Exporteren (0) Afdrukken
Alles uitvouwen

Distributed Transaction Coordinator

Wat doet Distributed Transaction Coordinator?

De service Distributed Transaction Coordinator (DTC) wordt gebruikt voor de coördinatie van transacties waarmee twee of meer bronnen met transactiebescherming worden bijgewerkt, zoals databases, wachtrijen voor berichten, bestandssystemen enzovoort. Deze bronnen met transactiebescherming kunnen op één computer staan of over meerdere netwerkcomputers verdeeld zijn.

Op wie is deze functie van toepassing?

  • Gebruikers van computers waarop DTC-transacties worden uitgevoerd, rechtstreeks of via een andere computer.
  • Systeembeheerders van netwerken die gebruikmaken van DTC-onderdelen om netwerkbrede transacties uit te voeren.

Welke nieuwe functionaliteit is aan deze functie toegevoegd in Windows Server 2003 Service Pack 1?

Standaardbeveiliging van alle netwerkcommunicatie

Gedetailleerde beschrijving

Met de DTC-service in Windows Server 2003 Service Pack 1 kunnen beheerders de netwerkcommunicatie tussen computers beter sturen. Standaard is alle netwerkcommunicatie uitgeschakeld.

De eigenschappenpagina voor DTC-beveiligingsinstellingen is uitgebreid, zodat de communicatie gerichter kan worden ingesteld. U gaat als volgt naar deze pagina:

De eigenschappenpagina voor DTC-beveiligingsinstellingen openen
  1. Open de module Component Services in Microsoft Management Console (MMC).

  2. Klik in de consolestructuur op de map Computers.

  3. Klik in het resultaatvenster met de rechtermuisknop op Deze computer en vervolgens op Eigenschappen.

  4. Klik op het tabblad MSDTC en vervolgens op Beveiligingsconfiguratie.

In de onderstaande tabel worden alle nieuwe velden op de eigenschappenpagina beschreven. Ook wordt vermeld op welke registersleutels de instellingen betrekking hebben. Alle registersleutels voor MSDTC staan in de volgende registersleutel:

MyComputer\HKEY_LOCAL_MACHINE\Software\Microsoft\MSDTC

CautionWaarschuwing
Het onoordeelkundig bewerken van het register kan ernstige gevolgen hebben voor uw systeem. Maak daarom eerst een reservekopie van belangrijke gegevens voordat u wijzigingen in het register aanbrengt. Het is mogelijk dat deze registersleutels in toekomstige versies niet meer worden ondersteund.

In de onderstaande tabel kunt u zien waar u alle MSDTC-sleutelwaarden kunt vinden.

 

Instelling Beschrijving Bijbehorende registerwaarde

DTC-netwerktoegang

Hiermee wordt bepaald of op de lokale computer DTC al dan niet is toegestaan om toegang te krijgen tot het netwerk. Met deze instelling kunnen alleen DTC-netwerktransacties worden uitgevoerd als deze in combinatie met een andere instelling wordt ingeschakeld.

Standaardinstelling: Uitgeschakeld

Security\NetworkDtcAccess

0 = uit

1 = aan

Inkomend verkeer toestaan

Hiermee mag een gedistribueerde transactie die van een externe computer afkomstig is op deze computer worden uitgevoerd.

Standaardinstelling: Uitgeschakeld

U schakelt deze instelling in door de volgende registersleutelwaarden op 1 in te stellen:

Security\NetworkDtcAccess

Security\NetworkDtcAccessTransactions

Security\NetworkDtcAccessInbound

U schakelt deze instelling weer uit door alleen de volgende registersleutelwaarde op 0 in te stellen:

Security\NetworkDtcAccessInbound

Uitgaand verkeer toestaan

Hiermee mag de lokale computer een transactie starten en deze vervolgens op een externe computer uitvoeren.

U schakelt deze instelling in door de volgende registersleutelwaarden op 1 in te stellen:

Security\NetworkDtcAccess

Security\NetworkDtcAccessTransactions

Security\NetworkDtcAccessOutbound

U schakelt deze instelling weer uit door alleen de volgende registersleutelwaarde op 0 in te stellen:

Security\NetworkDtcAccessOutbound

Wederzijdse verificatie is vereist

Hiermee wordt de ondersteuning van wederzijdse verificatie in toekomstige versies mogelijk gemaakt. Dit is de communicatiemodus met de hoogste beveiliging. In de huidige versies van Windows en Windows Server is deze instelling functioneel gezien equivalent aan de instelling Verificatie van inkomende beller is vereist. Deze transactiemodus wordt aanbevolen voor clients die op Windows XP SP2 worden uitgevoerd en voor servers die op een van de Windows Server 2003-producten worden uitgevoerd.

AllowOnlySecureRpcCalls = 1

FallbackToUnsecureRPCIfNecessary = 0

TurnOffRpcSecurity = 0

Verificatie van inkomende beller is vereist

Hiermee wordt ingesteld dat de communicatie tussen de lokale en de externe DTC alleen via gecodeerde berichten en wederzijdse verificatie mag verlopen. Deze instelling wordt aanbevolen voor servers die in een cluster op Windows Server 2003 worden uitgevoerd.

Deze functionaliteit wordt alleen in Windows Server 2003 en Windows XP SP2 ondersteund. U kunt deze dus alleen gebruiken als u zeker weet dat de DTC op de externe computer het besturingssysteem Windows Server 2003 of Windows XP SP2 gebruikt.

AllowOnlySecureRpcCalls = 0

FallbackToUnsecureRPCIfNecessary = 1

TurnOffRpcSecurity = 0

Er is geen wederzijdse verificatie vereist

Deze functie is bedoeld om compatibiliteitsproblemen tussen vorige versies van het Windows-besturingssysteem te ondervangen. Wanneer deze instelling is ingeschakeld, kan de netwerkcommunicatie tussen DTC's terugvallen op niet-geverifieerde of niet-gecodeerde communicatie op het moment dat er geen beveiligd communicatiekanaal kan worden geopend. Deze instelling is nodig als de DTC op de externe computer een Windows 2000-besturingssysteem gebruikt of een Windows XP-besturingssysteem met een oudere versie dan SP2. Daarnaast is deze instelling handig als de betrokken DTC's op computers staan die behoren tot een domein zonder vertrouwensrelatie of als de computers deel uitmaken van een Windows-werkgroep.

AllowOnlySecureRpcCalls = 0

FallbackToUnsecureRPCIfNecessary = 0

TurnOffRpcSecurity = 1

Wat is het belang van deze wijziging? Welke risico's worden op deze manier aangepakt?

Deze wijzigingen zijn belangrijk omdat zo alle binnenkomende en uitgaande communicatie op de computer wordt beveiligd. Zodra Windows Server 2003 Service Pack 1 is geïnstalleerd, wordt al het binnenkomende en uitgaande netwerkverkeer standaard geweerd. Zo is de computer minder kwetsbaar voor netwerkaanvallen.

Bovendien is het on line netwerkprotocol verbeterd zodat de gecodeerde communicatiemodus met wederzijdse verificatie nog beter beveiligd is. Zo wordt het moeilijker voor hackers om de communicatie tussen DTC's te onderscheppen of anderszins te verstoren.

Wat werkt er anders?

Zodra Windows Server 2003 Service Pack 1 is geïnstalleerd, wordt alle binnenkomende of uitgaande netwerkcommunicatie voor DTC uitgeschakeld. Als een COM+-object bijvoorbeeld probeert met een DTC-transactie een SQL-database op een externe computer bij te werken, wordt deze transactie geweerd. Als uw eigen computer de host is van een SQL-database die onderdelen vanaf een externe computer met een DTC-transactie proberen te benaderen, worden deze transacties ook geweerd.

Hoe los ik dit op?

Als transacties niet worden uitgevoerd vanwege de netwerkverbinding, kunt u dit via de MSDTC-beveiligingseigenschappen oplossen, zoals eerder in dit document is beschreven. Schakel het selectievakje DTC-netwerktoegang in en selecteer Inkomend verkeer toestaan c.q. Uitgaand verkeer toestaan.

U kunt deze instelling van Windows Server 2003 Service Pack 1 via de programmacode aanpassen. In dat geval moet u de desbetreffende registerwaarden wijzigen. Dit is eerder in dit document beschreven, zie de tabel in het gedeelte "Standaardbeveiliging van alle netwerkcommunicatie". Zodra u de registerinstellingen hebt gewijzigd, moet u de MSDTC-service opnieuw starten.

Als u Windows Firewall gebruikt om de computers in uw organisatie te beschermen, moet u MSDTC toevoegen aan de lijst met uitzonderingen in de instellingen van Windows Firewall. Hiervoor moet u de volgende stappen volgen:

  1. Ga naar het Configuratiescherm en open Windows Firewall.
  2. Klik achtereenvolgens op het tabblad Uitzonderingen en op Programma toevoegen.
  3. Klik op Bladeren en voeg het volgende toe: c:\windows\system32\msdtc.exe.
  4. Schakel in Programma's en services het selectievakje Msdtc.exe in en klik op OK.

Welke instellingen zijn toegevoegd of gewijzigd in Windows Server 2003 Service Pack 1?

 

Naam van instelling Locatie Vorige standaardwaarde Standaardwaarde Mogelijke waarden

NetworkDtcAccess

HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \MSDTC \Security

1

0

0,1

NetwordDtcAccessTransactions

HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \MSDTC \Security

1

0

0,1

NetworkDtcAccessInbound

HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \MSDTC \Security

n.v.t.

0

0,1

NetworkDtcAccessOutbound

HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \MSDTC \Security

n.v.t.

0

0,1

AllowOnlySecureRpcCalls

HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \MSDTC

n.v.t.

1

0,1

FallbackToUnsecureRPCIfNecessary

HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \MSDTC

n.v.t.

0

0,1

TurnOffRpcSecurity

HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \MSDTC

n.v.t.

0

0,1

Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback

Community-inhoud

Weergeven:
© 2014 Microsoft