Delen via

WS-Atomic Transaction Support configureren

  • Artikel

In dit onderwerp wordt beschreven hoe u WS-AtomicTransaction -ondersteuning (WS-AT) kunt configureren met behulp van het WS-AT Configuration Utility.

Het hulpprogramma WS-AT-configuratie gebruiken

Het WS-AT Configuration Utility (wsatConfig.exe) wordt gebruikt om WS-AT-instellingen te configureren. Als u de WS-AT-protocolservice wilt inschakelen, moet u het configuratiehulpprogramma gebruiken om de HTTPS-poort voor WS-AT te configureren, een X.509-certificaat te binden aan de HTTPS-poort en geautoriseerde partnercertificaten te configureren door certificaatonderwerpnamen of vingerafdrukken op te geven. Met het configuratiehulpprogramma kunt u ook de traceringsmodus selecteren en standaard time-outs voor uitgaande en maximale binnenkomende transacties instellen.

U hebt toegang tot de functionaliteit van dit hulpprogramma met behulp van een mmc-eigenschappenpagina (Microsoft Management Console) in de beheerconsole van Component Services of vanuit een opdrachtregelvenster. WS-AT-ondersteuning configureren op de lokale computer via het opdrachtregelvenster; configureer instellingen op zowel lokale als externe machines met behulp van de MMC-module.

Het opdrachtregelvenster is toegankelijk op de Windows SDK-installatielocatie %WINDIR%\Microsoft.NET\Framework\v3.0\Windows Communication Foundation.

Zie WS-AtomicTransaction Configuration Utility (wsatConfig.exe) voor meer informatie over het opdrachtregelprogramma.

Als u Windows XP of Windows Server 2003 gebruikt, hebt u toegang tot de MMC-module door te navigeren naar Configuratiescherm/Beheer istrative Tools/Component Services, met de rechtermuisknop op Mijn computer te klikken en Eigenschappen te selecteren. Dit is dezelfde locatie waar u de Microsoft Distributed Transaction Coordinator (MSDTC) kunt configureren. Opties die beschikbaar zijn voor configuratie, worden gegroepeerd op het tabblad WS-AT. Als u Windows Vista of Windows Server 2008 gebruikt, kunt u de MMC-module vinden door op de knop Start te klikken en in het zoekvak in te voerendcomcnfg.exe. Wanneer de MMC is geopend, gaat u naar het knooppunt My Computer\Distributed Transaction Coordinator\Local DTC, klikt u met de rechtermuisknop en selecteert u Eigenschappen. Opties die beschikbaar zijn voor configuratie, worden gegroepeerd op het tabblad WS-AT .

Zie de MMC-module WS-AtomicTransaction-configuratie voor meer informatie over de module.

Als u de gebruikersinterface van het hulpprogramma wilt inschakelen, moet u eerst het WsatUI.dll-bestand registreren, dat zich op het volgende pad bevindt

%PROGRAMFILES%\Microsoft SDK's\Windows\v6.0\Bin

Als u het product wilt registreren, voert u de volgende opdracht uit vanuit een opdrachtpromptvenster:

regasm.exe /codebase WsatUI.dll

WS-AT inschakelen

Als u de WS-AT-protocolservice in MSDTC wilt inschakelen met behulp van poort 443 en een X.509-certificaat met een persoonlijke sleutel die is geïnstalleerd in het lokale computerarchief, gebruikt u het hulpprogramma wsatConfig.exe met de volgende opdracht.

WsatConfig.exe –network:enable –port:8443 –endpointCert:<machine|"Issuer\SubjectName"> -accountsCerts:<thumbprint|"Issuer\SubjectName"> -restart

Vervang de respectieve parameters door waarden die relevant zijn voor uw omgeving.

Als u de WS-AT-protocolservice in MSDTC wilt uitschakelen, gebruikt u het hulpprogramma wsatConfig.exe met de volgende opdracht.

WsatConfig.exe –network:disable -restart

Vertrouwensrelatie tussen twee computers configureren

Voor de WS-AT-protocolservice moet de beheerder expliciet afzonderlijke accounts machtigen om deel te nemen aan gedistribueerde transacties. Als u een beheerder van twee computers bent, kunt u beide machines configureren om een wederzijdse vertrouwensrelatie tot stand te brengen door de juiste set certificaten tussen de machines uit te wisselen, deze in de juiste certificaatarchieven te installeren en het hulpprogramma wsatConfig.exe te gebruiken om het certificaat van elke machine toe te voegen aan de lijst met geautoriseerde deelnemerscertificaten. Deze stap is nodig om gedistribueerde transacties tussen twee computers uit te voeren met WS-AT.

In het volgende voorbeeld worden de stappen beschreven voor het tot stand brengen van een vertrouwensrelatie tussen twee computers, A en B.

Certificaten maken en exporteren

Voor deze procedure is de module MMC-certificaten vereist. De module kan worden geopend door het menu Start/Uitvoeren te openen, 'mmc' in het invoervak te typen en op OK te drukken. Navigeer vervolgens in het console1-venster naar de module Bestand/Toevoegen verwijderen, klik op Toevoegen en kies Certificaten in de lijst Beschikbare zelfstandige modules. Selecteer ten slotte Computeraccount dat u wilt beheren en klik op OK. Het knooppunt Certificaten wordt weergegeven in de moduleconsole.

U moet al over de vereiste certificaten beschikken om een vertrouwensrelatie tot stand te brengen. Zie Voor meer informatie over het maken en installeren van nieuwe certificaten vóór de volgende stappen: Tijdelijke clientcertificaten maken en installeren in WCF tijdens de ontwikkeling.

  1. Importeer op computer A met behulp van de module MMC-certificaten het bestaande certificaat (certA) in localMachine\MY (persoonlijk knooppunt) en LocalMachine\ROOT-archief (knooppunt vertrouwde basiscertificeringsinstantie). Als u een certificaat naar een specifiek knooppunt wilt importeren, klikt u met de rechtermuisknop op het knooppunt en kiest u Alle taken/importeren.

  2. Maak of haal op computer B met behulp van de module MMC-certificaten een certificaatcertificaatB op met een persoonlijke sleutel en importeer deze in localMachine\MY (persoonlijk knooppunt) en LocalMachine\ROOT-archief (vertrouwd basiscertificeringsinstantieknooppunt).

  3. Exporteer de openbare sleutel van certA naar een bestand als dit nog niet is gebeurd.

  4. Exporteer de openbare sleutel van certB naar een bestand als dit nog niet is gebeurd.

Wederzijdse vertrouwen tussen machines tot stand brengen

  1. Importeer op computer A de bestandsweergave van certB in de stores LocalMachine\MY en LocalMachine\ROOT. Dit declareert dat machine A certificaatB vertrouwt om ermee te communiceren.

  2. Importeer op computer B het bestand van certA in de stores LocalMachine\MY en LocalMachine\ROOT. Dit impliceert dat machine B certificaatA vertrouwt om ermee te communiceren.

Nadat u deze stappen hebt voltooid, wordt er een vertrouwensrelatie tot stand gebracht tussen de twee machines en kunnen ze worden geconfigureerd om met elkaar te communiceren met behulp van WS-AT.

MSDTC configureren voor het gebruik van certificaten

Omdat de WS-AT-protocolservice fungeert als zowel een client als een server, moet deze zowel naar binnenkomende verbindingen luisteren als uitgaande verbindingen initiëren. Daarom moet u MSDTC zo configureren dat het weet welk certificaat moet worden gebruikt bij het communiceren met externe partijen en welke certificaten moeten worden geautoriseerd bij het accepteren van binnenkomende communicatie.

U kunt dit configureren met behulp van de MMC WS-AT-module. Zie het onderwerp WS-AtomicTransaction Configuration MMC-module voor meer informatie over dit hulpprogramma. In de volgende stappen wordt beschreven hoe u een vertrouwensrelatie tot stand brengt tussen twee computers met MSDTC.

  1. Configureer de instellingen van machine A. Selecteer certA voor 'Eindpuntcertificaat'. Selecteer het certificaatB voor 'Geautoriseerde certificaten'.

  2. Configureer de instellingen van machine B. Selecteer certB voor 'Eindpuntcertificaat'. Selecteer de certA voor 'Geautoriseerde certificaten'.

Notitie

Wanneer de ene computer een bericht naar de andere computer verzendt, probeert de afzender te controleren of de onderwerpnaam van het certificaat van de ontvanger en de naam van de computer van de geadresseerde overeenkomen. Als ze niet overeenkomen, mislukt de certificaatverificatie en kunnen de twee computers niet communiceren.

Voor een computer die is toegevoegd aan een domein, is de naam de volledig gekwalificeerde domeinnaam. De naam van een computer in een werkgroep is standaard de NetBIOS-naam van de computer. De naam kan echter ook een DNS-achtervoegsel (Domain Name System) bevatten als er een aanwezig is voor de verbinding die tussen de twee computers wordt gebruikt.

Als de naam van de computer wordt gewijzigd, bijvoorbeeld wanneer een werkgroepcomputer lid wordt van een domein, moet u certificaten opnieuw uitgeven of DNS-achtervoegsels handmatig configureren.

Beveiliging

Aangezien sommige instellingen met betrekking tot MSDTC en WS-AT zijn opgeslagen in het register op HKLM\Software\Microsoft\MSDTC en op HKLM\Software\Microsoft\WSAT, moet u ervoor zorgen dat deze registersleutels zijn beveiligd, zodat alleen beheerders er naar kunnen schrijven. Klik in het hulpprogramma Registereditor met de rechtermuisknop op de sleutel die u wilt beveiligen en selecteer Machtiging om het juiste toegangsbeheer in te stellen. Het is van cruciaal belang voor de beveiliging en integriteit van het systeem dat belangrijke sleutels alleen-lezen zijn voor gebruikers met beperkte bevoegdheden.

Bij het implementeren van MSDTC moet de beheerder ervoor zorgen dat alle MSDTC-gegevensuitwisseling veilig is. In een werkgroepimplementatie moet u de transactionele infrastructuur isoleren van kwaadwillende gebruikers; beveilig het clusterregister in een clusterimplementatie.

Tracering

De WS-AT-protocolservice ondersteunt geïntegreerde, transactiespecifieke tracering die kan worden ingeschakeld en beheerd met behulp van het MMC-modulehulpprogramma WS-AtomicTransaction-configuratie. Traceringen kunnen gegevens bevatten die aangeven hoe lang een insluiting wordt gemaakt voor een specifieke transactie, het tijdstip waarop een transactie de terminalstatus bereikt, het resultaat dat elke transactielijst heeft ontvangen. Alle traceringen kunnen worden weergegeven met behulp van het hulpprogramma Service Trace Viewer (SvcTraceViewer.exe).

De WS-AT-protocolservice ondersteunt ook geïntegreerde ServiceModel-tracering via de ETW-traceringssessie. Dit biedt gedetailleerdere, communicatiespecifieke traceringen naast de bestaande transactietraceringen. Volg deze stappen om deze extra traceringen in te schakelen

  1. Open het menu Start/Uitvoeren , typ 'regedit' in het invoervak en selecteer OK.

  2. Navigeer in de Register-editor naar de volgende map in het linkerdeelvenster, Hkey_Local_Machine\SOFTWARE\Microsoft\WSAT\3.0\

  3. Klik met de rechtermuisknop op de ServiceModelDiagnosticTracing waarde in het rechterdeelvenster en selecteer Wijzigen.

  4. Voer in het invoervak Waardegegevens een van de volgende geldige waarden in om het traceringsniveau op te geven dat u wilt inschakelen.

  • 0: uit

  • 1: kritiek

  • 3: fout. Dit is de standaardwaarde

  • 7: waarschuwing

  • 15: informatie

  • 31: uitgebreid

Zie ook