Configuration MSDTC et port FireWall
Voici une question qui revient assez souvent dans le cadre de BizTalk Server et SQL Server, mais avec le Framework .Net 2.0, elle se généralise ... Comment configurer MSDTC lorsque celui-ci doit échanger avec des serveurs inscrits dans des zones différentes protégées par FireWall ? Cas typique d'application distribuée échangeant avec des partenaires ou dans le cadre de sites internet reposant sur des architecture N-Tiers.
Depuis le Framework .Net 2.0, un nouveau Namespace est apparue : System.Transaction qui permet de créer ou de participer à des transactions locales ou distribuées. Cette fonctionnalité était accessible auparavant au travers d'assemblies .Net hébergées dans COM+.
Ce namespace utilise donc en interne MSDTC (Microsoft Distributed Transaction Coordinator) pour synchroniser les transactions sur une architecture distribuée entre plusieurs serveurs. L'inconvénient majeur de cette utilisation concerne la paramétrage de MSDTC et notamment dans le cadre où l'un des serveurs se trouve derrière un FireWall puisque MSDTC participe au transaction via RPC mais en allouant dynamiquement le port de communication entre 1024 et 65535.
Afin d'éviter d'ouvrir l'ensemble des ports sur le FireWall, il est préférable de configurer MSDTC pour qu'il utilise uniquement une plage de port restreinte. Pour ce faire, identifiez idéalement une plage au-dessus de 5000 et d'au moins 100 ports. Typiquement : 5000 à 5100.
Le détail de la configuration se trouve ici : http://support.microsoft.com/kb/250367/
Toutefois, cette KB indique une manipulation de la base de registre alors que depuis Windows XP et 2003 il est possible de faire cette configuration depuis l'interface de Service de composants (comexp.msc). Voir copie d'écran ci-dessous :
Une fois cette plage de port définie et configurer, il est donc nécessaire d'ouvrir les ports suivants sur le FireWall :
-
Connexion entrante MSDTC : TCP 135
-
Plage de port MSDTC définie plus haut : TCP 5000 à 5100
-
Si vous utilisez une résolution de nom basée sur un serveur DNS : TCP/UDP 53
-
Redémarrer MSDTC
Une fois ces différentes configurations effectuées, un petit test peut-être sympa à affectuer pour valider le tout. Pas facile de fournir une application de test validant les transactions MSDTC. Et bien Microsoft à penser à nous et je ne peux que vous le recommander : DTCPing.exe qui permet de valider les échanges et de tracer l'ensemble des flux échangés.
Point important, pensez aussi à autoriser les accès distant à MSDTC dans la même console que plus haut. Cette option n'est pas cochée par défaut ...
Ce post vous a plu ? Ajoutez le dans vos favoris pour ne pas perdre de temps à le retrouver le jour où vous en aurez besoin :
