A WS-Atomic Transaction támogatásának konfigurálása
Ez a témakör azt ismerteti, hogyan konfigurálhatja a WS-AtomicTransaction (WS-AT) támogatását a WS-AT Configuration Segédprogram használatával.
A WS-AT konfigurációs segédprogram használata
A WS-AT konfigurációs segédprogram (wsatConfig.exe) a WS-AT beállításainak konfigurálására szolgál. A WS-AT protokollszolgáltatás engedélyezéséhez a konfigurációs segédprogrammal konfigurálnia kell a WS-AT HTTPS-portját, egy X.509-tanúsítványt kell kötnie a HTTPS-porthoz, és a tanúsítvány tulajdonosneveinek vagy ujjlenyomatainak megadásával konfigurálnia kell az engedélyezett partnertanúsítványokat. A konfigurációs segédprogram lehetővé teszi a nyomkövetési mód kiválasztását, valamint az alapértelmezett kimenő és maximális bejövő tranzakciós időtúllépések beállítását is.
Az eszköz funkcióit a Microsoft Management Console (MMC) tulajdonságlapjának beépülő moduljával érheti el a Component Services felügyeleti konzolján, vagy egy parancssori ablakban. Konfigurálja a WS-AT-támogatást a helyi gépen a parancssori ablakban; az MMC beépülő modullal konfigurálhatja a helyi és a távoli gépek beállításait.
A parancssori ablak a Következő Windows SDK telepítési helyén érhető el: "%WINDIR%\Microsoft.NET\Framework\v3.0\Windows Communication Foundation".
A parancssori eszközről további információt a WS-AtomicTransaction Configuration Utility (wsatConfig.exe) című cikkben talál.
Ha Windows XP vagy Windows Server 2003 rendszert futtat, az MMC beépülő modult úgy érheti el, hogy navigál a Vezérlőpult/Rendszergazda istrative Tools/Component Services eszközre, kattintson a jobb gombbal a Saját gép elemre, és válassza a Tulajdonságok lehetőséget. Ez ugyanaz a hely, ahol konfigurálhatja a Microsoft Distributed Transaction Coordinatort (MSDTC). A konfigurációhoz elérhető beállítások a WS-AT lapon vannak csoportosítva. Ha Windows Vista vagy Windows Server 2008 rendszert futtat, az MMC beépülő modul a Start gombra kattintva és a Keresőmezőbe való dcomcnfg.exe
beírással érhető el. Az MMC megnyitásakor lépjen a Saját számítógép\Elosztott tranzakció koordinátora\Helyi DTC csomópontra, kattintson a jobb gombbal, és válassza a Tulajdonságok lehetőséget. A konfigurációhoz elérhető beállítások a WS-AT lapon vannak csoportosítva.
A beépülő modulról további információt a WS-AtomicTransaction Configuration MMC beépülő modulban talál.
Az eszköz felhasználói felületének engedélyezéséhez először regisztrálnia kell a WsatUI.dll fájlt, amely az alábbi elérési úton található
%PROGRAMFILES%\Microsoft SDKs\Windows\v6.0\Bin
A termék regisztrálásához hajtsa végre a következő parancsot egy parancssori ablakból:
regasm.exe /codebase WsatUI.dll
WS-AT engedélyezése
Ha engedélyezni szeretné a WS-AT protokollszolgáltatást az MSDTC-ben a 443-es port és egy X.509-tanúsítvány használatával a helyi géptárolóban telepített titkos kulccsal, használja a wsatConfig.exe eszközt a következő paranccsal.
WsatConfig.exe –network:enable –port:8443 –endpointCert:<machine|"Issuer\SubjectName"> -accountsCerts:<thumbprint|"Issuer\SubjectName"> -restart
Cserélje le a megfelelő paramétereket a környezet szempontjából releváns értékekkel.
A WS-AT protokollszolgáltatás MSDTC-n belüli letiltásához használja a wsatConfig.exe eszközt az alábbi paranccsal.
WsatConfig.exe –network:disable -restart
Megbízhatóság konfigurálása két gép között
A WS-AT protokollszolgáltatás megköveteli a rendszergazdától, hogy explicit módon engedélyezze az egyes fiókokat az elosztott tranzakciókban való részvételre. Ha két gép rendszergazdája, mindkét gépet konfigurálhatja kölcsönös megbízhatósági kapcsolat létesítésére a megfelelő tanúsítványkészlet cseréjével a gépek között, a megfelelő tanúsítványtárolókba való telepítéssel, valamint az wsatConfig.exe eszközzel hozzáadhatja az egyes gépek tanúsítványait a másik jogosult résztvevő tanúsítványainak listájához. Ez a lépés a WS-AT használatával két gép közötti elosztott tranzakciók végrehajtásához szükséges.
Az alábbi példában a két gép, az A és a B közötti megbízhatóság létrehozásának lépéseit ismerteti.
Tanúsítványok létrehozása és exportálása
Ehhez az eljáráshoz az MMC-tanúsítványok beépülő modul szükséges. A beépülő modul a Start/Futtatás menü megnyitásával, az "mmc" beviteli mezőbe való beírásával és az OK billentyű lenyomásával érhető el. Ezután a Konzol1 ablakban keresse meg a Fájl/Bővítmény eltávolítása beépülő modult, kattintson a Hozzáadás gombra, és válassza a Tanúsítványok lehetőséget az Elérhető önálló beépülő modulok listából. Végül válassza a kezelni kívánt számítógépfiókot, és kattintson az OK gombra. A Tanúsítványcsomópont megjelenik a beépülő modul konzolján.
A megbízhatóság létrehozásához már rendelkeznie kell a szükséges tanúsítványokkal. Ha meg szeretné tudni, hogyan hozhat létre és telepíthet új tanúsítványokat a következő lépések előtt, olvassa el az Ideiglenes ügyféltanúsítványok létrehozása és telepítése a WCF-ben a fejlesztés során című témakört.
Az A gépen az MMC-tanúsítványok beépülő modul használatával importálja a meglévő tanúsítványt (certA) a LocalMachine\MY (személyes csomópont) és a LocalMachine\ROOT tárolóba (megbízható legfelső szintű hitelesítésszolgáltatói csomópont). Ha egy tanúsítványt egy adott csomópontba szeretne importálni, kattintson a jobb gombbal a csomópontra, és válassza a Minden feladat/Importálás lehetőséget.
A B gépen az MMC-tanúsítványok beépülő modullal hozzon létre vagy szerezzen be egy tanúsítvány-tanúsítványt titkos kulccsal, és importálja a LocalMachine\MY (személyes csomópont) és a LocalMachine\ROOT tárolóba (megbízható legfelső szintű hitelesítésszolgáltató csomópont).
Exportálja a certA nyilvános kulcsát egy fájlba, ha ez még nem történt meg.
Ha ez még nem történt meg, exportálja a certB nyilvános kulcsát egy fájlba.
A gépek közötti kölcsönös bizalom kialakítása
Az A gépen importálja a certB fájlábrázolását a LocalMachine\MY és a LocalMachine\ROOT tárolóba. Ez deklarálja, hogy az A gép megbízik a certB-ben, hogy kommunikáljon vele.
A B gépen importálja a certA fájlját a LocalMachine\MY és a LocalMachine\ROOT tárolóba. Ez azt jelenti, hogy a B gép megbízik a certA-ben, hogy kommunikáljon vele.
A lépések elvégzése után megbízhatóság jön létre a két gép között, és konfigurálhatók úgy, hogy a WS-AT használatával kommunikáljanak egymással.
Az MSDTC konfigurálása tanúsítványok használatára
Mivel a WS-AT protokollszolgáltatás ügyfélként és kiszolgálóként is működik, mindkettőnek figyelnie kell a bejövő kapcsolatokat, és kimenő kapcsolatokat kell kezdeményeznie. Ezért konfigurálnia kell az MSDTC-t, hogy tudja, melyik tanúsítványt használja a külső felekkel való kommunikáció során, és hogy mely tanúsítványokat engedélyezze a bejövő kommunikáció elfogadásakor.
Ezt az MMC WS-AT beépülő modullal konfigurálhatja. Az eszközről további információt a WS-AtomicTransaction Configuration MMC beépülő modul témakörében talál. Az alábbi lépések bemutatják, hogyan lehet megbízhatóságot létesíteni két MSDTC-t futtató számítógép között.
Konfigurálja az A gép beállításait. A "Végponttanúsítvány" mezőben válassza a certA lehetőséget. Az "Engedélyezett tanúsítványok" beállításnál válassza ki a tanúsítványt.
Konfigurálja a B gép beállításait. A "Végponttanúsítvány" mezőben válassza a certB lehetőséget. Az "Engedélyezett tanúsítványok" beállításnál válassza ki a tanúsítványt.
Feljegyzés
Amikor az egyik gép üzenetet küld a másik gépnek, a feladó megpróbálja ellenőrizni, hogy a címzett tanúsítványának tulajdonosának neve és a címzett gépének neve megegyezik-e. Ha nem egyeznek, a tanúsítvány ellenőrzése meghiúsul, és a két gép nem tud kommunikálni.
Tartományhoz csatlakoztatott gépek esetén a név a teljes tartománynév. Alapértelmezés szerint a munkacsoportban lévő gép neve a gép NetBIOS-neve. A név tartalmazhat azonban egy DNS-utótagot is, ha a két gép közötti kapcsolathoz van jelen.
Ha a gép neve megváltozik, például amikor egy munkacsoport-gép csatlakozik egy tartományhoz, újból ki kell adnia a tanúsítványokat, vagy manuálisan kell konfigurálnia a DNS-utótagokat.
Biztonság
Mivel az MSDTC-hez és a WS-AT-hez kapcsolódó beállítások némelyike a HKLM\Software\Microsoft\MSDTC, illetve a HKLM\Software\Microsoft\WSAT beállításjegyzékben van tárolva, győződjön meg arról, hogy ezek a beállításkulcsok biztonságosak, így csak a rendszergazdák írhatnak hozzájuk. A Beállításszerkesztő eszközben kattintson a jobb gombbal a biztonságossá tenni kívánt kulcsra, és válassza az Engedély lehetőséget a megfelelő hozzáférés-vezérlés beállításához. A rendszer biztonsága és integritása szempontjából kulcsfontosságú, hogy a fontos kulcsok írásvédettek legyenek az alacsony jogosultságú felhasználók számára.
Az MSDTC telepítésekor a rendszergazdának biztosítania kell, hogy az MSDTC adatcseréi biztonságosak legyenek. Munkacsoport-környezetben elkülönítse a tranzakciós infrastruktúrát a rosszindulatú felhasználóktól; fürttelepítésben biztonságossá teheti a fürtregisztrációs adatbázist.
Nyomkövetés
A WS-AT protokollszolgáltatás támogatja az integrált, tranzakcióspecifikus nyomkövetést, amely a WS-AtomicTransaction Configuration MMC beépülő modul eszközzel engedélyezhető és felügyelhető. A nyomkövetések tartalmazhatnak olyan adatokat, amelyek azt jelzik, hogy egy adott tranzakcióhoz mikor kerül sor a beléptetésre, hogy a tranzakció mikor éri el a terminálállapotát, és hogy az egyes tranzakciók milyen eredményt kaptak. Minden nyomkövetés megtekinthető a Service Trace Viewer Tool (SvcTraceViewer.exe) eszközzel.
A WS-AT protokollszolgáltatás az integrált ServiceModel-nyomkövetést is támogatja az ETW nyomkövetési munkameneten keresztül. Ez a meglévő tranzakciókövetéseken kívül részletesebb, kommunikációspecifikus nyomkövetéseket is biztosít. A további nyomkövetések engedélyezéséhez kövesse az alábbi lépéseket
Nyissa meg a Start/Futtatás menüt, írja be a "regedit" kifejezést a beviteli mezőbe, és válassza az OK gombot.
A Beállításszerkesztőben keresse meg a következő mappát a bal oldali panelen, Hkey_Local_Machine\SOFTWARE\Microsoft\WSAT\3.0\
Kattintson a jobb gombbal az
ServiceModelDiagnosticTracing
értékre a jobb oldali panelen, és válassza a Módosítás lehetőséget.Az Érték adatbeviteli mezőben adja meg az alábbi érvényes értékek egyikét az engedélyezni kívánt nyomkövetési szint megadásához.
0: kikapcsolva
1: kritikus
3: hiba. Ez az alapértelmezett érték
7: figyelmeztetés
15: információ
31: részletes