Konfigurera stöd för WS-Atomic-transaktioner

Det här avsnittet beskriver hur du kan konfigurera WS-AtomicTransaction-stöd (WS-AT) med hjälp av WS-AT-konfigurationsverktyget.

Använda WS-AT-konfigurationsverktyget

WS-AT-konfigurationsverktyget (wsatConfig.exe) används för att konfigurera WS-AT-inställningar. För att aktivera WS-AT-protokolltjänsten måste du använda konfigurationsverktyget för att konfigurera HTTPS-porten för WS-AT, binda ett X.509-certifikat till HTTPS-porten och konfigurera auktoriserade partnercertifikat genom att ange certifikatmottagarens namn eller tumavtryck. Med konfigurationsverktyget kan du också välja spårningsläget och ange standardutgående och maximala tidsgränser för inkommande transaktioner.

Du kan komma åt det här verktygets funktioner med hjälp av en snapin-modul för microsoft management console (MMC) i hanteringskonsolen för Komponenttjänster eller från ett kommandoradsfönster. Konfigurera WS-AT-stöd på den lokala datorn via kommandoradsfönstret. konfigurera inställningar på både lokala datorer och fjärrdatorer med hjälp av MMC-snapin-modulen.

Kommandoradsfönstret kan nås på Windows SDK-installationsplatsen %WINDIR%\Microsoft.NET\Framework\v3.0\Windows Communication Foundation.

Mer information om kommandoradsverktyget finns i WS-AtomicTransaction Configuration Utility (wsatConfig.exe).

Om du kör Windows XP eller Windows Server 2003 kan du komma åt MMC-snapin-modulen genom att gå till Kontrollpanelen/Administrationsverktyg/Komponenttjänster, högerklicka på Min dator och välja Egenskaper. Det här är samma plats där du kan konfigurera Microsoft Distributed Transaction Coordinator (MSDTC). Tillgängliga alternativ för konfiguration grupperas under fliken WS-AT. Om du kör Windows Vista eller Windows Server 2008 kan du hitta MMC-snapin-modulen genom att klicka på startknappen och ange dcomcnfg.exe i sökrutan. När MMC öppnas går du till noden Min dator\Distribuerad transaktionskoordinator\Lokal DTC , högerklickar och väljer Egenskaper. Tillgängliga alternativ för konfiguration grupperas under fliken WS-AT .

Mer information om snapin-modulen finns i MMC-snapin-modulen WS-AtomicTransaction Configuration.

Om du vill aktivera verktygets användargränssnitt måste du först registrera WsatUI.dll-filen som finns på följande sökväg

%PROGRAMFILES%\Microsoft SDK:er\Windows\v6.0\Bin

Om du vill registrera produkten kör du följande kommando från ett kommandotolkfönster:

regasm.exe /codebase WsatUI.dll

Aktivera WS-AT

Om du vill aktivera WS-AT-protokolltjänsten i MSDTC med hjälp av port 443 och ett X.509-certifikat med en privat nyckel som har installerats i det lokala datorarkivet använder du verktyget wsatConfig.exe med följande kommando.

WsatConfig.exe –network:enable –port:8443 –endpointCert:<machine|"Issuer\SubjectName"> -accountsCerts:<thumbprint|"Issuer\SubjectName"> -restart

Ersätt respektive parametrar med värden som är relevanta för din miljö.

Om du vill inaktivera WS-AT-protokolltjänsten i MSDTC använder du verktyget wsatConfig.exe med följande kommando.

WsatConfig.exe –network:disable -restart

Konfigurera förtroende mellan två datorer

WS-AT-protokolltjänsten kräver att administratören uttryckligen tillåter enskilda konton att delta i distribuerade transaktioner. Om du är administratör för två datorer kan du konfigurera båda datorerna för att upprätta en ömsesidig förtroenderelation genom att utbyta rätt uppsättning certifikat mellan datorerna, installera dem i lämpliga certifikatarkiv och använda verktyget wsatConfig.exe för att lägga till varje dators certifikat i den andras lista över auktoriserade deltagarcertifikat. Det här steget är nödvändigt för att utföra distribuerade transaktioner mellan två datorer med hjälp av WS-AT.

I följande exempel beskrivs stegen för att upprätta förtroende mellan två datorer, A och B.

Skapa och exportera certifikat

Den här proceduren kräver snapin-modulen MMC-certifikat. Snapin-modulen kan nås genom att öppna start-/kör-menyn, skriva "mmc" i inmatningsrutan och trycka på OK. I fönstret Console1 navigerar du sedan till snapin-modulen Arkiv/Lägg till-ta bort, klickar på Lägg till och väljer Certifikat i listan Tillgängliga fristående snapins. Välj slutligen Datorkonto för att hantera och klicka på OK. Noden Certifikat visas i snapin-konsolen.

Du måste redan ha de certifikat som krävs för att upprätta förtroende. Information om hur du skapar och installerar nya certifikat före följande steg finns i Så här skapar och installerar du tillfälliga klientcertifikat i WCF under utveckling.

1. På dator A importerar du det befintliga certifikatet (certA) med hjälp av snapin-modulen MMC-certifikat till LocalMachine\MY (personlig nod) och LocalMachine\ROOT-arkivet (betrodd rotcertifikatutfärdarnod). Om du vill importera ett certifikat till en specifik nod högerklickar du på noden och väljer Alla uppgifter/import.

2. På dator B använder du snapin-modulen MMC-certifikat, skapar eller hämtar ett certifikatcertifikat med en privat nyckel och importerar det till LocalMachine\MY (Personlig nod) och LocalMachine\ROOT-arkivet (betrodd rotcertifikatutfärdarnod).

3. Exportera certifikatutfärdarcertifikatets offentliga nyckel till en fil om detta inte redan har gjorts.

4. Exportera certB:s offentliga nyckel till en fil om detta inte redan har gjorts.

Upprätta ömsesidigt förtroende mellan datorer

1. På dator A importerar du filrepresentationen av certB till LocalMachine\MY- och LocalMachine\ROOT-arkiven. Detta deklarerar att datorn A litar på att certifikatet ska kommunicera med den.

2. På dator B importerar du certA-filen till LocalMachine\MY- och LocalMachine\ROOT-arkiven. Detta innebär att dator B litar på att certifikatetA kommunicerar med den.

När du har slutfört de här stegen upprättas förtroende mellan de två datorerna och de kan konfigureras för att kommunicera med varandra med hjälp av WS-AT.

Konfigurera MSDTC för att använda certifikat

Eftersom WS-AT-protokolltjänsten fungerar både som klient och server måste den både lyssna efter inkommande anslutningar och initiera utgående anslutningar. Därför måste du konfigurera MSDTC så att det vet vilket certifikat som ska användas när du kommunicerar med externa parter och vilka certifikat som ska auktoriseras när inkommande kommunikation godkänns.

Du kan konfigurera detta med hjälp av MMC WS-AT-snapin-modulen. Mer information om det här verktyget finns i snapin-modulen WS-AtomicTransaction Configuration MMC. Följande steg beskriver hur du upprättar förtroende mellan två datorer som kör MSDTC.

1. Konfigurera inställningarna för dator A. För "Slutpunktscertifikat" väljer du certA. För "Auktoriserade certifikat" väljer du certifikatet.

2. Konfigurera inställningarna för dator B. För "Slutpunktscertifikat" väljer du certB. För "Auktoriserade certifikat" väljer du certifikatutfärdare.

Kommentar

När en dator skickar ett meddelande till den andra datorn försöker avsändaren kontrollera att ämnesnamnet för mottagarens certifikat och namnet på mottagarens dator matchar. Om de inte matchar misslyckas certifikatverifieringen och de två datorerna kan inte kommunicera.

För en dator som är ansluten till en domän är namnet det fullständigt kvalificerade domännamnet. Som standard är namnet på en dator i en arbetsgrupp datorns NetBIOS-namn. Namnet kan dock även innehålla ett DNS-suffix (Domain Name System) om det finns ett för anslutningen som används mellan de två datorerna.

Om namnet på datorn ändras, till exempel när en arbetsgruppsdator ansluter till en domän, måste du återutfärda certifikat eller manuellt konfigurera DNS-suffix.

Säkerhet

Eftersom vissa av inställningarna som rör MSDTC och WS-AT lagras i registret på HKLM\Software\Microsoft\MSDTC respektive HKLM\Software\Microsoft\WSAT kontrollerar du att registernycklarna är skyddade så att endast administratörer kan skriva till dem. I verktyget Registereditorn högerklickar du på den nyckel som du vill skydda och väljer Behörighet för att ange rätt åtkomstkontroll. Det är viktigt för systemets säkerhet och integritet att viktiga nycklar är skrivskyddade för lågprivilegierade användare.

När du distribuerar MSDTC måste administratören se till att alla MSDTC-datautbyten är säkra. I en arbetsgruppsdistribution isolerar du transaktionsinfrastrukturen från skadliga användare. skydda klusterregistret i en klusterdistribution.

Spårning

WS-AT-protokolltjänsten stöder integrerad, transaktionsspecifik spårning som kan aktiveras och hanteras med hjälp av mmc-snapin-verktyget WS-AtomicTransaction Configuration. Spårningar kan innehålla data som anger den tid då en registrering görs för en specifik transaktion, den tid då en transaktion når sitt terminaltillstånd, resultatet som varje transaktionsregistrering har fått. Alla spårningar kan visas med verktyget Service Trace Viewer (SvcTraceViewer.exe).

WS-AT-protokolltjänsten stöder även integrerad ServiceModel-spårning via ETW-spårningssessionen. Detta ger mer detaljerade, kommunikationsspecifika spårningar utöver befintliga transaktionsspårningar. Om du vill aktivera dessa ytterligare spårningar följer du de här stegen

1. Öppna start-/kör-menyn, skriv "regedit" i inmatningsrutan och välj OK.

2. I Registereditorn navigerar du till följande mapp i den vänstra rutan Hkey_Local_Machine\SOFTWARE\Microsoft\WSAT\3.0\

3. Högerklicka på värdet ServiceModelDiagnosticTracing i den högra rutan och välj Ändra.

4. I rutan Värdedataindata anger du något av följande giltiga värden för att ange den spårningsnivå som du vill aktivera.

• 0: av

• 1: kritisk

• 3: fel. Det här är standardvärdet

• 7: varning

• 15: information

• 31: utförlig

Se även

• Konfigurationsverktyget för WS-AtomicTransaction (wsatConfig.exe)
• MMC-snapin-modul för WS-AtomicTransaction-konfiguration