在分布式事务处理协调器服务在 Windows 服务器 2003 Service Pack 1 和 Windows XP Service Pack 2 中的新功能

文章翻译 文章翻译
文章编号: 899191 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

Microsoft Windows 服务器 2003 Service Pack 1 (SP1) 和 Microsoft Windows XP Service Pack 2 (SP2) 包括许多与安全相关的更新和更改。有些更改会影响 Microsoft 分布式事务处理协调器 (MSDTC) 服务。

这些更改可以通过使用更新的安全配置在组件服务管理工具中可用的对话框。

在安装 Windows Server 2003 SP1 或 Windows XP SP2 之后,某些更改默认的安全设置会导致无法在网络上的分布式事务处理协调器通信。这种情况下,您可能会收到一个或多个错误消息或错误代码。

通过在中修改设置,安全配置对话框框,可以帮助的控制分布式事务处理协调器服务与远程计算机进行网络通信。

简介

这篇文章介绍中的新功能Microsoft 分布式在下面的操作的事务处理协调器 (MSDTC) 服务系统:
  • Microsoft Windows Server 2003 Service Pack 1 (SP1)
  • Microsoft Windows XP Service Pack 2 (SP2)
将分布式事务处理协调器服务协调用于更新事务两个或多个受事务保护资源。受事务保护的资源包含消息队列的数据库和文件系统。这些受事务保护的资源可能位于一台计算机上也可能分布于多个网络之间计算机。

更多信息

在 Windows Server 2003 SP1 中和在 Windows XP SP2,在分布式的事务处理协调器服务让您的详细信息控制计算机之间的网络通信。默认状态下,所有网络通信将被禁用。"分布式的事务处理协调器安全配置对话框已得到增强,以便您可以管理这些通信设置。若要查看该安全配置对话框框中,请执行以下步骤:
  1. 启动组件服务管理工具。执行操作此,单击启动单击运行类型dcomcnfg.exe然后单击"确定".
  2. 在控制台树中的组件服务管理工具,展开组件服务展开计算机用鼠标右键单击我的计算机然后单击"属性.
  3. 单击该MSDTC选项卡,和然后单击安全配置.

在"安全性配置"对话框中可用的新选项

下面的信息描述的新选项在中可用,安全配置对话框。这信息还介绍了新的选项不会影响该注册表项在中,安全配置对话框。

"网络 DTC 访问"复选框

"网络 DTC 访问复选框使您可以确定是否在分布式事务处理协调器服务可以访问网络。"网络 DTC 访问必须选中复选框连同其他下的复选框之一,网络 DTC访问权限若要启用网络分布式事务处理协调器事务处理的复选框。

"网络 DTC 访问复选框将影响以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security


值名称: NetworkDtcAccess
值类型: REG_DWORD
值数据: 0 (默认值)
请注意在服务器群集上,网络 DTC 访问复选框影响值在共享的群集注册表项 MSDTC 资源的注册表项下。MSDTC 的共享群集注册表项位于以下位置:
HKEY_LOCAL_MACHINE\Cluster\Resources\<msdtc resource="" guid=""></msdtc>
默认的 NetworkDtcAccess 注册表值项被设为 0。如果值为 0 将禁用 NetworkDtcAccess 注册表条目。若要启用 NetworkDtcAccess 注册表入口,将此注册表值设置为 1。

"允许入站"复选框

"允许入站复选框使您可以确定是否允许分布式来自远程计算机上本地运行的事务计算机。默认状态下,该设置被关闭。若要启用此设置,请单击以选中该网络 DTC 访问将下面的注册表项设置为 1 的复选框:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security


值名称: NetworkDtcAccess
值类型: REG_DWORD
若要禁用此设置,请单击以清除该网络 DTC访问权限若要将该注册表项设置为 0 的复选框。

"允许入站复选框将影响这两个下面的注册表条目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security


值名称: NetworkDtcAccessTransactions
值类型: REG_DWORD

值名称: NetworkDtcAccessInbound
值类型: REG_DWORD

"允许出站"复选框

"允许出站复选框使您可以确定是否允许本地计算机启动事务并在远程运行该事务处理计算机。若要启用此设置,请单击以选中该网络 DTC 访问将下面的注册表项设置为 1 的复选框:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security


值名称: NetworkDtcAccess
值类型: REG_DWORD
若要禁用此设置,请单击以清除该网络 DTC访问权限若要将该注册表项设置为 0 的复选框。

"允许出站复选框影响以下两个注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security


值名称: NetworkDtcAccessTransactions
值类型: REG_DWORD

值名称: NetworkDtcAccessOutbound
值类型: REG_DWORD

"需要相互身份验证"选项

要求相互身份验证在 Windows Server 2003 SP1 和 Windows 中增加了对相互身份验证支持XP SP2。要求相互身份验证设置最大网络的当前可用的安全模式通信。我们建议为该事务处理模式客户端计算机与服务器计算机一起使用运行 Windows XP SP2 的运行 Windows Server 2003 SP1 的。

要求相互身份验证影响以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC


值名称: AllowOnlySecureRpcCalls
值类型: REG_DWORD
值数据: 1

值名称: FallbackToUnsecureRPCIfNecessary
值类型: REG_DWORD
值数据: 0

值名称: TurnOffRpcSecurity
值类型: REG_DWORD
值数据: 0
请注意通过使用设置的功能双方所需的身份验证该功能,该功能的区别通过设置呼叫方进行验证所需.在下面列出的三个选项事务管理器通信行为,如下所示:
  • "要求相互身份验证事务处理模式需要远程访问的组件提供一个身份验证与本地计算机的连接。此身份验证通过在本地计算机上的模拟验证。此外,如果远程两个分布式事务之间执行访问通信处理协调器服务此身份验证信息必须指定一台计算机匹配远程事务模式下计算机的主机名称。
  • "呼叫方进行验证所需事务模式仅要求远程连接进行身份验证。此外,如果远程访问的组件是一个分布式事务处理协调器服务的计算机必须是身份验证信息帐户。
  • "不要求进行验证事务模式下不会验证身份验证的连接或验证是否要建立一个经过身份验证的连接。
在一个群集的环境中计算机帐户,分布式的事务处理协调器服务指定在群集节点主机名。在群集的环境分布式事务处理协调器身份验证不使用事务处理模式的主机名。在一个群集中事务处理模式的主机名的环境是的虚拟名称服务。因此,不能使用该相互身份验证所需在一个群集的环境中或正在协商与此类计算机的事务的任何计算机上的事务处理模式。您可以使用该要求相互身份验证两个事务处理模式非聚集运行 Windows Server 2003 SP1 的计算机运行的 Windows XP 的两台计算机之间或SP2。

您必须使用该传入的呼叫者所需的身份验证Windows 服务器之间的事务处理模式在群集环境中的基于 2003年的计算机。

您必须使用该不要求进行验证事务处理模式的一个或多个下列条件为真:
  • 正在运行 Microsoft Windows 2000 的计算机之间的网络访问。
  • 是不具有两个域之间的网络访问配置相互信任。
  • 是的成员的计算机之间的网络访问工作组。

"所需的呼叫方进行验证表格选项

呼叫方进行验证所需要求本地分布式事务协调器与远程的分布式事务协调器进行通信的服务通过仅使用的服务已加密的消息。传入的连接进行身份验证。只有 Windows Server 2003 SP1 和 Windows XP SP2 支持此功能。因此,只有启用此选项,如果远程分布事务处理协调器服务正在运行的基于 Windows Server 2003 SP1计算机或基于 Windows XP SP2 的计算机上。

呼叫方进行验证所需影响以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC


值名称: AllowOnlySecureRpcCalls
值类型: REG_DWORD
值数据: 0

值名称: FallbackToUnsecureRPCIfNecessary
值类型: REG_DWORD
值数据: 1

值名称: TurnOffRpcSecurity
值类型: REG_DWORD
值数据: 0
对于有关详细信息呼叫方进行验证所需请参见在双方所需的身份验证选项"一节。

需要的任何身份验证"选项

不要求进行验证使操作系统之间更早版本的兼容性Windows 操作系统的版本。当启用此选项时,网络分布式事务处理协调器服务之间的通信将陷入如果,备份到未经验证的通信或非加密的通信无法建立安全通信通道。

请注意我们建议使用此设置,如果远程分发事务处理协调器服务正在运行 Microsoft Windows 2000 的计算机上运行或正在运行一个版本的 Windows XP 的计算机上不早于Windows XP SP2。

您还可以使用不进行身份验证所需以解决一个问题,在分布式在域中的计算机上运行的事务处理协调器服务没有建立信任关系。另外,还可以使用不要求进行验证若要解决一个问题在计算机上运行分布式事务处理协调器服务是工作组的成员。

不要求进行验证影响下面的注册表条目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC


值名称: AllowOnlySecureRpcCalls
值类型: REG_DWORD
值数据: 0

值名称: FallbackToUnsecureRPCIfNecessary
值类型: REG_DWORD
值数据: 0

值名称: TurnOffRpcSecurity
值类型: REG_DWORD
值数据: 1
请注意在服务器群集上这些注册表项位于中共享群集注册表。

在"安全性配置"对话框中可用的新选项的重要性

新的选项中提供的安全配置对话框使您可以应用安全性设置传出或传入网络通信。在您的默认安装 Windows Server 2003 SP1 或 Windows XP SP2,计算机不接受网络通讯量。因此,计算机较少易受攻击的网络通过访问恶意用户。此外,在网络上发送的协议都已更新,以支持更安全地加密和相互身份验证通信模式。这有助于减少恶意用户可能的机会截获和分布式事务之间的通信处理协调器服务。

在 Windows Server 2003 SP1 和 Windows XP SP2 中的网络通信更改

在安装 Windows Server 2003 SP1 或 Windows XP SP2,所有网络之后分布式事务处理协调器服务的通信或进入到分布式事务处理协调器服务已被禁用。对于如果试图更新位于 Microsoft SQL Server 数据库的一个 COM + 对象的示例通过使用分布式事务处理协调器的远程计算机上事务,此交易记录不成功。与此相反,如果计算机主机尝试从远程计算机的组件的 SQL Server 数据库通过使用在分布式事务处理协调器事务访问此交易记录将不会成功。

与分布式事务处理协调器服务相关的问题

由于网络连接问题,事务失败

重要此部分、 方法,或任务包含告诉您如何修改注册表的步骤。但是,如果注册表修改不当可能会出现严重的问题。因此,请务必认真执行这些步骤。已添加的保护备份注册表之前对其进行修改。然后,您可以在出现问题时还原注册表。有关如何备份和还原注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756如何备份和还原在 Windows 注册表


如果分布式事务处理协调器事务失败由于网络的连接问题的中,单击以选中该在下面的复选框"安全配置对话框中:
  • 单击以选中该网络 DTC 访问复选框。
  • 单击以选择一项或两项下的以下复选框事务管理器通信具体取决于您要求:
    • 允许入站
    • 允许出站
如果您希望以编程方式更改这些设置的一部分在 Windows Server 2003 SP1 或 Windows XP SP2您可以部署,直接修改对应于您要设置的注册表设置设置。当您修改注册表设置后,您必须重新启动分布式事务处理协调器服务。

重要我们建议您不要手动修改注册表来更改这些设置。如果您手动修改这些注册表设置可能会遇到与群集服务的问题上Windows Server 2003 SP1 的基于服务器的群集。

Windows 防火墙阻止分布式事务处理协调器通信

重要这些步骤可能会增加安全风险。这些步骤还会使计算机或网络更容易受到恶意用户或恶意软件 (如病毒) 的攻击。我们之所以推荐本文介绍为了使程序能够按照它们被设计为运行或者为了实现特定的程序功能的过程。然后您才进行这些更改建议,评估与您特定的环境中实施这一过程相关联的风险。如果您决定为实现这一过程中,采取任何适当的附加措施来帮助保护系统。我们建议您在您真正需要这一过程的情况下,才使用此过程。

如果您使用 Windows 防火墙帮助保护 Windows Server 2003 SP1 或 Windows XP SP2,您必须添加该向例外列表中的分布式的事务处理协调器服务Windows 防火墙设置。若要这样做,请执行以下步骤:
  1. 单击"启动单击运行,类型firewall.cpl然后单击"确定".
  2. 在中,Windows 防火墙对话框框单击"例外情况选项卡,和然后单击添加程序.
  3. 单击"浏览找到并单击C:\Windows\System32\msdtc.exe然后单击打开.
  4. 单击""确定"单击以选中该msdtc.exe中的复选框,程序和服务如果已选中此复选框,列出然后单击""确定".

设置已被更改或添加 Windows Server 2003 SP1 中,或在 Windows XP SP2

下表描述了该注册表项在 Windows XP SP2 中进行更改,从早期版本的 Windows。
收起该表格展开该表格
条目名称位置先前的默认值Windows XP SP2 的默认值可能的值
NetworkDtcAccessHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security100 或 1
NetworkDtcAccessTransactionsHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security100 或 1
NetworkDtcAccessInboundHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security不适用00 或 1
NetworkDtcAccessOutboundHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security不适用00 或 1
AllowOnlySecureRpcCallsHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC不适用10 或 1
FallbackToUnsecureRPCIfNecessaryHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC不适用00 或 1
TurnOffRpcSecurityHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC不适用00 或 1
请注意这些更改出现在 Windows 服务器上共享的群集注册表2003 SP1 的基于服务器的群集。

与分布式事务处理协调器服务更改 Windows XP SP2 中相关联的错误代码

在安装 Windows XP SP2 之后,您可能会收到之一,下面的错误代码,当您运行分布式事务处理协调器计算机之间的交易记录:

错误代码 1
//

// MessageId: XACT_E_NETWORK_TX_DISABLED

//

// MessageText:

//

// The transaction manager has disabled its support for remote/network transactions.

//

#define XACT_E_NETWORK_TX_DISABLED       _HRESULT_TYPEDEF_(0x8004D024L)

错误代码 2
//

// MessageId: XACT_E_PARTNER_NETWORK_TX_DISABLED

//

// MessageText:

//

// The partner transaction manager has disabled its support for remote/network transactions.

//

#define XACT_E_PARTNER_NETWORK_TX_DISABLED _HRESULT_TYPEDEF_(0x8004D025L)

属性

文章编号: 899191 - 最后修改: 2011年2月15日 - 修订: 1.0
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Service Pack 1?当用于
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Web Edition
关键字:?
kbinfo kbmt KB899191 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 899191
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com