Megosztás a következőn keresztül:

A WS-Atomic Transaction támogatásának konfigurálása

  • Cikk

Ez a témakör azt ismerteti, hogyan konfigurálhatja a WS-AtomicTransaction (WS-AT) támogatását a WS-AT Configuration Segédprogram használatával.

A WS-AT konfigurációs segédprogram használata

A WS-AT konfigurációs segédprogram (wsatConfig.exe) a WS-AT beállításainak konfigurálására szolgál. A WS-AT protokollszolgáltatás engedélyezéséhez a konfigurációs segédprogrammal konfigurálnia kell a WS-AT HTTPS-portját, egy X.509-tanúsítványt kell kötnie a HTTPS-porthoz, és a tanúsítvány tulajdonosneveinek vagy ujjlenyomatainak megadásával konfigurálnia kell az engedélyezett partnertanúsítványokat. A konfigurációs segédprogram lehetővé teszi a nyomkövetési mód kiválasztását, valamint az alapértelmezett kimenő és maximális bejövő tranzakciós időtúllépések beállítását is.

Az eszköz funkcióit a Microsoft Management Console (MMC) tulajdonságlapjának beépülő moduljával érheti el a Component Services felügyeleti konzolján, vagy egy parancssori ablakban. Konfigurálja a WS-AT-támogatást a helyi gépen a parancssori ablakban; az MMC beépülő modullal konfigurálhatja a helyi és a távoli gépek beállításait.

A parancssori ablak a Következő Windows SDK telepítési helyén érhető el: "%WINDIR%\Microsoft.NET\Framework\v3.0\Windows Communication Foundation".

A parancssori eszközről további információt a WS-AtomicTransaction Configuration Utility (wsatConfig.exe) című cikkben talál.

Ha Windows XP vagy Windows Server 2003 rendszert futtat, az MMC beépülő modult úgy érheti el, hogy navigál a Vezérlőpult/Rendszergazda istrative Tools/Component Services eszközre, kattintson a jobb gombbal a Saját gép elemre, és válassza a Tulajdonságok lehetőséget. Ez ugyanaz a hely, ahol konfigurálhatja a Microsoft Distributed Transaction Coordinatort (MSDTC). A konfigurációhoz elérhető beállítások a WS-AT lapon vannak csoportosítva. Ha Windows Vista vagy Windows Server 2008 rendszert futtat, az MMC beépülő modul a Start gombra kattintva és a Keresőmezőbe való dcomcnfg.exe beírással érhető el. Az MMC megnyitásakor lépjen a Saját számítógép\Elosztott tranzakció koordinátora\Helyi DTC csomópontra, kattintson a jobb gombbal, és válassza a Tulajdonságok lehetőséget. A konfigurációhoz elérhető beállítások a WS-AT lapon vannak csoportosítva.

A beépülő modulról további információt a WS-AtomicTransaction Configuration MMC beépülő modulban talál.

Az eszköz felhasználói felületének engedélyezéséhez először regisztrálnia kell a WsatUI.dll fájlt, amely az alábbi elérési úton található

%PROGRAMFILES%\Microsoft SDKs\Windows\v6.0\Bin

A termék regisztrálásához hajtsa végre a következő parancsot egy parancssori ablakból:

regasm.exe /codebase WsatUI.dll

WS-AT engedélyezése

Ha engedélyezni szeretné a WS-AT protokollszolgáltatást az MSDTC-ben a 443-es port és egy X.509-tanúsítvány használatával a helyi géptárolóban telepített titkos kulccsal, használja a wsatConfig.exe eszközt a következő paranccsal.

WsatConfig.exe –network:enable –port:8443 –endpointCert:<machine|"Issuer\SubjectName"> -accountsCerts:<thumbprint|"Issuer\SubjectName"> -restart

Cserélje le a megfelelő paramétereket a környezet szempontjából releváns értékekkel.

A WS-AT protokollszolgáltatás MSDTC-n belüli letiltásához használja a wsatConfig.exe eszközt az alábbi paranccsal.

WsatConfig.exe –network:disable -restart

Megbízhatóság konfigurálása két gép között

A WS-AT protokollszolgáltatás megköveteli a rendszergazdától, hogy explicit módon engedélyezze az egyes fiókokat az elosztott tranzakciókban való részvételre. Ha két gép rendszergazdája, mindkét gépet konfigurálhatja kölcsönös megbízhatósági kapcsolat létesítésére a megfelelő tanúsítványkészlet cseréjével a gépek között, a megfelelő tanúsítványtárolókba való telepítéssel, valamint az wsatConfig.exe eszközzel hozzáadhatja az egyes gépek tanúsítványait a másik jogosult résztvevő tanúsítványainak listájához. Ez a lépés a WS-AT használatával két gép közötti elosztott tranzakciók végrehajtásához szükséges.

Az alábbi példában a két gép, az A és a B közötti megbízhatóság létrehozásának lépéseit ismerteti.

Tanúsítványok létrehozása és exportálása

Ehhez az eljáráshoz az MMC-tanúsítványok beépülő modul szükséges. A beépülő modul a Start/Futtatás menü megnyitásával, az "mmc" beviteli mezőbe való beírásával és az OK billentyű lenyomásával érhető el. Ezután a Konzol1 ablakban keresse meg a Fájl/Bővítmény eltávolítása beépülő modult, kattintson a Hozzáadás gombra, és válassza a Tanúsítványok lehetőséget az Elérhető önálló beépülő modulok listából. Végül válassza a kezelni kívánt számítógépfiókot, és kattintson az OK gombra. A Tanúsítványcsomópont megjelenik a beépülő modul konzolján.

A megbízhatóság létrehozásához már rendelkeznie kell a szükséges tanúsítványokkal. Ha meg szeretné tudni, hogyan hozhat létre és telepíthet új tanúsítványokat a következő lépések előtt, olvassa el az Ideiglenes ügyféltanúsítványok létrehozása és telepítése a WCF-ben a fejlesztés során című témakört.

  1. Az A gépen az MMC-tanúsítványok beépülő modul használatával importálja a meglévő tanúsítványt (certA) a LocalMachine\MY (személyes csomópont) és a LocalMachine\ROOT tárolóba (megbízható legfelső szintű hitelesítésszolgáltatói csomópont). Ha egy tanúsítványt egy adott csomópontba szeretne importálni, kattintson a jobb gombbal a csomópontra, és válassza a Minden feladat/Importálás lehetőséget.

  2. A B gépen az MMC-tanúsítványok beépülő modullal hozzon létre vagy szerezzen be egy tanúsítvány-tanúsítványt titkos kulccsal, és importálja a LocalMachine\MY (személyes csomópont) és a LocalMachine\ROOT tárolóba (megbízható legfelső szintű hitelesítésszolgáltató csomópont).

  3. Exportálja a certA nyilvános kulcsát egy fájlba, ha ez még nem történt meg.

  4. Ha ez még nem történt meg, exportálja a certB nyilvános kulcsát egy fájlba.

A gépek közötti kölcsönös bizalom kialakítása

  1. Az A gépen importálja a certB fájlábrázolását a LocalMachine\MY és a LocalMachine\ROOT tárolóba. Ez deklarálja, hogy az A gép megbízik a certB-ben, hogy kommunikáljon vele.

  2. A B gépen importálja a certA fájlját a LocalMachine\MY és a LocalMachine\ROOT tárolóba. Ez azt jelenti, hogy a B gép megbízik a certA-ben, hogy kommunikáljon vele.

A lépések elvégzése után megbízhatóság jön létre a két gép között, és konfigurálhatók úgy, hogy a WS-AT használatával kommunikáljanak egymással.

Az MSDTC konfigurálása tanúsítványok használatára

Mivel a WS-AT protokollszolgáltatás ügyfélként és kiszolgálóként is működik, mindkettőnek figyelnie kell a bejövő kapcsolatokat, és kimenő kapcsolatokat kell kezdeményeznie. Ezért konfigurálnia kell az MSDTC-t, hogy tudja, melyik tanúsítványt használja a külső felekkel való kommunikáció során, és hogy mely tanúsítványokat engedélyezze a bejövő kommunikáció elfogadásakor.

Ezt az MMC WS-AT beépülő modullal konfigurálhatja. Az eszközről további információt a WS-AtomicTransaction Configuration MMC beépülő modul témakörében talál. Az alábbi lépések bemutatják, hogyan lehet megbízhatóságot létesíteni két MSDTC-t futtató számítógép között.

  1. Konfigurálja az A gép beállításait. A "Végponttanúsítvány" mezőben válassza a certA lehetőséget. Az "Engedélyezett tanúsítványok" beállításnál válassza ki a tanúsítványt.

  2. Konfigurálja a B gép beállításait. A "Végponttanúsítvány" mezőben válassza a certB lehetőséget. Az "Engedélyezett tanúsítványok" beállításnál válassza ki a tanúsítványt.

Feljegyzés

Amikor az egyik gép üzenetet küld a másik gépnek, a feladó megpróbálja ellenőrizni, hogy a címzett tanúsítványának tulajdonosának neve és a címzett gépének neve megegyezik-e. Ha nem egyeznek, a tanúsítvány ellenőrzése meghiúsul, és a két gép nem tud kommunikálni.

Tartományhoz csatlakoztatott gépek esetén a név a teljes tartománynév. Alapértelmezés szerint a munkacsoportban lévő gép neve a gép NetBIOS-neve. A név tartalmazhat azonban egy DNS-utótagot is, ha a két gép közötti kapcsolathoz van jelen.

Ha a gép neve megváltozik, például amikor egy munkacsoport-gép csatlakozik egy tartományhoz, újból ki kell adnia a tanúsítványokat, vagy manuálisan kell konfigurálnia a DNS-utótagokat.

Biztonság

Mivel az MSDTC-hez és a WS-AT-hez kapcsolódó beállítások némelyike a HKLM\Software\Microsoft\MSDTC, illetve a HKLM\Software\Microsoft\WSAT beállításjegyzékben van tárolva, győződjön meg arról, hogy ezek a beállításkulcsok biztonságosak, így csak a rendszergazdák írhatnak hozzájuk. A Beállításszerkesztő eszközben kattintson a jobb gombbal a biztonságossá tenni kívánt kulcsra, és válassza az Engedély lehetőséget a megfelelő hozzáférés-vezérlés beállításához. A rendszer biztonsága és integritása szempontjából kulcsfontosságú, hogy a fontos kulcsok írásvédettek legyenek az alacsony jogosultságú felhasználók számára.

Az MSDTC telepítésekor a rendszergazdának biztosítania kell, hogy az MSDTC adatcseréi biztonságosak legyenek. Munkacsoport-környezetben elkülönítse a tranzakciós infrastruktúrát a rosszindulatú felhasználóktól; fürttelepítésben biztonságossá teheti a fürtregisztrációs adatbázist.

Nyomkövetés

A WS-AT protokollszolgáltatás támogatja az integrált, tranzakcióspecifikus nyomkövetést, amely a WS-AtomicTransaction Configuration MMC beépülő modul eszközzel engedélyezhető és felügyelhető. A nyomkövetések tartalmazhatnak olyan adatokat, amelyek azt jelzik, hogy egy adott tranzakcióhoz mikor kerül sor a beléptetésre, hogy a tranzakció mikor éri el a terminálállapotát, és hogy az egyes tranzakciók milyen eredményt kaptak. Minden nyomkövetés megtekinthető a Service Trace Viewer Tool (SvcTraceViewer.exe) eszközzel.

A WS-AT protokollszolgáltatás az integrált ServiceModel-nyomkövetést is támogatja az ETW nyomkövetési munkameneten keresztül. Ez a meglévő tranzakciókövetéseken kívül részletesebb, kommunikációspecifikus nyomkövetéseket is biztosít. A további nyomkövetések engedélyezéséhez kövesse az alábbi lépéseket

  1. Nyissa meg a Start/Futtatás menüt, írja be a "regedit" kifejezést a beviteli mezőbe, és válassza az OK gombot.

  2. A Beállításszerkesztőben keresse meg a következő mappát a bal oldali panelen, Hkey_Local_Machine\SOFTWARE\Microsoft\WSAT\3.0\

  3. Kattintson a jobb gombbal az ServiceModelDiagnosticTracing értékre a jobb oldali panelen, és válassza a Módosítás lehetőséget.

  4. Az Érték adatbeviteli mezőben adja meg az alábbi érvényes értékek egyikét az engedélyezni kívánt nyomkövetési szint megadásához.

  • 0: kikapcsolva

  • 1: kritikus

  • 3: hiba. Ez az alapértelmezett érték

  • 7: figyelmeztetés

  • 15: információ

  • 31: részletes

Lásd még