Konfigurowanie obsługi transakcji niepodzielnych WS
W tym temacie opisano sposób konfigurowania obsługi WS-AtomicTransaction (WS-AT) przy użyciu narzędzia konfiguracji WS-AT.
Korzystanie z narzędzia konfiguracji WS-AT
Narzędzie konfiguracji WS-AT (wsatConfig.exe) służy do konfigurowania ustawień usługi WS-AT. Aby włączyć usługę protokołu WS-AT, należy użyć narzędzia konfiguracji, aby skonfigurować port HTTPS dla usługi WS-AT, powiązać certyfikat X.509 z portem HTTPS i skonfigurować autoryzowane certyfikaty partnera, określając nazwy podmiotów certyfikatu lub odciski palca. Narzędzie konfiguracji umożliwia również wybranie trybu śledzenia i ustawienie domyślnych wychodzących i maksymalnych limitów czasu transakcji przychodzących.
Dostęp do funkcji tego narzędzia można uzyskać za pomocą przystawki strony właściwości programu Microsoft Management Console (MMC) w konsoli zarządzania usług składnikami lub w oknie wiersza polecenia. Skonfiguruj obsługę usługi WS-AT na komputerze lokalnym za pomocą okna wiersza polecenia; skonfiguruj ustawienia zarówno na maszynach lokalnych, jak i zdalnych przy użyciu przystawki MMC.
Dostęp do okna wiersza polecenia można uzyskać w lokalizacji instalacji zestawu Windows SDK "%WINDIR%\Microsoft.NET\Framework\v3.0\Windows Communication Foundation".
Aby uzyskać więcej informacji na temat narzędzia wiersza polecenia, zobacz WS-AtomicTransaction Configuration Utility (wsatConfig.exe).
Jeśli korzystasz z systemu Windows XP lub Windows Server 2003, możesz uzyskać dostęp do przystawki MMC, przechodząc do pozycji Panel sterowania/Administracja istrative Tools/Component Services, klikając prawym przyciskiem myszy pozycję Mój komputer i wybierając polecenie Właściwości. Jest to ta sama lokalizacja, w której można skonfigurować koordynatora transakcji rozproszonych firmy Microsoft (MSDTC). Opcje dostępne dla konfiguracji są pogrupowane na karcie WS-AT . Jeśli korzystasz z systemu Windows Vista lub Windows Server 2008, przystawkę MMC można znaleźć, klikając przycisk Start i wprowadzając dcomcnfg.exe w polu Wyszukiwania . Po otwarciu konsoli MMC przejdź do węzła My Computer\Distributed Transaction Coordinator\Local DTC , kliknij prawym przyciskiem myszy i wybierz polecenie Właściwości. Opcje dostępne dla konfiguracji są pogrupowane na karcie WS-AT .
Aby uzyskać więcej informacji na temat przystawki, zobacz przystawkę MMC Konfiguracji WS-AtomicTransaction.
Aby włączyć interfejs użytkownika narzędzia, należy najpierw zarejestrować plik WsatUI.dll znajdujący się w następującej ścieżce
%PROGRAMFILES%\Microsoft SDKs\Windows\v6.0\Bin
Aby zarejestrować produkt, wykonaj następujące polecenie w oknie wiersza polecenia:
regasm.exe /codebase WsatUI.dll
Włączanie usługi WS-AT
Aby włączyć usługę protokołu WS-AT wewnątrz MSDTC przy użyciu portu 443 i certyfikatu X.509 z kluczem prywatnym zainstalowanym w magazynie maszyn lokalnych, użyj narzędzia wsatConfig.exe za pomocą następującego polecenia.
WsatConfig.exe –network:enable –port:8443 –endpointCert:<machine|"Issuer\SubjectName"> -accountsCerts:<thumbprint|"Issuer\SubjectName"> -restart
Zastąp odpowiednie parametry wartościami odpowiednimi dla danego środowiska.
Aby wyłączyć usługę protokołu WS-AT wewnątrz MSDTC, użyj narzędzia wsatConfig.exe za pomocą następującego polecenia.
WsatConfig.exe –network:disable -restart
Konfigurowanie zaufania między dwoma maszynami
Usługa protokołu WS-AT wymaga od administratora jawnego autoryzowania poszczególnych kont do udziału w transakcjach rozproszonych. Jeśli jesteś administratorem dwóch maszyn, możesz skonfigurować obie maszyny w celu ustanowienia relacji wzajemnego zaufania, wymieniając odpowiedni zestaw certyfikatów między maszynami, instalując je w odpowiednich magazynach certyfikatów i używając narzędzia wsatConfig.exe, aby dodać certyfikat każdego komputera do listy autoryzowanych certyfikatów uczestnika. Ten krok jest niezbędny do wykonania transakcji rozproszonych między dwoma maszynami przy użyciu usługi WS-AT.
W poniższym przykładzie przedstawiono kroki ustanawiania zaufania między dwoma maszynami A i B.
Tworzenie i eksportowanie certyfikatów
Ta procedura wymaga przystawki Certyfikaty MMC. Dostęp do przystawki można uzyskać, otwierając menu Start/Run, wpisując "mmc" w polu wejściowym i naciskając przycisk OK. Następnie w oknie Console1 przejdź do przystawki File/Add-Remove , kliknij przycisk Dodaj, a następnie wybierz pozycję Certyfikaty z listy Dostępne przystawki autonomiczne. Na koniec wybierz pozycję Konto komputera, aby zarządzać, a następnie kliknij przycisk OK. Węzeł Certyfikaty zostanie wyświetlony w konsoli przystawki.
Aby ustanowić zaufanie, musisz mieć już wymagane certyfikaty. Aby dowiedzieć się, jak tworzyć i instalować nowe certyfikaty przed wykonaniem poniższych kroków, zobacz Instrukcje: tworzenie i instalowanie tymczasowych certyfikatów klienta w programie WCF podczas programowania.
Na maszynie A przy użyciu przystawki Certyfikaty MMC zaimportuj istniejący certyfikat (certA) do węzła LocalMachine\MY (Węzeł osobisty) i LocalMachine\ROOT (zaufany główny węzeł urzędu certyfikacji). Aby zaimportować certyfikat do określonego węzła, kliknij prawym przyciskiem myszy węzeł i wybierz pozycję Wszystkie zadania/Importuj.
Na maszynie B za pomocą przystawki Certyfikaty MMC utwórz lub uzyskaj certyfikat certB z kluczem prywatnym i zaimportuj go do localMachine\MY (Węzeł osobisty) i LocalMachine\ROOT (zaufany główny urząd certyfikacji węzła).
Wyeksportuj klucz publiczny certyfikatu do pliku, jeśli jeszcze tego nie zrobiono.
Wyeksportuj klucz publiczny certyfikatu do pliku, jeśli jeszcze tego nie zrobiono.
Ustanawianie wzajemnego zaufania między maszynami
Na maszynie A zaimportuj reprezentację pliku certB do magazynów LocalMachine\MY i LocalMachine\ROOT. Spowoduje to zadeklarowanie, że maszyna A ufa certyfikatowi certB, aby się z nim komunikować.
Na maszynie B zaimportuj plik certA do magazynów LocalMachine\MY i LocalMachine\ROOT. Oznacza to, że maszyna B ufa certyfikatowi certA, aby się z nim komunikować.
Po wykonaniu tych kroków relacja zaufania zostanie ustanowiona między tymi dwoma maszynami i można je skonfigurować do komunikowania się ze sobą przy użyciu usługi WS-AT.
Konfigurowanie usługi MSDTC do używania certyfikatów
Ponieważ usługa protokołu WS-AT działa zarówno jako klient, jak i serwer, musi nasłuchiwać połączeń przychodzących i inicjować połączenia wychodzące. W związku z tym należy skonfigurować msdTC, aby wiedzieć, który certyfikat ma być używany podczas komunikacji z stronami zewnętrznymi, oraz certyfikaty do autoryzacji podczas akceptowania komunikacji przychodzącej.
Można to skonfigurować za pomocą przystawki MMC WS-AT. Aby uzyskać więcej informacji na temat tego narzędzia, zobacz temat WS-AtomicTransaction Configuration MMC Snap-in (Konfiguracja programu MMC konfiguracji programu WS-AtomicTransaction). W poniższych krokach opisano sposób ustanawiania zaufania między dwoma komputerami z systemem MSDTC.
Konfigurowanie ustawień maszyny A. W polu "Certyfikat punktu końcowego" wybierz pozycję certA. W polu "Autoryzowane certyfikaty" wybierz certyfikatB.
Konfigurowanie ustawień maszyny B. W polu "Certyfikat punktu końcowego" wybierz pozycję certB. W polu "Autoryzowane certyfikaty" wybierz certyfikatA.
Uwaga
Gdy jedna maszyna wysyła wiadomość na drugą maszynę, nadawca próbuje sprawdzić, czy nazwa podmiotu certyfikatu odbiorcy i nazwa komputera adresata jest zgodna. Jeśli nie są one zgodne, weryfikacja certyfikatu zakończy się niepowodzeniem, a obie maszyny nie będą mogły się komunikować.
W przypadku maszyny przyłączonej do domeny nazwa jest w pełni kwalifikowaną nazwą domeny. Domyślnie nazwa maszyny w grupie roboczej to nazwa NetBIOS maszyny. Jednak nazwa może również zawierać sufiks systemu nazw domen (DNS), jeśli istnieje dla połączenia używanego między dwoma maszynami.
Jeśli nazwa maszyny ulegnie zmianie, na przykład gdy maszyna grupy roboczej przyłącza się do domeny, należy ponownie skonfigurować certyfikaty lub ręcznie skonfigurować sufiksy DNS.
Zabezpieczenia
Ponieważ niektóre ustawienia związane z MSDTC i WS-AT są przechowywane w rejestrze w HKLM\Software\Microsoft\MSDTC i w HKLM\Software\Microsoft\WSAT, odpowiednio, upewnij się, że te klucze rejestru są zabezpieczone, aby tylko administratorzy mogli je zapisywać. W narzędziu Edytor rejestru kliknij prawym przyciskiem myszy klucz, który chcesz zabezpieczyć, i wybierz pozycję Uprawnienie , aby ustawić odpowiednią kontrolę dostępu. Kluczowe znaczenie ma bezpieczeństwo i integralność systemu, że ważne klucze są tylko do odczytu dla użytkowników z niskimi uprawnieniami.
Podczas wdrażania witryny MSDTC administrator musi upewnić się, że każda wymiana danych MSDTC jest bezpieczna. We wdrożeniu grupy roboczej izoluj infrastrukturę transakcyjną od złośliwych użytkowników; w ramach wdrożenia klastra zabezpiecz rejestr klastrów.
Śledzenie
Usługa protokołu WS-AT obsługuje zintegrowane śledzenie specyficzne dla transakcji, które można włączyć i zarządzać za pomocą narzędzia przystawki MMC konfiguracji WS-AtomicTransaction. Ślady mogą zawierać dane wskazujące czas rejestracji dla określonej transakcji, czas osiągnięcia stanu terminalu transakcji, wynik otrzymany przez każdą transakcję. Wszystkie ślady można wyświetlić przy użyciu narzędzia do przeglądania śladów usługi (SvcTraceViewer.exe).
Usługa protokołu WS-AT obsługuje również zintegrowane śledzenie modelu ServiceModel za pośrednictwem sesji śledzenia ETW. Zapewnia to bardziej szczegółowe ślady specyficzne dla komunikacji oprócz istniejących śladów transakcji. Aby włączyć te dodatkowe ślady, wykonaj następujące kroki
Otwórz menu Start/Run, wpisz "regedit" w polu wejściowym i wybierz przycisk OK.
W Edytorze rejestru przejdź do następującego folderu w okienku po lewej stronie, Hkey_Local_Machine\SOFTWARE\Microsoft\WSAT\3.0\
Kliknij prawym przyciskiem myszy
ServiceModelDiagnosticTracingwartość w okienku po prawej stronie i wybierz polecenie Modyfikuj.W polu Dane wejściowe wartości wprowadź jedną z następujących prawidłowych wartości, aby określić poziom śledzenia, który chcesz włączyć.
0: wyłączone
1: krytyczne
3: błąd. Jest to wartość domyślna
7: ostrzeżenie
15: informacje
31: pełne informacje