Udostępnij za pośrednictwem

Nowe funkcje w usłudze koordynatora transakcji rozproszonych w systemie Windows

W tym artykule opisano niektóre aktualizacje i zmiany związane z zabezpieczeniami systemu Windows oraz sposób ich wpływu na usługę Koordynator transakcji rozproszonych firmy Microsoft (MS DTC).

Oryginalna wersja produktu: Windows
Oryginalny numer KB: 899191

Podsumowanie

Od systemu Windows Server 2003 z dodatkiem Service Pack 1 (SP1) i Windows XP z dodatkiem Service Pack 2 (SP2) niektóre aktualizacje i zmiany związane z zabezpieczeniami zostały wprowadzone w systemie Windows i wpływają na usługę MS DTC.

Dostęp do tych zmian można uzyskać za pomocą zaktualizowanego okna dialogowego Konfiguracja zabezpieczeń, które jest dostępne w narzędziu administracyjnym usługi składników.

Te zmiany są wprowadzane do domyślnych ustawień zabezpieczeń, które powodują, że ruch DTC w trybie failover przez sieć. W takiej sytuacji może zostać wyświetlony co najmniej jeden komunikat o błędzie lub kody błędów.

Modyfikując ustawienia w oknie dialogowym Konfiguracja zabezpieczeń, możesz kontrolować sposób, w jaki usługa DTC komunikuje się z komputerami zdalnymi za pośrednictwem sieci.

W tym artykule opisano nowe funkcje w usłudze MS DTC w następujących systemach operacyjnych:

  • Windows Server 2003 z dodatkiem Service Pack 1 (SP1)
  • Windows XP z dodatkiem Service Pack 2 (SP2)
  • Windows Vista
  • Windows Server 2008
  • Windows 7
  • Windows Server 2008 R2
  • Windows 8
  • Windows Server 2012
  • Windows 8.1
  • Windows Server 2012 R2

Usługa DTC koordynuje transakcje aktualizujące co najmniej dwa zasoby chronione przez transakcje. Zasoby chronione przez transakcje obejmują bazy danych, kolejki komunikatów i systemy plików. Te zasoby chronione przez transakcje mogą znajdować się na jednym komputerze lub mogą być dystrybuowane między wieloma komputerami sieciowymi.

Zarządzanie komunikacją sieci za pomocą konfiguracji zabezpieczeń

W systemie Windows usługa DTC zapewnia większą kontrolę nad komunikacją sieciową między komputerami. Domyślnie cała komunikacja sieciowa jest wyłączona. Okno dialogowe Konfiguracja zabezpieczeń usługi DTC zostało ulepszone, aby można było zarządzać tymi ustawieniami komunikacji. Aby wyświetlić okno dialogowe Konfiguracja zabezpieczeń, wykonaj następujące kroki:

  1. Uruchom narzędzie administracyjne usługi składników. W tym celu wybierz pozycję Start, wybierz pozycję Uruchom, wpisz dcomcnfg.exe, a następnie wybierz przycisk OK.
  2. W drzewie konsoli narzędzia administracyjnego Usługi składowe rozwiń węzeł Usługi składowe, rozwiń węzeł Komputery, kliknij prawym przyciskiem myszy pozycję Mój komputer, a następnie wybierz polecenie Właściwości.
  3. Wybierz kartę MSDTC , a następnie wybierz pozycję Konfiguracja zabezpieczeń.

Nowe opcje w konfiguracji zabezpieczeń

Poniższe informacje opisują nowe opcje dostępne w oknie dialogowym Konfiguracja zabezpieczeń. Te informacje opisują również wpisy rejestru, których dotyczy nowe opcje w oknie dialogowym Konfiguracja zabezpieczeń.

Dostęp do sieci DTC

Pole wyboru Dostęp do sieci DTC umożliwia określenie, czy usługa DTC może uzyskać dostęp do sieci. Pole wyboru Dostęp do sieci DTC należy zaznaczyć razem z jednym z pozostałych pól wyboru w polu wyboru Dostęp do sieci DTC, aby włączyć transakcje usługi DTC sieci.

Pole wyboru Dostęp do sieci DTC ma wpływ na następujący wpis rejestru:

  • Ścieżka rejestru: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security
  • Nazwa wartości: NetworkDtcAccess
  • Typ wartości: REG_DWORD
  • Dane wartości: 0 (wartość domyślna)

Uwaga

W klastrze serwerów pole wyboru Dostęp do sieci DTC wpływa na wartość klucza rejestru klastra udostępnionego w kluczu rejestru zasobów USŁUGI MS DTC. Klucz rejestru udostępnionego klastra dla usługi MS DTC znajduje się w HKEY_LOCAL_MACHINE\Cluster\Resources\<MSDTC resource GUID> lokalizacji.

Domyślnie wartość NetworkDtcAccess wpisu rejestru jest ustawiona na 0. Wartość 0 wyłącza NetworkDtcAccess wpis rejestru. Aby włączyć NetworkDtcAccess wpis rejestru, ustaw tę wartość rejestru na 1.

Zezwalaj na ruch przychodzący

Pole wyboru Zezwalaj na ruch przychodzący umożliwia określenie, czy zezwalać na uruchamianie transakcji rozproszonej pochodzącej z komputera zdalnego na komputerze lokalnym. Domyślnie to ustawienie jest wyłączone. Aby włączyć to ustawienie, kliknij, aby zaznaczyć pole wyboru Dostęp do sieci DTC, aby ustawić następujący wpis rejestru na 1:

  • Ścieżka rejestru: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security
  • Nazwa wartości: NetworkDtcAccess
  • Typ wartości: REG_DWORD

Aby wyłączyć to ustawienie, kliknij, aby wyczyścić pole wyboru Dostęp do sieci DTC, aby ustawić ten wpis rejestru na 0.

Pole wyboru Zezwalaj na ruch przychodzący ma wpływ na oba następujące wpisy rejestru REG_DWORD w obszarze HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security:

  • NetworkDtcAccessTransactions
  • NetworkDtcAccessInbound

Zezwalaj na ruch wychodzący

Pole wyboru Zezwalaj na ruch wychodzący umożliwia określenie, czy zezwolić komputerowi lokalnemu na zainicjowanie transakcji i uruchomienie tej transakcji na komputerze zdalnym. Aby włączyć to ustawienie, zaznacz pole wyboru Dostęp do sieci DTC, aby ustawić następujący wpis rejestru na 1:

  • Ścieżka rejestru: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security
  • Nazwa wartości: NetworkDtcAccess
  • Typ wartości: REG_DWORD

Aby wyłączyć to ustawienie, wyczyść pole wyboru Dostęp do sieci DTC, aby ustawić ten wpis rejestru na wartość 0.

Pole wyboru Zezwalaj na ruch wychodzący ma wpływ na oba następujące wpisy rejestru REG_DWORD w obszarze HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security:

  • NetworkDtcAccessTransactions
  • NetworkDtcAccessOutbound

Wymagane wzajemne uwierzytelnianie

Opcja Wymagane wzajemne uwierzytelnianie dodaje obsługę wzajemnego uwierzytelniania w systemie Windows. Wymagane wzajemne uwierzytelnianie ustawia największy tryb zabezpieczeń, który jest obecnie dostępny dla komunikacji sieciowej. Zalecamy ten tryb transakcji dla komputerów klienckich z systemem Windows XP z dodatkiem SP2 wraz z komputerami z systemem Windows Server 2003 z dodatkiem SP1.

Wymagane wzajemne uwierzytelnianie ma wpływ na następujące wpisy rejestru w obszarze HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC:

  • Klucz rejestru 1

    • Nazwa wartości: AllowOnlySecureRpcCalls
    • Typ wartości: REG_DWORD
    • Dane wartości: 1

  • Klucz rejestru 2

    • Nazwa wartości: FallbackToUnsecureRPCIfNecessary
    • Typ wartości: REG_DWORD
    • Dane wartości: 0

  • Klucz rejestru 3

    • Nazwa wartości: TurnOffRpcSecurity
    • Typ wartości: REG_DWORD
    • Dane wartości: 0

Funkcjonalność ustawiona przy użyciu wymaganego wzajemnego uwierzytelniania różni się od funkcjonalności ustawionej przy użyciu wymaganego uwierzytelniania przychodzącego wywołującego. Trzy opcje wymienione w obszarze Komunikacja menedżera transakcji zachowują się w następujący sposób:

  • Wymagany tryb transakcji uwierzytelniania wzajemnego wymaga składnika dostępu zdalnego w celu zapewnienia uwierzytelnionego połączenia z komputerem lokalnym. To uwierzytelnianie jest weryfikowane przez personifikację na komputerze lokalnym. Ponadto, jeśli komunikacja dostępu zdalnego jest wykonywana między dwiema usługami DTC, te informacje uwierzytelniania muszą określać konto komputera zgodne z nazwą hosta komputera w trybie transakcji zdalnej.

  • Wymagany tryb transakcji uwierzytelniania przychodzącego wywołującego wymaga uwierzytelnienia tylko połączenia zdalnego. Ponadto jeśli składnik dostępu zdalnego jest usługą DTC, informacje o uwierzytelnianiu muszą być przeznaczone dla konta komputera.

  • Tryb transakcji Bez wymaganego uwierzytelniania nie weryfikuje uwierzytelnionego połączenia lub sprawdza, czy jest ustanawiane uwierzytelnione połączenie.

W środowisku klastra konto komputera dla usługi DTC określa nazwę hosta węzła klastra. W środowisku klastra uwierzytelnianie DTC nie używa nazwy hosta trybu transakcji. W środowisku klastra nazwa hosta trybu transakcji jest nazwą usługi wirtualnej. W związku z tym nie można użyć trybu transakcji Wymagane wzajemne uwierzytelnianie w środowisku klastra ani na komputerach, które negocjują transakcje z takimi komputerami. Można użyć trybu transakcji Wymagane uwierzytelnianie wzajemne między dwoma nieklastrowanych komputerów z systemem Windows Server 2003 z dodatkiem SP1 lub między dwoma komputerami z systemem Windows XP z dodatkiem SP2.

Użyj trybu transakcji Wymagane uwierzytelnianie przychodzące wywołujące między komputerami z systemem Windows Server 2003 w środowisku klastra.

Użyj trybu transakcji Bez wymaganego uwierzytelniania, w którym spełniony jest co najmniej jeden z następujących warunków:

  • Dostęp sieciowy jest między komputerami z systemem Microsoft Windows 2000.
  • Dostęp sieciowy znajduje się między dwiema domenami, które nie mają skonfigurowanego wzajemnego zaufania.
  • Dostęp sieciowy jest między komputerami, które są członkami grupy roboczej.

Wymagane jest uwierzytelnianie przychodzącego wywołującego

Wymagane uwierzytelnianie przychodzącego wywołującego wymaga lokalnej usługi DTC komunikowania się z zdalną usługą DTC przy użyciu tylko zaszyfrowanych komunikatów. Tylko połączenie przychodzące zostanie uwierzytelnione. Ta funkcja obsługuje tylko system Windows Server 2003 z dodatkiem SP1, Windows XP z dodatkiem SP2 i nowsze wersje systemu Windows. W związku z tym włącz tę opcję tylko wtedy, gdy zdalna usługa DTC jest uruchomiona na komputerze z systemem Windows Server 2003 z dodatkiem SP1, Windows XP z dodatkiem SP2 lub nowszą wersją systemu Windows.

Wymagane uwierzytelnianie przychodzącego wywołującego wpływa na następujące wpisy rejestru w obszarze HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC:

  • Klucz rejestru 1

    • Nazwa wartości: AllowOnlySecureRpcCalls
    • Typ wartości: REG_DWORD
    • Dane wartości: 0

  • Klucz rejestru 2

    • Nazwa wartości: FallbackToUnsecureRPCIfNecessary
    • Typ wartości: REG_DWORD
    • Dane wartości: 1

  • Klucz rejestru 3

    • Nazwa wartości: TurnOffRpcSecurity
    • Typ wartości: REG_DWORD
    • Dane wartości: 0

Aby uzyskać więcej informacji na temat wymaganego uwierzytelniania przychodzącego wywołującego, zobacz sekcję Wymagane wzajemne uwierzytelnianie.

Brak wymaganego uwierzytelniania

Brak wymaganego uwierzytelniania umożliwia zgodność systemu operacyjnego między wcześniejszymi wersjami systemu operacyjnego Windows. Po włączeniu tej opcji komunikacja sieciowa między usługami DTC może wrócić do nieuwierzytelnionej komunikacji lub komunikacji niezaszyfrowanej, jeśli nie można ustanowić bezpiecznego kanału komunikacyjnego.

Uwaga

Zalecamy użycie tego ustawienia, jeśli zdalna usługa DTC jest uruchomiona na komputerze z systemem Microsoft Windows 2000 lub na komputerze z systemem Windows XP w wersji starszej niż Windows XP z dodatkiem SP2.

Można również użyć opcji Brak uwierzytelniania wymaganego do rozwiązania sytuacji, w której usługi DTC są uruchomione na komputerach, które znajdują się w domenach, które nie mają ustanowionej relacji zaufania. Ponadto można użyć opcji Brak uwierzytelniania wymaganego do rozwiązania sytuacji, w której usługi DTC są uruchomione na komputerach będących członkami grupy roboczej.

Brak wymaganego uwierzytelniania ma wpływ na następujące wpisy rejestru w obszarze HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC:

  • Klucz rejestru 1

    • Nazwa wartości: AllowOnlySecureRpcCalls
    • Typ wartości: REG_DWORD
    • Dane wartości: 0

  • Klucz rejestru 2

    • Nazwa wartości: FallbackToUnsecureRPCIfNecessary
    • Typ wartości: REG_DWORD
    • Dane wartości: 0

  • Klucz rejestru 3

    • Nazwa wartości: TurnOffRpcSecurity
    • Typ wartości: REG_DWORD
    • Dane wartości: 1

Uwaga

W klastrze serwerów te wpisy rejestru znajdują się w udostępnionym rejestrze klastrów.

Znaczenie nowych opcji

Nowe opcje dostępne w oknie dialogowym Konfiguracja zabezpieczeń umożliwiają stosowanie ustawień zabezpieczeń do komunikacji wychodzącej lub przychodzącej. Domyślnie po zainstalowaniu systemu Windows komputer nie akceptuje ruchu sieciowego. W związku z tym komputer jest mniej narażony na dostęp do sieci przez złośliwego użytkownika. Ponadto protokoły wysyłane przez sieć są aktualizowane w celu zapewnienia bezpieczniejszego szyfrowania i wzajemnie uwierzytelnionego trybu komunikacji. Pomaga to zmniejszyć prawdopodobieństwo, że złośliwy użytkownik może przechwycić i przejąć komunikację między usługami DTC.

Zmiany komunikacji sieciowej w systemie Windows

Komunikacja sieciowa wychodząca z usługi DTC lub przychodząca do usługi DTC jest wyłączona. Jeśli na przykład obiekt COM+ próbuje zaktualizować bazę danych programu Microsoft SQL Server znajdującą się na komputerze zdalnym przy użyciu transakcji DTC, ta transakcja nie powiedzie się. Z drugiej strony, jeśli komputer hostuje bazę danych programu SQL Server, która składniki z komputera zdalnego spróbuje uzyskać dostęp przy użyciu transakcji DTC, ta transakcja nie powiedzie się.

Następujące problemy są związane z usługą DTC:

Transakcje kończą się niepowodzeniem z powodu problemów z łącznością sieciową

Ważne

W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonać poniższe kroki. Aby zapewnić dodatkową ochronę, utwórz kopię zapasową rejestru przed przystąpieniem do jego modyfikacji. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat sposobu tworzenia kopii zapasowych, przywracania i modyfikowania rejestru, zobacz artykuł Tworzenie kopii zapasowych i przywracanie rejestru systemu Microsoft Windows.

Jeśli transakcje DTC zakończą się niepowodzeniem z powodu problemów z łącznością sieciową, kliknij, aby zaznaczyć następujące pola wyboru w oknie dialogowym Konfiguracja zabezpieczeń:

  • Kliknij, aby zaznaczyć pole wyboru Dostęp do sieci DTC.

  • Kliknij, aby zaznaczyć jedno lub obie z następujących pól wyboru w obszarze Komunikacja menedżera transakcji w zależności od wymagań:

    • Zezwalaj na ruch przychodzący
    • Zezwalaj na ruch wychodzący

Jeśli chcesz programowo zmienić te ustawienia w ramach systemu Windows, możesz bezpośrednio zmodyfikować ustawienia rejestru, które odpowiadają ustawieniu ustawień. Po zmodyfikowaniu ustawień rejestru należy ponownie uruchomić usługę DTC.

Zalecamy, aby nie modyfikować rejestru ręcznie, aby zmienić te ustawienia. Jeśli ręcznie zmodyfikujesz te ustawienia rejestru, mogą wystąpić problemy z usługą klastra w klastrach serwerów opartych na systemie Windows Server 2003 z dodatkiem SP1.

Zapora systemu Windows blokuje ruch DTC

Ważne

Te kroki mogą zwiększyć ryzyko bezpieczeństwa. Te kroki mogą również spowodować, że komputer lub sieć będą bardziej narażone na ataki złośliwych użytkowników lub złośliwego oprogramowania, takiego jak wirusy. Zalecamy proces opisany w tym artykule, aby umożliwić programom działanie w miarę projektowania lub implementowania określonych możliwości programu. Przed wprowadzeniem tych zmian zalecamy ocenę ryzyka związanego z wdrożeniem tego procesu w danym środowisku. Jeśli zdecydujesz się wdrożyć ten proces, wykonaj odpowiednie dodatkowe kroki, aby ułatwić ochronę systemu. Zalecamy użycie tego procesu tylko wtedy, gdy ten proces jest naprawdę wymagany.

Jeśli używasz Zapory systemu Windows, musisz dodać usługę DTC do listy wyjątków w ustawieniach Zapory systemu Windows. Aby to zrobić, wykonaj następujące kroki:

  1. Wybierz pozycję Start, wybierz pozycję Uruchom, wpisz firewall.cpl, a następnie wybierz przycisk OK.
  2. W oknie dialogowym Zapora systemu Windows wybierz kartę Wyjątki, a następnie wybierz pozycję Dodaj program.
  3. Wybierz pozycję Przeglądaj, znajdź, a następnie wybierz pozycję C:\Windows\System32\msdtc.exe, a następnie wybierz pozycję Otwórz.
  4. Wybierz przycisk OK, zaznacz pole wyboru msdtc.exe na liście Programy i usługi , jeśli to pole wyboru nie zostało jeszcze zaznaczone, a następnie wybierz przycisk OK.

Ustawienia, które zostały zmienione lub dodane

W poniższej tabeli opisano wpisy rejestru, które zostały zmienione od systemu Windows XP z dodatkiem SP2 z wcześniejszych wersji systemu Windows.

Nazwa wpisu Lokalizacja Poprzednia wartość domyślna Wartość domyślna systemu Windows XP z dodatkiem SP2 Możliwe wartości
NetworkDtcAccess HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security 1 0 0 lub 1
NetworkDtcAccessTransactions KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security 1 0 0 lub 1
NetworkDtcAccessInbound HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security Nie dotyczy 0 0 lub 1
NetworkDtcAccessOutbound HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security Nie dotyczy 0 0 lub 1
AllowOnlySecureRpcCalls HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC Nie dotyczy 1 0 lub 1
FallbackToUnsecureRPCIfNecessary HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC Nie dotyczy 0 0 lub 1
TurnOffRpcSecurity HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC Nie dotyczy 0 0 lub 1

Uwaga

Te zmiany są wyświetlane w rejestrze klastra udostępnionego w klastrze serwerów opartym na systemie Windows Server 2003 z dodatkiem SP1.

Kody błędów skojarzone ze zmianami usługi DTC

Podczas uruchamiania transakcji DTC między komputerami może zostać wyświetlony jeden z następujących kodów błędów:

  • Kod błędu 1

    MessageId: XACT_E_NETWORK_TX_DISABLED
    Tekst komunikatu:
    Menedżer transakcji wyłączył obsługę transakcji zdalnych/sieciowych.
    #define XACT_E_NETWORK_TX_DISABLED HRESULT_TYPEDEF(0x8004D024L)

  • Kod błędu 2

    MessageId: XACT_E_PARTNER_NETWORK_TX_DISABLED
    Tekst komunikatu:
    Menedżer transakcji partnera wyłączył obsługę transakcji zdalnych/sieciowych.
    #define XACT_E_PARTNER_NETWORK_TX_DISABLED HRESULT_TYPEDEF(0x8004D025L)

Dotyczy

  • Windows Server 2012 R2
  • Windows 8.1
  • Windows 8
  • Windows 7
  • Windows Vista
  • Windows Server 2008
  • Windows Server 2003
  • Windows XP