用数据库主密钥加密证书

SELECT * FROM sys.symmetric_keys

WHERE name = N'##MS_DatabaseMasterKey##')

CREATE MASTER KEY

ENCRYPTION BY PASSWORD = N'baijunlin'

CREATE CERTIFICATE HOST_B_cert

WITH

SUBJECT = N'HOST_B_cert',

START_DATE = '20090101',

EXPIRY_DATE = '99991231'

GO

-- b. 备份证书, 以便在与此端点通信的另一端建立此证书

BACKUP CERTIFICATE HOST_B_cert

TO FILE = 'D:/JXZS/HOST_B_cert.cer'

GO

-- c. 数据库镜像端点

CREATE ENDPOINT EDP_Mirror

STATE = STARTED    --端点创建时的状态 STARTED 表示端点已启动并在积极地侦听连接

AS TCP(

LISTENER_PORT = 6001, -- 镜像端点使用的通信端口

LISTENER_IP = ALL)     -- 侦听的IP地址

FOR DATABASE_MIRRORING(

AUTHENTICATION = CERTIFICATE HOST_B_cert, -- 证书身份验证

ENCRYPTION = DISABLED,                       --  不对传输的数据加密,如果需要加密,可以配置为SUPPORTED 或REQUIRED, 并可选择加密算法

ROLE = ALL)                                  -- 端点支持所有的数据库镜像角色,  也可以设置为WITNESS(仅见证服务器),或PARTNER(仅镜像伙伴)

GO

--############

--以下部分在见证机和主机执行完创建证书后执行

-- ===========================================

--（） 在镜像服务器上完成主体服务器数据库镜像端点的传输安全模式配置

-- 此操作镜像服务器上执行

-- a. 建立主体服务器上的证书(假设主体服务器上备份的证书已经复制到D:/JXZS/HOST_A_cert.cer)

-- b. 完成主体服务器上数据库镜像端点的传输安全模式配置

CREATE LOGIN HOST_A_login WITH PASSWORD = 'baijunlin'; --建立登录

CREATE USER HOST_A_user FOR LOGIN HOST_A_login; --

CREATE CERTIFICATE HOST_A_cert AUTHORIZATION HOST_A_user FROM FILE =  'D:/JXZS/HOST_A_cert.cer'; --建立主体服务器上的证书

GRANT CONNECT ON ENDPOINT::EDP_Mirror TO [HOST_A_login];

go

-- ===========================================

--（） 在镜像服务器上完成见证服务器数据库镜像端点的传输安全模式配置

-- 此操作镜像服务器上执行

-- a. 建立见证服务器上的证书(假设见证服务器上备份的证书已经复制到C:/CT_Mirror_SrvWitness.cer)

CREATE LOGIN HOST_C_login WITH PASSWORD = 'baijunlin'; --建立登录

CREATE USER HOST_C_user FOR LOGIN HOST_C_login; --

CREATE CERTIFICATE HOST_C_cert AUTHORIZATION HOST_C_user FROM FILE =  'D:/JXZS/HOST_C_cert.cer'; --建立主体服务器上的证书

GRANT CONNECT ON ENDPOINT::EDP_Mirror TO [HOST_C_login];

GO

--############

--以下部分在主机执行完传输安全模式配置后执行

-- ===========================================

--（） 在镜像服务器上启用数据库镜像

-- 此操作镜像服务器上执行

ALTER DATABASE DB_Mirror SET

PARTNER = 'TCP://192.168.0.3:6000'

GO

--####################################

--以下部分在见证机执行

--#####################################

-- ===========================================

--（） 配置见证服务器

-- 此操作在见证服务器上执行

-- a. 完成见证服务器上数据库镜像端点的传输安全模式配置

-- (a). 用于数据库镜像端点身份验证的证书

IF NOT EXISTS( -- 使用数据库主密钥加密证书

SELECT * FROM sys.symmetric_keys

WHERE name = N'##MS_DatabaseMasterKey##')

CREATE MASTER KEY

ENCRYPTION BY PASSWORD = N'baijunlin'

CREATE CERTIFICATE HOST_C_cert

WITH

SUBJECT = N'HOST_C_cert',

START_DATE = '20090101',

EXPIRY_DATE = '99991231'

GO

-- (b). 备份证书, 以便在与此端点通信的另一端建立此证书

BACKUP CERTIFICATE HOST_C_cert

TO FILE = 'D:/JXZS/HOST_C_cert.cer'

GO

-- (c). 数据库镜像端点

CREATE ENDPOINT EDP_Mirror

STATE = STARTED

AS TCP(

LISTENER_PORT = 6002, -- 镜像端点使用的通信端口

LISTENER_IP = ALL)    -- 侦听的IP地址

FOR DATABASE_MIRRORING(

AUTHENTICATION = CERTIFICATE HOST_C_cert, -- 证书身份验证

ENCRYPTION = DISABLED,                            --  不对传输的数据加密,如果需要加密,可以配置为SUPPORTED 或REQUIRED, 并可选择加密算法

ROLE = ALL)                                        -- 端点支持所有的数据库镜像角色,  也可以设置为WITNESS(仅见证服务器),或PARTNER(仅镜像伙伴)

GO

--############

--以下部分在主机和备机执行完创建证书后执行

-- b. 完成主体服务器上数据库镜像端点的传输安全模式配置

-- (a). (假设主体服务器上备份的证书已经复制到C:/CT_Mirror_SrvA.cer)

CREATE LOGIN HOST_A_login WITH PASSWORD = 'baijunlin'; --建立登录

CREATE USER HOST_A_user FOR LOGIN HOST_A_login; --

CREATE CERTIFICATE HOST_A_cert AUTHORIZATION HOST_A_user FROM FILE =  'D:/JXZS/HOST_A_cert.cer'; --建立主体服务器上的证书

GRANT CONNECT ON ENDPOINT::EDP_Mirror TO [HOST_A_login];

go

-- c. 完成镜像服务器上数据库镜像端点的传输安全模式配置

-- (a). 建立镜像服务器上的证书(假设镜像服务器上备份的证书已经复制到C:/CT_Mirror_SrvB.cer)

CREATE LOGIN HOST_B_login WITH PASSWORD = 'baijunlin';

CREATE USER HOST_B_user FOR LOGIN HOST_B_login;

CREATE CERTIFICATE HOST_B_cert AUTHORIZATION HOST_B_user FROM FILE =  'D:/JXZS/HOST_B_cert.cer';

GRANT CONNECT ON ENDPOINT::EDP_Mirror TO [HOST_B_login];

GO

5.5、附件3(删除数据库镜像)
-- ===========================================

-- 下面的操作可用于确定同步

-- 1. 查询数据库状态

-- 下面的脚本可以在主体服务器和镜像服务器上执行,执行结果为镜像的状态

SELECT

mirroring_role_desc,          -- 数据库在镜像会话中当前的角色

mirroring_state_desc,          -- 镜像当前状态

mirroring_safety_level_desc, -- 镜像运行模式

mirroring_witness_state_desc -- 与见证服务器的连接情况

FROM sys.database_mirroring

WHERE database_id = DB_ID(N'DB_Mirror')

GO

-- 2. 数据测试

-- b. 主体服务器上执行下面的语句以建立测试表

CREATE TABLE DB_Mirror.dbo.tb(

id int)

WAITFOR DELAY '00:00:01'

GO

-- b. 镜像服务器上, 建立镜像数据库的快昭数据库,以便可以查询当前的数据

CREATE DATABASE SNP_DB_Mirror

ON(

NAME = DB_Mirror_DATA,

FILENAME = N'C:/SNP_DB_Mirror.mdf')

AS SNAPSHOT OF DB_Mirror

GO

-- c. 从快照数据库中查询测试表是否已经同步

SELECT * FROM SNP_DB_Mirror.dbo.tb

GO

-- d. 删除测试建立的快照数据库

DROP DATABASE SNP_DB_Mirror

GO

-- ===========================================

-- 下面的操作用于删除此示例配置的镜像对象

-- 证书和数据库的备份需要在操作系统的资源管理器中删除

-- 1. 主体服务器上执行的操作

-- a. 停止镜像和删除主体数据库

USE master

GO

ALTER DATABASE DB_Mirror SET

PARTNER OFF

DROP DATABASE DB_Mirror

GO

-- b. 删除镜像端点

DROP ENDPOINT EDP_Mirror

GO

-- c. 删除登录及证书

DROP LOGIN LOGIN_Mirror_SrvB

DROP LOGIN LOGIN_Mirror_SrvWitness

DROP CERTIFICATE CT_Mirror_SrvA

DROP CERTIFICATE CT_Mirror_SrvB

DROP CERTIFICATE CT_Mirror_SrvWitness

GO

-- 2. 镜像服务器上执行的操作

-- a. 删除镜像数据库

USE master

GO

DROP DATABASE DB_Mirror

GO

-- b. 删除镜像端点

DROP ENDPOINT EDP_Mirror

GO

-- c. 删除登录及证书

DROP LOGIN LOGIN_Mirror_SrvA

DROP LOGIN LOGIN_Mirror_SrvWitness

DROP CERTIFICATE CT_Mirror_SrvA

DROP CERTIFICATE CT_Mirror_SrvB

DROP CERTIFICATE CT_Mirror_SrvWitness

GO

-- 3. 见证服务器上执行的操作

-- a. 删除端点

DROP ENDPOINT EDP_Mirror

GO

-- b. 删除登录及证书

DROP LOGIN LOGIN_Mirror_SrvA

DROP LOGIN LOGIN_Mirror_SrvB

DROP CERTIFICATE CT_Mirror_SrvA

DROP CERTIFICATE CT_Mirror_SrvB

DROP CERTIFICATE CT_Mirror_SrvWitness

GO

5.6、sql server 2005 服务启动帐户 ：
进入 服务 管理界面中 选择SQL Server (MSSQLSERVER) 服务  右键属性中 选择 登录 项，输入刚才创建的用户名和密码，保存后重新启动该服务

六、测试操作
6．1、主备互换
--主机执行：

USE master;
ALTER DATABASE <DatabaseName> SET PARTNER FAILOVER;

6．2、主服务器Down掉,备机紧急启动并且开始服务
--备机执行：

USE master;
ALTER DATABASE <DatabaseName> SET PARTNER  FORCE_SERVICE_ALLOW_DATA_LOSS;

6．3、原来的主服务器恢复,可以继续工作,需要重新设定镜像
--备机执行：
USE master;
ALTER DATABASE  <DatabaseName> SET PARTNER RESUME; --恢复镜像
ALTER DATABASE  <DatabaseName> SET PARTNER FAILOVER; --切换主备

6．4、原来的主服务器恢复,可以继续工作
--默认情况下，事务安全级别的设置为 FULL，即同步运行模式，而且SQL Server 2005  标准版只支持同步模式。

--关闭事务安全可将会话切换到异步运行模式，该模式可使性能达到最佳。

USE master;
ALTER DATABASE <DatabaseName> SET PARTNER SAFETY  FULL;--事务安全,同步式
ALTER DATABASE <DatabaseName> SET PARTNER SAFETY  OFF;--事务不安全,异步模式

七、在程序的配置文件中修改数据库连接串
代码范例：
(192.168.0.2和192.168.0.3分别为主体和镜像服务器的IP地址，顺序不分先后)

ConnString = "Data Source=192.168.0.2;Failover Partner=192.168.0.3;Initial  Catalog=SJDD;User ID=sa;pwd=gps192168096";

如连接同一台服务器上的不同实例则如下：

ConnString = "Data Source=192.168.0.3//ZJ;Failover  Partner=192.168.0.3//BJ;Initial Catalog=DB_Mirror;User ID=sa;pwd=123456";

此时 需要在服务器开启 SQL Server Browser 服务器 设置为 自启动