Nové funkce služby Koordinátor distribuovaných transakcí v systému Windows

Souhrn

Od systému Windows Server 2003 Service Pack 1 (SP1) a Windows XP Service Pack 2 (SP2) některé bezpečnostní aktualizace a změny byly zavedeny do systému Windows a ovlivnit službu Microsoft distribuované transakce koordinátor MSDTC ().

Tyto změny jsou přístupné pomocí aktualizované zabezpečení dialogového okna Konfigurace , která je k dispozici v nástroji pro správu služby Component Services.

Tyto změny výchozí nastavení zabezpečení, které způsobí přenos koordinátor DTC selhání v síti. V takovém případě můžete obdržet chybové zprávy nebo kódy chyb.

Změnou nastavení v dialogovém okně Nastavení zabezpečení , můžete pomoci ovládacího prvku, jak službu Koordinátor distribuovaných transakcí komunikuje se vzdálenými počítači prostřednictvím sítě.

ÚVOD

Tento článek popisuje nové funkce ve službě Microsoft distribuované transakce koordinátor MSDTC () v následujících operačních systémech:
  • Microsoft Windows Server 2003 Service Pack 1 (SP1)
  • Microsoft Windows XP Service Pack 2 (SP2)
  • Systém Windows Vista
  • Windows Server 2008
  • Windows 7
  • Windows Server 2008 R2
  • Windows 8
  • Windows Server 2012
  • Windows 8.1
  • Windows Server 2012 R2
Služba Koordinátor distribuovaných transakcí koordinuje transakce aktualizující dva nebo více prostředků s transakční ochranou. Prostředků s transakční ochranou patří databáze, fronty zpráv a systémy souborů. Těchto prostředků s transakční ochranou může být umístěn na jednom počítači nebo mohou být distribuovány mezi mnoha počítačů v síti.

Další informace

V systému Windows služby Koordinátor DTC poskytuje větší kontrolu nad síťovou komunikaci mezi počítači. Standardně je zakázána veškerá komunikace v síti. V dialogovém okně koordinátor distribuovaných transakcí Konfigurace zabezpečení byly rozšířeny tak, že můžete spravovat nastavení komunikace. Chcete-li zobrazit dialogové okno Konfigurace zabezpečení , postupujte takto:
  1. Spusťte nástroj pro správu služby Component Services. Chcete-li to provést, klepněte na tlačítko Start, klepněte na tlačítko Spustit, typ
    dcomcnfg.exea klepněte na tlačítko
    OK.
  2. Ve stromu konzoly nástroje pro správu služby Component Services rozbalte Služby Component Services, rozbalte položku
    Počítače, klepněte pravým tlačítkem myši Tento počítača potom klepněte na příkaz Vlastnosti.
  3. Klepněte na kartu MSDTC a klepněte na tlačítko
    Konfigurace zabezpečení.

Nové možnosti, které jsou k dispozici v dialogovém okně "Nastavení zabezpečení"

Následující informace popisují nové možnosti, které jsou k dispozici v dialogovém okně Nastavení zabezpečení . Tyto informace také popisují položky registru, které jsou ovlivněny nové možnosti v dialogovém okně Nastavení zabezpečení .

Zaškrtávací políčko "Síťového přístupu"

Síťový přístup pomocí koordinátoru DTC zaškrtávací políčko umožňuje určit, zda služba Koordinátor přístup k síti. Zaškrtávací políčko Síťový přístup koordinátora DTC musí vybrat některou z dalších políček ve skupinovém rámečku Síťový přístup pomocí koordinátoru DTC zaškrtávací políčko Povolit síťové transakce koordinátoru Distributed Transaction Coordinator.

Síťový přístup pomocí koordinátoru DTC políčko ovlivňuje následující položky registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security

Název hodnoty: NetworkDtcAccess
Typ hodnoty: REG_DWORD
Údaj hodnoty: 0 (výchozí)
Poznámka: Zaškrtávací políčko Síťový přístup koordinátora DTC v serverovém clusteru ovlivňuje hodnotu v klíči registru sdíleného clusteru v klíči registru prostředku koordinátoru MSDTC. Klíč registru sdíleného clusteru pro koordinátor MSDTC je umístěn v následujícím umístění:
HKEY_LOCAL_MACHINE\Cluster\Resources\ < prostředek koordinátoru MSDTC GUID >
Podle výchozího nastavení hodnotu registru NetworkDtcAccess položka nastavena na 0. Hodnota 0 vypne položka registru NetworkDtcAccess. Chcete-li zapnout NetworkDtcAccess položka registru, nastavte tuto hodnotu registru na 1.

Zaškrtávací políčko "Povolit příchozí"

Zaškrtnutí políčka Povolit příchozí umožňuje určit, zda chcete povolit distribuované transakce, který pochází ze vzdáleného počítače spustit v místním počítači. Ve výchozím nastavení je toto nastavení vypnuto. Chcete-li povolit toto nastavení, klepnutím zaškrtněte políčko Síťový přístup koordinátora DTC , nastavte následující položku registru na 1:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security

Název hodnoty: NetworkDtcAccess
Typ hodnoty: REG_DWORD
Chcete-li zakázat toto nastavení, klepnutím zrušte zaškrtnutí políčka Síťový přístup koordinátora DTC , chcete-li nastavit tuto položku registru na hodnotu 0.

Na
Povolit příchozí políčko ovlivňuje následující položky registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security

Název hodnoty: NetworkDtcAccessTransactions
Typ hodnoty: REG_DWORD

Název hodnoty: NetworkDtcAccessInbound
Typ hodnoty: REG_DWORD

Políčko "Povolit odchozí provoz.

Povolit odchozí zaškrtávací políčko umožňuje určit, zda místní počítač k zahájení transakce a transakce spuštěna ve vzdáleném počítači. Chcete-li povolit toto nastavení, klepnutím zaškrtněte políčko Síťový přístup koordinátora DTC , nastavte následující položku registru na 1:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security

Název hodnoty: NetworkDtcAccess
Typ hodnoty: REG_DWORD
Chcete-li zakázat toto nastavení, klepnutím zrušte zaškrtnutí políčka Síťový přístup koordinátora DTC , chcete-li nastavit tuto položku registru na hodnotu 0.

Na
Povolit odchozí políčko ovlivňuje následující položky registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security

Název hodnoty: NetworkDtcAccessTransactions
Typ hodnoty: REG_DWORD

Název hodnoty: NetworkDtcAccessOutbound
Typ hodnoty: REG_DWORD

Možnost "Vyžadováno vzájemné ověření"

Vyžadováno vzájemné ověření přidá podporu vzájemné ověřování v systému Windows. Vyžadováno vzájemné ověření Nastaví nejvyšší režim zabezpečení, který je nyní k dispozici pro síťovou komunikaci. Doporučujeme tento režim transakce pro klientské počítače se systémem Windows XP SP2 a server počítačů se systémem Windows Server 2003 SP1.

Vyžadováno vzájemné ověření ovlivňuje následující položky registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC

Název hodnoty: AllowOnlySecureRpcCalls
Typ hodnoty: REG_DWORD
Údaj hodnoty: 1

Název hodnoty: FallbackToUnsecureRPCIfNecessary
Typ hodnoty: REG_DWORD
Údaj hodnoty: 0

Název hodnoty: TurnOffRpcSecurity
Typ hodnoty: REG_DWORD
Údaj hodnoty: 0
Poznámka: Funkce, které je nastaveno pomocí Vzájemné vyžadováno ověření se liší od funkce, která byla nastavena pomocí Příchozího volajícího ověřování vyžadováno. Tři možnosti, které jsou uvedeny ve skupinovém rámečku Komunikace správce transakcí chovají takto:
  • Vyžadováno vzájemné ověření režim transakce vyžaduje vzdálený přístup k součásti ověřované připojení v místním počítači. Toto ověřování je ověřena pomocí zosobnění v místním počítači. Navíc pokud komunikace vzdáleného přístupu se provádí mezi dvě služby Koordinátor distribuovaných transakcí, informace o ověřování určete účet počítače, který odpovídá názvu hostitele počítače režim vzdálené transakce.
  • Příchozího volajícího ověřování vyžadováno Transakční režim vyžaduje pouze ověření vzdáleného připojení. Navíc pokud vzdálený přístup komponenta služby Koordinátor distribuovaných transakcí, musí být ověřovací informace pro účet počítače.
  • Na
    Ne vyžadováno ověření režim transakce není ověřované připojení nebo ověření ověřte, zda je navázání ověřené připojení.
Účet počítače pro službu Koordinátor distribuovaných transakcí v prostředí clusteru Určuje název uzlu clusteru hostitele. V prostředí clusteru koordinátoru Distributed Transaction Coordinator ověřování nepoužívá název hostitele v režimu transakce. Název hostitele v režimu transakce v prostředí s clustery je název virtuální služby. Vyžadováno vzájemné ověření režim transakce tedy nelze použít v prostředí s clustery nebo ve všech počítačích, které jsou vyjednávání transakce se tyto počítače. Chcete-li použít režim transakce Vyžadováno vzájemné ověření mezi dvěma počítači bez clusterů, které se systémem Windows Server 2003 SP1 nebo mezi dva počítače se systémem Windows XP s aktualizací SP2.

Je nutné použít transakční režim Požadované příchozího volajícího ověřování mezi počítači se systémem Windows Server 2003 v clusterovém prostředí.

Je nutné použít
Ne vyžadováno ověření transakce režimu Pokud je splněna jedna nebo více z následujících podmínek:
  • Přístup k síti je mezi počítačů se systémem Microsoft Windows 2000.
  • Přístup k síti je mezi dvěma doménami, které nemají vzájemné důvěry nakonfigurován.
  • Přístup k síti je mezi počítači, které jsou členy pracovní skupiny.

Možnost "Vyžadováno ověření příchozí volání"

Příchozí vyžadováno ověření volajícího vyžaduje místní koordinátor DTC služba komunikovat vzdálený koordinátor distribuovaných transakcí služby s použitím pouze šifrované zprávy. Budou ověřeny pouze příchozí připojení. Tuto funkci podporuje pouze systém Windows Server 2003 s aktualizací SP1, Windows XP SP2 a novější verze systému Windows. Proto pouze tuto možnost pokud vzdálený koordinátor distribuovaných transakcí služby běží v počítači se systémem Windows Server 2003 SP1, Windows XP s aktualizací SP2 nebo novější verzi systému Windows.

Příchozí vyžadováno ověření volajícího ovlivňuje následující položky registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC

Název hodnoty: AllowOnlySecureRpcCalls
Typ hodnoty: REG_DWORD
Údaj hodnoty: 0

Název hodnoty: FallbackToUnsecureRPCIfNecessary
Typ hodnoty: REG_DWORD
Údaj hodnoty: 1

Název hodnoty: TurnOffRpcSecurity
Typ hodnoty: REG_DWORD
Údaj hodnoty: 0
Další informace o Požadované příchozího volajícího ověřovánínaleznete "Vzájemné vyžadováno ověření možnost" části.

Možnost "Vyžadováno žádné ověření"

Ne vyžadováno ověření umožňuje Kompatibilita operačního systému mezi starší verze operačního systému Windows. Pokud je tato možnost povolena, síťová komunikace mezi služby Koordinátor DTC může přejít nepodaří komunikace nebo nešifrovanou komunikaci Pokud nelze navázat zabezpečené komunikační kanál.

Poznámka: Doporučujeme, abyste toto nastavení použijte, pokud vzdálený koordinátor distribuovaných transakcí je služba spuštěna v počítači se systémem Microsoft Windows 2000 nebo v počítači se systémem verze systému Windows XP, která je starší než Windows XP SP2.

Můžete také Ne vyžadováno ověření Chcete-li vyřešit situaci, kdy jsou spuštěny služby Koordinátor distribuovaných transakcí v počítačích, které se nacházejí v doménách, které nemají žádný vztah důvěryhodnosti, který je usazen. Kromě toho můžete použít
Chcete-li vyřešit situaci, kdy jsou spuštěny služby Koordinátor distribuovaných transakcí v počítačích, které jsou členy pracovní skupiny Ne vyžadováno ověření .

Vyžadováno ověření č ovlivňuje následující položky registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC

Název hodnoty: AllowOnlySecureRpcCalls
Typ hodnoty: REG_DWORD
Údaj hodnoty: 0

Název hodnoty: FallbackToUnsecureRPCIfNecessary
Typ hodnoty: REG_DWORD
Údaj hodnoty: 0

Název hodnoty: TurnOffRpcSecurity
Typ hodnoty: REG_DWORD
Údaj hodnoty: 1
Poznámka: V clusteru serverů tyto položky registru jsou umístěny v registru sdíleného clusteru.

Význam nové možnosti, které jsou k dispozici v dialogovém okně "Nastavení zabezpečení"

Nové možnosti, které jsou k dispozici
Konfigurace zabezpečení dialogové okno umožňují použít zabezpečení nastavení odchozí nebo příchozí síťové komunikace. Podle výchozího nastavení po instalaci systému Windows, počítač nepřijímá provoz v síti. Proto počítač ohrožen méně přístup uživatel se zlými úmysly. Navíc jsou protokoly, které jsou odesílány přes síť aktualizovat, aby podporovaly režimu vzájemně ověřené a bezpečnější šifrované komunikace. To pomáhá snížit pravděpodobnost, že uživatel se zlými úmysly by mohl zachytit a převzít komunikaci mezi služby Koordinátor distribuovaných transakcí.

Změny komunikační sítě v systému Windows

je zakázáno vše síťovou komunikaci pocházející z služba Koordinátor distribuovaných transakcí nebo přichází do služby Koordinátor distribuovaných transakcí. Například pokud objekt modelu COM + se pokusí aktualizovat databázi Microsoft SQL Server, který je umístěn ve vzdáleném počítači pomocí koordinátor distribuovaných transakcí transakce, transakce neproběhne úspěšně. Naopak pokud počítač hostuje databázi serveru SQL Server, zkuste komponenty ze vzdáleného počítače přístup pomocí koordinátoru Distributed Transaction Coordinator transakce, transakce neproběhne úspěšně.

Problémy, které se vztahují ke službě Koordinátor distribuovaných transakcí

Transakce se nezdaří z důvodu potíže s připojením k síti

Důležité: Tento oddíl, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Při nesprávné úpravě registru mohou nastat závažné problémy Proto se ujistěte, že budete opatrně postupovat podle těchto kroků Pro zvýšení ochrany před úpravou zálohujte registr. Pokud dojde k potížím, pak můžete registr obnovit ze zálohy. Pro další informace o zálohování a obnovení registru klepněte na následující číslo článku databáze Microsoft Knowledge Base:
322756 postup zálohování a obnovení registru v systému Windows


Pokud koordinátor distribuovaných transakcí transakce se nezdaří z důvodu potíže s připojením k síti, klepněte na tlačítko zaškrtněte následující políčka v dialogovém okně Konfigurace zabezpečení :
  • Klepnutím zaškrtněte políčko Síťový přístup koordinátora DTC.
  • Klepnutím vyberte jednu nebo obě z následujících políček pod přepínačem
    Komunikace správce transakcí v závislosti na požadavcích:
    • Povolit příchozí
    • Povolit odchozí
Pokud chcete toto nastavení změnit programově jako součást systému Windows, můžete přímo upravit nastavení registru, které odpovídají nastavení, které chcete nastavit. Po úpravě nastavení registru je nutné restartovat službu Koordinátor distribuovaných transakcí.

Důležité: Společnost Microsoft doporučuje, že měnit ručně Chcete-li změnit toto nastavení registru. Pokud ručně změníte nastavení registru, mohou se vyskytnout problémy s Clusterovou službu na clusteru serveru se systémem Windows Server 2003 SP1.

Brána Windows Firewall blokuje přenos koordinátor distribuovaných transakcí

Důležité: Tento postup může zvýšit bezpečnostní riziko. Tento postup může také oslabit v počítači nebo síti zranitelnější vůči útoku uživatelů se zlými úmysly nebo škodlivému softwaru, například virům. Doporučujeme proces, který tento článek popisuje, jak povolit programy jako jsou určeny k provozu nebo provádět specifické možnosti programů. Před provedením těchto změn však doporučujeme vyhodnotit nebezpečí spojená s nasazením tohoto procesu v konkrétním prostředí. Pokud se rozhodnete implementovat tento proces, přijmout veškerá dodatečná opatření k ochraně systému. Doporučujeme tento postup použít pouze v případě, že je to opravdu nutné tento proces.

Pokud používáte bránu Windows Firewall, je nutné do seznamu výjimek brány Firewall systému Windows nastavení přidat službu Koordinátor distribuovaných transakcí. Chcete-li to provést, postupujte takto:
  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz firewall.cpla pak klepněte na tlačítko
    OK.
  2. V dialogovém okně Brána Windows Firewall klepněte na kartu výjimky a potom klepněte na tlačítko Přidat Program.
  3. Klepněte na tlačítko Procházet, vyhledejte a klepněte na tlačítko
    C:\Windows\System32\msdtc.exea potom klepněte na tlačítko
    Otevřít.
  4. Klepněte na tlačítko OK, klepněte na tlačítko Vybrat
    MSDTC.exe políčko v programy a služby seznam, pokud toto políčko není zaškrtnuto a potom klepněte na tlačítko OK.

Nastavení, které jsou změněny nebo přidány

Následující tabulka popisuje položky registru, které byly změněny od aktualizace Windows XP SP2 z dřívějších verzí systému Windows.
Název položkyUmístěníPředchozí výchozí hodnotaVýchozí hodnotu systému Windows XP s aktualizací SP2Možné hodnoty
NetworkDtcAccess
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security
100 nebo 1
NetworkDtcAccessTransactions
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security
100 nebo 1
NetworkDtcAccessInboundHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security
Není k dispozici00 nebo 1
NetworkDtcAccessOutboundHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security
Není k dispozici00 nebo 1
AllowOnlySecureRpcCallsHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC
Není k dispozici10 nebo 1
FallbackToUnsecureRPCIfNecessaryHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC
Není k dispozici00 nebo 1
TurnOffRpcSecurityHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC
Není k dispozici00 nebo 1
Poznámka: Tyto změny se v registru sdíleného clusteru v clusteru serveru se systémem Windows Server 2003 SP1.

Kódy chyb, které jsou spojeny s změny služby Koordinátor distribuovaných transakcí

OU může zobrazit jedna z následujících kódů chyby při spuštění koordinátoru Distributed Transaction Coordinator transakce mezi počítači:

Kód chyby 1
//
// MessageId: XACT_E_NETWORK_TX_DISABLED

//

// MessageText:

//

// The transaction manager has disabled its support for remote/network transactions.

//

#define XACT_E_NETWORK_TX_DISABLED _HRESULT_TYPEDEF_(0x8004D024L)


Kód chyby 2
//
// MessageId: XACT_E_PARTNER_NETWORK_TX_DISABLED

//

// MessageText:

//

// The partner transaction manager has disabled its support for remote/network transactions.

//

#define XACT_E_PARTNER_NETWORK_TX_DISABLED _HRESULT_TYPEDEF_(0x8004D025L)


Vlastnosti

ID článku: 899191 - Poslední kontrola: 16. 1. 2017 - Revize: 1

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Standard, Windows 8.1, Windows 8.1 Pro, Windows 8.1 Enterprise, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Foundation, Windows Server 2012 Foundation, Windows Server 2012 Foundation, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows 8, Windows 8 Pro, Windows 8 Enterprise, Windows 7 Enterprise, Windows 7 Home Basic, Windows 7 Home Premium, Windows 7 Professional, Windows 7 Starter, Windows 7 Ultimate, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 for Itanium-Based Systems, Windows Server 2008 R2 Foundation, Windows Server 2008 R2 Standard, Windows Vista Business, Windows Vista Enterprise, Windows Vista Home Basic, Windows Vista Home Premium, Windows Vista Ultimate, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Foundation, Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows XP Service Pack 2

Váš názor