Sie sind zurzeit offline. Es wird auf die erneute Herstellung einer Internetverbindung gewartet.

Neue Funktionalität im Distributed Transaction Coordinator-Dienst in Windows

Der Support für Windows Server 2003 ist am 14. Juli 2015 abgelaufen.

Microsoft beendete den Support für Windows Server 2003 am 14. Juli 2015. Diese Änderung wirkt sich auf Ihre Softwareupdates und Sicherheitsoptionen aus. Erfahren Sie, was das für Sie bedeutet und wie Sie Ihren Schutz aufrechterhalten können.

Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 899191
Zusammenfassung
Seit Windows Server 2003 Service Pack 1 (SP1) und Windows XP Service Pack 2 (SP2) einige Sicherheitsupdates geändert wurden Windows und Microsoft Distributed Transaction Coordinator (MSDTC) Service auswirken.

Diese Änderung erfolgt mit aktualisierten Dialogfeld Sicherheitskonfiguration , die in dem Verwaltungstool Komponentendienste.

Diese sind die Standardeinstellungen geändert, die Distributed Transaction Coordinator-Verkehr im Netzwerk Failover verursachen. In diesem Fall erhalten Sie Fehlermeldungen oder Fehlercodes.

Durch Ändern der Einstellung im Dialogfeld Sicherheitskonfigurationkönnen Sie kontrollieren wie der Distributed Transaction Coordinator-Dienst mit Remotecomputern über das Netzwerk kommuniziert.
Einführung
Dieser Artikel beschreibt die neue Funktionalität im Dienst Microsoft Distributed Transaction Coordinator (MSDTC) unter den folgenden Betriebssystemen:
  • Microsoft Windows Server 2003 Servicepack 1 (SP1)
  • Microsoft Windows XP Service Pack 2 (SP2)
  • Windows Vista
  • Windows Server 2008
  • Windows 7
  • Windows Server 2008 R2;
  • Windows 8
  • Windows Server 2012
  • Windows 8.1
  • Windows Server 2012 R2
Der Distributed Transaction Coordinator-Dienst koordiniert Transaktionen, die zwei oder mehr transaktionsgeschützte Ressourcen aktualisieren. Transaktionsgeschützten Ressourcen zählen Datenbanken, Nachrichtenwarteschlangen und Dateisysteme. Diese transaktionsgeschützten Ressourcen können auf einem einzelnen Computer befinden oder mehrere vernetzte Computer verteilt.
Weitere Informationen
In Windows kann Distributed Transaction Coordinator-Dienst besser steuern der Netzwerkkommunikation zwischen Computern. Standardmäßig ist die gesamte Netzwerkkommunikation deaktiviert. Im Dialogfeld Distributed Transaction CoordinatorSicherheitskonfiguration wurde verbessert, sodass dazu Kommunikation verwalten können. Im Dialogfeld Sicherheitskonfiguration anzeigen möchten, gehen Sie folgendermaßen vor:
  1. Starten Sie das Verwaltungstool Komponentendienste. Dazu müssen, klicken Sie auf Start, klicken Sie auf Ausführen, gebenDcomcnfg.exe, und klicken Sie dann aufOK.
  2. In der Konsolenstruktur die Komponente Servicesadministrative Tools erweitern Sie Komponentendienste, erweitern SieComputerder rechten Maustaste auf Arbeitsplatzund dann auf Eigenschaften.
  3. Klicken Sie auf die Registerkarte MSDTC , und klicken Sie dann aufSicherheitskonfiguration.

Neue Optionen im Dialogfeld "Sicherheitskonfiguration"

Folgenden Informationen beschreiben die neuen Optionen im Dialogfeld " Sicherheitskonfiguration " verfügbar sind. Diese Informationen beschreiben auch die Registrierungseinträge, die von den neuen Optionen im Dialogfeld Sicherheitskonfiguration betroffen sind.

Das Kontrollkästchen "DTC-Netzwerkzugriff"

Das Kontrollkästchen DTC-Netzwerkzugriff können Sie bestimmen, ob der Distributed Transaction Coordinator-Dienst im Netzwerk zugreifen kann. Das Kontrollkästchen DTC-Netzwerkzugriff muss zusammen mit einem der anderen Kontrollkästchen unter dem Kontrollkästchen DTC-Netzwerkzugriff aktivieren Sie DTC-Netzwerktransaktionen ausgewählt werden.

Das Kontrollkästchen DTC-Netzwerkzugriff wirkt sich auf den folgenden Registrierungseintrag:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security


Wertname: "NetworkDtcAccess"
Typ: REG_DWORD
Wert: 0 (Standard)
Hinweis Auf einem Servercluster wirkt sich auf das Kontrollkästchen DTC-Netzwerkzugriff einen Wert im Registrierungsschlüssel freigegebener Cluster unter dem Registrierungsschlüssel der MSDTC-Ressource. Der Schlüssel des freigegebenen Clusters für MSDTC befindet sich an folgendem Speicherort:
HKEY_LOCAL_MACHINE\Cluster\Resources\<MSDTC resource GUID>
Standardmäßig wird der Wert für den Registrierungseintrag "NetworkDtcAccess" auf 0 festgelegt. Der Wert 0 deaktiviert den Registrierungseintrag "NetworkDtcAccess". Um den Registrierungseintrag "NetworkDtcAccess" zu aktivieren, setzen Sie diesen Registrierungswert auf 1.

Das Kontrollkästchen "Eingehende zulassen"

Das Kontrollkästchen Eingehende zulassen können Sie festlegen, ob zu einer verteilten Transaktion, die von einem Remotecomputer auf den lokalen Computer stammt. Diese Einstellung ist standardmäßig deaktiviert. Um diese Einstellung zu aktivieren, klicken Sie auf das Kontrollkästchen DTC-Netzwerkzugriff auf den folgenden Registrierungseintrag auf 1 gesetzt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security


Wertname: "NetworkDtcAccess"
Typ: REG_DWORD
Um diese Einstellung zu deaktivieren, deaktivieren Sie das Kontrollkästchen DTC-Netzwerkzugriff , um diesen Registrierungseintrag auf 0 festgelegt.

Das Kontrollkästchen Eingehende zulassen betrifft sowohl die folgenden Registrierungseinträge:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security


Wert: NetworkDtcAccessTransactions
Typ: REG_DWORD

Wert: NetworkDtcAccessInbound
Typ: REG_DWORD

Das Kontrollkästchen "Ausgehende zulassen"

Das Kontrollkästchen Ausgehende zulassen können Sie festlegen, ob der lokale Computer eine Transaktion initiieren und auf einem Remotecomputer ausgeführt. Um diese Einstellung zu aktivieren, klicken Sie auf das Kontrollkästchen DTC-Netzwerkzugriff auf den folgenden Registrierungseintrag auf 1 gesetzt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security


Wertname: "NetworkDtcAccess"
Typ: REG_DWORD
Um diese Einstellung zu deaktivieren, deaktivieren Sie das Kontrollkästchen DTC-Netzwerkzugriff , um diesen Registrierungseintrag auf 0 festgelegt.

Das Kontrollkästchen Ausgehende zulassen betrifft sowohl die folgenden Registrierungseinträge:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security


Wert: NetworkDtcAccessTransactions
Typ: REG_DWORD

Wert: NetworkDtcAccessOutbound
Typ: REG_DWORD

Die Option "Gegenseitiger Authentifizierung erforderlich"

Gegenseitige Authentifizierung erforderlichfügt Unterstützung für die gegenseitige Authentifizierung in Windows. Gegenseitige Authentifizierung erforderlich wird den größten Sicherheitsmodus, der derzeit für die Netzwerkkommunikation. Wir empfehlen diesen Transaktionsmodus für Clientcomputer, die Windows XP SP2 sowie für Servercomputer ausgeführt werden, auf dem Windows Server 2003 SP1 ausgeführt werden.

Gegenseitige Authentifizierung erforderlich wirkt sich auf die folgenden Registrierungseinträge:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC


Wert: AllowOnlySecureRpcCalls
Typ: REG_DWORD
Wert: 1

Wert: FallbackToUnsecureRPCIfNecessary
Typ: REG_DWORD
Wert: 0

Wert: TurnOffRpcSecurity
Typ: REG_DWORD
Wert: 0
Hinweis Die Gegenseitige Authentifizierung erforderlich mit Funktionalität unterscheidet sich von der Funktionalität mit Authentifizierung des eingehenden Anrufers erforderlichist. Die drei Optionen unter Transaktions-Manager-Kommunikation Verhalten sich wie folgt:
  • Transaktionsmodus Gegenseitige Authentifizierung erforderlich muss die Remotezugriff Komponente Anauthenticated Verbindung mit dem lokalen Computer. Diese Authentifizierung Isverified durch Identitätswechsel auf dem lokalen Computer. Darüber hinaus erfolgt die RAS-Kommunikation zwischen zwei TransactionCoordinator verteilt, muss Authentifizierungsinformationen ein Computeraccount angeben, Remotetransaktions-Modus Computer Hostnamen entspricht.
  • Authentifizierung des eingehenden Anrufers erforderlich Transaktionsmodus muss nur die Remoteverbindung authentifiziert werden. Remotezugriff Komponente TransactionCoordinator verteilten Dienst handelt, muss außerdem die Authentifizierungsinformationen für ein Computeraccount sein.
  • TransaktionsmodusKeine Authentifizierung erforderlich eine authentifizierte Verbindung nicht überprüft oder Verifywhether eine authentifizierte Verbindung hergestellt wird.
In einer Clusterumgebung legt das Computerkonto für den Distributed Transaction Coordinator-Dienst der Clusterknoten Hostnamen. In einer Clusterumgebung verwendet die Distributed Transaction Coordinator-Authentifizierung nicht den Transaktionsmodus Hostnamen. In einer Clusterumgebung ist Hostname des Transaktionsmodus der Name des virtuellen Dienstes. Daher können keine Verwendung Transaktionsmodus Gegenseitige Authentifizierung erforderlichin einer Clusterumgebung oder auf Computern, die mit solchen Computern ausgehandelt werden. Sie können den Transaktionsmodus Gegenseitige Authentifizierung erforderlich zwischen zwei nicht gruppierten Computer mit Windows Server 2003 SP1 oder zwischen zwei Computern mit Windows XP SP2.

Verwenden Sie den Transaktionsmodus Authentifizierung des eingehenden Anrufers erforderlich zwischen Windows Server 2003-Computer in einer Clusterumgebung.

Sie müssen den Transaktionsmodus Keine Authentifizierung erforderlich verwenden, sind eine oder mehrere der folgenden Umstände true:
  • Die Netzwerkkomunikation erfolgt zwischen Computern, auf denen Microsoft Windows 2000 ausgeführt werden.
  • Die Netzwerkkomunikation erfolgt zwischen zwei Domänen, die nicht Havea gegenseitige Vertrauensstellung konfiguriert.
  • Die Netzwerkkomunikation erfolgt zwischen Computern, die Mitglieder einer Arbeitsgruppe sind.

Die Option "Authentifizierung des eingehenden Anrufers erforderlich"

Authentifizierung des eingehenden Anrufers erforderlich, muss den lokalen Distributed Transaction Coordinator-Dienst nur verschlüsselte Nachrichten mit einem remote-Distributed Transaction Coordinator-Dienst kommunizieren. Die eingehende Verbindung wird authentifiziert. Windows Server 2003 SP1, Windows XP SP2 und höher unterstützen dieses Feature. Können Sie daher nur dieser Option remote Distributed Transaction Coordinator-Dienst auf einem Computer ausgeführt wird, auf dem Windows Server 2003 SP1, Windows XP SP2 oder höher ausgeführt wird.

Authentifizierung des eingehenden Anrufers erforderlich wirkt sich auf die folgenden Registrierungseinträge:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC


Wert: AllowOnlySecureRpcCalls
Typ: REG_DWORD
Wert: 0

Wert: FallbackToUnsecureRPCIfNecessary
Typ: REG_DWORD
Wert: 1

Wert: TurnOffRpcSecurity
Typ: REG_DWORD
Wert: 0
Weitere Informationen zur Authentifizierung des eingehenden Anrufers erforderlichfinden Sie im Abschnitt "Option gegenseitige Authentifizierung erforderlich" .

Die Option "Keine Authentifizierung erforderlich"

Keine Authentifizierung erforderlich ermöglicht die Betriebssystemkompatibilität zwischen früheren Versionen von Windows. Wenn diese Option aktiviert ist, kann Netzwerkkommunikation zwischen Distributed Transaction Coordinator-Diensten zurückgreifen, ohne oder wenn ein sicherer Kommunikationskanal eingerichtet werden kann.

Hinweis Es wird empfohlen, diese Einstellung zu verwenden, wenn remote Distributed Transaction Coordinator-Dienst ausgeführt wird, auf einem Computer mit Microsoft Windows 2000 oder auf einem Computer, auf denen einer Version von Windows XP ist vor Windows XP SP2.

Keine Authentifizierung erforderlich können auch einer Situation, in der Distributed Transaction Coordinator-Dienste auf Computern ausgeführt werden, die in Domänen keine Vertrauensstellung eingerichtet haben. Darüber hinaus können Keine Authentifizierung erforderlich Sie einer Situation, in dem die Distributed Transaction Coordinator-Dienste auf Computern ausgeführt werden, die Mitglieder einer Arbeitsgruppe sind.

Keine Authentifizierung erforderlich wirkt sich auf die folgenden Registrierungseinträge:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC


Wert: AllowOnlySecureRpcCalls
Typ: REG_DWORD
Wert: 0

Wert: FallbackToUnsecureRPCIfNecessary
Typ: REG_DWORD
Wert: 0

Wert: TurnOffRpcSecurity
Typ: REG_DWORD
Wert: 1
Hinweis In einem Servercluster befinden sich diese Registrierungseinträge in der gemeinsam genutzten Clusterregistrierung.

Bedeutung der neuen Optionen im Dialogfeld "Sicherheitskonfiguration" verfügbar sind

Die neuen Optionen im Dialogfeld Sicherheitskonfiguration stehenkönnen Sie ausgehenden oder eingehenden Netzwerkkommunikation Sicherheitsstufe zuweisen. Standardmäßig akzeptiert der Computer nach der Installation von Windows den Netzwerkverkehr nicht. Der Computer ist daher weniger verwundbar für Netzwerkzugriffe durch böswillige Benutzer. Außerdem sind die Protokolle, die über das Netzwerk gesendet werden aktualisiert, um besser verschlüsselten und gegenseitig authentifizierten Kommunikationsmodus zu unterstützen. Dies reduziert die Wahrscheinlichkeit, die ein Angreifer abfangen und Kommunikation zwischen Distributed Transaction Coordinator-Diensten übernehmen.

Netzwerk-Kommunikation Änderungen in Windows

ll Netzwerkkommunikation Distributed Transaction Coordinator-Dienst ausgehende oder kommen aus den Distributed Transaction Coordinator-Dienst ist deaktiviert. Z. B. wenn ein COM+-Objekt versucht, eine Microsoft SQL Server-Datenbank aktualisieren, die auf einem Remotecomputer befindet, unter Verwendung einer Distributed Transaction Coordinator-Transaktion, fehlschlägt Transaktion. Umgekehrt, wenn der Computer eine SQL Server-Datenbank, die Komponenten von einem Remotecomputer hostet unter Verwendung einer Distributed Transaction Coordinator-Transaktion zuzugreifen versuchen, diese Transaktion fehlschlägt.

Probleme in mit dem Distributed Transaction Coordinator-Dienst Zusammenhang

Transaktionen fehl aufgrund von Verbindungsproblemen

Wichtig Dieser Abschnitt bzw. die Methode oder Aufgabe enthält Schritte, die erklären, wie Sie die Registrierung ändern. Allerdings können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie diese Schritte sorgfältig ausführen. Für zusätzlichen Schutz, sichern Sie die Registry, bevor Sie sie ändern. Dann können Sie die Registry wiederherstellen wenn ein Problem tritt auf. Für weitere Informationen wie Sie der Registry sichern und wiederherstellen, klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
322756 Wie Sie die Registrierung in Windows sichern und wiederherstellen können?


Wenn die Distributed Transaction Coordinator-Transaktionen aufgrund von Verbindungsproblemen fehl, klicken Sie auf die folgenden Kontrollkästchen im Dialogfeld Sicherheitskonfiguration :
  • Aktivieren Sie das Kontrollkästchen DTC-Netzwerkzugriff.
  • Klicken Sie auf eine oder beide der folgenden Kontrollkästchen unterTransaktions-Manager-Kommunikation je nach Yourrequirements:
    • Kann eingehende
    • Ausgehende zulassen
Wenn Sie diese Einstellung programmgesteuert als Teil einer Windows ändern möchten, können Sie direkt den Einstellungen entsprechen, die Sie festlegen möchten die Registrierungseinträge ändern. Nachdem Sie die Registrierungseinträge ändern, müssen Sie den Distributed Transaction Coordinator-Dienst starten.

Wichtig Es wird empfohlen, dass Sie die Registrierung möglicherweise nicht manuell ändern. Wenn Sie diese Registrierungseinträge manuell ändern, können Probleme mit dem Clusterdienst auf Windows Server 2003 SP1-basierten Servercluster auftreten.

Windows-Firewall blockiert Distributed Transaction Coordinator-Verkehr

Wichtig Folgendermaßen erhöhen das Sicherheitsrisiko. Diese Schritte können auch der Computer oder das Netzwerk anfälliger für Angriffe durch böswillige Benutzer oder gefährliche Software wie etwa Viren machen Wir empfehlen den Prozess, zum Aktivieren von Programmen beschrieben entwickelt, oder um spezielle Programmfunktionen einzusetzen. Bevor Sie diese Änderungen empfiehlt sich die Bewertung der Risiken, die mit der Durchführung dieses Prozesses in Ihrer speziellen Umgebung verbunden sind. Wenn Sie sich entscheiden, diesen Prozess anzuwenden, ergreifen Sie entsprechenden Maßnahmen zum Schutz des Systems. Es wird empfohlen, dass Sie diesen Prozess nur verwenden, wenn Sie wirklich erforderlich ist.

Wenn Sie Windows-Firewall verwenden, müssen Sie den Distributed Transaction Coordinator-Dienst zur Ausnahmeliste von Windows Firewall Settings hinzufügen. Gehen Sie hierzu folgendermaßen vor:
  1. Klicken Sie auf Startund auf Ausführen, geben Firewall.cpl, und klicken Sie dann aufOK.
  2. Klicken Sie aufdie Registerkarte Ausnahmen im Dialogfeld Windows-Firewall , und klicken Sie dann auf AddProgram.
  3. Klicken Sie auf Durchsuchen, Suchen klicken SieC:\Windows\System32\msdtc.exeund klicken Sie dann aufÖffnen.
  4. Klicken Sie auf OK, aktivieren das Kontrollkästchenmsdtc.exeProgramme Dienstleistungen , wenn diese nicht bereits aktiviert ist, und klicken Sie auf OK.

Einstellung, die geändert oder hinzugefügt werden

Die folgende Tabelle beschreibt die Registrierungseinträge, die seit Windows XP SP2 aus früheren Windows-Versionen geändert werden.
EintragsnameOrtVorherigen StandardwertWindows XP SP2-StandardwertMögliche Werte
"NetworkDtcAccess" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security 100 oder 1
NetworkDtcAccessTransactions HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security 100 oder 1
NetworkDtcAccessInboundHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security Nicht zutreffend00 oder 1
NetworkDtcAccessOutboundHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security Nicht zutreffend00 oder 1
AllowOnlySecureRpcCallsHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC Nicht zutreffend10 oder 1
FallbackToUnsecureRPCIfNecessaryHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC Nicht zutreffend00 oder 1
TurnOffRpcSecurityHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC Nicht zutreffend00 oder 1
Hinweis Diese Änderungen in der gemeinsam genutzten Clusterregistrierung auf einem Windows Server 2003 SP1-basierten Servercluster angezeigt.

Fehlercodes, die mit der Distributed Transaction Coordinator-Dienst

Organisationseinheit möglicherweise einer der folgenden Fehlercodes Distributed Transaction Coordinator-Transaktionen zwischen mehreren Computern ausführen:

Fehlercode 1
//// MessageId: XACT_E_NETWORK_TX_DISABLED//// MessageText://// The transaction manager has disabled its support for remote/network transactions.//#define XACT_E_NETWORK_TX_DISABLED       _HRESULT_TYPEDEF_(0x8004D024L)
Fehlercode: 2
//// MessageId: XACT_E_PARTNER_NETWORK_TX_DISABLED//// MessageText://// The partner transaction manager has disabled its support for remote/network transactions.//#define XACT_E_PARTNER_NETWORK_TX_DISABLED _HRESULT_TYPEDEF_(0x8004D025L)
DTC COM complus

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 899191 – Letzte Überarbeitung: 09/10/2015 02:28:00 – Revision: 2.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Standard, Windows 8.1, Windows 8.1 Pro, Windows 8.1 Enterprise, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Standard, Windows 8, Windows 8 Pro, Windows 8 Enterprise, Windows 7 Enterprise, Windows 7 Home Basic, Windows 7 Home Premium, Windows 7 Professional, Windows 7 Starter, Windows 7 Ultimate, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 for Itanium-Based Systems, Windows Server 2008 R2 Foundation, Windows Server 2008 R2 Standard, Windows Vista Business, Windows Vista Enterprise, Windows Vista Home Basic, Windows Vista Home Premium, Windows Vista Ultimate, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Foundation, Microsoft Windows Server 2003 Service Pack 1

  • kbinfo kbexpertiseadvanced kbmt KB899191 KbMtde
Feedback