Compartilhar via

Nova funcionalidade no serviço Coordenador de Transações Distribuídas no Windows

Este artigo descreve algumas atualizações e alterações relacionadas à segurança do Windows e como elas afetam o serviço MS DTC (Coordenador de Transações Distribuídas da Microsoft).

Versão original do produto: Windows
Número original do KB: 899191

Resumo

Desde o Windows Server 2003 Service Pack 1 (SP1) e o Windows XP Service Pack 2 (SP2), algumas atualizações e alterações relacionadas à segurança foram introduzidas no Windows e afetam o serviço MS DTC.

Essas alterações podem ser acessadas usando a caixa de diálogo Configuração de Segurança atualizada que está disponível na ferramenta administrativa dos Serviços de Componentes.

Essas alterações são feitas nas configurações de segurança padrão que fazem com que o tráfego DTC faça failover pela rede. Nessa situação, você pode receber uma ou mais mensagens de erro ou códigos de erro.

Modificando as configurações na caixa de diálogo Configuração de Segurança, você pode ajudar a controlar como o serviço DTC se comunica com computadores remotos pela rede.

Este artigo descreve a nova funcionalidade no serviço MS DTC nos seguintes sistemas operacionais:

  • Windows Server 2003 Service Pack 1 (SP1)
  • Windows XP Service Pack 2 (SP2)
  • Windows Vista
  • Windows Server 2008
  • Windows 7
  • Windows Server 2008 R2
  • Windows 8
  • Windows Server 2012
  • Windows 8.1
  • Windows Server 2012 R2

O serviço DTC coordena transações que atualizam dois ou mais recursos protegidos por transação. Os recursos protegidos por transação incluem bancos de dados, filas de mensagens e sistemas de arquivos. Esses recursos protegidos por transações podem estar localizados em um único computador ou podem ser distribuídos entre vários computadores em rede.

Gerenciar a comunicação de rede usando a Configuração de Segurança

No Windows, o serviço DTC oferece mais controle sobre a comunicação de rede entre computadores. Por padrão, toda a comunicação de rede está desabilitada. A caixa de diálogo Configuração de segurança do DTC foi aprimorada para que você possa gerenciar essas configurações de comunicação. Para exibir a caixa de diálogo Configuração de segurança, siga estas etapas:

  1. Inicie a ferramenta administrativa dos Serviços de Componentes. Para fazer isso, selecione Iniciar, selecione Executar, digite dcomcnfg.exe e selecione OK.
  2. Na árvore de console da ferramenta administrativa dos Serviços de Componentes, expanda Serviços de Componentes, expanda Computadores, clique com o botão direito do mouse em Meu Computador e selecione Propriedades.
  3. Selecione a guia MSDTC e, em seguida, selecione Configuração de Segurança.

Novas opções na configuração de segurança

As informações a seguir descrevem as novas opções disponíveis na caixa de diálogo Configuração de segurança. Essas informações também descrevem as entradas do Registro que são afetadas pelas novas opções na caixa de diálogo Configuração de Segurança.

Acesso DTC de rede

A caixa de seleção Acesso DTC à rede permite determinar se o serviço DTC pode acessar a rede. A caixa de seleção Acesso DTC de Rede deve ser marcada junto com uma das outras caixas de seleção na caixa de seleção Acesso DTC de Rede para habilitar transações DTC de rede.

A caixa de seleção Acesso DTC de Rede afeta a seguinte entrada do Registro:

  • Caminho do Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security
  • Nome do valor: NetworkDtcAccess
  • Tipo de valor: REG_DWORD
  • Dados do valor: 0 (padrão)

Observação

Em um cluster de servidor, a caixa de seleção Acesso ao DTC de Rede afeta um valor na chave do Registro de cluster compartilhado na chave do Registro de recursos do MS DTC. A chave do Registro do cluster compartilhado para MS DTC está localizada no HKEY_LOCAL_MACHINE\Cluster\Resources\<MSDTC resource GUID> local.

Por padrão, o valor da NetworkDtcAccess entrada do Registro é definido como 0. Um valor de 0 desativa a entrada do NetworkDtcAccess Registro. Para ativar a entrada do NetworkDtcAccess Registro, defina esse valor do Registro como 1.

Permitir entrada

A caixa de seleção Permitir Entrada permite determinar se uma transação distribuída originada de um computador remoto deve ser executada no computador local. Por padrão, essa configuração fica desativada. Para habilitar essa configuração, clique para marcar a caixa de seleção Acesso DTC à Rede para definir a seguinte entrada do Registro como 1:

  • Caminho do Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security
  • Nome do valor: NetworkDtcAccess
  • Tipo de valor: REG_DWORD

Para desabilitar essa configuração, clique para desmarcar a caixa de seleção Acesso DTC à Rede para definir essa entrada do Registro como 0.

A caixa de seleção Permitir entrada afeta as duas entradas de registro REG_DWORD seguintes em HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security:

  • NetworkDtcAccessTransactions
  • NetworkDtcAccessInbound

Permitir saída

A caixa de seleção Permitir Saída permite determinar se o computador local deve permitir que o computador local inicie uma transação e execute essa transação em um computador remoto. Para habilitar essa configuração, marque a caixa de seleção Acesso DTC à Rede para definir a seguinte entrada do Registro como 1:

  • Caminho do Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security
  • Nome do valor: NetworkDtcAccess
  • Tipo de valor: REG_DWORD

Para desabilitar essa configuração, desmarque a caixa de seleção Acesso DTC à Rede para definir essa entrada do Registro como 0.

A caixa de seleção Permitir saída afeta as seguintes entradas REG_DWORD registro em HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security:

  • NetworkDtcAccessTransactions
  • NetworkDtcAccessOutbound

Autenticação mútua necessária

A opção Autenticação Mútua Necessária adiciona suporte para autenticação mútua no Windows. Autenticação mútua necessária define o maior modo de segurança atualmente disponível para comunicação de rede. Recomendamos esse modo de transação para computadores cliente que executam o Windows XP SP2 junto com computadores servidores que executam o Windows Server 2003 SP1.

A autenticação mútua necessária afeta as seguintes entradas do Registro em HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC:

  • Chave do Registro 1

    • Nome do valor: AllowOnlySecureRpcCalls
    • Tipo de valor: REG_DWORD
    • Dados do valor: 1

  • Chave de registro 2

    • Nome do valor: FallbackToUnsecureRPCIfNecessary
    • Tipo de valor: REG_DWORD
    • Dados do valor: 0

  • Chave do Registro 3

    • Nome do valor: TurnOffRpcSecurity
    • Tipo de valor: REG_DWORD
    • Dados do valor: 0

A funcionalidade definida usando a Autenticação Mútua Necessária difere da funcionalidade definida usando a Autenticação do Chamador de Entrada Necessária. As três opções listadas em Comunicação do Gerenciador de Transações se comportam da seguinte maneira:

  • O modo de transação Autenticação Mútua Necessária requer que o componente de acesso remoto forneça uma conexão autenticada com o computador local. Essa autenticação é verificada por representação no computador local. Além disso, se a comunicação de acesso remoto for executada entre dois serviços DTC, essas informações de autenticação deverão especificar uma conta de computador que corresponda ao nome do host do computador no modo de transação remota.

  • O modo de transação Autenticação de Chamada de Entrada Necessária requer apenas que a conexão remota seja autenticada. Além disso, se o componente de acesso remoto for um serviço DTC, as informações de autenticação deverão ser para uma conta de computador.

  • O modo de transação Sem Autenticação Necessária não valida uma conexão autenticada nem verifica se uma conexão autenticada está sendo estabelecida.

Em um ambiente clusterizado, a conta de computador do serviço DTC especifica o nome do host do nó de cluster. Em um ambiente clusterizado, a autenticação DTC não usa o nome do host do modo de transação. Em um ambiente clusterizado, o nome do host do modo de transação é o nome do serviço virtual. Portanto, você não pode usar o modo de transação Autenticação Mútua Necessária em um ambiente clusterizado ou em qualquer computador que esteja negociando transações com esses computadores. Você pode usar o modo de transação Autenticação Mútua Necessária entre dois computadores não clusterizados que executam o Windows Server 2003 SP1 ou entre dois computadores que executam o Windows XP SP2.

Use o modo de transação Autenticação de Chamador de Entrada Necessária entre computadores baseados no Windows Server 2003 em um ambiente clusterizado.

Use o modo de transação Sem Autenticação Necessária em que uma ou mais das seguintes condições são verdadeiras:

  • O acesso à rede é entre computadores que executam o Microsoft Windows 2000.
  • O acesso à rede é entre dois domínios que não têm uma confiança mútua configurada.
  • O acesso à rede é entre computadores que são membros de um grupo de trabalho.

Autenticação de chamada de entrada necessária

A autenticação do chamador de entrada necessária requer que o serviço DTC local se comunique com um serviço DTC remoto usando apenas mensagens criptografadas. Somente a conexão de entrada será autenticada. Somente o Windows Server 2003 SP1, o Windows XP SP2 e a versão posterior do Windows oferecem suporte a esse recurso. Portanto, habilite essa opção somente se o serviço DTC remoto estiver em execução em um computador que esteja executando o Windows Server 2003 SP1, Windows XP SP2 ou versão posterior do Windows.

A autenticação do chamador de entrada necessária afeta as seguintes entradas do Registro em HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC:

  • Chave do Registro 1

    • Nome do valor: AllowOnlySecureRpcCalls
    • Tipo de valor: REG_DWORD
    • Dados do valor: 0

  • Chave de registro 2

    • Nome do valor: FallbackToUnsecureRPCIfNecessary
    • Tipo de valor: REG_DWORD
    • Dados do valor: 1

  • Chave do Registro 3

    • Nome do valor: TurnOffRpcSecurity
    • Tipo de valor: REG_DWORD
    • Dados do valor: 0

Para obter mais informações sobre a Autenticação de Chamadas de Entrada Necessária, consulte a seção Autenticação Mútua Necessária .

Nenhuma autenticação necessária

Nenhuma autenticação necessária permite a compatibilidade do sistema operacional entre versões anteriores do sistema operacional Windows. Quando essa opção está habilitada, a comunicação de rede entre os serviços DTC pode voltar para comunicação não autenticada ou para comunicação não criptografada se um canal de comunicação seguro não puder ser estabelecido.

Observação

Recomendamos que você use essa configuração se o serviço DTC remoto estiver sendo executado em um computador que esteja executando o Microsoft Windows 2000 ou em um computador que esteja executando uma versão do Windows XP anterior ao Windows XP SP2.

Você também pode usar Nenhuma Autenticação Necessária para resolver uma situação em que os serviços DTC estão sendo executados em computadores que estão em domínios que não têm uma relação de confiança estabelecida. Além disso, você pode usar Nenhuma Autenticação Necessária para resolver uma situação em que os serviços DTC estão sendo executados em computadores que são membros de um grupo de trabalho.

Nenhuma autenticação necessária afeta as seguintes entradas do Registro em HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC:

  • Chave do Registro 1

    • Nome do valor: AllowOnlySecureRpcCalls
    • Tipo de valor: REG_DWORD
    • Dados do valor: 0

  • Chave de registro 2

    • Nome do valor: FallbackToUnsecureRPCIfNecessary
    • Tipo de valor: REG_DWORD
    • Dados do valor: 0

  • Chave do Registro 3

    • Nome do valor: TurnOffRpcSecurity
    • Tipo de valor: REG_DWORD
    • Dados do valor: 1

Observação

Em um cluster de servidor, essas entradas do Registro estão localizadas no Registro do Cluster Compartilhado.

Importância das novas opções

As novas opções disponíveis na caixa de diálogo Configuração de Segurança permitem aplicar configurações de segurança às comunicações de rede de saída ou de entrada. Por padrão, depois de instalar o Windows, o computador não aceita tráfego de rede. Portanto, o computador é menos vulnerável ao acesso à rede por um usuário mal-intencionado. Além disso, os protocolos enviados pela rede são atualizados para oferecer suporte a um modo de comunicação criptografado e mutuamente autenticado com mais segurança. Isso ajuda a reduzir a chance de um usuário mal-intencionado interceptar e assumir as comunicações entre os serviços DTC.

Alterações de comunicação de rede no Windows

A comunicação de rede que sai do serviço DTC ou entra no serviço DTC está desabilitada. Por exemplo, se um objeto COM+ tentar atualizar um banco de dados do Microsoft SQL Server localizado em um computador remoto usando uma transação DTC, essa transação não será bem-sucedida. Por outro lado, se o computador hospedar um banco de dados SQL Server que os componentes de um computador remoto tentem acessar usando uma transação DTC, essa transação não será bem-sucedida.

Os seguintes problemas estão relacionados ao serviço DTC:

As transações falham devido a problemas de conectividade de rede

Importante

Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, certifique-se de seguir essas etapas com atenção. Para proteção acrescida, faça backup do Registro antes de modificá-lo. Em, é possível restaurar o Registro caso ocorra um problema. Para obter mais informações sobre como fazer backup e restaurar o Registro, consulte Como fazer backup e restaurar o Registro no Windows.

Se as transações DTC falharem devido a problemas de conectividade de rede, clique para marcar as seguintes caixas de seleção na caixa de diálogo Configuração de segurança:

  • Clique para marcar a caixa de seleção Acesso DTC à rede.

  • Clique para marcar uma ou ambas as caixas de seleção a seguir em Comunicação do Gerenciador de Transações, dependendo de seus requisitos:

    • Permitir entrada
    • Permitir saída

Se você quiser alterar programaticamente essas configurações como parte de um Windows, poderá modificar diretamente as configurações do Registro que correspondem às configurações que deseja definir. Depois de modificar as configurações do Registro, você deve reiniciar o serviço DTC.

Recomendamos que você não modifique manualmente o registro para alterar essas configurações. Se você modificar manualmente essas configurações do Registro, poderá ter problemas com o serviço de cluster em clusters de servidores baseados no Windows Server 2003 SP1.

O Firewall do Windows bloqueia o tráfego DTC

Importante

Essas etapas podem aumentar o risco de segurança. Essas etapas também podem tornar o computador ou a rede mais vulneráveis a ataques de usuários mal-intencionados ou de software mal-intencionado, como vírus. Recomendamos o processo descrito neste artigo para permitir que os programas operem como foram projetados ou para implementar recursos específicos do programa. Antes de fazer essas alterações, recomendamos que você avalie os riscos associados à implementação desse processo em seu ambiente específico. Se você decidir implementar esse processo, execute as etapas adicionais apropriadas para ajudar a proteger o sistema. Recomendamos que você use esse processo somente se realmente precisar dele.

Se você usar o Firewall do Windows, deverá adicionar o serviço DTC à lista de exceções nas configurações do Firewall do Windows. Para fazer isso, execute estas etapas:

  1. Selecione Iniciar, selecione Executar, digite firewall.cpl e selecione OK.
  2. Na caixa de diálogo Firewall do Windows, selecione a guia Exceções e, em seguida, selecione Adicionar Programa.
  3. Selecione Procurar, localize e selecione C:\Windows\System32\msdtc.exee, em seguida, selecione Abrir.
  4. Selecione OK, marque a caixa de seleção msdtc.exe na lista Programas e Serviços se essa caixa de seleção ainda não estiver marcada e selecione OK.

Configurações que são alteradas ou adicionadas

A tabela a seguir descreve as entradas do Registro que são alteradas desde o Windows XP SP2 de versões anteriores do Windows.

Nome da entrada Location Valor padrão anterior Valor padrão do Windows XP SP2 Valores possíveis
NetworkDtcAccess HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security 1 0 0 ou 1
NetworkDtcAccessTransactions KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security 1 0 0 ou 1
NetworkDtcAccessInbound HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security Não aplicável 0 0 ou 1
NetworkDtcAccessOutbound HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Security Não aplicável 0 0 ou 1
AllowOnlySecureRpcCalls HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC Não aplicável 1 0 ou 1
FallbackToUnsecureRPCIfNecessary HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC Não aplicável 0 0 ou 1
TurnOffRpcSegurança HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC Não aplicável 0 0 ou 1

Observação

Essas alterações aparecem no registro de cluster compartilhado em um cluster de servidor baseado no Windows Server 2003 SP1.

Códigos de erro associados às alterações do serviço DTC

Você pode receber um dos seguintes códigos de erro ao executar transações DTC entre computadores:

  • Código de erro 1

    MessageId: XACT_E_NETWORK_TX_DISABLED
    MessageText:
    O gerenciador de transações desativou seu suporte para transações remotas/de rede.
    #define XACT_E_NETWORK_TX_DISABLED HRESULT_TYPEDEF(0x8004D024L)

  • Código de erro 2

    MessageId: XACT_E_PARTNER_NETWORK_TX_DISABLED
    MessageText:
    O gerenciador de transações do parceiro desabilitou seu suporte para transações remotas/de rede.
    #define XACT_E_PARTNER_NETWORK_TX_DISABLED HRESULT_TYPEDEF(0x8004D025L)

Aplicável ao

  • Windows Server 2012 R2
  • Windows 8.1
  • Windows 8
  • Windows 7
  • Windows Vista
  • Windows Server 2008
  • Windows Server 2003
  • Windows XP