Partager via

Nouvelles fonctionnalités du service Distributed Transaction Coordinator dans Windows

Cet article décrit certaines mises à jour et modifications liées à la sécurité Windows, ainsi que leur impact sur le service Microsoft Distributed Transaction Coordinator (MS DTC).

Version du produit d’origine : Windows
Numéro de base de connaissances d’origine : 899191

Résumé

Depuis Windows Server 2003 Service Pack 1 (SP1) et Windows XP Service Pack 2 (SP2), certaines mises à jour et modifications liées à la sécurité ont été introduites dans Windows et affectent le service MS DTC.

Ces modifications sont accessibles à l’aide de la boîte de dialogue Configuration de sécurité mise à jour disponible dans l’outil d’administration services de composants.

Ces modifications sont apportées aux paramètres de sécurité par défaut qui entraînent le basculement du trafic DTC sur le réseau. Dans ce cas, vous pouvez recevoir un ou plusieurs messages d’erreur ou codes d’erreur.

En modifiant les paramètres de la boîte de dialogue Configuration de sécurité, vous pouvez contrôler la façon dont le service DTC communique avec les ordinateurs distants sur le réseau.

Cet article décrit les nouvelles fonctionnalités du service MS DTC dans les systèmes d’exploitation suivants :

  • Windows Server 2003 Service Pack 1 (SP1)
  • Windows XP Service Pack 2 (SP2)
  • Windows Vista
  • Windows Server 2008
  • Windows 7
  • Windows Server 2008 R2
  • Windows 8
  • Windows Server 2012
  • Windows 8.1
  • Windows Server 2012 R2

Le service DTC coordonne les transactions qui mettent à jour deux ressources protégées par des transactions ou plus. Les ressources protégées par transaction incluent des bases de données, des files d’attente de messages et des systèmes de fichiers. Ces ressources protégées par transaction peuvent se trouver sur un seul ordinateur ou être distribuées entre de nombreux ordinateurs en réseau.

Gérer la communication réseau à l’aide de la configuration de sécurité

Dans Windows, le service DTC vous donne plus de contrôle sur la communication réseau entre les ordinateurs. Par défaut, toutes les communications réseau sont désactivées. La boîte de dialogue Configuration de sécurité DTC a été améliorée afin de pouvoir gérer ces paramètres de communication. Pour afficher la boîte de dialogue Configuration de la sécurité , procédez comme suit :

  1. Démarrez l’outil d’administration services de composants. Pour ce faire, sélectionnez Démarrer, sélectionnez Exécuter, tapez dcomcnfg.exe, puis sélectionnez OK.
  2. Dans l’arborescence de la console de l’outil d’administration services de composants, développez Services de composants, développez Ordinateurs, cliquez avec le bouton droit sur Mon ordinateur, puis sélectionnez Propriétés.
  3. Sélectionnez l’onglet MSDTC , puis sélectionnez Configuration de la sécurité.

Nouvelles options dans Configuration de la sécurité

Les informations suivantes décrivent les nouvelles options disponibles dans la boîte de dialogue Configuration de la sécurité . Ces informations décrivent également les entrées de Registre affectées par les nouvelles options de la boîte de dialogue Configuration de la sécurité .

Accès DTC réseau

La case à cocher Accès DTC réseau vous permet de déterminer si le service DTC peut accéder au réseau. La case à cocher Accès DTC réseau doit être cochée avec l’une des autres cases sous la case d’accès DTC réseau pour activer les transactions DTC réseau.

La case à cocher Accès DTC réseau affecte l’entrée de Registre suivante :

  • Chemin d’accès au Registre : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security
  • Nom de la valeur : NetworkDtcAccess
  • Type de valeur : REG_DWORD
  • Données de valeur : 0 (valeur par défaut)

Note

Sur un cluster de serveur, la case à cocher Accès DTC réseau affecte une valeur dans la clé de Registre de cluster partagé sous la clé de Registre de ressources MS DTC. La clé de Registre du cluster partagé pour MS DTC se trouve à l’emplacement HKEY_LOCAL_MACHINE\Cluster\Resources\<MSDTC resource GUID> .

Par défaut, la valeur de l’entrée de NetworkDtcAccess Registre est définie sur 0. La valeur 0 désactive l’entrée du NetworkDtcAccess Registre. Pour activer l’entrée de NetworkDtcAccess Registre, définissez cette valeur de Registre sur 1.

Autoriser les transactions entrantes

La case à cocher Autoriser le trafic entrant vous permet de déterminer s’il faut autoriser une transaction distribuée provenant d’un ordinateur distant à exécuter sur l’ordinateur local. Cette option est désactivée par défaut. Pour activer ce paramètre, cliquez pour activer la case à cocher Accès DTC réseau pour définir l’entrée de Registre suivante sur 1 :

  • Chemin d’accès au Registre : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security
  • Nom de la valeur : NetworkDtcAccess
  • Type de valeur : REG_DWORD

Pour désactiver ce paramètre, cliquez pour désactiver la case à cocher Accès DTC réseau pour définir cette entrée de Registre sur 0.

La case à cocher Autoriser le trafic entrant affecte les deux entrées de Registre REG_DWORD suivantes sous HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security:

  • NetworkDtcAccessTransactions
  • NetworkDtcAccessInbound

Autoriser les transactions sortantes

La case Autoriser le trafic sortant vous permet de déterminer s’il faut autoriser l’ordinateur local à lancer une transaction et à exécuter cette transaction sur un ordinateur distant. Pour activer ce paramètre, activez la case à cocher Accès DTC réseau pour définir l’entrée de Registre suivante sur 1 :

  • Chemin d’accès au Registre : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security
  • Nom de la valeur : NetworkDtcAccess
  • Type de valeur : REG_DWORD

Pour désactiver ce paramètre, désactivez la case à cocher Accès DTC réseau pour définir cette entrée de Registre sur 0.

La case à cocher Autoriser le trafic sortant affecte les deux entrées de Registre REG_DWORD suivantes sous HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security:

  • NetworkDtcAccessTransactions
  • NetworkDtcAccessOutbound

Authentification mutuelle requise

L’option Authentification mutuelle requise ajoute la prise en charge de l’authentification mutuelle dans Windows. L’authentification mutuelle requise définit le mode de sécurité le plus important actuellement disponible pour la communication réseau. Nous recommandons ce mode de transaction pour les ordinateurs clients exécutant Windows XP SP2 avec les ordinateurs serveur qui exécutent Windows Server 2003 SP1.

L’authentification mutuelle requise affecte les entrées de Registre suivantes sous HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC:

  • Clé de Registre 1

    • Nom de la valeur : AllowOnlySecureRpcCalls
    • Type de valeur : REG_DWORD
    • Données de la valeur : 1

  • Clé de Registre 2

    • Nom de la valeur : FallbackToUnsecureRPCIfNecessary
    • Type de valeur : REG_DWORD
    • Données de la valeur : 0

  • Clé de Registre 3

    • Nom de la valeur : TurnOffRpcSecurity
    • Type de valeur : REG_DWORD
    • Données de la valeur : 0

La fonctionnalité définie à l’aide de l’authentification mutuelle obligatoire diffère de la fonctionnalité définie à l’aide de l’authentification de l’appelant entrante obligatoire. Les trois options répertoriées sous Transaction Manager Communication se comportent comme suit :

  • Le mode transactionnel obligatoire d’authentification mutuelle nécessite l’accès à distance au composant pour fournir une connexion authentifiée avec l’ordinateur local. Cette authentification est vérifiée par emprunt d’identité sur l’ordinateur local. En outre, si la communication d’accès à distance est effectuée entre deux services DTC, ces informations d’authentification doivent spécifier un compte d’ordinateur qui correspond au nom d’hôte de l’ordinateur en mode transaction distant.

  • Le mode transaction obligatoire de l’appelant entrant nécessite uniquement l’authentification de la connexion distante. En outre, si le composant accédant à distance est un service DTC, les informations d’authentification doivent être pour un compte d’ordinateur.

  • Le mode de transaction Aucune authentification requise ne valide pas une connexion authentifiée ou vérifie si une connexion authentifiée est établie.

Dans un environnement cluster, le compte d’ordinateur du service DTC spécifie le nom d’hôte du nœud de cluster. Dans un environnement cluster, l’authentification DTC n’utilise pas le nom d’hôte du mode transactionnel. Dans un environnement cluster, le nom d’hôte du mode transaction est le nom du service virtuel. Par conséquent, vous ne pouvez pas utiliser le mode transaction de l’authentification mutuelle requise dans un environnement cluster ou sur tous les ordinateurs qui négocient des transactions avec ces ordinateurs. Vous pouvez utiliser le mode de transaction obligatoire de l’authentification mutuelle entre deux ordinateurs non cluster exécutant Windows Server 2003 SP1 ou entre deux ordinateurs exécutant Windows XP SP2.

Utilisez le mode de transaction requis de l’authentification de l’appelant entrant entre les ordinateurs Windows Server 2003 dans un environnement en cluster.

Utilisez le mode de transaction No Authentication Required où une ou plusieurs des conditions suivantes sont remplies :

  • L’accès réseau se trouve entre les ordinateurs exécutant Microsoft Windows 2000.
  • L’accès réseau se trouve entre deux domaines qui n’ont pas d’approbation mutuelle configurée.
  • L’accès réseau est entre les ordinateurs membres d’un groupe de travail.

Autorisation de l'appelant entrant requise

L’authentification de l’appelant entrante requise nécessite que le service DTC local communique avec un service DTC distant en utilisant uniquement des messages chiffrés. Seule la connexion entrante est authentifiée. Seuls Windows Server 2003 SP1, Windows XP SP2 et versions ultérieures de Windows prennent en charge cette fonctionnalité. Par conséquent, activez cette option uniquement si le service DTC distant s’exécute sur un ordinateur exécutant Windows Server 2003 SP1, Windows XP SP2 ou version ultérieure de Windows.

L’authentification de l’appelant entrante obligatoire affecte les entrées de Registre suivantes sous HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC:

  • Clé de Registre 1

    • Nom de la valeur : AllowOnlySecureRpcCalls
    • Type de valeur : REG_DWORD
    • Données de la valeur : 0

  • Clé de Registre 2

    • Nom de la valeur : FallbackToUnsecureRPCIfNecessary
    • Type de valeur : REG_DWORD
    • Données de la valeur : 1

  • Clé de Registre 3

    • Nom de la valeur : TurnOffRpcSecurity
    • Type de valeur : REG_DWORD
    • Données de la valeur : 0

Pour plus d’informations sur l’authentification de l’appelant entrant requis, consultez la section Authentification mutuelle requise .

Aucune authentification requise

Aucune authentification requise permet la compatibilité du système d’exploitation entre les versions antérieures du système d’exploitation Windows. Lorsque cette option est activée, la communication réseau entre les services DTC peut revenir à une communication non authentifiée ou à une communication non chiffrée si un canal de communication sécurisé ne peut pas être établi.

Note

Nous vous recommandons d’utiliser ce paramètre si le service DTC distant s’exécute sur un ordinateur exécutant Microsoft Windows 2000 ou sur un ordinateur exécutant une version de Windows XP antérieure à Windows XP SP2.

Vous pouvez également utiliser Aucune authentification requise pour résoudre une situation où les services DTC s’exécutent sur des ordinateurs qui se trouvent dans des domaines qui n’ont pas de relation d’approbation établie. En outre, vous pouvez utiliser Aucune authentification requise pour résoudre une situation où les services DTC s’exécutent sur des ordinateurs membres d’un groupe de travail.

Aucune authentification requise n’affecte les entrées de Registre suivantes sous HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC:

  • Clé de Registre 1

    • Nom de la valeur : AllowOnlySecureRpcCalls
    • Type de valeur : REG_DWORD
    • Données de la valeur : 0

  • Clé de Registre 2

    • Nom de la valeur : FallbackToUnsecureRPCIfNecessary
    • Type de valeur : REG_DWORD
    • Données de la valeur : 0

  • Clé de Registre 3

    • Nom de la valeur : TurnOffRpcSecurity
    • Type de valeur : REG_DWORD
    • Données de la valeur : 1

Note

Sur un cluster de serveurs, ces entrées de Registre se trouvent dans le registre de cluster partagé.

Importance des nouvelles options

Les nouvelles options disponibles dans la boîte de dialogue Configuration de la sécurité vous permettent d’appliquer des paramètres de sécurité aux communications réseau sortantes ou entrantes. Par défaut, après avoir installé Windows, l’ordinateur n’accepte pas le trafic réseau. Par conséquent, l’ordinateur est moins vulnérable à l’accès réseau par un utilisateur malveillant. En outre, les protocoles envoyés sur le réseau sont mis à jour pour prendre en charge un mode de communication chiffré et mutuellement authentifié de manière plus sécurisée. Cela permet de réduire le risque qu’un utilisateur malveillant puisse intercepter et prendre en charge les communications entre les services DTC.

Modifications de communication réseau dans Windows

La communication réseau sortant du service DTC ou entrant dans le service DTC est désactivée. Par exemple, si un objet COM+ tente de mettre à jour une base de données Microsoft SQL Server située sur un ordinateur distant à l’aide d’une transaction DTC, cette transaction ne réussit pas. À l’inverse, si l’ordinateur héberge une base de données SQL Server que les composants d’un ordinateur distant essaient d’accéder à l’aide d’une transaction DTC, cette transaction ne réussit pas.

Les problèmes suivants sont liés au service DTC :

Les transactions échouent en raison de problèmes de connectivité réseau

Important

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, vérifiez que vous suivez ces étapes attentivement. Pour une protection supplémentaire, sauvegardez le Registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre si un problème se produit. Pour plus d’informations sur la sauvegarde et la restauration du registre, voir : Procédure de sauvegarde, de modification et de restauration du Registre dans Windows.

Si les transactions DTC échouent en raison de problèmes de connectivité réseau, cliquez pour activer les cases à cocher suivantes dans la boîte de dialogue Configuration de sécurité :

  • Cliquez pour activer la case à cocher Accès DTC réseau.

  • Cliquez pour sélectionner une ou les deux cases à cocher suivantes sous Transaction Manager Communication en fonction de vos besoins :

    • Autoriser le trafic entrant
    • Autoriser le trafic sortant

Si vous souhaitez modifier ces paramètres par programmation dans le cadre d’un Windows, vous pouvez modifier directement les paramètres de Registre correspondant aux paramètres que vous souhaitez définir. Après avoir modifié les paramètres du Registre, vous devez redémarrer le service DTC.

Nous vous recommandons de ne pas modifier manuellement le Registre pour modifier ces paramètres. Si vous modifiez manuellement ces paramètres de Registre, vous pouvez rencontrer des problèmes avec le service de cluster sur des clusters serveurs Windows Server 2003 SP1.

Le Pare-feu Windows bloque le trafic DTC

Important

Ces étapes peuvent augmenter vos risques de sécurité. Ces étapes peuvent également rendre l’ordinateur ou le réseau plus vulnérable aux attaques par des utilisateurs malveillants ou par des logiciels malveillants tels que des virus. Nous recommandons le processus décrit par cet article pour permettre aux programmes de fonctionner à mesure qu’ils sont conçus ou pour implémenter des fonctionnalités de programme spécifiques. Avant d’apporter ces modifications, nous vous recommandons d’évaluer les risques associés à l’implémentation de ce processus dans votre environnement particulier. Si vous décidez d’implémenter ce processus, effectuez toutes les étapes supplémentaires appropriées pour protéger le système. Nous vous recommandons d’utiliser ce processus uniquement si vous avez vraiment besoin de ce processus.

Si vous utilisez le Pare-feu Windows, vous devez ajouter le service DTC à la liste des exceptions dans les paramètres du Pare-feu Windows. Pour cela, procédez comme suit :

  1. Sélectionnez Démarrer, sélectionnez Exécuter, tapez firewall.cpl, puis sélectionnez OK.
  2. Dans la boîte de dialogue Pare-feu Windows, sélectionnez l’onglet Exceptions , puis sélectionnez Ajouter un programme.
  3. Sélectionnez Parcourir, localiser, puis sélectionner C:\Windows\System32\msdtc.exe, puis Ouvrir.
  4. Sélectionnez OK, cochez la case msdtc.exe dans la liste Programmes et services si cette case à cocher n’est pas déjà activée, puis sélectionnez OK.

Paramètres modifiés ou ajoutés

Le tableau suivant décrit les entrées de Registre qui sont modifiées depuis Windows XP SP2 à partir des versions antérieures de Windows.

Nom de l’entrée Entrepôt Valeur par défaut précédente Valeur par défaut de Windows XP SP2 Valeurs possibles
NetworkDtcAccess HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security 1 0 0 ou 1
NetworkDtcAccessTransactions KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security 1 0 0 ou 1
NetworkDtcAccessInbound HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security Non applicable 0 0 ou 1
NetworkDtcAccessOutbound HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security Non applicable 0 0 ou 1
AllowOnlySecureRpcCalls HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC Non applicable 1 0 ou 1
FallbackToUnsecureRPCIfNecessary HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC Non applicable 0 0 ou 1
TurnOffRpcSecurity HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC Non applicable 0 0 ou 1

Note

Ces modifications apparaissent dans le Registre de clusters partagés sur un cluster serveur Windows Server 2003 SP1.

Codes d’erreur associés aux modifications du service DTC

Vous pouvez recevoir l’un des codes d’erreur suivants lorsque vous exécutez des transactions DTC entre ordinateurs :

  • Code d’erreur 1

    MessageId : XACT_E_NETWORK_TX_DISABLED
    MessageText :
    Le gestionnaire de transactions a désactivé sa prise en charge des transactions distantes/réseau.
    #define XACT_E_NETWORK_TX_DISABLED HRESULT_TYPEDEF(0x8004D024L)

  • Code d’erreur 2

    MessageId : XACT_E_PARTNER_NETWORK_TX_DISABLED
    MessageText :
    Le gestionnaire de transactions partenaires a désactivé sa prise en charge des transactions distantes/réseau.
    #define XACT_E_PARTNER_NETWORK_TX_DISABLED HRESULT_TYPEDEF(0x8004D025L)

S’applique à

  • Windows Server 2012 R2
  • Windows 8.1
  • Windows 8
  • Windows 7
  • Windows Vista
  • Windows Server 2008
  • Windows Server 2003
  • Windows XP