Wenn du Azure SQL verwendest und versuchst, eine Datenbank auf einen anderen Server zu kopieren, kann dich ein bestimmter Fehler hart ausbremsen: SameKeyMaterialNotFoundOnRemoteServer. Dieser Fehler tritt häufig dann auf, wenn TDE (Transparent Data Encryption) mit kundenseitig verwalteten Schlüsseln aktiviert ist.

Gleichzeitig sorgt genau diese Verschlüsselungsmethode für zusätzliche Sicherheit – bringt aber auch technische Voraussetzungen mit.
Funfact: Fast 100 % aller Azure SQL Databases haben TDE standardmäßig aktiviert – ganz ohne dein Zutun.

Warum dieser Azure SQL TDE Fehler entsteht

Microsoft erklärt, dass eine Datenbankkopie eine transaktionskonsistente Momentaufnahme ist, die mit der gleichen Technologie wie Geo‑Replikation erstellt wird. Das bedeutet:

Alle beteiligten Server müssen identisches Schlüsselmaterial besitzen, wenn ein benutzerdefinierter Schlüssel (Customer‑Managed Key) für TDE verwendet wird. Fehlt dieses Schlüsselmaterial, erscheint der bekannte Fehler.

Damit die Kopie funktioniert, müssen sowohl der Quell‑ als auch der Zielserver:

• das gleiche Key Vault‑Schlüsselmaterial besitzen
• dieselbe Schlüssel‑URI kennen
• TDE aktiviert haben
• korrekte Identitäten für den Key Vault Zugriff besitzen

Fehlt nur eine dieser Bedingungen, bricht die Kopie mit dem Fehler ab.

Was du für eine erfolgreiche Azure SQL TDE Datenbankkopie brauchst

Damit du die Datenbank erfolgreich kopieren kannst, musst du sicherstellen, dass der Zielserver korrekt konfiguriert ist.

1. Identität dem Zielserver zuweisen

Du benötigst entweder:

• eine Systemzugewiesene Identität oder
• eine Benutzerzugewiesene Identität

Fehlt sie, erhältst du typischerweise folgende Fehlermeldung:
AzureKeyVaultNoServerIdentity – „The server identity is not correctly configured on server.“

Falls du TDE nicht über das Azure Portal aktiviert hast, musst du die Identität manuell zuweisen. Verwende dazu folgenden Befehl in einer Azure PowerShell‑Session:
Set-AzSqlServer -ResourceGroupName -ServerName -AssignIdentity

Damit erhält dein Zielserver eine Identität, die Zugriff auf den Key Vault erhalten kann.

2. TDE auch auf dem Zielserver aktivieren

Der Zielserver benötigt das gleiche Schlüsselmaterial wie der Quellserver. Wenn TDE auf dem Zielserver nicht eingerichtet ist, erhältst du sehr wahrscheinlich folgenden Fehler:

„SameKeyMaterialNotFoundOnRemoteServer – All servers linked by Geo Replication should have the same key material. Please add the key ‘https://…’ with the same key material to the secondary server.“

Das bedeutet: Du musst denselben Key Vault‑Schlüssel auf dem Zielserver einbinden und als Encryption Protector hinterlegen.

Erst wenn auf beiden Servern das gleiche Schlüsselmaterial vorhanden ist, kann Azure SQL den Kopiervorgang abschließen.

Wie du das Problem schnell löst – Zusammenfassung der Schritte

Schritt 1

Stelle sicher, dass der Zielserver eine unterstützte Identität besitzt.
Verwende bei Bedarf:
Set-AzSqlServer -ResourceGroupName -ServerName -AssignIdentity

Schritt 2

Aktiviere TDE auf dem Zielserver mit demselben Key Vault‑Schlüssel wie auf dem Quellserver.

Schritt 3

Prüfe die Zugriffsrechte des Servers im Key Vault (Get-AzKeyVaultAccessPolicy bzw. Portal‑Berechtigungen).

Schritt 4

Starte den Kopiervorgang erneut – die Fehlermeldung sollte verschwinden.

Fazit – So vermeidest du den Azure SQL TDE Fehler in Zukunft

Der Fehler SameKeyMaterialNotFoundOnRemoteServer ist lästig, aber technisch nachvollziehbar: Azure SQL benötigt identische Verschlüsselungsschlüssel auf beiden Servern. Wenn Identitäten, TDE‑Konfiguration und Key Vault‑Zugriffe korrekt eingerichtet sind, funktioniert die Datenbankkopie zuverlässig.

Falls du Unterstützung bei der Einrichtung, Fehleranalyse oder Optimierung deiner Azure‑Umgebungen brauchst, helfen wir dir gerne weiter. Cloud‑Security ist komplex – aber mit den richtigen Schritten absolut beherrschbar. Kontaktiere uns hier!