Exportovat (0) Tisk
Rozbalit vše
Expand Minimize

Koordinátor distribuovaných transakcí

Jaká je funkce koordinátora distribuovaných transakcí?

Služba koordinátora distribuovaných transakcí (Distributed Transaction Coordinator, DTC) koordinuje transakce, které aktualizují alespoň dva prostředky chráněné transakcemi, jako jsou například databáze, fronty zpráv, souborové systémy atd. Prostředky chráněné transakcemi se mohou nacházet v jediném počítači, nebo mohou být distribuovány ve více počítačích v síti.

Koho se tato funkce týká?

  • Uživatelů všech počítačů, kteří se podílejí na transakcích DTC (ať už přímo, nebo prostřednictvím jiných počítačů),
  • správců systému pro sítě, které použivají součásti DTC a provádějí transakce v sítích.

Jaké nové funkce byly přidány k této funkci v aktualizaci Service Pack 1 systému Windows Server 2003?

Zabezpečení veškeré síťové komunikace ve výchozím nastavení

Podrobný popis

V systému Windows Server 2003 Service Pack 1 poskytuje koordinátor DTC správci vyšší úroveň řízení síťové komunikace mezi počítači. Ve výchozím nastavení je veškerá komunikace v síti zakázána.

S nastavením komunikace lze pracovat na rozšířené stránce vlastností nastavení zabezpečení koordinátora DTC. Na tuto stránku přejdete následujícím postupem:

Otevření stránky vlastností nastavení zabezpečení koordinátora DTC
  1. Otevřete Službu komponent v modulu snap-in konzoly MMC.

  2. Ve stromu konzoly klepněte na složku Počítače.

  3. V podokně výsledků klepněte pravým tlačítkem myši na složku Tento počítač a vyberte příkaz Vlastnosti.

  4. Klepněte na kartu MSDTC a pak na tlačítko Konfigurace zabezpečení.

Nová pole na stránce vlastností spolu s klíči registru pro různá nastavení jsou uvedena v následující tabulce. Všechny klíče registru související s koordinátorem MSDTC jsou uloženy pod tímto klíčem registru:

MyComputer\HKEY_LOCAL_MACHINE\Software\Microsoft\MSDTC

CautionUpozornění
Nesprávná úprava registru může vážně poškodit systém. Před prováděním změn registru byste měli zálohovat veškerá cenná data v počítači. Uvedené klíče registru nemusí být podporovány v příštích verzích.

Uvedená tabulka obsahuje informace o umístění konkrétních hodnot klíče MSDTC.

 

Nastavení Popis Opdovídající hodnota registru

Síťový přístup koordinátora DTC

Určuje, zda koordinátor DTC v místním počítači může přistupovat k síti. Nastavení musí být povoleno spolu s jedním z následujících nastavení. Jinak nebudou povoleny síťové transakce DTC.

Výchozí nastavení: Vypnuto

Security\NetworkDtcAccess

0 = vypnuto

1 = zapnuto

Povolit příchozí

Umožňuje spustit v tomto počítači distribuovanou transakci pocházející ze vzdáleného počítače.

Výchozí nastavení: Vypnuto

Chcete-li nastavení povolit, je nutné nastavit následující klíče registru na hodnotu 1:

Security\NetworkDtcAccess

Security\NetworkDtcAccessTransactions

Security\NetworkDtcAccessInbound

Pokud chcete nastavení zakázat, nastavte následující klíč registru na hodnotu 0:

Security\NetworkDtcAccessInbound

Povolit odchozí

Umožňuje zahájit transakci v místním počítači a spustit ji ve vzdáleném počítači.

Chcete-li nastavení povolit, je nutné nastavit následující klíče registru na hodnotu 1:

Security\NetworkDtcAccess

Security\NetworkDtcAccessTransactions

Security\NetworkDtcAccessOutbound

Pokud chcete nastavení zakázat, nastavte následující klíč registru na hodnotu 0:

Security\NetworkDtcAccessOutbound

Vyžadováno vzájemné ověření

Přidá podporu vzájemného ověření v příštích verzích. Jedná se o režim komunikace s nejvyšší úrovní zabezpečení. V aktuálních verzích systému Windows a Windows Server je tato funkce ekvivalentní nastavení Vyžadováno ověření příchozího volajícího. Jedná se o doporučený transakční režim pro klienty se systémem Windows XP SP2 a servery se systémem řady Windows Server 2003.

AllowOnlySecureRpcCalls = 1

FallbackToUnsecureRPCIfNecessary = 0

TurnOffRpcSecurity = 0

Vyžadováno ověření příchozího volajícího

Vyžaduje komunikaci místního koordinátora DTC se vzdáleným komunikátorem DTC výhradně pomocí šifrovaných zpráv a vzájemného ověření. Toto nastavení je doporučeno pro servery se systémem Windows Server 2003, které pracují v clusteru.

Tuto funkci podporují pouze systémy Windows Server 2003 a Windows XP SP2. Funkci tedy použijte pouze v případě, že koordinátor DTC ve vzdáleném počítači je spuštěn v operačním systému Windows Server 2003 nebo Windows XP SP2.

AllowOnlySecureRpcCalls = 0

FallbackToUnsecureRPCIfNecessary = 1

TurnOffRpcSecurity = 0

Ověření nevyžadováno

Poskytuje kompatibilitu systému mezi předchozími verzemi operačního systému Windows. Je-li tato možnost povolena, síťová komunikace mezi koordinátory DTC může přejít k neověřené nebo nešifrované komunikaci, pokud nelze navázat zabezpečený komunikační kanál. Toto nastavení používejte v případě, že koordinátor DTC ve vzdáleném počítači je spuštěn v operačním systému Windows 2000 nebo v systému Windows XP starším než aktualizace SP2. Nastavení je také užitečné, pokud zúčasněné koordinátory DTC jsou umístěné v počítačích v doménách, které nemají vytvořený vztah důvěryhodnosti, nebo pokud jsou počítače součástí pracovní skupiny Windows.

AllowOnlySecureRpcCalls = 0

FallbackToUnsecureRPCIfNecessary = 0

TurnOffRpcSecurity = 1

Proč je tato změna důležitá? Jaká nebezpečí pomáhá zmírňovat?

Tyto změny jsou důležité pro zabezpečení příchozí a odchozí komunikace počítače. Po instalaci aktualizace Windows Server 2003 Service Pack 1 počítač ve výchozím nastavení nepřijme ani se nezúčastní žádného přenosu v síti, a bude tedy méně náchylný k útokům ze sítě.

Navíc byl upgradován síťový protokol online, který nyní podporuje bezpečněji šifrovaný a vzájemně ověřovaný režim komunikace. Tento přístup pomáhá zajistit, že neoprávnění uživatelé nebudou moci zachytit ani převzít komunikaci mezi koordinátory DTC.

Co funguje jinak?

Po instalaci aktualizace Windows Server 2003 Service Pack 1 je zakázána veškerá síťová komunikace přijímaná i vysílaná koordinátorem DTC. Pokud se například objekt COM+ pokusí aktualizovat databázi SQL ve vzdáleném počítači pomocí transakce DTC, tato transakce se nezdaří. A naopak platí, že pokud počítač hostuje databázi SQL, k jejímž součástem se pokoušejí přistupovat vzdálené počítače pomocí transakcí DTC, jejich transakce se nezdaří.

Jak lze tyto problémy vyřešit?

Pokud se transakce nezdaří kvůli síťové konektivitě, můžete použít vlastnosti zabezpečení MSDTC popsané v předchozích částech tohoto dokumentu, zaškrtnout políčko Síťový přístup koordinátora DTC a pak zaškrtnout políčka Povolit příchozí a Povolit odchozí (podle požadavků).

Pokud chcete uvedené nastavení změnit programově v rámci zavedení aktualizace Windows Server 2003 Service Pack 1, můžete přímo změnit hodnoty registru, které odpovídají požadovaným nastavením popsaným v tabulce v části Standardní zabezpečení veškeré síťové komunikace. Po úpravě nastavení registru je třeba restartovat službu MSDTC.

Pokud chráníte počítače v podniku bránou Windows Firewall, je nutné službu MSDTC přidat do seznamu výjimek v nastavení brány Windows Firewall. Postupujte takto:

  1. V Ovládacích panelech otevřete panel Windows Firewall.
  2. Klepněte na kartu Výjimky a pak na tlačítko Přidat program.
  3. Klepněte na tlačítko Procházet a pak přidejte položku c:\windows\system32\msdtc.exe.
  4. V části Programy a služby zaškrtněte políčko Msdtc.exe a pak klepněte na tlačítko OK.

Jaké nastavení bylo přidáno nebo se změnilo v aktualizaci Service Pack 1 systému Windows Server 2003?

 

Název nastavení Umístění Předchozí výchozí hodnota Výchozí hodnota Možné hodnoty

NetworkDtcAccess

HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \MSDTC \Security

1

0

0,1

NetwordDtcAccessTransactions

HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \MSDTC \Security

1

0

0,1

NetworkDtcAccessInbound

HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \MSDTC \Security

Není k dispozici

0

0,1

NetworkDtcAccessOutbound

HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \MSDTC \Security

Není k dispozici

0

0,1

AllowOnlySecureRpcCalls

HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \MSDTC

Není k dispozici

1

0,1

FallbackToUnsecureRPCIfNecessary

HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \MSDTC

Není k dispozici

0

0,1

TurnOffRpcSecurity

HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \MSDTC

Není k dispozici

0

0,1

Byl tento obsah pro vás užitečný?
(Zbývající počet znaků: 1500)
Děkujeme za váš názor.

Obsah vytvořený komunitou

Přidat
Zobrazit:
© 2014 Microsoft