Windows'da Dağıtılmış İşlem Düzenleyicisi hizmetinde yeni işlevsellik

  • Makale

Bu makalede, Windows güvenlikle ilgili bazı güncelleştirmeler ve değişiklikler ve bunların Microsoft Dağıtılmış İşlem Düzenleyicisi (MS DTC) hizmetini nasıl etkilediği açıklanır.

Orijinal ürün sürümü: Windows
Özgün KB numarası: 899191

Özet

Windows Server 2003 Service Pack 1 (SP1) ve Windows XP Service Pack 2 (SP2) sürümünden bu yana, Windows'a güvenlikle ilgili bazı güncelleştirmeler ve değişiklikler getirilmiştir ve MS DTC hizmetini etkiler.

Bu değişikliklere Bileşen Hizmetleri yönetim aracında bulunan güncelleştirilmiş Güvenlik Yapılandırması iletişim kutusu kullanılarak erişilebilir.

Bu değişiklikler, DTC trafiğinin ağ üzerinden yük devretmesine neden olan varsayılan güvenlik ayarlarında yapılır. Bu durumda, bir veya daha fazla hata iletisi veya hata kodu alabilirsiniz.

Güvenlik Yapılandırması iletişim kutusundaki ayarları değiştirerek DTC hizmetinin ağ üzerinden uzak bilgisayarlarla nasıl iletişim kurabileceğini denetlemeye yardımcı olabilirsiniz.

Bu makalede, aşağıdaki işletim sistemlerindeKI MS DTC hizmetindeki yeni işlevler açıklanmaktadır:

  • Windows Server 2003 Service Pack 1 (SP1)
  • Windows XP Service Pack 2 (SP2)
  • Windows Vista
  • Windows Server 2008
  • Windows 7
  • Windows Server 2008 R2
  • Windows 8
  • Windows Server 2012
  • Windows 8.1
  • Windows Server 2012 R2

DTC hizmeti, iki veya daha fazla işlem korumalı kaynağı güncelleştiren işlemleri koordine eder. İşlem korumalı kaynaklar veritabanlarını, ileti kuyruklarını ve dosya sistemlerini içerir. bu işlem korumalı kaynaklar tek bir bilgisayarda bulunabilir veya birçok ağa bağlı bilgisayar arasında dağıtılabilir.

Güvenlik Yapılandırması kullanarak ağ iletişimlerini yönetme

Windows'ta DTC hizmeti, bilgisayarlar arasındaki ağ iletişimi üzerinde daha fazla denetim sağlar. Varsayılan olarak, tüm ağ iletişimi devre dışı bırakılır. DTC Güvenlik Yapılandırması iletişim kutusu, bu iletişim ayarlarını yönetebilmeniz için geliştirilmiştir. Güvenlik Yapılandırması iletişim kutusunu görüntülemek için şu adımları izleyin:

  1. Bileşen Hizmetleri yönetim aracını başlatın. Bunu yapmak için Başlat'ı seçin, Çalıştır'ı seçin, dcomcnfg.exeyazın ve tamam'ı seçin.
  2. Bileşen Hizmetleri yönetim aracının konsol ağacında Bileşen Hizmetleri'ni genişletin, Bilgisayarlar'ı genişletin, Bilgisayarım'a sağ tıklayın ve özellikler'i seçin.
  3. MSDTC sekmesini ve ardından Güvenlik Yapılandırması'nı seçin.

Güvenlik Yapılandırması'ndaki yeni seçenekler

Aşağıdaki bilgiler , Güvenlik Yapılandırması iletişim kutusunda bulunan yeni seçenekleri açıklar. Bu bilgiler, Güvenlik Yapılandırması iletişim kutusundaki yeni seçeneklerden etkilenen kayıt defteri girdilerini de açıklar.

Ağ DTC Erişimi

Ağ DTC Erişimi onay kutusu, DTC hizmetinin ağa erişip erişemeyeceğini belirlemenizi sağlar. Ağ DTC işlemlerini etkinleştirmek için Ağ DTC Erişimi onay kutusunun altındaki diğer onay kutularından biriyle birlikte Ağ DTC Erişimi onay kutusu seçilmelidir.

Ağ DTC Erişimi onay kutusu aşağıdaki kayıt defteri girdisini etkiler:

  • Kayıt defteri yolu: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security
  • Değer adı: NetworkDtcAccess
  • Değer türü: REG_DWORD
  • Değer verileri: 0 (varsayılan)

Not

Sunucu kümesinde Ağ DTC Erişimi onay kutusu, MS DTC kaynak kayıt defteri anahtarı altındaki paylaşılan küme kayıt defteri anahtarındaki bir değeri etkiler. MS DTC için paylaşılan kümenin kayıt defteri anahtarı konumunda bulunur HKEY_LOCAL_MACHINE\Cluster\Resources\<MSDTC resource GUID> .

Varsayılan olarak, kayıt defteri girdisinin NetworkDtcAccess değeri 0 olarak ayarlanır. 0 değeri, kayıt defteri girdisini NetworkDtcAccess kapatır. Kayıt defteri girdisini NetworkDtcAccess açmak için bu kayıt defteri değerini 1 olarak ayarlayın.

Gelenlere İzin Ver

Gelenlere İzin Ver onay kutusu, uzak bir bilgisayardan kaynaklanan dağıtılmış bir işlemin yerel bilgisayarda çalışmasına izin verilip verilmeyeceğini belirlemenize olanak tanır. Varsayılan olarak, bu ayar kapalıdır. Bu ayarı etkinleştirmek için Ağ DTC Erişimi onay kutusunu tıklayarak seçin ve aşağıdaki kayıt defteri girdisini 1 olarak ayarlayın:

  • Kayıt defteri yolu: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security
  • Değer adı: NetworkDtcAccess
  • Değer türü: REG_DWORD

Bu ayarı devre dışı bırakmak için Ağ DTC Erişimi onay kutusunu tıklatarak temizleyebilirsiniz ve bu kayıt defteri girdisini 0 olarak ayarlayın.

Gelenlere İzin Ver onay kutusu, altındaki HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Securityaşağıdaki REG_DWORD kayıt defteri girdilerinin ikisini de etkiler:

  • NetworkDtcAccessTransactions
  • NetworkDtcAccessInbound

Gidene İzin Ver

Gidene İzin Ver onay kutusu, yerel bilgisayarın bir işlem başlatmasına ve bu işlemi uzak bilgisayarda çalıştırmasına izin verilip verilmeyeceğini belirlemenizi sağlar. Bu ayarı etkinleştirmek için Ağ DTC Erişimi onay kutusunu seçerek aşağıdaki kayıt defteri girdisini 1 olarak ayarlayın:

  • Kayıt defteri yolu: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security
  • Değer adı: NetworkDtcAccess
  • Değer türü: REG_DWORD

Bu ayarı devre dışı bırakmak için Ağ DTC Erişimi onay kutusunu temizleyin ve bu kayıt defteri girdisini 0 olarak ayarlayın.

Gidene İzin Ver onay kutusu, altında HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Securityaşağıdaki REG_DWORD kayıt defteri girdilerinin ikisini de etkiler:

  • NetworkDtcAccessTransactions
  • NetworkDtcAccessOutbound

Karşılıklı Kimlik Doğrulaması Gerekiyor

Karşılıklı Kimlik Doğrulaması Gerekli seçeneği, Windows'ta karşılıklı kimlik doğrulaması için destek ekler. Karşılıklı Kimlik Doğrulaması Gerekli , şu anda ağ iletişimi için kullanılabilen en büyük güvenlik modunu ayarlar. Windows SERVER 2003 SP1 çalıştıran sunucu bilgisayarlarıyla birlikte Windows XP SP2 çalıştıran istemci bilgisayarlar için bu işlem modunu öneririz.

Karşılıklı Kimlik Doğrulaması Gerekli altında aşağıdaki kayıt defteri girdilerini HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTCetkiler:

  • Kayıt defteri anahtarı 1

    • Değer adı: AllowOnlySecureRpcCalls
    • Değer türü: REG_DWORD
    • Değer verisi: 1

  • Kayıt defteri anahtarı 2

    • Değer adı: FallbackToUnsecureRPCIfNecessary
    • Değer türü: REG_DWORD
    • Değer verisi: 0

  • Kayıt defteri anahtarı 3

    • Değer adı: TurnOffRpcSecurity
    • Değer türü: REG_DWORD
    • Değer verisi: 0

Karşılıklı Kimlik Doğrulaması Gerekli kullanılarak ayarlanan işlevsellik, Gelen Çağıran Kimlik Doğrulaması Gerekli kullanılarak ayarlanan işlevden farklıdır. Transaction Manager İletişimi altında listelenen üç seçenek aşağıdaki gibi davranır:

  • Karşılıklı Kimlik Doğrulaması Gerekli işlem modu, yerel bilgisayarla kimliği doğrulanmış bir bağlantı sağlamak için uzaktan erişen bileşeni gerektirir. Bu kimlik doğrulaması yerel bilgisayardaki kimliğe bürünme tarafından doğrulanır. Ayrıca, iki DTC hizmeti arasında uzaktan erişim iletişimi gerçekleştiriliyorsa, bu kimlik doğrulama bilgileri uzak işlem modu bilgisayarın ana bilgisayar adıyla eşleşen bir bilgisayar hesabı belirtmelidir.

  • Gelen Arayan Kimlik Doğrulaması Gerekli işlem modu yalnızca uzak bağlantının kimliğinin doğrulanması gerekir. Ayrıca, uzaktan erişen bileşen bir DTC hizmetiyse, kimlik doğrulama bilgileri bir bilgisayar hesabı için olmalıdır.

  • Kimlik Doğrulaması Gerekli Değil işlem modu, kimliği doğrulanmış bir bağlantıyı doğrulamaz veya kimliği doğrulanmış bağlantının kurulup kurulmadığını doğrulamaz.

Kümelenmiş bir ortamda DTC hizmetinin bilgisayar hesabı, küme düğümünü ana bilgisayar adını belirtir. Kümelenmiş bir ortamda DTC kimlik doğrulaması işlem modunun ana bilgisayar adını kullanmaz. Kümelenmiş bir ortamda işlem modunun ana bilgisayar adı sanal hizmetin adıdır. Bu nedenle, kümelenmiş bir ortamda veya bu tür bilgisayarlarla işlem anlaşması yapılan bilgisayarlarda Karşılıklı Kimlik Doğrulaması Gerekli işlem modunu kullanamazsınız. Windows Server 2003 SP1 çalıştıran iki kümelenmemiş bilgisayar arasında veya Windows XP SP2 çalıştıran iki bilgisayar arasında Karşılıklı Kimlik Doğrulaması Gerekli işlem modunu kullanabilirsiniz.

Kümelenmiş bir ortamda Windows Server 2003 tabanlı bilgisayarlar arasında Gelen Çağıran Kimlik Doğrulaması Gerekli işlem modunu kullanın.

Aşağıdaki koşullardan birinin veya daha fazlasının doğru olduğu Kimlik Doğrulaması Gerekli Değil işlem modunu kullanın:

  • Ağ erişimi, Microsoft Windows 2000 çalıştıran bilgisayarlar arasındadır.
  • Ağ erişimi, yapılandırılmış karşılıklı güveni olmayan iki etki alanı arasındadır.
  • Ağ erişimi, bir iş grubunun üyesi olan bilgisayarlar arasındadır.

Gelen Arayan Kimlik Doğrulaması Gerekiyor

Gelen Çağıran Kimlik Doğrulaması Gerekli yerel DTC hizmetinin yalnızca şifrelenmiş iletileri kullanarak uzak bir DTC hizmetiyle iletişim kurmasını gerektirir. Yalnızca gelen bağlantının kimliği doğrulanır. Bu özelliği yalnızca Windows Server 2003 SP1, Windows XP SP2 ve sonraki Windows sürümleri destekler. Bu nedenle, bu seçeneği yalnızca uzak DTC hizmeti Windows Server 2003 SP1, Windows XP SP2 veya Windows'un sonraki bir sürümünü çalıştıran bir bilgisayarda çalışıyorsa etkinleştirin.

Gelen Arayan Kimlik Doğrulaması Gerekli altında aşağıdaki kayıt defteri girdilerini HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTCetkiler:

  • Kayıt defteri anahtarı 1

    • Değer adı: AllowOnlySecureRpcCalls
    • Değer türü: REG_DWORD
    • Değer verisi: 0

  • Kayıt defteri anahtarı 2

    • Değer adı: FallbackToUnsecureRPCIfNecessary
    • Değer türü: REG_DWORD
    • Değer verisi: 1

  • Kayıt defteri anahtarı 3

    • Değer adı: TurnOffRpcSecurity
    • Değer türü: REG_DWORD
    • Değer verisi: 0

Gelen Arayan Kimlik Doğrulaması Gerekli hakkında daha fazla bilgi için Karşılıklı Kimlik Doğrulaması Gerekli bölümüne bakın.

Kimlik Doğrulaması Gerekmez

Kimlik Doğrulaması Gerekli Değil , Windows işletim sisteminin önceki sürümleri arasında işletim sistemi uyumluluğunu etkinleştirir. Bu seçenek etkinleştirildiğinde, DTC hizmetleri arasındaki ağ iletişimi kimliği doğrulanmamış iletişime veya güvenli bir iletişim kanalı kurulamazsa şifrelenmemiş iletişime geri dönebilir.

Not

Uzak DTC hizmeti Microsoft Windows 2000 çalıştıran bir bilgisayarda veya Windows XP SP2'den önceki bir Windows XP sürümünü çalıştıran bir bilgisayarda çalışıyorsa bu ayarı kullanmanızı öneririz.

Dtc hizmetlerinin güven ilişkisi kurulmayan etki alanlarındaki bilgisayarlarda çalıştığı bir durumu çözmek için Kimlik Doğrulaması Gerekmez özelliğini de kullanabilirsiniz. Ayrıca, DTC hizmetlerinin bir iş grubunun üyesi olan bilgisayarlarda çalıştığı bir durumu çözmek için Kimlik Doğrulaması Gerekmez'i kullanabilirsiniz.

Kimlik Doğrulaması Gerekli Değil altında aşağıdaki kayıt defteri girdilerini HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTCetkiler:

  • Kayıt defteri anahtarı 1

    • Değer adı: AllowOnlySecureRpcCalls
    • Değer türü: REG_DWORD
    • Değer verisi: 0

  • Kayıt defteri anahtarı 2

    • Değer adı: FallbackToUnsecureRPCIfNecessary
    • Değer türü: REG_DWORD
    • Değer verisi: 0

  • Kayıt defteri anahtarı 3

    • Değer adı: TurnOffRpcSecurity
    • Değer türü: REG_DWORD
    • Değer verisi: 1

Not

Bir sunucu kümesinde, bu kayıt defteri girdileri paylaşılan küme kayıt defterinde bulunur.

Yeni seçeneklerin önemi

Güvenlik Yapılandırması iletişim kutusunda bulunan yeni seçenekler, giden veya gelen ağ iletişimlerine güvenlik ayarlarını uygulamanıza olanak tanır. Varsayılan olarak, Windows'u yükledikten sonra bilgisayar ağ trafiğini kabul etmez. Bu nedenle, bilgisayar kötü amaçlı bir kullanıcı tarafından ağ erişimine karşı daha az savunmasızdır. Ayrıca, ağ üzerinden gönderilen protokoller daha güvenli bir şekilde şifrelenmiş ve karşılıklı olarak kimliği doğrulanmış bir iletişim modunu destekleyecek şekilde güncelleştirilir. Bu, kötü amaçlı bir kullanıcının DTC hizmetleri arasındaki iletişimi kesme ve devralma olasılığını azaltmaya yardımcı olur.

Windows'ta ağ iletişimi değişiklikleri

DTC hizmetinden gelen veya DTC hizmetine gelen ağ iletişimi devre dışı bırakılır. Örneğin, bir COM+ nesnesi dtc işlemi kullanarak uzak bir bilgisayarda bulunan bir Microsoft SQL Server veritabanını güncelleştirmeye çalışırsa, bu işlem başarılı olmaz. Buna karşılık, bilgisayar uzak bir bilgisayardan bileşenlerin bir DTC işlemi kullanarak erişmeye çalıştığı bir SQL Server veritabanı barındırıyorsa, bu işlem başarılı olmaz.

Aşağıdaki sorunlar DTC hizmetiyle ilgilidir:

İşlemler ağ bağlantısı sorunları nedeniyle başarısız olur

Önemli

Bu bölüm, yöntem veya görev, kayıt defterini nasıl değiştireceğinizin anlatıldığı adımları içermektedir. Ancak kayıt defterini hatalı biçimde değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle bu adımları dikkatle uyguladığınızdan emin olun. Ek koruma için kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Böylece, bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için bkz. Windows'ta kayıt defterini yedekleme ve geri yükleme.

DTC işlemleri ağ bağlantısı sorunları nedeniyle başarısız olursa , Güvenlik Yapılandırması iletişim kutusunda aşağıdaki onay kutularını seçmek için tıklayın:

  • Ağ DTC Erişimi onay kutusunu seçmek için tıklayın.

  • Gereksinimlerinize bağlı olarak Transaction Manager İletişimi altındaki aşağıdaki onay kutularından birini veya ikisini birden seçmek için tıklayın:

    • Gelenlere İzin Ver
    • Gidene İzin Ver

Bu ayarları bir Windows'un parçası olarak program aracılığıyla değiştirmek istiyorsanız, ayarlamak istediğiniz ayarlara karşılık gelen kayıt defteri ayarlarını doğrudan değiştirebilirsiniz. Kayıt defteri ayarlarını değiştirdikten sonra DTC hizmetini yeniden başlatmanız gerekir.

Bu ayarları değiştirmek için kayıt defterini el ile değiştirmemenizi öneririz. Bu kayıt defteri ayarlarını el ile değiştirirseniz, Windows Server 2003 SP1 tabanlı sunucu kümelerinde Küme hizmetiyle ilgili sorunlarla karşılaşabilirsiniz.

Windows Güvenlik Duvarı DTC trafiğini engelliyor

Önemli

Bu adımlar güvenlik riskinizi artırabilir. Bu adımlar, bilgisayarı veya ağı kötü amaçlı kullanıcılar veya virüs gibi kötü amaçlı yazılımlar tarafından yapılan saldırılara karşı daha savunmasız hale de getirir. Bu makalede açıklanan sürecin, programların tasarlandığı gibi çalışmasını sağlamak veya belirli program özelliklerini uygulamak için öneririz. Bu değişiklikleri yapmadan önce, bu işlemi kendi ortamınızda uygulamayla ilişkili riskleri değerlendirmenizi öneririz. Bu işlemi uygulamaya karar verirseniz, sistemin korunmasına yardımcı olmak için uygun ek adımları uygulayın. Bu işlemi yalnızca bu işleme gerçekten ihtiyacınız varsa kullanmanızı öneririz.

Windows Güvenlik Duvarı kullanıyorsanız DTC hizmetini Windows Güvenlik Duvarı ayarlarındaki özel durum listesine eklemeniz gerekir. Bunu yapmak için şu adımları uygulayın:

  1. Başlat'ı seçin, Çalıştır'ı seçin, firewall.cplyazın ve tamam'ı seçin.
  2. Windows Güvenlik Duvarı iletişim kutusunda Özel Durumlar sekmesini ve ardından Program Ekle'yi seçin.
  3. Gözat'ı seçin, öğesini bulup seçin C:\Windows\System32\msdtc.exeve ardından Aç'ı seçin.
  4. Tamam'ı seçin, Programlar ve Hizmetler listesinde bu onay kutusu seçili değilse msdtc.exe onay kutusunu seçin ve ardından Tamam'ı seçin.

Değiştirilen veya eklenen ayarlar

Aşağıdaki tabloda, Windows'un önceki sürümlerinden Windows XP SP2'den bu yana değiştirilen kayıt defteri girdileri açıklanmaktadır.

Giriş adı Konum Önceki varsayılan değer Windows XP SP2 varsayılan değeri Olası değerler
NetworkDtcAccess HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security 1 0 0 veya 1
NetworkDtcAccessTransactions KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security 1 0 0 veya 1
NetworkDtcAccessInbound HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security Geçerli değil 0 0 veya 1
NetworkDtcAccessOutbound HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security Geçerli değil 0 0 veya 1
AllowOnlySecureRpcCalls HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC Geçerli değil 1 0 veya 1
FallbackToUnsecureRPCIfNecessary HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC Geçerli değil 0 0 veya 1
TurnOffRpcSecurity HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC Geçerli değil 0 0 veya 1

Not

Bu değişiklikler, Windows Server 2003 SP1 tabanlı sunucu kümesindeki paylaşılan küme kayıt defterinde görünür.

DTC hizmeti değişiklikleriyle ilişkili hata kodları

Bilgisayarlar arasında DTC işlemleri çalıştırdığınızda aşağıdaki hata kodlarından birini alabilirsiniz:

  • Hata kodu 1

    MessageId: XACT_E_NETWORK_TX_DISABLED
    İleti Metni:
    İşlem yöneticisi uzak/ağ işlemleri desteğini devre dışı bırakmış.
    #define XACT_E_NETWORK_TX_DISABLED HRESULT_TYPEDEF(0x8004D024L)

  • Hata kodu 2

    MessageId: XACT_E_PARTNER_NETWORK_TX_DISABLED
    İleti Metni:
    İş ortağı işlem yöneticisi uzak/ağ işlemleri desteğini devre dışı bırakmış.
    #define XACT_E_PARTNER_NETWORK_TX_DISABLED HRESULT_TYPEDEF(0x8004D025L)

Uygulandığı öğe

  • Windows Server 2012 R2
  • Windows 8.1
  • Windows 8
  • Windows 7
  • Windows Vista
  • Windows Server 2008
  • Windows Server 2003
  • Windows XP