Nuove funzionalità di Windows il servizio Distributed Transaction Coordinator

Riepilogo

Poiché Windows Server 2003 Service Pack 1 (SP1) e Windows XP Service Pack 2 (SP2), alcuni problemi di protezione e le modifiche sono state introdotte in Windows e interessano il servizio Microsoft Distributed Transaction Coordinator (MSDTC).

Queste modifiche sono accessibili tramite la casella di finestra di dialogo Configurazione di protezione aggiornata disponibili nello strumento amministrativo Servizi componenti.

Queste modifiche alle impostazioni di protezione predefinite che causano traffico Distributed Transaction Coordinator eseguire il failover della rete. In questo caso, potrebbe essere visualizzato uno o più messaggi di errore o codici di errore.

Modificando le impostazioni nella finestra di dialogo Configurazione della protezione , è possibile controllare come il servizio Distributed Transaction Coordinator comunica con computer remoti attraverso la rete.

INTRODUZIONE

In questo articolo vengono descritte nuove funzionalità nel servizio Microsoft Distributed Transaction Coordinator (MSDTC) nei sistemi operativi seguenti:
  • Microsoft Windows Server 2003 Service Pack 1 (SP1)
  • Microsoft Windows XP Service Pack 2 (SP2)
  • Windows Vista
  • Windows Server 2008
  • Windows 7
  • Windows Server 2008 R2
  • Windows 8
  • Windows Server 2012
  • Windows 8.1
  • Windows Server 2012 R2
Il servizio Distributed Transaction Coordinator coordina le transazioni che aggiornano due o più risorse. Risorse includono database, code di messaggi e file System. Queste risorse potrebbero trovarsi in un singolo computer o possono essere distribuite tra più computer in rete.

Ulteriori informazioni

In Windows, il servizio Distributed Transaction Coordinator consente un maggiore controllo sulle comunicazioni di rete tra computer. Per impostazione predefinita, tutte le comunicazioni di rete sono disattivata. La finestra di dialogo Distributed Transaction Coordinator, Configurazione della protezione è stata migliorata in modo da poter gestire le impostazioni di comunicazione. Per visualizzare la finestra di dialogo Configurazione della protezione , attenersi alla seguente procedura:
  1. Avviare lo strumento amministrativo Servizi componenti. A tale scopo, fare clic su Start, scegliere Esegui, tipo
    dcomcnfg.exee quindi fare clic su
    OK.
  2. Nella struttura della console dello strumento amministrativo Servizi componenti, espandere Servizi componenti,
    Computer, Risorse delcomputer e quindi scegliere proprietà.
  3. Fare clic sulla scheda MSDTC e quindi fare clic su
    Configurazione della protezione.

Nuove opzioni disponibili nella finestra di dialogo "Security Configuration"

Le informazioni seguenti vengono descritte le nuove opzioni disponibili nella finestra di dialogo Configurazione della protezione . Questa informazione viene anche le voci del Registro di sistema interessati dalle nuove opzioni nella finestra di dialogo Configurazione della protezione .

La casella di controllo "Accesso DTC alla rete"

La casella di controllo di Accesso di rete DTC consente di determinare se il servizio Distributed Transaction Coordinator può accedere alla rete. La casella di controllo di Accesso di rete DTC deve essere selezionata insieme a una delle altre caselle di controllo sotto la casella di controllo di Accesso DTC alla rete per attivare le transazioni di rete Distributed Transaction Coordinator.

La casella di controllo di Accesso DTC alla rete riguarda la seguente voce del Registro di sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security

Nome valore: NetworkDtcAccess
Tipo di valore: REG_DWORD
Dati valore: 0 (predefinito)
Nota: In un cluster di server, la casella di controllo di Accesso di rete DTC influisce su un valore nella chiave di registro cluster condiviso sotto la chiave del Registro di sistema della risorsa MSDTC. La chiave del Registro di sistema del cluster condiviso per MSDTC si trova nel percorso seguente:
HKEY_LOCAL_MACHINE\Cluster\Resources\ < GUID risorsa MSDTC >
Per impostazione predefinita, il valore della voce del Registro di sistema NetworkDtcAccess è impostato su 0. Il valore 0 disattiva la voce di registro NetworkDtcAccess. Per attivare la voce del Registro di sistema NetworkDtcAccess, impostare questo valore del Registro di sistema su 1.

La casella di controllo "Consenti connessioni in ingresso"

La casella di controllo Consenti connessioni in ingresso consente di determinare se consentire una transazione distribuita che ha origine da un computer remoto per l'esecuzione sul computer locale. Per impostazione predefinita, questa impostazione è disattivata. Per attivare questa impostazione, fare clic per selezionare la casella di controllo di Accesso di rete DTC per impostare la seguente voce del Registro di sistema su 1:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security

Nome valore: NetworkDtcAccess
Tipo di valore: REG_DWORD
Per disattivare questa impostazione, fare clic per deselezionare la casella di controllo di Accesso di rete DTC per impostare questa voce del Registro di sistema su 0.

Il
La casella di controllo Consenti connessioni in ingresso incide su entrambe le voci del Registro di sistema seguente:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security

Nome valore: NetworkDtcAccessTransactions
Tipo di valore: REG_DWORD

Nome valore: NetworkDtcAccessInbound
Tipo di valore: REG_DWORD

La casella di controllo "Consenti in uscita"

La casella di controllo Consenti in uscita consente di determinare se consentire al computer locale di avviare una transazione ed eseguire la transazione in un computer remoto. Per attivare questa impostazione, fare clic per selezionare la casella di controllo di Accesso di rete DTC per impostare la seguente voce del Registro di sistema su 1:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security

Nome valore: NetworkDtcAccess
Tipo di valore: REG_DWORD
Per disattivare questa impostazione, fare clic per deselezionare la casella di controllo di Accesso di rete DTC per impostare questa voce del Registro di sistema su 0.

Il
Casella di controllo Consenti in uscita incide su entrambe le voci del Registro di sistema seguente:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security

Nome valore: NetworkDtcAccessTransactions
Tipo di valore: REG_DWORD

Nome valore: NetworkDtcAccessOutbound
Tipo di valore: REG_DWORD

L'opzione "Necessaria autenticazione reciproca"

Necessaria autenticazione reciproca aggiunge il supporto per l'autenticazione Windows. Necessaria autenticazione reciproca imposta la modalità di protezione maggiore che è attualmente disponibile per le comunicazioni di rete. Si consiglia questa modalità di transazione per i computer client che eseguono Windows XP SP2 con il computer server che eseguono Windows Server 2003 SP1.

Necessaria autenticazione reciproca influenza le seguenti voci del Registro di sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC

Nome valore: AllowOnlySecureRpcCalls
Tipo di valore: REG_DWORD
Dati valore: 1

Nome valore: FallbackToUnsecureRPCIfNecessary
Tipo di valore: REG_DWORD
Dati valore: 0

Nome valore: TurnOffRpcSecurity
Tipo di valore: REG_DWORD
Dati valore: 0
Nota: La funzionalità per l'utilizzo Necessaria autenticazione reciproca è diverso dalla funzionalità per l'utilizzo Necessaria autenticazione chiamante in ingresso. Le tre opzioni elencate in Comunicazione gestore transazioni si comportano nel modo seguente:
  • La modalità di transazione Necessaria autenticazione reciproca richiede il componente di accesso remoto per fornire una connessione autenticata con il computer locale. Tale autenticazione viene verificata la rappresentazione del computer locale. Inoltre, se la comunicazione di accesso remoto viene eseguita tra due servizi Distributed Transaction Coordinator, queste informazioni di autenticazione necessario specificare un account computer che corrisponde al nome host del computer in modalità remota di transazione.
  • La modalità di transazione Necessaria autenticazione chiamante in ingresso richiede solo la connessione remota può essere autenticato. Inoltre, se il componente di accesso remoto è un servizio Distributed Transaction Coordinator, le informazioni di autenticazione devono essere un account computer.
  • Il
    La modalità Nessuna autenticazione richiesta di transazione non convalidare una connessione autenticata né verifica se viene stabilita una connessione autenticata.
In un ambiente cluster, l'account computer per il servizio Distributed Transaction Coordinator specifica il nome host del nodo del cluster. In un ambiente cluster, l'autenticazione di Distributed Transaction Coordinator non utilizza il nome host della modalità di transazione. In un ambiente cluster, il nome host della modalità di transazione è il nome del servizio virtuale. Pertanto, è possibile utilizzare la modalità di transazione Necessaria autenticazione reciproca in un ambiente cluster o su qualsiasi computer che la negoziazione di transazioni con tali computer. È possibile utilizzare la modalità di transazione Necessaria autenticazione reciproca tra due computer non cluster che eseguono Windows Server 2003 SP1 o tra due computer che eseguono Windows XP SP2.

È necessario utilizzare la modalità di transazione Necessaria autenticazione chiamante in ingresso tra computer basati su Windows Server 2003 in un ambiente cluster.

È necessario utilizzare il
Nessuna autenticazione richiesta la modalità di transazione in cui uno o più delle seguenti condizioni sono true:
  • L'accesso alla rete è compreso tra computer che eseguono Microsoft Windows 2000.
  • L'accesso alla rete è compreso tra due domini che non dispongono di una relazione di trust reciproca configurato.
  • L'accesso alla rete è tra i computer membri del gruppo di lavoro.

L'opzione "Necessaria autenticazione chiamante in ingresso"

Necessaria autenticazione chiamante in ingresso richiede il servizio Distributed Transaction Coordinator locale di comunicare con un servizio Distributed Transaction Coordinator remoto utilizzando solo messaggi crittografati. Verrà autenticata solo la connessione in ingresso. Solo Windows Server 2003 SP1, Windows XP SP2 e versioni successive di Windows supporta questa funzionalità. Pertanto, abilitare questa opzione solo se il servizio Distributed Transaction Coordinator remoto è in esecuzione su un computer che esegue Windows Server 2003 SP1, Windows XP SP2 o versione successiva di Windows.

Necessaria autenticazione chiamante in ingresso riguarda le seguenti voci del Registro di sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC

Nome valore: AllowOnlySecureRpcCalls
Tipo di valore: REG_DWORD
Dati valore: 0

Nome valore: FallbackToUnsecureRPCIfNecessary
Tipo di valore: REG_DWORD
Dati valore: 1

Nome valore: TurnOffRpcSecurity
Tipo di valore: REG_DWORD
Dati valore: 0
Per ulteriori informazioni su Necessaria autenticazione chiamante in ingresso, vedere la sezione "L'opzione necessaria autenticazione reciproca" .

L'opzione "Nessuna autenticazione necessaria"

Nessuna autenticazione richiesta consente la compatibilità del sistema operativo tra le versioni precedenti del sistema operativo Windows. Quando questa opzione è attivata, la comunicazione di rete tra i servizi Distributed Transaction Coordinator può eseguire il fallback a comunicazione non autenticata o per la comunicazione non crittografata se non è possibile stabilire un canale di comunicazione protetto.

Nota: Si consiglia di utilizzare questa impostazione se remoto Distributed Transaction Coordinator servizio in esecuzione su un computer che esegue Microsoft Windows 2000 o in un computer che esegue una versione di Windows XP che è precedente a Windows XP SP2.

È anche possibile utilizzare Nessuna autenticazione richiesta per risolvere una situazione in cui eseguono i servizi Distributed Transaction Coordinator sui computer che si trovano in domini che non dispongono di una relazione di trust stabilita. È inoltre possibile utilizzare
Nessuna autenticazione richiesta per risolvere una situazione in cui eseguono i servizi Distributed Transaction Coordinator sui computer che sono membri di un gruppo di lavoro.

Nessuna autenticazione richiesta riguarda le seguenti voci del Registro di sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC

Nome valore: AllowOnlySecureRpcCalls
Tipo di valore: REG_DWORD
Dati valore: 0

Nome valore: FallbackToUnsecureRPCIfNecessary
Tipo di valore: REG_DWORD
Dati valore: 0

Nome valore: TurnOffRpcSecurity
Tipo di valore: REG_DWORD
Dati valore: 1
Nota: In un cluster di server, queste voci del Registro di sistema si trovano nel Registro di sistema condiviso del cluster.

Significato delle nuove opzioni disponibili nella finestra di dialogo "Security Configuration"

Le nuove opzioni disponibili nel
La finestra di dialogo di Configurazione della protezione consentono di applicare le impostazioni di protezione per le comunicazioni di rete in ingresso o in uscita. Per impostazione predefinita, dopo l'installazione di Windows, il computer non accetta il traffico di rete. Pertanto, il computer è meno vulnerabile all'accesso alla rete da un utente malintenzionato. Inoltre, i protocolli che vengono inviati in rete vengono aggiornati per supportare una modalità di comunicazione crittografati in modo più sicuro e l'autenticazione reciproca. Ciò contribuisce a ridurre la probabilità che un utente malintenzionato potrebbe intercettare e assumere le comunicazioni tra i servizi Distributed Transaction Coordinator.

Modifiche di comunicazione di rete in Windows

la comunicazione di rete ll in arrivo per il servizio Distributed Transaction Coordinator o provenienti dal servizio Distributed Transaction Coordinator è disattivata. Ad esempio, se un oggetto COM+ tenta di aggiornare un database di Microsoft SQL Server che si trova su un computer remoto utilizzando una transazione Distributed Transaction Coordinator, questa operazione non riesce. Al contrario, se il computer contiene un database di SQL Server in cui i componenti da un computer remoto tentano di accedere tramite una transazione Distributed Transaction Coordinator, questa operazione non riesce.

Problemi relativi al servizio Distributed Transaction Coordinator

Le transazioni non riescono per problemi di connettività di rete

Importante Questa sezione, metodo o attività contiene passaggi su come modificare il Registro di sistema. Tuttavia, una modifica errata del registro di sistema potrebbe causare gravi problemi. Pertanto, assicurarsi di seguire attentamente i passaggi. Per maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Cosicché sia possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristinare il Registro di sistema, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
322756 come eseguire il backup e ripristinare il Registro di sistema Windows


Se le transazioni di Distributed Transaction Coordinator non riescono per problemi di connettività di rete, fare clic per selezionare le caselle di controllo nella finestra di dialogo Configurazione di protezione :
  • Fare clic per selezionare la casella di controllo di Accesso di rete DTC.
  • Fare clic per selezionare una o entrambe le seguenti caselle di controllo in
    Comunicazione gestore transazioni a seconda delle esigenze:
    • Consenti in ingresso
    • Consenti connessioni in uscita
Se si desidera che a livello di codice modificare queste impostazioni come parte di Windows, è possibile modificare direttamente le impostazioni del Registro di sistema che corrispondono alle impostazioni che si desidera impostare. Dopo aver modificato le impostazioni del Registro di sistema, è necessario riavviare il servizio Distributed Transaction Coordinator.

Importante Si consiglia di non modificare manualmente il Registro di sistema per modificare queste impostazioni. Se si modificano manualmente queste impostazioni del Registro di sistema, si verificano problemi con il servizio Cluster in cluster di server basato su Windows Server 2003 SP1.

Windows Firewall blocca il traffico di Distributed Transaction Coordinator

Importante Questa procedura può aumentare il rischio di protezione. Questa procedura potrebbe inoltre rendere il computer o la rete più vulnerabile agli attacchi di utenti malintenzionati o programmi software dannosi, quali i virus. Si consiglia il processo descritto in questo articolo per attivare i programmi di funzionare come sono stati progettati per o per implementare funzionalità specifiche. Prima di apportare queste modifiche, si consiglia di valutare i rischi associati all'implementazione di questo processo in un ambiente particolare. Se si decide di implementare questo processo, adottare ogni ulteriore procedura per proteggere il sistema. Si consiglia di utilizzare questo processo solo se effettivamente necessaria.

Se si utilizza Windows Firewall, è necessario aggiungere il servizio Distributed Transaction Coordinator all'elenco delle eccezioni nelle impostazioni di Windows Firewall. A tale scopo, attenersi alla seguente procedura:
  1. Fare clic su Start, scegliere Esegui, digitare firewall. cple quindi fare clic su
    OK.
  2. Nella finestra di dialogo Windows Firewall , fare clic sulla scheda eccezioni e quindi fare clic su Aggiungi programma.
  3. Fare clic su Sfoglia, individuare e quindi fare clic su
    C:\Windows\System32\msdtc.exee quindi fare clic su
    Apri.
  4. Fare clic su OK, quindi per selezionare il
    casella di controllo MSDTC.exe in programmi e servizi elencati, se questa casella di controllo non è già selezionata e quindi fare clic su OK.

Impostazioni che vengono modificate o aggiunte

Nella tabella seguente vengono descritte le voci del Registro di sistema che sono state modificate dopo Windows XP SP2 da versioni precedenti di Windows.
Nome della vocePosizioneValore predefinito precedenteValore predefinito di Windows XP SP2Valori possibili
NetworkDtcAccess
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security
100 o 1
NetworkDtcAccessTransactions
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security
100 o 1
NetworkDtcAccessInboundHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security
Non applicabile00 o 1
NetworkDtcAccessOutboundHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security
Non applicabile00 o 1
AllowOnlySecureRpcCallsHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC
Non applicabile10 o 1
FallbackToUnsecureRPCIfNecessaryHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC
Non applicabile00 o 1
TurnOffRpcSecurityHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC
Non applicabile00 o 1
Nota: Queste modifiche vengono visualizzati nel Registro di sistema condiviso del cluster in un cluster di server basato su Windows Server 2003 SP1.

Codici di errore che vengono associati alle modifiche del servizio Distributed Transaction Coordinator

Quando si eseguono transazioni Distributed Transaction Coordinator tra computer, unità organizzativa venga visualizzato uno dei seguenti codici di errore:

Codice di errore 1
//
// MessageId: XACT_E_NETWORK_TX_DISABLED

//

// MessageText:

//

// The transaction manager has disabled its support for remote/network transactions.

//

#define XACT_E_NETWORK_TX_DISABLED _HRESULT_TYPEDEF_(0x8004D024L)


Codice di errore 2
//
// MessageId: XACT_E_PARTNER_NETWORK_TX_DISABLED

//

// MessageText:

//

// The partner transaction manager has disabled its support for remote/network transactions.

//

#define XACT_E_PARTNER_NETWORK_TX_DISABLED _HRESULT_TYPEDEF_(0x8004D025L)


Proprietà

ID articolo: 899191 - Ultima revisione: 18 feb 2017 - Revisione: 2

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Standard, Windows 8.1, Windows 8.1 Pro, Windows 8.1 Enterprise, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Foundation, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows 8, Windows 8 Pro, Windows 8 Enterprise, Windows 7 Enterprise, Windows 7 Home Basic, Windows 7 Home Premium, Windows 7 Professional, Windows 7 Starter, Windows 7 Ultimate, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 for Itanium-Based Systems, Windows Server 2008 R2 Foundation, Windows Server 2008 R2 Standard, Windows Vista Business, Windows Vista Enterprise, Windows Vista Home Basic, Windows Vista Home Premium, Windows Vista Ultimate, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Foundation, Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows XP Service Pack 2

Feedback