msmqread.htm

pws安装 pws安装

如果安装 Windows NT Option Pack 版的 MSMQ 以替代 Windows NT Server/E 版的 MSMQ，
而 Windows NT Server/E 版的 MSMQ 已经有一个 MSMQ 安装共享，那么该安装
共享将被删除，但共享文件并没有被删除，您必须对其进行手工删除。</p>

<p>在下述的过程中，您可以使用两台计算机，一个用来储存 Windows&nbsp;NT Option Pack 
光盘中的内容，另一个储存创建的 .bat 和 .ini 文件。</p>

<big>创建 MSMQ 安装共享的步骤如下：</big>

<ol>
<li>在服务器的硬盘上创建一个新的共享文件夹。</li>
<li>创建名为 Mqsetup.bat 的文件，将下述示例文件的内容复制或粘贴到该文件中。
做适当的修改并保存。例如：</li>

<pre>
copy \\Myservername\Mysetupshare\Setup\Msmqoptp.ini %windir%
\\Myservername\Myshare\Setup
</pre>

<li>创建名为 Msmqoptp.ini 的新文件，将下述示例文件的内容复制或粘贴到该文
件中。做适当的修改并保存。例如：</li>

<pre>
[Common Parameters]
ControllerServer=myservername
SupportingServer=myservername
ServerAuthenticationOnly=True
</pre>
</ol>

<p class="note"><strong><span style="color: #0000FF"><font color="#0000FF">
要点</font></span></strong>&nbsp;&nbsp;&nbsp;必须使用 Msmqoptp.ini 作为文件名。</p>

<p>客户可以通过连接到公用共享文件夹，运行 <strong>Mqsetup.bat</strong> 并
遵循屏幕提示来下载和安装 MSMQ 客户软件</p>

<h2><a name="InstallingMSMQonaCluster">在集群上安装 MSMQ</a></h2>

<p>可以用 Windows&nbsp;NT Option Pack 提供的 MSMQ 升级现有的任何运行于 
 Microsoft Cluster Server (MSCS) 上的计算机中的 MSMQ。</p>

<p>尽管如此，在运行 MSCS 的计算机上，Windows&nbsp;NT Option Pack 
提供的 MSMQ 只能用来安装 MSMQ 路由服务器、独立客户或从属客户。
如果需要运行 MSCS 的计算机上安装 PEC、PSC 或 BSC，必须安装 
Windows&nbsp;NT Server/E 版的 MSMQ，然后再用 Windows&nbsp;NT Option Pack 版
的 MSMQ 对其进行升级并安装这些类型的服务器。</p>

<p>可以在集群内的一台计算机（节点）上安装 MSMQ，然后在集群的第二台
计算机（节点）上安装 MSMQ。即使集群内的一台计算机已升级而另一台未升级，集群仍将继续工作。
要在集群内的第二台计算机上安装 MSMQ，您首先需要安装 
Windows NT Option Pack 内的 Internet Information Server (IIS) 和 Microsoft Transaction Server (MTS)，
然后从 Windows&nbsp;NT Option Pack 安装 MSMQ。</p>

<h2>MSMQ 安装：服务器验证</h2>

<p>在安装 MSMQ 过程中指定 MSMQ 服务器名时，您可以指定是否使用安全连接。
如果使用安全连接而 MSMQ 服务器没有可信的服务器证书，在安装 MSMQ 服务器或
独立客户时将显示下列警告信息：</p>

<p>“No Server Authentication”。</p>

<p>安装程序无法初始化与 MSMQ 服务器的安全通讯通道。
可能是服务器或要安装 MSMQ 的计算机未配置安全通讯，或者在您的 MSMQ 
网络上有一个未授权的服务器。只有服务器和要安装 MSMQ 的计算机
正确配置后，所有与该服务器和其他服务器的通讯才会安全。</p>

<p>详情请与您的 MSMQ 管理员联系，或参阅 MSMQ 版本备注中的
“保障控制器服务器之间的通讯安全”。</p>

<p>可以使用 Msmqoptp.ini 文件（见前一节）中的 ServerAuthenticationOnly 项来
控制无提示安装程序对该消息的处理。如果 ServerAuthenticationOnly=True，
并且无提示安装程序无法初始化与 MQIS 服务器的安全通讯通道，无提示安装程序
将退出并显示上述的警告。</p>

<p>如果 ServerAuthenticationOnly=False，即使 MSMQ 无提示安装程序无法初始化与 MQIS 
服务器的安全通讯通道，无提示安装程序也将继续运行。如果安装程序在 Msmqoptp.ini 
文件中未发现 ServerAuthenticationOnly 项，将默认其为 True。</p>

<p>有关在安装 MSMQ 前后为安全通讯配置服务器的详细内容，请参阅 MSMQ《管理员手册》中的
“管理 MSMQ 企业”的“保障控制器服务器通讯的安全”一节。
有关保障控制器服务器之间的通讯安全的一般内容，请参阅“保障 MSMQ 企业的安全”
中的“控制器服务器通讯的安全保证”一节。</p>

<h2>所支持的平台及配置</h2>

<p>运行 Windows 95 的计算机必须将网络访问控制设置为“用户级访问控制”。
可用控制面板中的“网络”项中的“访问控制”选项卡验证该项。</p>

<p>有关这些方面的内容在 MSMQ《管理员手册》的
“安装 MSMQ”一节中描述。<p>


<h2>MQIS 服务器管理员拥有广泛的访问权</h2>

<p>请确保 MQIS 管理员可以可信地访问所有 MQIS 服务器上的信息。因为即使
只拥有对一台 MQIS 服务器的管理性访问权限，管理员也有可能获得全权访问 MSMQ 
企业内任何对象的权利。例如可以通过更改对象的拥有者而改变其访问权限。</p>

<h2>MSMQ 和 Windows&nbsp;NT Server CAL</h2>

<p>MSMQ 会对 Windows&nbsp;NT Server 客户访问授权(CAL)的份数进行计数。如果无可用的 CAL，
基于 MSMQ 的应用程序将不能进行下列操作：发送消息、打开远程计算机上的队列和从客户上
打开队列。为了对 CAL 计数，MSMQ 强制使用如下规则：</p>

<ul>
<li>对所有的 MSMQ 工作阶段、远程读工作阶段和从属客户打开的队列进行计数。</li>
<li>单机使用的项目只计数一次。例如，一台运行 Windows&nbsp;NT Workstation 或 Windows 95 
的计算机和一台运行 Windows&nbsp;NT Server 的计算机共同拥有一个 MSMQ 
工作阶段和一个远程读工作阶段，服务器将其计数为一个 CAL。</li>
<li>一个运行 Windows&nbsp;NT Workstation 或 Windows 95 的独立客户和
其他的运行 Windows&nbsp;NT Workstation 或 Windows 95 的独立客户间不能拥有
多于 10 个并发工作阶段（MSMQ 和远程读取）。</li>
<li>不对运行 Windows&nbsp;NT Workstation 或 Windows&nbsp;95 的计算机
和运行 Windows&nbsp;NT Server 的计算机间的工作阶段计数，而服务器则对与运行 
Windows&nbsp;NT Workstation 或 Windows 95 的计算机间的工作阶段计数。</li>
<li>从属客户不计数 CAL，但其宿主服务器将为其计数任何打开的工作阶段。
宿主服务器所支持的从属客户的数量受 CAL 数量的限制，且多不能超过 25 个。
另外，如果从属客户在服务器上打开了一个队列，将被计数为一个 CAL。</li>
</ul>

<p class="note"><strong><span style="color: #0000FF"><font color="#0000FF">
要点</font></span></strong>&nbsp;&nbsp;&nbsp;基于 MSMQ 的应用程序和
传统的基于网络的应用程序相比，趋于和更多数量的服务器通讯，因此，
每客户许可方式将显著增加企业的开销。</p>

<p>有关 CAL 和更改 CAL 的详细内容，请参阅 <em>Windows&nbsp;NT Server 4.0 Concepts and Planning</em> 中
“Licensing and License Manager”一节。</p>

<h2>MSMQ 和 SQL Server Service Packs</h2>


<p>MSMQ 要求使用 Microsoft SQL Server 6.5 Service Pack 1 或 Service Pack 
3。MSMQ 和 Microsoft SQL Server 6.5 Service Pack 2 不兼容。</p>

<p>Windows&nbsp;NT Option Pack 光盘上的 \MSMQ\SQL.SP3 文件夹包含了 
SQL Server Service Pack 3，可用来在使用 Service Pack 2 的计算机上安装并替换
现有的 SQL Server。</p>
 
<h2>保障控制器服务器之间的通讯安全</h2>

<p>MSMQ《管理员手册》中的“控制器服务器通讯的安全保证”
的“保障 MSMQ 企业的安全”一节有如下说明：</p>
<blockquote>
“由于所有消息均有签名，并根据 MQIS 数据库的内容进行了验证，所以，
MSMQ 控制器服务器之间的通讯无疑是安全的。”
</blockquote>

<p>虽然该说明的正确性是勿容质疑的，但它并没有说明在默认条件下，要安装 MQIS 
的服务器和其“父”级 MQIS 服务器间的初始化通讯
（如 PSC 和 PEC 间或 BSC 和 PSC 的通讯）不安全。该初始化通讯（通过远程
过程调用 RPC 实现）是不安全的，除非在安装 MSMQ 之前就已经对服务器进
行了安全通讯的设置。例如，可以在未知的情况下从一个未受权的 MQIS 
服务器上安装 MQIS 服务器。但如果从授权的服务器安装 MQIS 服务器，则所
有和其他 MQIS 服务器的进一步的通讯将是安全的。为了防止从未被授权的 MQIS 
服务器安装 MQIS 服务器，请在安装 MSMQ 之前为服务器进行安全通讯设置。</p>

<p><strong>注意</strong>&nbsp;&nbsp;&nbsp;对 MQIS 服务器进行安全通讯设置
（虽然 MSMQ 控制器服务器间的通讯本来就是安全的）可以简化加密密钥的重续。
例如，如果进行加密密钥重续的 MQIS 服务器已经进行了安全通讯设定，子
服务器将自动获得新的公开密钥。但是如果父 MQIS 服务器没有进行通讯安全
设定，您必须手工对其进行更改以允许 MQIS 进行复制并恢复这两个服务器间的
通讯。
</p>

<p>有关在安装 MSMQ 前后，为安装通讯配置服务器的详细内容，请参阅 
MSMQ《管理员手册》中“管理 MSMQ 企业”的
“保障控制器服务器通讯的安全”一节。有关对控制器服务器通讯进行
安全设置的一般介绍，请参阅“保障 MSMQ 企业的安全”中
“控制器服务器通讯的安全保证”一节。</p>

<h2>重续加密密钥</h2>

<p>除从属客户以外，所有 MSMQ 计算机都使用加密密钥来进行各种各样的 MSMQ 
安全操作。用户可以使用控制面板中的“MS Message Queue”对加密密钥进
行重续。</p>

<p>对于独立客户和 MSMQ 路由服务器，于加密密钥的重续有关的只有私有
（被加密了的）消息，由于这些消息是根据以前的密钥进行加密并发送到该
计算机的，因此将被拒绝接收。只有当新的公用密钥发布到所有的 MQIS 服
务器并且发送消息的计算机使用新密钥发送消息时，才能避免出现这种现象。</p>

<p>如果 MQIS 服务器没有设置为安全通讯方式，当重续 PEC 的加密密钥时，
企业的 PSC 将拒绝接收任何来自 PEC 的 MQIS 复制消息；如果重续 PSC 的加密
密钥，BSC 将拒绝接收任何来自 PSC 的 MQIS 复制消息。</p>

<p>如果为一台 MQIS 服务器重续了加密密钥，而其他的 MQIS 
服务器并没有被设置成安装通讯方式，请使用下面的方法予以改正：</p>

<ol>
<li>在改变了加密密钥的 MQIS 服务器上，单击“开始”菜单并单击“运行”命令，
然后键入“mqsrvkey <em>newkey.key</em>”。这里 <em>newkey.key</em> 是您想
使用的输出文件名。“mqsrvkey”命令行工具默认时安装在 MSMQ 文件夹中
（通常为 C:\Program Files\MSMQ）。</li>
<li>如果更改了 PEC 的加密密钥，请将创建的文件复制到每一个 PSC；
如果更改了 PSC 的加密密钥，请将创建的文件复制到每个 BSC。</li>
<li>在每个已完成文件复制的 PSC 或 BSC 上，运行“mqsrvkey”命令并
指定已复制过来的文件的文件名。</li>
</ol>

<h2>默认时，从属客户和 MQIS 服务器间不使用安全通讯</h2>

<p>如果希望从属客户和 MQIS 服务器间使用安全通讯，必须覆盖默认的设置，
因为默认时，从属客户和 MQIS 服务器间不使用安全通讯。</p>

<big>设置从属客户和 MQIS 服务器间使用安全通讯的方法如下：</big>
<ol>
<li>在控制面板中，双击“MS Message Queue”。
<li>在“安全”选项卡中，选择“与 MSMQ 控制器服务器通讯时，只使用保险的连接。”复选框。
</ol>

<h2>远程读取时，消息按无格式文本方式发送</h2>

<p>MSMQ Security 特性保证了从应用程序到目的队列的间所有消息的完全安全。
为了保证完全安全，接收消息的应用程序和队列必须驻留在同一台计算机
（既本地读取）。</p>

<p>在远程读取的情况下（如从计算机 A 读取消息，而队列却在计算机 B 上），
只有授权的用户才可以打开队列进行读取，也就是说，该用户拥有对队列的访问权。
但是，如果接收消息的应用程序通过网络读取时，消息并不被加密或验证。</p>

<h3>远程读取时启动消息的完整性和验证性的方法</h3>

<p>接收消息的应用程序在进行远程读取时，消息并不被加密或验证。为了保证
对将发送到远程读者的每一则消息进行检查，请用控制面板中的“服务”
来配置使用域用户帐户（而不是本地系统帐户）读取消息的计算机的 
Microsoft Message Queue Service。</p>

<h2>MQIS 服务至少需要一个网卡</h2>

<p>每个 MQIS 服务器（PEC、所有的 PSC 和所有的 BSC）必须至少拥有一个网卡。
即使该服务器为膝上型电脑或是通过 RAS 的调制解调器连接到网络上，网卡仍然
是必须的。</p>

<h2>在安装支持服务器前安装 MSMQ 从属客户</h2>

<p>虽然 MSMQ <b>管理员手册</b>中指出：“在安装 MSMQ 从属客户时，支持服务器与节点控制器服务器 
(PSC 或 PEC) 均必须处于联机状态。”但是，如果该支持服务器未处于联机状态，或甚至还没有安装，
您仍可以安装该客户端。</p>

<p>MSMQ 从属客户的安装程序将试图与所指定的支持服务器通讯，如果该服务器不响应，则安装程序将
显示消息，告诉用户该服务器不可达。您既可以指定另一台服务器，也可单击“取消”。如果单击了
“取消”，则安装程序将通过使用所键入的服务器名来顺利完成安装。利用这个特点，您可在安装支持
服务器之前安装从属客户。但是，当支持服务器脱机时，不能在运行 Windows 95 的计算机上配置 MS 
DTC 服务。</p>

<p>有关在运行 Windows 95 的计算机上配置 MS DTC 服务的详细内容，请参阅 MSMQ《管理员手册》中
“安装 MSMQ”一节的“配置 MSMQ 从属客户”。</p>

<h2>当装有 IE4 时，MSMQ 证书颁发机构 (CA) 的管理</h2>

<p>MSMQ 用本身的证书库来保存证书颁发机构 (CA) 的证书。在安装过程中，MSMQ 将 Microsoft Internet 
Explorer 4 (IE4) 所信任的 CA 清单复制到其自身的证书库中。</p>

<big>MSMQ 所信任 CA 的管理</big><br>