Sdílet prostřednictvím

Konfigurace podpory WS-Atomic Transaction

  • Článek

Toto téma popisuje, jak nakonfigurovat podporu WS-AtomicTransaction (WS-AT) pomocí nástroje WS-AT Configuration Utility.

Použití konfiguračního nástroje WS-AT

Ke konfiguraci nastavení WS-AT se používá nástroj WS-AT Configuration Utility (wsatConfig.exe). Pokud chcete povolit službu protokolu WS-AT, musíte pomocí konfiguračního nástroje nakonfigurovat port HTTPS pro WS-AT, vytvořit vazbu certifikátu X.509 na port HTTPS a nakonfigurovat autorizované partnerské certifikáty zadáním názvů subjektů certifikátů nebo kryptografických otisků. Konfigurační nástroj také umožňuje vybrat režim trasování a nastavit výchozí odchozí a maximální vypršení časového limitu příchozí transakce.

K funkcím tohoto nástroje se dostanete pomocí modulu snap-in stránky vlastností konzoly MMC (Microsoft Management Console) v konzole pro správu služby Component Services nebo z okna příkazového řádku. Konfigurace podpory WS-AT na místním počítači prostřednictvím okna příkazového řádku; nakonfigurujte nastavení na místních i vzdálených počítačích pomocí modulu snap-in konzoly MMC.

Okno příkazového řádku je přístupné v umístění instalace sady Windows SDK %WINDIR%\Microsoft.NET\Framework\v3.0\Windows Communication Foundation.

Další informace o nástroji příkazového řádku naleznete v tématu WS-AtomicTransaction Configuration Utility (wsatConfig.exe).

Pokud používáte systém Windows XP nebo Windows Server 2003, můžete získat přístup k modulu snap-in konzoly MMC tak, že přejdete na Ovládací panely/Správa istrativní nástroje nebo služby komponent, kliknete pravým tlačítkem myši na Tento počítač a vyberete Vlastnosti. Jedná se o stejné umístění, kde můžete nakonfigurovat microsoft Distributed Transaction Coordinator (MSDTC). Možnosti dostupné pro konfiguraci jsou seskupené na kartě WS-AT. Pokud používáte systém Windows Vista nebo Windows Server 2008, lze modul snap-in konzoly MMC najít kliknutím na tlačítko Start a zadáním dcomcnfg.exe do vyhledávacího pole. Po otevření konzoly MMC přejděte do uzlu Můj počítač\Koordinátor distribuovaných transakcí\Místní uzel DTC , klikněte pravým tlačítkem myši a vyberte Vlastnosti. Možnosti dostupné pro konfiguraci jsou seskupené na kartě WS-AT .

Další informace o modulu snap-in naleznete v modulu snap-in konzoly MMC konfigurace WS-AtomicTransaction.

Pokud chcete povolit uživatelské rozhraní nástroje, musíte nejprve zaregistrovat soubor WsatUI.dll umístěný v následující cestě.

%PROGRAMFILES%\Microsoft SDK\Windows\v6.0\Bin

Pokud chcete produkt zaregistrovat, spusťte z okna příkazového řádku následující příkaz:

regasm.exe /codebase WsatUI.dll

Povolení WS-AT

Pokud chcete povolit službu protokolu WS-AT uvnitř MSDTC pomocí portu 443 a certifikátu X.509 s privátním klíčem nainstalovaným v úložišti místního počítače, použijte nástroj wsatConfig.exe s následujícím příkazem.

WsatConfig.exe –network:enable –port:8443 –endpointCert:<machine|"Issuer\SubjectName"> -accountsCerts:<thumbprint|"Issuer\SubjectName"> -restart

Nahraďte příslušné parametry hodnotami relevantními pro vaše prostředí.

Chcete-li zakázat službu protokolu WS-AT uvnitř MSDTC, použijte nástroj wsatConfig.exe s následujícím příkazem.

WsatConfig.exe –network:disable -restart

Konfigurace vztahu důvěryhodnosti mezi dvěma počítači

Služba protokolu WS-AT vyžaduje, aby správce explicitně autorizoval jednotlivé účty k účasti v distribuovaných transakcích. Pokud jste správcem dvou počítačů, můžete oba počítače nakonfigurovat tak, aby vytvořily vzájemný vztah důvěryhodnosti výměnou správné sady certifikátů mezi počítači, jejich instalací do příslušných úložišť certifikátů a pomocí nástroje wsatConfig.exe přidejte certifikát každého počítače do seznamu autorizovaných certifikátů účastníků. Tento krok je nezbytný k provádění distribuovaných transakcí mezi dvěma počítači pomocí WS-AT.

V následujícím příkladu popisuje kroky pro navázání vztahu důvěryhodnosti mezi dvěma počítači, A a B.

Vytvoření a export certifikátů

Tento postup vyžaduje modul snap-in Certifikáty konzoly MMC. K modulu snap-in se dostanete tak, že otevřete nabídku Start/Run a do vstupního pole zadáte "mmc" a stisknete OK. Potom v okně Konzola1 přejděte do modulu snap-in Soubor/Přidat odebrat, klikněte na Přidat a v seznamu Dostupné samostatné moduly snapins zvolte Certifikáty. Nakonec vyberte Účet počítače, který chcete spravovat, a klepněte na tlačítko OK. Uzel Certifikáty se zobrazí v konzole modulu snap-in.

K navázání vztahu důvěryhodnosti už musíte mít požadované certifikáty. Informace o vytváření a instalaci nových certifikátů před následujícím postupem najdete v tématu Postupy: Vytvoření a instalace dočasných klientských certifikátů ve WCF během vývoje.

  1. Na počítači A pomocí modulu snap-in Certifikáty konzoly MMC naimportujte existující certifikát (certA) do localMachine\MY (osobní uzel) a localMachine\ROOT úložiště (uzel důvěryhodné kořenové certifikační autority). Pokud chcete importovat certifikát do určitého uzlu, klikněte pravým tlačítkem myši na uzel a zvolte Všechny úkoly /Importovat.

  2. Na počítači B pomocí modulu snap-in Certifikáty MMC vytvořte nebo získejte certifikát certB s privátním klíčem a importujte ho do localMachine\MY (osobní uzel) a localMachine\ROOT úložiště (uzel důvěryhodné kořenové certifikační autority).

  3. Pokud jste to ještě neudělali, exportujte veřejný klíč certifikátu do souboru.

  4. Pokud jste to ještě neudělali, exportujte veřejný klíč certB do souboru.

Navázání vzájemné důvěry mezi počítači

  1. Na počítači A naimportujte reprezentaci souboru certB do úložiště LocalMachine\MY a LocalMachine\ROOT. Tím se deklaruje, že počítač důvěřuje certB ke komunikaci s ním.

  2. Na počítači B naimportujte soubor certA do úložišť LocalMachine\MY a LocalMachine\ROOT. To znamená, že počítač B důvěřuje certifikátu, aby s ním komunikuje.

Po dokončení těchto kroků je mezi těmito dvěma počítači vytvořen vztah důvěryhodnosti a dá se nakonfigurovat tak, aby mezi sebou komunikoval pomocí WS-AT.

Konfigurace MSDTC pro použití certifikátů

Vzhledem k tomu, že služba protokolu WS-AT funguje jako klient i server, musí naslouchat příchozím připojením a inicializovat odchozí připojení. Proto je nutné nakonfigurovat MSDTC tak, aby věděl, který certifikát se má použít při komunikaci s externími stranami a které certifikáty se mají autorizovat při přijímání příchozí komunikace.

To můžete nakonfigurovat pomocí modulu snap-in MMC WS-AT. Další informace o tomto nástroji naleznete v tématu modulu snap-in konzoly MMC konfigurace WS-AtomicTransaction. Následující kroky popisují, jak vytvořit vztah důvěryhodnosti mezi dvěma počítači se systémem MSDTC.

  1. Nakonfigurujte nastavení počítače A. V části Certifikát koncového bodu vyberte certifikát certA. V části Autorizované certifikáty vyberte certifikát certB.

  2. Nakonfigurujte nastavení počítače B. V části Certifikát koncového bodu vyberte certifikát certB. V části Autorizované certifikáty vyberte certifikát CERTA.

Poznámka:

Když jeden počítač odešle zprávu na druhý počítač, odesílatel se pokusí ověřit, jestli se jméno subjektu certifikátu příjemce a název počítače příjemce shoduje. Pokud se neshodují, ověření certifikátu selže a dva počítače nemůžou komunikovat.

Pro počítač připojený k doméně je název plně kvalifikovaný název domény. Ve výchozím nastavení je název počítače v pracovní skupině názvem Rozhraní NetBIOS počítače. Název ale může také obsahovat příponu DNS (Domain Name System), pokud existuje pro připojení používané mezi těmito dvěma počítači.

Pokud se název počítače změní, například když se počítač pracovní skupiny připojí k doméně, musíte znovu spustit certifikáty nebo ručně nakonfigurovat přípony DNS.

Zabezpečení

Vzhledem k tomu, že některá nastavení související s MSDTC a WS-AT jsou uložena v registru v HKLM\Software\Microsoft\MSDTC a HKLM\Software\Microsoft\WSAT, ujistěte se, že jsou tyto klíče registru zabezpečené, aby do nich mohli zapisovat pouze správci. V nástroji Editor registru klikněte pravým tlačítkem myši na klíč, který chcete zabezpečit, a vyberte Oprávnění pro nastavení příslušného řízení přístupu. Pro zabezpečení a integritu systému je nezbytné, aby důležité klíče byly jen pro čtení pro uživatele s nízkou úrovní oprávnění.

Při nasazování MSDTC musí správce zajistit, aby byla veškerá výměna dat MSDTC zabezpečená. V nasazení pracovní skupiny izolujte transakční infrastrukturu od škodlivých uživatelů; v nasazení clusteru zabezpečte registr clusteru.

Sledování

Služba protokolu WS-AT podporuje integrované trasování specifické pro transakce, které lze povolit a spravovat pomocí nástroje snap-in konzoly MMC konfigurace WS-AtomicTransaction. Trasování může obsahovat data označující čas zařazení pro konkrétní transakci, čas, kdy transakce dosáhne stavu terminálu, výsledek přijetí každé transakce zařazení. Všechna trasování lze zobrazit pomocí nástroje Service Trace Viewer (SvcTraceViewer.exe).

Služba protokolu WS-AT podporuje také integrované trasování ServiceModel prostřednictvím relace trasování trasování trasování trasování Trasování událostí pro Windows. To poskytuje podrobnější trasování specifické pro komunikaci kromě existujících trasování transakcí. Pokud chcete povolit tyto další trasování, postupujte takto:

  1. Otevřete nabídku Start/Run, do vstupního pole zadejte "regedit" a vyberte OK.

  2. V Editoru registru přejděte do následující složky v levém podokně Hkey_Local_Machine\SOFTWARE\Microsoft\WSAT\3.0\

  3. Klikněte pravým tlačítkem myši na ServiceModelDiagnosticTracing hodnotu v pravém podokně a vyberte Upravit.

  4. Do pole Zadání dat hodnoty zadejte jednu z následujících platných hodnot a zadejte úroveň trasování, kterou chcete povolit.

  • 0: vypnuto

  • 1: kritické

  • 3: chyba. Toto je výchozí hodnota.

  • 7: upozornění

  • 15: informace

  • 31: podrobná

Viz také