Nueva funcionalidad en el servicio Coordinador de transacciones distribuidas en Windows

El soporte técnico para Windows Server 2003 finalizó el 14 de julio de 2015

Microsoft finalizó el soporte técnico para Windows Server 2003 el 14 de julio de 2015. Este cambio ha afectado a las actualizaciones de software y las opciones de seguridad. Sepa qué significa esto en su caso y cómo puede mantenerse protegido.

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 899191
Resumen
Desde Windows Server 2003 Service Pack 1 (SP1) y Windows XP Service Pack 2 (SP2), algunas actualizaciones de seguridad y los cambios se introdujeron en Windows y afectan al servicio Coordinador de transacciones distribuidas de Microsoft (MSDTC).

Pueden tener acceso a estos cambios utilizando el cuadro de diálogo Configuración de seguridad actualizado está disponible en la herramienta administrativa Servicios de componentes.

Estos cambios se realizan en la configuración de seguridad predeterminada que causan el tráfico del Coordinador de transacciones distribuidas conmutar a la red. En esta situación, puede recibir uno o varios mensajes de error o los códigos de error.

Si modifica la configuración en el cuadro de diálogo Configuración de seguridad, puede ayudar a control de cómo se comunica el servicio Coordinador de transacciones distribuidas con equipos remotos a través de la red.
INTRODUCCIÓN
Este artículo describe la nueva funcionalidad del servicio Coordinador de transacciones distribuidas de Microsoft (MSDTC) en los sistemas operativos siguientes:
  • Microsoft Windows Server 2003 Service Pack 1 (SP1)
  • Microsoft Windows XP Service Pack 2 (SP2)
  • Windows Vista
  • Windows Server 2008
  • Windows 7
  • Windows Server 2008 R2
  • Windows 8
  • Windows Server 2012
  • Windows 8.1
  • Windows Server 2012 R2
El servicio Coordinador de transacciones distribuidas coordina las transacciones que actualizan dos o más recursos protegidos por transacciones. Recursos protegidos por transacciones incluyen bases de datos, colas de mensajes y sistemas de archivos. Estos recursos protegidos contra transacciones pueden encontrarse en un único equipo o pueden distribuirse entre varios equipos en red.
Más información
En Windows, el servicio Coordinador de transacciones distribuidas ofrece más control sobre la comunicación de red entre equipos. De forma predeterminada, todas las comunicaciones de red está deshabilitada. Se ha mejorado el cuadro de diálogoConfiguración de seguridad del Coordinador de transacciones distribuidas para que puedan administrar esta configuración de la comunicación. Para ver el cuadro de diálogo Configuración de seguridad , siga estos pasos:
  1. Inicie la herramienta administrativa Servicios de componentes. Para dothis, haga clic en Inicio, haga clic en Ejecutar, tipoDCOMCNFG.exey, a continuación, haga clic enAceptar.
  2. En el árbol de consola de la herramienta Servicios de componente, expanda Servicios de componentes, expandaequipos, haga clic derecho en Mi PCy haga clic en Propiedades.
  3. Haga clic en la ficha MSDTC y, a continuación, haga clic enConfiguración de seguridad.

Nuevas opciones que están disponibles en el cuadro de diálogo "Security Configuration"

La siguiente información describe las nuevas opciones que están disponibles en el cuadro de diálogo Configuración de seguridad . Esta información también describe las entradas del registro que se ven afectadas por las nuevas opciones en el cuadro de diálogo Configuración de seguridad .

La casilla de verificación "Acceso DTC de red"

La casilla de verificación Acceso DTC de red le permite determinar si el servicio Coordinador de transacciones distribuidas puede tener acceso a la red. Debe seleccionarse la casilla de verificación Acceso DTC de red junto con una de las otras casillas de verificación en la casilla de verificación Acceso DTC de red para permitir transacciones del Coordinador de transacciones distribuidas de red.

La casilla de verificación Acceso DTC de red afecta a la entrada del registro siguiente:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security


Nombre de valor: NetworkDtcAccess
Tipo de valor: REG_DWORD
Datos del valor: 0 (predeterminado)
Nota: En un clúster de servidor, la casilla de verificación Acceso DTC de red afecta a un valor en la clave de registro del clúster compartido bajo la clave de registro de recurso MSDTC. La clave del registro del clúster compartido de MSDTC se encuentra en la siguiente ubicación:
HKEY_LOCAL_MACHINE\Cluster\Resources\<MSDTC resource GUID>
De forma predeterminada, se establece el valor de la entrada del registro NetworkDtcAccess en 0. Un valor de 0 desactiva la entrada del registro NetworkDtcAccess. Para activar la entrada de registro NetworkDtcAccess, establezca este valor del registro en 1.

La casilla de verificación "Permitir entrantes"

La casilla de verificación Permitir entrantes permite determinar si se permite que una transacción distribuida que se origina desde un equipo remoto para que se ejecute en el equipo local. De forma predeterminada, esta opción está desactivada. Para habilitar a esta configuración, haga clic para activar la casilla de verificación Acceso DTC de red para establecer la siguiente entrada del registro en 1:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security


Nombre de valor: NetworkDtcAccess
Tipo de valor: REG_DWORD
Para deshabilitar a esta configuración, haga clic para desactivar la casilla de verificación Acceso DTC de red para establecer esta entrada del registro en 0.

La casilla de verificación Permitir entrantes afecta a las entradas del registro siguientes:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security


Nombre de valor: NetworkDtcAccessTransactions
Tipo de valor: REG_DWORD

Nombre de valor: NetworkDtcAccessInbound
Tipo de valor: REG_DWORD

La casilla de verificación "Permitir saliente"

La casilla de verificación Permitir salientes permite determinar si se permite que el equipo local iniciar una transacción y ejecutar dicha transacción en un equipo remoto. Para habilitar a esta configuración, haga clic para activar la casilla de verificación Acceso DTC de red para establecer la siguiente entrada del registro en 1:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security


Nombre de valor: NetworkDtcAccess
Tipo de valor: REG_DWORD
Para deshabilitar a esta configuración, haga clic para desactivar la casilla de verificación Acceso DTC de red para establecer esta entrada del registro en 0.

La casilla de verificación Permitir salientes afecta a las entradas del registro siguientes:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security


Nombre de valor: NetworkDtcAccessTransactions
Tipo de valor: REG_DWORD

Nombre de valor: NetworkDtcAccessOutbound
Tipo de valor: REG_DWORD

La opción "Se requiere autenticación mutua"

Se requiere autenticación mutuase agrega compatibilidad para la autenticación mutua en Windows. Se requiere autenticación mutua establece el modo de seguridad mayor que esté disponible para la comunicación de red. Se recomienda este modo de transacción para los equipos cliente que ejecutan Windows XP SP2 junto con servidores que ejecutan Windows Server 2003 SP1.

Se requiere autenticación mutua afecta a las entradas del registro siguientes:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC


Nombre de valor: AllowOnlySecureRpcCalls
Tipo de valor: REG_DWORD
Datos del valor: 1

Nombre de valor: FallbackToUnsecureRPCIfNecessary
Tipo de valor: REG_DWORD
Datos del valor: 0

Nombre de valor: TurnOffRpcSecurity
Tipo de valor: REG_DWORD
Datos del valor: 0
Nota: La funcionalidad que se establece mediante Requiere autenticación mutua difiere de la funcionalidad que se establece mediante Requiere autenticación de llamada entrante. Las tres opciones que se enumeran en el Administrador de transacciones de comunicación se comportan como sigue:
  • El modo de transacción Se requiere autenticación mutua requiere el componente de acceso remoto para proporcionar conexión anauthenticated con el equipo local. Esta isverified de autenticación por suplantación en el equipo local. Además, si la comunicación de acceso remoto se realiza entre dos servicios distribuidos TransactionCoordinator, esta información de autenticación debe especificar un computeraccount que coincida con el nombre de host del equipo de modo de transacciones remoto.
  • El modo de transacción Requiere autenticación de llamada entrante sólo requiere la conexión remota se autentiquen. Además, si el componente de acceso remoto es un servicio de TransactionCoordinator distribuidos, la información de autenticación debe ser para un computeraccount.
  • El modo de transacciónNo se requiere autenticación no validar una conexión autenticada o se establece una conexión autenticada de verifywhether.
En un entorno con clústeres, la cuenta de equipo para el servicio Coordinador de transacciones distribuidas especifica el nombre de host del nodo de clúster. En un entorno agrupado, la autenticación de coordinador de transacciones distribuidas no utiliza el nombre de host del modo de transacción. En un entorno agrupado, nombre de host del modo de transacción es el nombre del servicio virtual. Por lo tanto, no puede utilizar el modo de transacción Se requiere autenticación mutuaen un entorno agrupado, o en los equipos que negocian transacciones con estos equipos. Puede utilizar el modo de transacción Se requiere autenticación mutua entre dos equipos no agrupados que ejecutan Windows Server 2003 SP1 o entre dos equipos que ejecutan Windows XP SP2.

Debe utilizar el modo de transacción Requiere autenticación de llamada entrante entre equipos basados en Windows Server 2003 en un entorno agrupado.

Debe utilizar el modo de transacción No se requiere autenticación donde uno o más de las siguientes condiciones son verdaderas:
  • El acceso a la red es entre equipos que ejecutan Microsoft Windows 2000.
  • El acceso a la red es entre dos dominios que no havea la confianza mutua configurada.
  • El acceso a la red es entre equipos que son miembros deuna workgroup.

La opción "Se requiere autenticación de llamada entrante"

Requiere autenticación de llamada entranterequiere el servicio Coordinador de transacciones distribuidas local para comunicarse con un servicio remoto del Coordinador de transacciones distribuidas mediante el uso de sólo los mensajes cifrados. Se autenticará sólo la conexión entrante. Sólo Windows Server 2003 SP1, SP2 de Windows XP y una versión posterior de Windows admiten esta característica. Por lo tanto, habilite esta opción sólo si está ejecutando el servicio Coordinador de transacciones distribuidas remoto en un equipo que ejecuta Windows Server 2003 SP1, el SP2 de Windows XP o una versión posterior de Windows.

Requiere autenticación de llamada entrante afecta a las entradas del registro siguientes:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC


Nombre de valor: AllowOnlySecureRpcCalls
Tipo de valor: REG_DWORD
Datos del valor: 0

Nombre de valor: FallbackToUnsecureRPCIfNecessary
Tipo de valor: REG_DWORD
Datos del valor: 1

Nombre de valor: TurnOffRpcSecurity
Tipo de valor: REG_DWORD
Datos del valor: 0
Para obtener más información acerca de Requiere autenticación de llamada entrante, consulte la sección "La opción se requiere autenticación mutua" .

La opción "autenticación no requerida"

No se requiere autenticación permite la compatibilidad entre las versiones anteriores del sistema operativo Windows del sistema operativo. Cuando esta opción está habilitada, comunicación de red entre los servicios del Coordinador de transacciones distribuidas puede retroceso a comunicación no autenticada o a comunicación no cifrada si no se puede establecer un canal de comunicación seguro.

Nota: Se recomienda que use esta configuración si el remoto Coordinador de transacciones distribuidas está ejecutando el servicio en un equipo que está ejecutando Microsoft Windows 2000 o en un equipo que esté ejecutando una versión de Windows XP que es anterior a Service Pack 2 de Windows XP.

También puede utilizar No se requiere autenticación para resolver una situación donde los servicios Coordinador de transacciones distribuidas se ejecutan en los equipos que se encuentran en dominios que no tienen una relación de confianza establecida. Además, puede utilizar No se requiere autenticación para resolver una situación donde los servicios Coordinador de transacciones distribuidas se ejecutan en equipos que son miembros de un grupo de trabajo.

No se requiere autenticación afecta a las entradas del registro siguientes:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC


Nombre de valor: AllowOnlySecureRpcCalls
Tipo de valor: REG_DWORD
Datos del valor: 0

Nombre de valor: FallbackToUnsecureRPCIfNecessary
Tipo de valor: REG_DWORD
Datos del valor: 0

Nombre de valor: TurnOffRpcSecurity
Tipo de valor: REG_DWORD
Datos del valor: 1
Nota: En un clúster de servidores se encuentran estas entradas del registro en el registro del clúster compartido.

Importancia de las nuevas opciones que están disponibles en el cuadro de diálogo "Security Configuration"

Las nuevas opciones que están disponibles en el cuadro de diálogo Configuración de seguridadle permiten aplicar configuración de seguridad para las comunicaciones de red entrante o saliente. De forma predeterminada, después de instalar Windows, el equipo no acepta el tráfico de red. Por lo tanto, el equipo es menos vulnerable al acceso a la red por un usuario malintencionado. Además, los protocolos que se envían a través de la red se actualizan para admitir un modo de comunicaciones de forma más segura cifrada y autenticada mutuamente. Esto ayuda a reducir la probabilidad de que un usuario malintencionado podría interceptar y asumir el control de las comunicaciones entre los servicios del Coordinador de transacciones distribuidas.

Cambios de la comunicación de red en Windows

comunicación de red ll que sale el servicio Coordinador de transacciones distribuidas o entrando en el servicio Coordinador de transacciones distribuidas está deshabilitada. Por ejemplo, si un objeto COM + intenta actualizar una base de datos de Microsoft SQL Server que se encuentra en un equipo remoto mediante el uso de una transacción del Coordinador de transacciones distribuidas, esta transacción no tiene éxito. Por el contrario, si el equipo aloja una base de datos de SQL Server componentes desde un equipo remoto intentan obtener acceso a mediante una transacción del Coordinador de transacciones distribuidas, esta transacción no tiene éxito.

Problemas relacionados con el servicio Coordinador de transacciones distribuidas

Transacciones fallan debido a problemas de conectividad de red

Importante: esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del registro antes de modificarlo. Entonces, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 Cómo hacer copia de seguridad y restaurar el registro de Windows


Si las transacciones del Coordinador de transacciones distribuidas fallan debido a problemas de conectividad de red, haga clic para seleccionar las casillas de verificación siguientes en el cuadro de diálogo Configuración de seguridad :
  • Haga clic para activar la casilla de verificación Acceso DTC de red.
  • Haga clic para seleccionar una o ambas de las siguientes casillas de verificación enLa comunicación del Administrador de transacciones según susrequerimientos:
    • Permitir entrantes
    • Permitir saliente
Si desea cambiar esta configuración mediante programación como parte de Windows, puede modificar directamente la configuración del registro que corresponden a la configuración que desee establecer. Después de modificar la configuración del registro, debe reiniciar el servicio Coordinador de transacciones distribuidas.

Importante: Recomendamos que no modifique manualmente el registro para cambiar estos valores. Si modifica manualmente estos valores del registro, puede experimentar problemas con el servicio de Cluster Server en clústeres de servidor basado en Windows Server 2003 SP1.

Firewall de Windows bloquea el tráfico del Coordinador de transacciones distribuidas

Importante: Estos pasos pueden aumentar su riesgo de seguridad. Estos pasos también pueden hacer que el equipo o la red sean más vulnerables a los ataques de usuarios malintencionados o de software malintencionado, como virus. Recomendamos el proceso que se describe en este artículo para permitir que los programas funcionen como están diseñados o para implementar determinadas funciones del programa. Antes de realizarlos, recomendamos que evalúe los riesgos asociados con la implementación de este proceso en su entorno particular. Si decide implementar este proceso, tome las medidas adicionales oportunas para ayudar a proteger el sistema. Se recomienda que utilice este proceso sólo si realmente lo necesita este proceso.

Si utiliza Firewall de Windows, debe agregar el servicio Coordinador de transacciones distribuidas para la lista de excepciones en la configuración de Firewall de Windows. Para ello, siga estos pasos:
  1. Haga clic en Inicio, haga clic en Ejecutar, tipo Firewall.cply, a continuación, haga clic enAceptar.
  2. En el cuadro de diálogo Firewall de Windows , haga clic enel ficha de excepciones y, a continuación, haga clic en AddProgram.
  3. Haga clic en Examinar, busque y, a continuación, haga clic enC:\Windows\System32\msdtc.exey, a continuación, haga clic enAbrir.
  4. Haga clic en Aceptar, haga clic para activar la casilla de verificaciónmsdtc.exe en la lista y servicios de programas si esta casilla no está ya seleccionada y haga clic en Aceptar.

Configuración que se cambian o agregan

La tabla siguiente describe las entradas del registro que se ha cambiado desde Windows XP SP2 desde versiones anteriores de Windows.
Nombre de la entradaUbicaciónValor predeterminado anteriorValor predeterminado de Windows XP SP2Valores posibles
NetworkDtcAccess HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security 100 ó 1
NetworkDtcAccessTransactions HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security 100 ó 1
NetworkDtcAccessInboundHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security No aplicable00 ó 1
NetworkDtcAccessOutboundHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security No aplicable00 ó 1
AllowOnlySecureRpcCallsHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC No aplicable10 ó 1
FallbackToUnsecureRPCIfNecessaryHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC No aplicable00 ó 1
TurnOffRpcSecurityHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC No aplicable00 ó 1
Nota: Estos cambios aparecen en el registro del clúster compartido en un clúster de servidor basado en Windows Server 2003 SP1.

Códigos de error asociados a los cambios del servicio Coordinador de transacciones distribuidas

unidad organizativa puede recibir uno de los siguientes códigos de error cuando ejecuta transacciones del Coordinador de transacciones distribuidas entre equipos:

Código de error 1
//// MessageId: XACT_E_NETWORK_TX_DISABLED//// MessageText://// The transaction manager has disabled its support for remote/network transactions.//#define XACT_E_NETWORK_TX_DISABLED       _HRESULT_TYPEDEF_(0x8004D024L)
Código de error 2
//// MessageId: XACT_E_PARTNER_NETWORK_TX_DISABLED//// MessageText://// The partner transaction manager has disabled its support for remote/network transactions.//#define XACT_E_PARTNER_NETWORK_TX_DISABLED _HRESULT_TYPEDEF_(0x8004D025L)
DTC COM complus

Advertencia: este artículo se tradujo automáticamente

Propiedades

Id. de artículo: 899191 - Última revisión: 02/01/2016 00:16:00 - Revisión: 3.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Standard, Windows 8.1, Windows 8.1 Pro, Windows 8.1 Enterprise, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Standard, Windows 8, Windows 8 Pro, Windows 8 Enterprise, Windows 7 Enterprise, Windows 7 Home Basic, Windows 7 Home Premium, Windows 7 Professional, Windows 7 Starter, Windows 7 Ultimate, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 for Itanium-Based Systems, Windows Server 2008 R2 Foundation, Windows Server 2008 R2 Standard, Windows Vista Business, Windows Vista Enterprise, Windows Vista Home Basic, Windows Vista Home Premium, Windows Vista Ultimate, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Foundation, Microsoft Windows Server 2003 Service Pack 1

  • kbinfo kbexpertiseadvanced kbsurveynew kbmt KB899191 KbMtes
Comentarios