Distributed Transaction Coordinator

Distributed Transaction Coordinator

Distributed Transaction Coordinator는 어떤 기능을 수행합니까?

DTC(Distributed Transaction Coordinator) 서비스는 데이터베이스, 메시지 큐, 파일 시스템 등 두 가지 이상의 트랜잭션 보호 리소스를 업데이트하는 트랜잭션을 조정합니다. 이러한 트랜잭션 보호 리소스는 단일 컴퓨터에 있거나 많은 네트워크 컴퓨터에 배포될 수 있습니다.

이 기능의 적용 대상은 누구입니까?

•	직접 또는 다른 컴퓨터를 통해 DTC 트랜잭션에 참가하는 컴퓨터 사용자
•	DTC 구성 요소를 사용하여 네트워크 전반에 트랜잭션을 수행하는 네트워크의 시스템 관리자

Windows Server 2003 서비스 팩 1에서 이 기능에 추가된 새로운 기능은 무엇입니까?

기본적인 모든 네트워크 통신 보안

자세한 설명

Windows Server 2003 서비스 팩 1의 DTC를 통해 관리자는 컴퓨터 간의 네트워크 통신을 보다 효율적으로 제어할 수 있습니다. 기본적으로 모든 네트워크 통신은 사용할 수 없게 설정되어 있습니다.

통신 설정을 조작하기 위해 DTC 보안 설정 속성 페이지가 향상되었습니다. 이 페이지를 보려면 다음 절차를 수행하십시오.

DTC 보안 설정 속성 페이지를 열려면

1. MMC(Microsoft Management Console)에서 구성 요소 서비스 스냅인을 엽니다. 2. 콘솔 트리에서 컴퓨터 폴더를 클릭합니다. 3. 결과 창에서 내 컴퓨터를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다. 4. MSDTC 탭을 클릭한 다음 보안 구성을 클릭합니다.

아래 표에서는 설정에 따라 다르게 적용되는 레지스트리 키와 속성 페이지에 있는 새 필드에 대해 정의합니다. MSDTC와 관련된 모든 레지스트리 키는 다음 레지스트리 키에 있습니다.

MyComputer\HKEY_LOCAL_MACHINE\Software\Microsoft\MSDTC

주의:

레지스트리를 잘못 편집하면 시스템에 심각한 손상을 줄 수 있습니다. 레지스트리를 변경하기 전에 컴퓨터의 중요한 데이터를 백업해야 합니다. 이러한 레지스트리 키는 다음 릴리스에서 지원되지 않을 수 있습니다.

다음 표는 MSDTC 키 지정 값을 찾을 수 있는 위치를 보여 줍니다.

설정	설명	해당 레지스트리 값
네트워크 DTC 액세스	로컬 컴퓨터에 있는 DTC가 네트워크에 액세스할 수 있는지 결정합니다. 이 설정은 네트워크 DTC 트랜잭션을 사용할 수 있도록 설정하기 위해 다른 설정 중 하나와 조합하여 사용해야 합니다. 기본 설정: 해제	Security\NetworkDtcAccess 0 = 해제 1 = 설정
인바운드 허용	원격 컴퓨터에서 구성되어 배포된 트랜잭션이 이 컴퓨터에서 실행되도록 허용합니다. 기본 설정: 해제	이 설정을 사용할 수 있도록 설정하려면 다음 레지스트리 키 값을 1로 설정해야 합니다. Security\NetworkDtcAccess Security\NetworkDtcAccessTransactions Security\NetworkDtcAccessInbound 이 설정을 사용할 수 없도록 설정하려면 다음 레지스트리 값을 0으로 설정해야 합니다. Security\NetworkDtcAccessInbound
아웃바운드 허용	로컬 컴퓨터에서 트랜잭션을 초기화하고 원격 컴퓨터에서 실행할 수 있도록 허용합니다.	이 설정을 사용할 수 있도록 설정하려면 다음 레지스트리 키 값을 1로 설정해야 합니다. Security\NetworkDtcAccess Security\NetworkDtcAccessTransactions Security\NetworkDtcAccessOutbound 이 설정을 사용할 수 없도록 설정하려면 다음 레지스트리 값을 0으로 설정해야 합니다. Security\NetworkDtcAccessOutbound
상호 인증 필요	가장 높은 수준의 보안 통신 모드로, 다음 버전에서는 상호 인증이 추가로 지원됩니다. 현재 버전의 Windows 및 Windows Server에서 들어오는 호출자 인증 필요 설정과 같은 기능입니다. 이 기능은 Windows XP SP2를 실행하는 클라이언트 및 Windows Server 2003 제품군의 구성원을 실행하는 서버에 대해 권장되는 트랜잭션 모드입니다.	AllowOnlySecureRpcCalls = 1 FallbackToUnsecureRPCIfNecessary = 0 TurnOffRpcSecurity = 0
들어오는 호출자 인증 필요	암호화된 메시지와 상호 인증만으로 로컬 DTC에서 원격 DTC와 통신해야 합니다. 이 설정은 클러스터에서 운영되는 Windows Server 2003을 실행하는 서버에 사용하는 것이 좋습니다. Windows Server 2003 및 Windows XP SP2에서만 이 기능을 지원합니다. 그러므로 원격 컴퓨터의 DTC에서 Windows Server 2003 또는 Windows XP SP2 운영 체제가 실행되고 있음을 아는 경우에만 사용해야 합니다.	AllowOnlySecureRpcCalls = 0 FallbackToUnsecureRPCIfNecessary = 1 TurnOffRpcSecurity = 0
인증 필요 없음	이전 버전의 Windows 운영 체제 사이의 시스템 호환성을 제공합니다. DTC 간에 네트워크 통신을 사용하는 경우 보안 통신 채널을 설정할 수 없으면 비인증 또는 비암호화 통신으로 되돌아갈 수 있습니다. 이 설정은 원격 컴퓨터에 있는 DTC에서 Windows 2000 운영 체제 또는 Windows XP SP2 이전 버전의 운영 체제를 실행하는 경우에만 사용해야 합니다. 또한 이 설정은 트러스트 관계가 설정되지 않은 도메인의 컴퓨터에 관련된 DTC가 있을 경우 또는 컴퓨터가 Windows 작업 그룹인 경우 유용합니다.	AllowOnlySecureRpcCalls = 0 FallbackToUnsecureRPCIfNecessary = 0 TurnOffRpcSecurity = 1

이 변경 사항이 중요한 이유는 무엇이며 이로 인해 줄어드는 위협은 무엇입니까?

이러한 변경 사항은 컴퓨터로 들어오거나 컴퓨터에서 나가는 통신을 보안하는 데 중요한 역할을 합니다. 기본적으로 Windows Server 2003 서비스 팩 1을 설치한 후에는 컴퓨터에서 네트워크 트래픽이 들어오거나 나가지 않으므로 네트워크 공격에 취약하지 않게 됩니다.

추가적으로 온라인 네트워크 프로토콜은 보다 안전하게 암호화되고 상호 인증된 통신 모드를 지원하도록 업그레이드되었습니다. 따라서 공격자가 DTC 간에 통신을 차단하거나 이어받을 수 없게 됩니다.

작동 방식의 차이는 무엇입니까?

Windows Server 2003 서비스 팩 1을 설치한 후에 DTC로 들어오거나 DTC에서 나가는 모든 네트워크 통신은 사용할 수 없습니다. 예를 들어 COM+ 개체가 DTC 트랜잭션을 사용하여 원격 컴퓨터에 있는 SQL 데이터베이스를 업데이트하려고 하면 트랜잭션이 실패합니다. 반대로 사용자의 컴퓨터에서 원격 컴퓨터의 구성 요소가 DTC 트랜잭션을 사용하여 액세스하려는 SQL 데이터베이스를 호스트하면 해당 트랜잭션이 실패합니다.

이러한 문제를 해결하는 방법은 무엇입니까?

네트워크 연결로 인해 트랜잭션이 실패하는 경우 MSDTC 보안 속성을 사용할 수 있습니다. 이 문서의 앞부분에서 설명한 대로 네트워크 DTC 액세스 확인란을 선택한 다음 인바운드 허용 및 아웃바운드 허용 확인란을 적절하게 선택하십시오.

이러한 설정을 프로그래밍 방식으로 Windows Server 2003 서비스 팩 1 배포 과정에서 변경하려는 경우 이 문서의 앞부분에 있는 "기본적인 모든 네트워크 통신 보안"에 있는 표에서 설명한 대로 레지스트리 값을 원하는 설정에 맞는 값으로 직접 변경할 수 있습니다. 레지스트리 설정을 변경한 다음 MSDTC 서비스를 다시 시작해야 합니다.

Windows 방화벽을 사용하여 조직의 컴퓨터를 보호하는 경우 MSDTC를 Windows 방화벽 설정의 예외 목록에 추가해야 합니다. 이렇게 하려면 다음 절차를 수행하십시오.

1.	제어판에서 Windows 방화벽을 엽니다.
2.	예외 탭을 클릭한 다음 프로그램 추가를 클릭합니다.
3.	찾아보기를 클릭한 다음 c:\windows\system32\msdtc.exe를 추가합니다.
4.	프로그램 및 서비스에서 Msdtc.exe 확인란을 선택한 다음 확인을 클릭합니다.

Windows Server 2003 서비스 팩 1에서 변경되거나 추가된 설정은 무엇입니까?

설정 이름	위치	이전 기본값	기본값	사용 가능한 값
NetworkDtcAccess	HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \MSDTC \Security	1	0	0,1
NetwordDtcAccessTransactions	HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \MSDTC \Security	1	0	0,1
NetworkDtcAccessInbound	HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \MSDTC \Security	n/a	0	0,1
NetworkDtcAccessOutbound	HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \MSDTC \Security	n/a	0	0,1
AllowOnlySecureRpcCalls	HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \MSDTC	n/a	1	0,1
FallbackToUnsecureRPCIfNecessary	HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \MSDTC	n/a	0	0,1
TurnOffRpcSecurity	HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \MSDTC	n/a	0	0,1

출처 : http://technet2.microsoft.com/windowsserver/ko/library/8fcbafc0-26ff-4091-9dfd-e029d5a1af7d1042.mspx?mfr=true