Nova funcionalidade no serviço Coordenador de transações distribuídas no Windows

O suporte para o Windows Server 2003 termina em 14 de julho de 2015.

A Microsoft terminou o suporte para o Windows Server 2003 em 14 de julho de 2015. Esta alteração afetou as suas atualizações de software e opções de segurança. Saiba o que isto significa para você e como permanecer protegido.

IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.

Clique aqui para ver a versão em Inglês deste artigo: 899191
Sumário
Desde o Windows Server 2003 Service Pack 1 (SP1) e Windows XP Service Pack 2 (SP2), algumas alterações e atualizações relacionadas à segurança introduzidas no Windows e afetam o serviço Microsoft Distributed Transaction Coordinator (MSDTC).

Essas alterações podem ser acessadas usando a caixa de diálogo Configuração de segurança atualizada que está disponível na ferramenta administrativa Serviços de componente.

Essas alterações são feitas às configurações de segurança padrão que causam tráfego do coordenador de transações distribuídas Falha na rede. Nessa situação, você pode receber uma ou mais mensagens de erro ou códigos de erro.

Modificando as configurações na caixa de diálogo Configuração de segurança, você pode ajudar o controle como o serviço Coordenador de transações distribuídas se comunica com computadores remotos pela rede.
INTRODUÇÃO
Este artigo descreve a nova funcionalidade no serviço Microsoft Distributed Transaction Coordinator (MSDTC) nos seguintes sistemas operacionais:
  • Microsoft Windows Server 2003 Service Pack 1 (SP1)
  • Microsoft Windows XP Service Pack 2 (SP2)
  • Windows Vista
  • Windows Server 2008
  • Windows 7
  • Windows Server 2008 R2
  • Windows 8
  • Windows Server 2012
  • Windows 8.1
  • Windows Server 2012 R2
O serviço Coordenador de transações distribuídas coordena transações que atualizam dois ou mais recursos protegidos por transações. Os recursos protegidos por transações incluem bancos de dados, filas de mensagens e sistemas de arquivos. Esses recursos protegidos por transações podem estar localizados em um único computador ou podem ser distribuídos entre vários computadores em rede.
Mais Informações
No Windows, o serviço Coordenador de transações distribuídas fornece mais controle sobre as comunicações de rede entre computadores. Por padrão, todas as comunicações de rede está desabilitada. A caixa de diálogo deConfiguração de segurança do coordenador de transações distribuídas foi aprimorada para que você possa gerenciar essas configurações de comunicação. Para exibir a caixa de diálogo de Configuração de segurança , execute estas etapas:
  1. Inicie a ferramenta administrativa Serviços de componente. Para fazerisso, clique em Iniciar, Executar, tipodcomcnfg.exee, em seguida, clique emOK.
  2. Na árvore do console da ferramenta Servicesadministrative de componente, expanda Serviços de componente, expandacomputadores, clique em Meu computadore thenclick Propriedades.
  3. Clique na guia MSDTC e, em seguida, clique emConfiguração de segurança.

Novas opções estão disponíveis na caixa de diálogo "Configuração de segurança"

As informações a seguir descrevem as novas opções estão disponíveis na caixa de diálogo Configuração de segurança . Essas informações também descrevem as entradas do registro que são afetadas pelas novas opções na caixa de diálogo Configuração de segurança .

A caixa de seleção "Acesso DTC de rede"

A caixa de seleção Acesso ao DTC de rede permite que você determine se o serviço Coordenador de transações distribuídas pode acessar a rede. A caixa de seleção Acesso ao DTC de rede deve ser selecionada em conjunto com uma das outras caixas de seleção sob a caixa de seleção Acesso ao DTC de rede para habilitar transações do coordenador de transações distribuídas de rede.

A caixa de seleção Acesso ao DTC de rede afeta a seguinte entrada do registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security


Nome do valor: NetworkDtcAccess
Tipo do valor: REG_DWORD
Dados do valor: 0 (padrão)
Observação: Em um cluster de servidor, a caixa de seleção Acesso ao DTC de rede afeta um valor na chave do registro de cluster compartilhado na chave do registro de recurso MSDTC. A chave do registro de cluster compartilhado para o MSDTC está localizada no seguinte local:
HKEY_LOCAL_MACHINE\Cluster\Resources\<MSDTC resource GUID>
Por padrão, o valor da entrada do registro NetworkDtcAccess está definido como 0. O valor 0 desativa a entrada do registro NetworkDtcAccess. Para ativar a entrada de registro NetworkDtcAccess, defina esse valor do registro como 1.

A caixa de seleção "Permitir entrada"

A caixa de seleção Permitir entrada permite que você determine se deseja permitir que uma transação distribuída que se origina em um computador remoto para executar no computador local. Por padrão, esta configuração está desativada. Para ativar essa configuração, clique para selecionar a caixa de seleção Acesso ao DTC de rede para definir a seguinte entrada do registro como 1:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security


Nome do valor: NetworkDtcAccess
Tipo do valor: REG_DWORD
Para desativar essa configuração, clique para desmarcar a caixa de seleção Acesso ao DTC de rede para definir essa entrada do registro para 0.

A caixa de seleção Permitir entrada afeta tanto as entradas de registro a seguir:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security


Nome do valor: NetworkDtcAccessTransactions
Tipo do valor: REG_DWORD

Nome do valor: NetworkDtcAccessInbound
Tipo do valor: REG_DWORD

A caixa de seleção "Permitir saída"

A caixa de seleção Permitir saída permite que você determine se deseja permitir que o computador local iniciar uma transação e executar essa transação em um computador remoto. Para ativar essa configuração, clique para selecionar a caixa de seleção Acesso ao DTC de rede para definir a seguinte entrada do registro como 1:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security


Nome do valor: NetworkDtcAccess
Tipo do valor: REG_DWORD
Para desativar essa configuração, clique para desmarcar a caixa de seleção Acesso ao DTC de rede para definir essa entrada do registro para 0.

A caixa de seleção Permitir saída afeta tanto as entradas de registro a seguir:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security


Nome do valor: NetworkDtcAccessTransactions
Tipo do valor: REG_DWORD

Nome do valor: NetworkDtcAccessOutbound
Tipo do valor: REG_DWORD

A opção "Autenticação mútua necessária"

Autenticação mútua necessáriaadiciona suporte para autenticação mútua no Windows. Autenticação mútua necessária define o modo de segurança maior que está atualmente disponível para comunicação de rede. Recomendamos que esse modo de transação para os computadores cliente que estão executando o Windows XP SP2 em conjunto com servidores que estejam executando o Windows Server 2003 SP1.

Autenticação mútua necessária afeta as entradas do registro a seguir:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC


Nome do valor: AllowOnlySecureRpcCalls
Tipo do valor: REG_DWORD
Dados do valor: 1

Nome do valor: FallbackToUnsecureRPCIfNecessary
Tipo do valor: REG_DWORD
Dados do valor: 0

Nome do valor: TurnOffRpcSecurity
Tipo do valor: REG_DWORD
Dados do valor: 0
Observação: A funcionalidade que é definida usando Autenticação mútua necessária é diferente da funcionalidade que é definida usando a Autenticação de chamador entrada necessária. As três opções que estão listadas em Comunicação do Gerenciador de transações se comporta da seguinte maneira:
  • O modo de transação Autenticação mútua necessária requer o componente acessar remotamente para fornecer anauthenticated conexão com o computador local. Isverified essa autenticação por representação no computador local. Além disso, se a comunicação de acesso remoto é realizada entre dois serviços distribuídos TransactionCoordinator, essas informações de autenticação devem especificar um computeraccount que corresponde ao nome de host do computador de modo de transação remota.
  • O modo de transação Autenticação necessária entrada chamador requer somente a conexão remota para que sejam autenticados. Além disso, se o componente acessar remotamente é um serviço distribuído TransactionCoordinator, as informações de autenticação devem ser para um computeraccount.
  • O modo de transaçãoNenhuma autenticação necessária não valida uma conexão autenticada ou verifywhether uma conexão autenticada está sendo estabelecida.
Em um ambiente em cluster, a conta de computador para o serviço Coordenador de transações distribuídas Especifica o nome do host do nó de cluster. Em um ambiente em cluster, a autenticação do coordenador de transações distribuídas não usa o nome do host do modo de transação. Em um ambiente em cluster, o nome do host do modo de transação é o nome do serviço virtual. Portanto, você não pode usar o modo de transação Autenticação mútua necessáriaem um ambiente em cluster ou em todos os computadores que estão negociando transações com esses computadores. Você pode usar o modo de transação Autenticação mútua necessária entre os dois computadores não estão em cluster que estão executando o Windows Server 2003 SP1 ou entre dois computadores que estejam executando o Windows XP SP2.

Você deve usar o modo de transação Entrada chamador autenticação necessária entre os computadores baseados no Windows Server 2003 em um ambiente agrupado.

Você deve usar o modo de transação Nenhuma autenticação necessária onde uma ou mais das seguintes condições forem verdadeiras:
  • É o acesso à rede entre computadores que estejam executando o Microsoft Windows 2000.
  • O acesso à rede é entre dois domínios que não havea confiança mútua configurada.
  • É o acesso à rede entre computadores de grupo de trabalho de integridadede um membros.

A opção "Autenticação do chamador de entrada necessária"

Autenticação de chamador entrada necessáriarequer que o serviço Coordenador de transações distribuídas local para se comunicar com um serviço Coordenador de transações distribuídas remoto usando somente mensagens criptografadas. Somente a conexão de entrada será autenticada. Somente o Windows Server 2003 SP1, Windows XP SP2 e a versão mais recente do Windows oferecem suporte a esse recurso. Portanto, ative essa opção somente se o serviço Coordenador de transações distribuídas remoto está sendo executado em um computador que esteja executando o Windows Server 2003 SP1, Windows XP SP2 ou uma versão posterior do Windows.

Autenticação de chamador entrada necessária afeta as entradas do registro a seguir:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC


Nome do valor: AllowOnlySecureRpcCalls
Tipo do valor: REG_DWORD
Dados do valor: 0

Nome do valor: FallbackToUnsecureRPCIfNecessary
Tipo do valor: REG_DWORD
Dados do valor: 1

Nome do valor: TurnOffRpcSecurity
Tipo do valor: REG_DWORD
Dados do valor: 0
Para obter mais informações sobre Autenticação de chamador entrada necessária, consulte a seção "A opção de autenticação mútua necessária" .

A opção "Nenhuma autenticação necessária"

Nenhuma autenticação necessária permite que os sistema operacional compatibilidade entre versões anteriores do sistema operacional Windows. Quando essa opção estiver habilitada, a comunicação de rede entre os serviços do coordenador de transações distribuídas pode voltar para comunicação autenticada ou para comunicação sem criptografia se não é possível estabelecer um canal de comunicação seguro.

Observação: Recomendamos que você use essa configuração se o coordenador de transações distribuídas remotas serviço está sendo executado em um computador que esteja executando o Microsoft Windows 2000 ou em um computador que está executando uma versão do Windows XP anterior ao Windows XP SP2.

Você também pode usar Nenhuma autenticação necessária para resolver a situação em que os serviços do coordenador de transações distribuídas são executados em computadores que estão em domínios que não tenham uma relação de confiança. Além disso, você pode usar Nenhuma autenticação necessária para resolver a situação em que os serviços do coordenador de transações distribuídas são executados em computadores que são membros de um grupo de trabalho.

Nenhuma autenticação necessária afeta as entradas do registro a seguir:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC


Nome do valor: AllowOnlySecureRpcCalls
Tipo do valor: REG_DWORD
Dados do valor: 0

Nome do valor: FallbackToUnsecureRPCIfNecessary
Tipo do valor: REG_DWORD
Dados do valor: 0

Nome do valor: TurnOffRpcSecurity
Tipo do valor: REG_DWORD
Dados do valor: 1
Observação: Em um cluster de servidor, essas entradas do registro estão localizadas no registro de cluster compartilhado.

Significado das novas opções que estão disponíveis na caixa de diálogo "Configuração de segurança"

As novas opções estão disponíveis na caixa de diálogo Configuração de segurançapermitem que você aplique configurações de segurança para comunicações de rede de entrada ou de saída. Por padrão, após instalar o Windows, o computador não aceita o tráfego de rede. Portanto, o computador é menos vulnerável ao acesso à rede por um usuário mal-intencionado. Além disso, os protocolos são enviados pela rede são atualizados para oferecer suporte a um modo de comunicações criptografadas com mais segurança e mutuamente autenticadas. Isso ajuda a reduzir a chance de que um usuário mal-intencionado pode interceptar e assumir a comunicação entre os serviços do coordenador de transações distribuídas.

Alterações de comunicação de rede no Windows

comunicação da rede ll saindo o serviço Coordenador de transações distribuídas ou que o serviço Coordenador de transações distribuídas está desabilitada. Por exemplo, se um objeto COM+ tenta atualizar um banco de dados do Microsoft SQL Server está localizado em um computador remoto por meio de uma transação do coordenador de transações distribuídas, essa transação não terá êxito. Por outro lado, se o computador hospedar um banco de dados do SQL Server e componentes de um computador remoto tentarem acessar por meio de uma transação do coordenador de transações distribuídas, essa transação não terá êxito.

Problemas relacionados ao serviço Coordenador de transações distribuídas

Transações falharem devido a problemas de conectividade de rede

Importante: Essa seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Portanto, certifique-se de seguir estes passos cuidadosamente. Para obter mais proteção, faça backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro caso ocorra um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número do artigo a seguir para visualizá-lo na Base de Conhecimento Microsoft:
322756 Como fazer backup e restaurar o registro no Windows


Se as transações do coordenador de transações distribuídas falharem devido a problemas de conectividade de rede, clique para marcar as seguintes caixas de seleção na caixa de diálogo Configuração de segurança :
  • Clique para selecionar a caixa de seleção Acesso ao DTC de rede.
  • Clique para selecionar uma ou ambas as seguintes caixas de seleção emComunicação do Gerenciador de transações dependendo do yourrequirements:
    • Permitir entrada
    • Permitir saída
Se você quiser alterar essas configurações programaticamente como parte do Windows, você pode modificar diretamente as configurações do registro que correspondem às configurações que você deseja definir. Depois de modificar as configurações do registro, você deve reiniciar o serviço Coordenador de transações distribuídas.

Importante: Recomendamos que você não modifique manualmente o registro para alterar essas configurações. Se você modificar manualmente essas configurações do registro, você poderá ter problemas com o serviço de Cluster em clusters de servidor com Windows Server 2003 SP1.

O Firewall do Windows bloqueia o tráfego do coordenador de transações distribuídas

Importante: Essas etapas podem aumentar o risco de segurança. Essas etapas também podem tornar o computador ou a rede mais vulnerável a ataques de usuários mal-intencionados ou softwares mal-intencionados, como vírus. Recomendamos o processo descrito nesse artigo para permitir que os programas funcionem conforme eles são criados para ou para implementar capacidades específicas do programa. Antes de fazer essas alterações, recomendamos que avalie os riscos associados à implementação deste processo no seu ambiente específico. Se você optar por implementar esse processo, execute quaisquer etapas adicionais apropriadas para ajudar a proteger o sistema. Recomendamos que você use esse processo apenas se realmente precisar dele.

Se você usar o Firewall do Windows, você deve adicionar o serviço Coordenador de transações distribuídas à lista de exceção nas configurações do Firewall do Windows. Para fazer isso, execute as seguintes etapas:
  1. Clique em Iniciar, Executar, tipo firewall. cple, em seguida, clique emOK.
  2. Na caixa de diálogo Firewall do Windows , clique no guia de exceções e, em seguida, clique em AddProgram.
  3. Clique em Procurar, localize e, em seguida, clique emC:\Windows\System32\msdtc.exee, em seguida, clique emAbrir.
  4. Clique em OK, clique para selecionar a caixa de seleçãomsdtc.exe na lista de programas andServices , se essa caixa de seleção não estiver selecionada e thenclick OK.

Configurações que são alteradas ou adicionadas

A tabela a seguir descreve as entradas do registro que são alteradas desde o Windows XP SP2 de versões anteriores do Windows.
Nome da entradaLocalValor padrão anteriorValor de padrão do Windows XP SP2Valores possíveis
NetworkDtcAccess HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security 100 ou 1
NetworkDtcAccessTransactions HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security 100 ou 1
NetworkDtcAccessInboundHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security Não aplicável00 ou 1
NetworkDtcAccessOutboundHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security Não aplicável00 ou 1
AllowOnlySecureRpcCallsHKEY_LOCAL_MACHINE\Software\Microsoft\MSDTC. Não aplicável10 ou 1
FallbackToUnsecureRPCIfNecessaryHKEY_LOCAL_MACHINE\Software\Microsoft\MSDTC. Não aplicável00 ou 1
TurnOffRpcSecurityHKEY_LOCAL_MACHINE\Software\Microsoft\MSDTC. Não aplicável00 ou 1
Observação: Essas alterações aparecem no registro de cluster compartilhado em um cluster de servidor com base no Windows Server 2003 SP1.

Códigos de erro que estão associados as alterações no serviço Coordenador de transações distribuídas

ou pode receber um dos seguintes códigos de erro quando você executar transações do coordenador de transações distribuídas entre computadores:

Código de erro 1
//// MessageId: XACT_E_NETWORK_TX_DISABLED//// MessageText://// The transaction manager has disabled its support for remote/network transactions.//#define XACT_E_NETWORK_TX_DISABLED       _HRESULT_TYPEDEF_(0x8004D024L)
Código de erro 2
//// MessageId: XACT_E_PARTNER_NETWORK_TX_DISABLED//// MessageText://// The partner transaction manager has disabled its support for remote/network transactions.//#define XACT_E_PARTNER_NETWORK_TX_DISABLED _HRESULT_TYPEDEF_(0x8004D025L)
Complus COM DTC

Aviso: este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 899191 - Última Revisão: 09/11/2015 17:04:00 - Revisão: 2.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Standard, Windows 8.1, Windows 8.1 Pro, Windows 8.1 Enterprise, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Standard, Windows 8, Windows 8 Pro, Windows 8 Enterprise, Windows 7 Enterprise, Windows 7 Home Basic, Windows 7 Home Premium, Windows 7 Professional, Windows 7 Starter, Windows 7 Ultimate, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 for Itanium-Based Systems, Windows Server 2008 R2 Foundation, Windows Server 2008 R2 Standard, Windows Vista Business, Windows Vista Enterprise, Windows Vista Home Basic, Windows Vista Home Premium, Windows Vista Ultimate, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Foundation, Microsoft Windows Server 2003 Service Pack 1

  • kbinfo kbexpertiseadvanced kbsurveynew kbmt KB899191 KbMtpt
Comentários