Konfigurieren der WS-Atomic-Transaktion-UnterstützungConfiguring WS-Atomic Transaction Support

In diesem Thema wird beschrieben, wie Sie die WS-AtomicTransaction (WS-AT)-Unterstützung mit dem WS-AT-Konfigurationshilfsprogramm konfigurieren können.This topic describes how you can configure WS-AtomicTransaction (WS-AT) support by using the WS-AT Configuration Utility.

Verwenden des WS-AT-KonfigurationshilfsprogrammsUsing the WS-AT Configuration Utility

Das WS-AT-Konfigurationshilfsprogramm (wsatConfig.exe) wird zum Konfigurieren von WS-AT-Einstellungen verwendet.The WS-AT Configuration Utility (wsatConfig.exe) is used to configure WS-AT settings. Zum Aktivieren des WS-AT-Protokolldienstes müssen Sie mithilfe des Konfigurationshilfsprogramms den HTTPS-Anschluss für WS-AT konfigurieren, ein X.509-Zertifikat an den HTTPS-Anschluss binden und autorisierte Partnerzertifikate durch Angabe von Zertifikatantragstellernamen oder Fingerabdrücken konfigurieren.In order to enable the WS-AT protocol service, you must use the configuration utility to configure the HTTPS port for WS-AT, bind an X.509 certificate to the HTTPS port, and configure authorized partner certificates by specifying certificate subject names or thumbprints. Mithilfe des Konfigurationshilfsprogramms können Sie außerdem den Modus für die Ablaufverfolgung auswählen und standardmäßige ausgehende and maximale eingehende Transaktionstimeouts festlegen.The configuration utility also allows you to select the tracing mode and set default outgoing and maximum incoming transaction timeouts.

Der Zugriff auf die Funktionen dieses Tools ist über ein Snap-In auf der Eigenschaftenseite der Microsoft Management Console (MMC) in der Komponentendienste-Managementkonsole oder aus einem Befehlszeilenfenster möglich.You can access this tool's functionality by using a Microsoft Management Console (MMC) property page snap-in in the Component Services management console, or from a command-line window. Konfigurieren Sie die WS-AT-Unterstützung auf dem lokalen Computer über das Befehlszeilenfenster, und konfigurieren Sie Einstellungen auf lokalen und Remotecomputern über das MMC-Snap-In.Configure WS-AT support on the local machine through the command-line window; configure settings on both local and remote machines by using the MMC snap-in.

Auf das Befehlszeilenfenster kann in dem Windows SDK-Installationspfad "%WINDIR%\Microsoft.NET\Framework\v3.0\Windows Communication Foundation" zugegriffen werden.The command-line window can be accessed in the Windows SDK installation location "%WINDIR%\Microsoft.NET\Framework\v3.0\Windows Communication Foundation".

Weitere Informationen finden Sie unterFor more information aboutdas Befehlszeilentool finden Sie unter WS-AtomicTransaction-Konfigurationsdienstprogramm (wsatConfig.exe). the command-line tool, see WS-AtomicTransaction Configuration Utility (wsatConfig.exe).

Ausgeführtes Betriebssystem Windows XPWindows XP oder Windows Server 2003Windows Server 2003, Sie können das MMC-Snap-in zugreifen, navigieren Sie zur Steuerelement Systemsteuerung/Verwaltung/Komponentendienste, mit der rechten Maustaste Arbeitsplatz, und Auswählen von Eigenschaften.If you are running Windows XPWindows XP or Windows Server 2003Windows Server 2003, you can access the MMC snap-in by navigating to Control Panel/Administrative Tools/Component Services, right-clicking My Computer, and selecting Properties. Dies ist die gleiche Position, an der Sie den Microsoft Distributed Transaction Coordinator (MSDTC) konfigurieren können.This is the same location where you can configure the Microsoft Distributed Transaction Coordinator (MSDTC). Für die Konfiguration verfügbare Optionen sind unter gruppiert die WS-AT- Registerkarte. Wenn Sie Windows Vista oder Windows Server 2008Windows Server 2008, das MMC-Snap-in finden Sie auf der starten Schaltfläche und eingeben dcomcnfg.exe in der Suche Feld.Options available for configuration are grouped under the WS-AT tab. If you are running Windows Vista or Windows Server 2008Windows Server 2008, the MMC snap-in can be found by clicking the Start button, and entering dcomcnfg.exe in the Search box. Wenn die MMC geöffnet ist, navigieren Sie zu der arbeitsplatz\distributed Transaction coordinator\lokaler DTC Knoten mit der rechten Maustaste, und wählen Sie Eigenschaften.When the MMC is opened, navigate to the My Computer\Distributed Transaction Coordinator\Local DTC node, right click and select Properties. Für die Konfiguration verfügbare Optionen sind unter gruppiert die WS-AT- Registerkarte.Options available for configuration are grouped under the WS-AT tab.

Weitere Informationen finden Sie unterFor more information aboutder-Snap-in finden Sie unter der WS-AtomicTransaction-Konfiguration-MMC-Snap-in. the snap-in, see the WS-AtomicTransaction Configuration MMC Snap-in.

Zum Aktivieren der Benutzeroberfläche des Tools müssen Sie zuerst die Datei WsatUI.dll im folgenden Pfad registrieren:To enable the tool's user interface, you must first register the WsatUI.dll file, located at the following path

%PROGRAMFILES%\Microsoft SDKs\Windows\v6.0\Bin%PROGRAMFILES%\Microsoft SDKs\Windows\v6.0\Bin

Führen Sie zum Registrieren des Produkts den folgenden Befehl in einem Eingabeaufforderungsfenster aus:To register the product, execute the following command from a Command Prompt window:

regasm.exe /codebase WsatUI.dll

Aktivieren von WS-ATEnabling WS-AT

Verwenden Sie zum Aktivieren des WS-AT-Protokolldienstes in MSDTC unter Nutzung von Anschluss 443 und eines X.509-Zertifikats mit einem privaten Schlüssel im Speicher des lokalen Computers das Tool wsatConfig.exe mit dem folgenden Befehl.To enable the WS-AT protocol service inside MSDTC using port 443 and an X.509 certificate with a private key that has been installed in the local machine store, use the wsatConfig.exe tool with the following command.

WsatConfig.exe –network:enable –port:8443 –endpointCert:<machine|"Issuer\SubjectName"> -accountsCerts:<thumbprint|"Issuer\SubjectName"> -restart

Ersetzen Sie die jeweiligen Parameter durch für Ihre Umgebung relevante Werte.Substitute the respective parameters with values relevant to your environment.

Verwenden Sie zum Deaktivieren des WS-AT-Protokolldienstes in MSDTC das Tool wsatConfig.exe mit dem folgenden Befehl.To disable the WS-AT protocol service inside MSDTC, use the wsatConfig.exe tool with the following command.

WsatConfig.exe –network:disable -restart

Konfigurieren von Vertrauensstellungen zwischen zwei ComputernConfiguring Trust Between Two Machines

Der WS-AT-Protokolldienst erfordert, dass der Administrator einzelne Konten für die Teilnahme an verteilten Transaktionen explizit autorisiert.The WS-AT protocol service requires the administrator to explicitly authorize individual accounts to participate in distributed transactions. Als Administrator für zwei Computer können Sie beide Computer so konfigurieren, dass sie durch Austausch der richtigen Zertifikate zwischen den Computern, Installation in den richtigen Zertifikatspeichern und Verwenden des Tools wsatConfig.exe zum Hinzufügen des Zertifikats jedes Computers zur Liste autorisierter Teilnehmerzertifikate des anderen Computers eine gegenseitige Vertrauensstellung einrichten.If you are an administrator for two machines, you can configure both machines to establish a mutual trust relationship by exchanging the right set of certificates between the machines, installing them into the appropriate certificate stores, and using the wsatConfig.exe tool to add each machine's certificate to the other's list of authorized participant certificates. Dieser Schritt ist erforderlich, um verteilte Transaktionen zwischen zwei Computern auszuführen, die WS-AT verwenden.This step is necessary to perform distributed transactions between two machines using WS-AT.

Im folgenden Beispiel werden die Schritte zum Einrichten einer Vertrauensstellung zwischen zwei Computern, A und B, beschrieben.In the following example outlines the steps to establish trust between two machines, A and B.

Erstellen und Exportieren von ZertifikatenCreating and Exporting Certificates

Für dieses Verfahren ist das MMC-Zertifikat-Snap-In erforderlich.This procedure requires the MMC Certificates snap-in. Öffnen Sie zum Zugriff auf das Snap-In das Menü "Start/Ausführen", geben Sie "mmc" im Eingabefeld ein, und klicken Sie auf "OK".The snap-in can be accessed by opening the Start/Run menu, typing "mmc" in the input box and pressing OK. Klicken Sie auf die Konsole1 Fenster, navigieren Sie zu Datei/hinzufügen / entfernen Snap-in, klicken Sie auf Hinzufügen, und wählen Sie Zertifikate aus der Verfügbare eigenständige -Snap-Ins Liste.Then, in the Console1 window, navigate to the File/Add-Remove Snap-in, click Add, and choose Certificates from the Available Standalone Snapins list. Wählen Sie abschließend Computerkonto verwalten, und klicken Sie auf OK.Finally, select Computer Account to manage and click OK. Die Zertifikate Knoten befindet sich in der Snap-In-Konsole.The Certificates node appears in the snap-in console.

Sie müssen bereits die erforderlichen Zertifikate besitzen, um Vertrauensstellungen einzurichten.You must already possess the required certificates to establish trust. Informationen zum Erstellen und Installieren neuer Zertifikate, bevor die folgenden Schritte aus, finden Sie unter Vorgehensweise: Erstellen und installieren temporärer Clientzertifikate in WCF während der Entwicklung.To learn how to create and install new certificates prior to the following steps, see How to: Create and Install Temporary Client Certificates in WCF During Development.

  1. Importieren Sie auf Computer A mit dem MMC-Zertifikat-Snap-In das vorhandene Zertifikat (certA) in den Speicher LocalMachine\MY (Persönlicher Knoten) und LocalMachine\ROOT (Knoten der vertrauenswürdigen Stammzertifizierungsstelle).On machine A, using the MMC Certificates snap-in, import the existing certificate (certA) into the LocalMachine\MY (Personal Node) and LocalMachine\ROOT store (trusted root certification authority node). Klicken Sie zum Importieren eines Zertifikats zu einem bestimmten Knoten mit der rechten Maustaste des Knotens, und wählen Sie alle Aufgaben/importieren.To import a certificate to a specific node, right-click the node and choose All Tasks/Import.

  2. Erstellen oder erhalten Sie auf Computer B mit dem MMC-Zertifikat-Snap-In ein Zertifikat (certB) mit einem privaten Schlüssel, und importieren Sie es in den Speicher LocalMachine\MY (Persönlicher Knoten) und LocalMachine\ROOT (Knoten der vertrauenswürdigen Stammzertifizierungsstelle).On machine B, using the MMC Certificates snap-in, create or obtain a certificate certB with a private key and import it into the LocalMachine\MY (Personal Node) and LocalMachine\ROOT store (trusted root certification authority node).

  3. Exportieren Sie den öffentlichen Schlüssel von certA zu einer Datei, wenn noch nicht geschehen.Export certA's public key to a file if this has not been done already.

  4. Exportieren Sie den öffentlichen Schlüssel von certB zu einer Datei, wenn noch nicht geschehen.Export certB's public key to a file if this has not been done already.

Einrichten einer gegenseitigen Vertrauensstellung zwischen ComputernEstablishing Mutual Trust Between Machines

  1. Importieren Sie auf Computer A die Dateidarstellung von certB in die Speicher LocalMachine\MY und LocalMachine\ROOT.On machine A, import the file representation of certB into the LocalMachine\MY and LocalMachine\ROOT stores. Damit wird deklariert, dass Computer A certB für die Kommunikation vertraut.This declares that machine A trusts certB to communicate with it.

  2. Importieren Sie auf Computer B die Datei von certA in die Speicher LocalMachine\MY und LocalMachine\ROOT.On machine B, import certA’s file into the LocalMachine\MY and LocalMachine\ROOT stores. Dies bedeutet, dass Computer B certA für die Kommunikation vertraut.This implies that machine B trusts certA to communicate with it.

Mit diesen Schritten wurde eine Vertrauensstellung zwischen den beiden Computern eingerichtet, und sie können für die Kommunikation mit WS-AT konfiguriert werden.After completing these steps, trust is established between the two machines, and they can be configured to communicate with each other using WS-AT.

Konfigurieren von MSDTC für die Verwendung von ZertifikatenConfiguring MSDTC to Use Certificates

Da der WS-AT-Protokolldienst als Client und Server fungiert, muss er eingehende Verbindungen abhören und ausgehende Verbindungen initiieren.Since the WS-AT protocol service acts as both a client and a server, it must both listen for incoming connections and initiate outgoing connections. Sie müssen daher MSDTC so konfigurieren, dass bekannt ist, welche Zertifikate bei der Kommunikation mit externen Programmen verwendet werden müssen und welche Zertifikate beim Annehmen eingehender Kommunikation autorisiert werden müssen.Therefore, you need to configure MSDTC so that it knows which certificate to use when communicating with external parties, and which certificates to authorize when accepting incoming communication.

Sie können dies mit dem MMC-WS-AT-Snap-In konfigurieren.You can configure this by using the MMC WS-AT snap-in. Weitere Informationen finden Sie unterFor more information aboutDieses Tool finden Sie unter der WS-AtomicTransaction-Konfiguration-MMC-Snap-in Thema. this tool, see the WS-AtomicTransaction Configuration MMC Snap-in topic. In den folgenden Schritten wird beschrieben, wie Sie eine Vertrauensstellung zwischen zwei Computern einrichten, auf denen MSDTC ausgeführt wird.The following steps describe how to establish trust between two computers running MSDTC.

  1. Konfigurieren Sie die Einstellungen von Computer A.Configure machine A's settings. Wählen Sie für "Endpunktzertifikat" certa aus.For "Endpoint Certificate", select certA. Wählen Sie für "Autorisierte Zertifikate" certb aus.For "Authorized Certificates", select the certB.

  2. Konfigurieren Sie die Einstellungen von Computer B.Configure machine B's settings. Wählen Sie für "Endpunktzertifikat" CertB aus.For "Endpoint Certificate", select certB. Wählen Sie für "Autorisierte Zertifikate" certa aus.For "Authorized Certificates", select the certA.

Hinweis

Wenn ein Computer eine Nachricht an den anderen Computer sendet, versucht der Absender zu überprüfen, ob der Antragstellername des Zertifikats des Empfängers und der Name des Computers des Empfängers übereinstimmen.When one machine sends a message to the other machine, the sender attempts to verify that the subject name of the recipient’s certificate and the name of the recipient’s machine match. Wenn sie nicht übereinstimmen, schlägt die Zertifikatüberprüfung fehl, und die zwei Computer können nicht kommunizieren.If they do not match, certificate verification fails and the two machines cannot communicate.

Bei einem Computer, der Mitglied einer Domäne ist, ist der Name der vollqualifizierte Domänenname.For a machine joined to a domain, the name is the fully qualified domain name. Standardmäßig ist der Name eines Computers in einer Arbeitsgruppe der NetBIOS-Name des Computers.By default, the name of a machine on a workgroup is the machine’s NetBIOS name. Allerdings kann der Name auch ein DNS-Suffix enthalten, falls dieses für die Verbindung zwischen den beiden Computern vorhanden ist.However, the name can also include a Domain Name System (DNS) suffix if one is present for the connection being used between the two machines.

Falls sich der Name des Computers ändert, z. B. wenn ein Arbeitsgruppencomputer Mitglied einer Domäne wird, müssen Sie Zertifikate neu ausstellen oder DNS-Suffixe manuell konfigurieren.If the name of the machine changes, for example, when a workgroup machine joins a domain, you must reissue certificates or manually configure DNS suffixes.

SicherheitSecurity

Da einige Einstellungen für MSDTC und WS-AT in der Registrierung unter HKLM\Software\Microsoft\MSDTC bzw. unter HKLM\Software\Microsoft\WSAT gespeichert werden, müssen Sie sicherstellen, dass diese Registrierungsschlüssel gesichert sind, sodass nur Administratoren darauf schreiben können.Since some of the settings related to MSDTC and WS-AT are stored in the registry at HKLM\Software\Microsoft\MSDTC and at HKLM\Software\Microsoft\WSAT, respectively, ensure that these registry keys are secured so that only administrators can write to them. Die Registrierungs-Editor-Tool, mit der Maustaste des Schlüssels zu sichern, und wählen Sie Berechtigung an die entsprechende Zugriffssteuerung festzulegen.In the Registry Editor tool, right-click the key you want to secure and select Permission to set the appropriate access control. Für die Systemsicherheit und -integrität ist es entscheidend, dass wichtige Schlüssel für Benutzer mit weniger Rechten schreibgeschützt sind.It is crucial to the security and integrity of the system that important keys are read-only for low-privileged users.

Beim Bereitstellen von MSDTC muss der Administrator sicherstellen, dass der gesamte MSDTC-Datenaustausch gesichert ist.When deploying MSDTC, the administrator must ensure that any MSDTC data interchange is secure. Isolieren Sie bei einer Arbeitsgruppenbereitstellung die Transaktionsinfrastruktur von böswilligen Benutzern; sichern Sie bei einer Clusterbereitstellung die Clusterregistrierung.In a workgroup deployment, isolate the transactional infrastructure from malicious users; in a cluster deployment, secure the cluster registry.

AblaufverfolgungTracing

Der WS-AT-Protokoll unterstützt integriert, Transaktion, die bestimmte Ablaufverfolgung, aktiviert und verwaltet werden kann mithilfe des der WS-AtomicTransaction-Konfiguration-MMC-Snap-in Tool.The WS-AT protocol service supports integrated, transaction specific tracing that can be enabled and managed through the use of the WS-AtomicTransaction Configuration MMC Snap-in tool. Ablaufverfolgungen können Daten einschließen, die unter anderem den Zeitpunkt einer Eintragung für eine bestimmte Transaktion, den Zeitpunkt an dem die Transaktion ihren Endstatus erreicht und das Ergebnis, das jede Transaktionseintragung empfangen hat, angeben.Traces can include data indicating the time an enlistment is made for a specific transaction, the time a transaction reaches its terminal state, the outcome each transaction enlistment has received. Alle ablaufverfolgungen können angezeigt werden, mithilfe der Service Trace Viewer-Tool (SvcTraceViewer.exe) Tool.All traces can be viewed using the Service Trace Viewer Tool (SvcTraceViewer.exe) tool.

Der WS-AT-Protokolldienst unterstützt auch integrierte ServiceModel-Ablaufverfolgung über die ETW-Ablaufverfolgungssitzung.The WS-AT protocol service also supports integrated ServiceModel tracing through the ETW trace session. Dies bietet ausführlichere, kommunikationsspezifische Ablaufverfolgungen zusätzlich zu den vorhandenen Transaktionsablaufverfolgungen.This provides more detailed, communication-specific traces in addition to the existing transaction traces. Führen Sie die folgenden Schritte aus, um diese zusätzlichen Ablaufverfolgungen zu aktivieren:To enable these additional traces, follow these steps

  1. Öffnen der Start/ausführen Menü, geben Sie "Regedit" im Eingabefeld, und wählen Sie OK.Open the Start/Run menu, type "regedit" in the input box and select OK.

  2. In der Registrierungs-Editor, navigieren Sie zum folgenden Ordner im linken Bereich Hkey_Local_Machine\SOFTWARE\Microsoft\WSAT\3.0\In the Registry Editor, navigate to the following folder on the left pane, Hkey_Local_Machine\SOFTWARE\Microsoft\WSAT\3.0\

  3. Klicken Sie mit der rechten Maustaste auf die ServiceModelDiagnosticTracing Wert im rechten Bereich, und wählen Sie ändern.Right click the ServiceModelDiagnosticTracing value in the right pane and select Modify.

  4. In der Wertdaten Eingabefeld, geben Sie einen der folgenden gültigen Werte an die Ablaufverfolgungsebene, Sie aktivieren möchten.In the Value data input box, enter one of the following valid values to specify the trace level you want to enable.

  • 0: Aus0: off

  • 1: Kritisch1: critical

  • 3: Fehler.3: error. Dies ist der Standardwert.This is the default value

  • 7: Warnung7: warning

  • 15: Informationen15: information

  • 31: Ausführlich31: verbose

Siehe auchSee Also

WS-AtomicTransaction-Konfigurationshilfsprogramm (wsatConfig.exe)WS-AtomicTransaction Configuration Utility (wsatConfig.exe)
WS-AtomicTransaction-Konfiguration-MMC-Snap-InWS-AtomicTransaction Configuration MMC Snap-in