Exportar (0) Imprimir
Expandir Todos
Expand Minimize

Coordenador de Transacções Distribuídas

Em que é consiste o Coordenador de Transacções Distribuídas?

O serviço Coordenador de Transacções Distribuídas (DTC, Distributed Transaction Coordinator) coordena as transacções que actualizam dois ou mais recursos protegidos por transacções, tais como bases de dados, filas de mensagens, sistemas de ficheiros, entre outros. Estes recursos protegidos por transacções poderão estar localizados num único computador ou distribuídos por vários computadores em rede.

A quem se aplica esta função?

  • Utilizadores de computadores que participam em transacções DTC, tanto directamente como através de outros computadores.
  • Administradores de sistemas de redes que utilizam componentes DTC para efectuar transacções em várias redes.

Que nova funcionalidade foi adicionada a esta função no Windows Server 2003 Service Pack 1?

Protecção por predefinição de todas as comunicações de rede

Descrição detalhada

No Windows Server 2003 Service Pack 1, o DTC possibilita ao administrador ter um maior controlo sobre as comunicações entre computadores na rede. Por predefinição, todas as comunicações de rede encontram-se desactivadas.

A página de propriedades das definições de segurança de DTC foi melhorada para permitir a manipulação das definições de comunicação. Para ver a página, utilize o seguinte procedimento:

Para abrir a página de propriedades das definições de segurança de DTC
  1. Abra o snap-in Serviços de Componentes na Consola de Gestão da Microsoft (MMC).

  2. Na árvore da consola, clique na pasta Computadores.

  3. No painel de resultados, clique com o botão direito do rato em O Meu Computador e, em seguida, clique em Propriedades.

  4. Clique no separador MSDTC e, em seguida, clique em Configuração da Segurança.

A tabela que se segue define os novos campos na página de propriedades, juntamente com as chaves de registo afectadas para as diferentes definições. Todas as chaves de registo relacionadas com MSDTC estão localizadas na seguinte chave de registo:

MyComputer\HKEY_LOCAL_MACHINE\Software\Microsoft\MSDTC

CautionAtenção
A edição incorrecta do registo pode danificar gravemente o sistema. Antes de proceder a alterações ao registo, deverá efectuar cópias de segurança de todos os dados importantes no computador. Estas chaves de registo poderão não ser suportadas em futuras versões.

A tabela que se segue indica onde poderá encontrar os valores específicos da chave MSDTC.

 

Definição Descrição Valor correspondente no registo

Acesso ao DTC na Rede

Determina se o DTC no computador local tem permissão para aceder à rede. Esta definição tem de estar activada juntamente com uma das outras definições para que sejam permitidas transacções de DTC na rede.

Predefinição: Desactivado

Security\NetworkDtcAccess

0 = Desactivado

1 = Activado

Permitir Recepção

Permite a execução de uma transacção distribuída com origem num computador remoto neste computador.

Predefinição: Desactivado

Para activar esta definição, tem de definir os seguintes valores da chave de registo para 1:

Security\NetworkDtcAccess

Security\NetworkDtcAccessTransactions

Security\NetworkDtcAccessInbound

Para desactivar esta definição, só tem de definir o seguinte valor da chave de registo para 0:

Security\NetworkDtcAccessInbound

Permitir emissão

Permite que o computador local inicie uma transacção e a execute num computador remoto.

Para activar esta definição, tem de definir os seguintes valores da chave de registo para 1:

Security\NetworkDtcAccess

Security\NetworkDtcAccessTransactions

Security\NetworkDtcAccessOutbound

Para desactivar esta definição, só tem de definir o seguinte valor da chave de registo para 0:

Security\NetworkDtcAccessOutbound

Necessária Autenticação Mútua

Adiciona suporte para autenticação mútua em futuras versões e é o modo de comunicação com o nível de protecção mais elevado. Nas versões actuais do Windows e Windows Server, é a funcionalidade equivalente à definição Necessária Autenticação de Chamador. Este é modo de transacção recomendado para clientes com o Windows XP SP2 em execução e servidores que utilizem um membro da família do Windows Server 2003.

AllowOnlySecureRpcCalls = 1

FallbackToUnsecureRPCIfNecessary = 0

TurnOffRpcSecurity = 0

Necessária Autenticação de Chamador

Requer que o DTC local comunique com um DTC remoto utilizando apenas mensagens encriptadas e a autenticação mútua. Esta definição é recomendada para servidores que utilizam o Windows Server 2003 e que estejam a funcionar num cluster.

O Windows Server 2003 e o Windows XP SP2 são os únicos que suportam esta funcionalidade, pelo que só a deve utilizar se souber que o DTC no computador remoto utiliza o sistema operativo Windows Server 2003 ou Windows XP SP2.

AllowOnlySecureRpcCalls = 0

FallbackToUnsecureRPCIfNecessary = 1

TurnOffRpcSecurity = 0

Autenticação Não Necessária

Fornece compatibilidade ao nível do sistema entre versões anteriores do sistema operativo Windows. Quando esta definição estiver activada, as comunicações entre um ou mais DTC na rede podem ser revertidas para um nível de comunicação sem autenticação ou sem encriptação se não for possível estabelecer um canal de comunicação seguro. Esta definição deverá ser utilizada se o DTC no computador remoto tiver um sistema operativo Windows 2000 ou Windows XP anterior ao SP2 em execução. Esta definição também é útil quando os DTCs envolvidos estão localizados em computadores presentes em domínios que não têm uma relação de fidedignidade estabelecida ou se os computadores fizerem parte de um grupo de trabalho do Windows.

AllowOnlySecureRpcCalls = 0

FallbackToUnsecureRPCIfNecessary = 0

TurnOffRpcSecurity = 1

Porque é que esta alteração é importante? Que ameaças ajuda a atenuar?

Estas alterações são importantes para proteger as comunicações recebidas ou emitidas a partir do computador. Por predefinição, uma vez instalado o Windows Server 2003 Service Pack 1, o computador não permitirá a entrada nem a saída de tráfego de rede, ficando menos vulnerável a ataques de rede.

Para além disso, o protocolo de rede online foi actualizado de modo a suportar um modo de comunicação encriptado mais seguro e com autenticação mútua. Tal ajuda a assegurar que os atacantes não interceptam, nem passam a ter controlo sobre as comunicações entre DTCs.

O que funciona de maneira diferente?

Depois de instalar o Windows Server 2003 Service Pack 1, todas as comunicações de rede recebidas ou emitidas para o DTC são desactivadas. Por exemplo, se um objecto COM+ tentar actualizar uma base dados SQL num computador remoto utilizando uma transacção de DTC, a transacção falhará. Por outro lado, se o computador alojar uma base de dados SQL à qual componentes de computadores remotos tentam aceder utilizando uma transacção de DTC, as respectivas transacções falharão.

Como posso resolver estes problemas?

Se as transacções falharem por causa da ligação à rede, pode utilizar as propriedades de segurança de MSDTC, conforme descrito anteriormente neste documento, seleccionar a caixa de verificação Acesso ao DTC na Rede e, em seguida, seleccionar as caixas de verificação Permitir Recepção e Permitir Emissão conforme apropriado.

Se pretender alterar estas definições do ponto de vista programático como parte da implementação do Windows Server 2003 Service Pack 1, pode alterar directamente os valores do registo que correspondem à definição pretendida conforme descrito na tabela “Protecção por predefinição de todas as comunicações de rede” anteriormente neste documento. Depois de alteradas as definições do registo, terá de reiniciar o serviço MSDTC.

Se estiver a utilizar o Firewall do Windows para proteger os computadores da empresa, terá de adicionar o serviço MSDTC à lista de excepções nas definições do Firewall do Windows. Para o fazer, utilize os seguintes passos:

  1. No Painel de Controlo, abra Firewall do Windows.
  2. Clique no separador Excepções e, em seguida, clique em Adicionar Programa.
  3. Clique em Procurar e, em seguida, adicione c:\windows\system32\msdtc.exe.
  4. Em Programas e Serviços, seleccione a caixa de verificação Msdtc.exe e, em seguida, clique em OK.

Quais as definições adicionadas ou alteradas no Windows Server 2003 Service Pack 1?

 

Nome da definição Localização Valor predefinido anterior Valor predefinido Valores possíveis

NetworkDtcAccess

HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \MSDTC \Security

1

0

0,1

NetwordDtcAccessTransactions

HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \MSDTC \Security

1

0

0,1

NetworkDtcAccessInbound

HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \MSDTC \Security

n/d

0

0,1

NetworkDtcAccessOutbound

HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \MSDTC \Security

n/d

0

0,1

AllowOnlySecureRpcCalls

HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \MSDTC

n/d

1

0,1

FallbackToUnsecureRPCIfNecessary

HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \MSDTC

n/d

0

0,1

TurnOffRpcSecurity

HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \MSDTC

n/d

0

0,1

Considera isto útil?
(1500 caracteres restantes)
Obrigado pelos seus comentários

Conteúdo da Comunidade

Adicionar
Mostrar:
© 2014 Microsoft