Настройка dcom для opc windows 10

Введение

Данное руководство рекомендуется применять в случае, когда требуется организовать подключение программы АСУД.SCADA к Tekon ОРС-серверу, находящихся на разных ПК.

Статья подходит для ПК с операционной системой

• Windows 8 «Профессиональная» или «Корпоративная»
• Windows 10 «Профессиональная» или «Корпоративная»  

Инструкция так же подходит для пульта АСУД-248-ПК с ОС

• Windows 8 Embedded,
• Windows 10 Embedded.  

Инструкция может применяться ко всем версиям АСУД.SCADA 
(при настройке подключения в АСУД.SCADA версий до 2.7.2 включительно, следует обратить внимание на замечание в разделе конфигурирования ОРС-сервера). 

Внимание! 
В настоящее время вы можете просто ознакомиться с инструкцией, для понимания того, что происходит в процессе настройки.
А всю настройку выполнить с помощью утилиты DCOM Access Assistant

Настройка ПК с ОРС-сервером

Настройка DCOM на уровне компьютера

1. Нажимаем Win+R или «Пуск-меню — Выполнить».
2. В строке пишем dcomcnfg и нажимаем «Enter».
3. В открывшемся окне ищем вкладку «Службы компонентов — Компьютеры — Мой компьютер».
4. Нажимаем правой кнопкой мыши на «Мой компьютер» и нажимаем «Свойства».

Далее нажимаем:

«Свойства по умолчанию». Выставляем, как показано на рисунке

«Безопасность COM».

В разделе «Разрешение на запуск и активацию» нажать «Изменить ограничения».

Добавить группу «Distrebuted COM Users» или «Пользователи DCOM». И дать ей полные права.

 

Далее нажать в этом же разделе «Изменить значения по умолчпнию» и проделать то же самое.

Настройка пользователей Server и Scada.

Пользователь Server

1. Открываем «Управление компьютером», Открываем вкладку «Служебные программы — Локальные пользователи и группы — Пользователи». Добавляем пользователя Server.

2. Галочки расставляем, как на рисунке. Пароль — 0000 (или свой).

3. Добавляем пользователя «Server» в группу «Администраторы». Остальные группы у пользователя удаляем.

4. Открываем «Панель управления — Администрирование — Локальная политика безопасности». 

5. Открываем вкладку «Локальные политики — Назначение прав пользователя».

6. Добавляем пользователя Server в следующие политики : «Запретить локальный вход» и «Отказать в доступе к этому компьютеру из сети».

Пользователь Scada

1. Открываем «Локальные пользователи и группы»
2. Добавляем пользователя Scada, галочки и пароль — аналогично,как пользователю Server.
3. Добавляем его в группу «Пользователи DCOM», отальные группы удаляем.
4. В локальной политике безопасности запрещаем этому пользователю локальный вход.

Права DCOM компонентам OpcEnum и Tekon OPC Server

Настройка OpcEnum

1. Открываем dcomcnfg.
2. Открываем вкладку «Службы компонентов — Компьютеры — Мой компьютер — Настройка DCOM».
3. В выпадающем списке, либо в окне с права ищем компонент «OpcEnum».
4. Нажимаем на него правой кнопкой мыши и выбираем «Свойства».
5. Во вкладке «Общие» параметр «Проверка подлинности» — выставляем » По умочанию».

   

6. Во кладке «Безопасность» в разрешениях «на запуск и активацию» и «на доступ» выставляем «По умолчанию»
7. Парамерт «на изменение настроек» не трогаем и нажимаем «ОК»

Настройка Tekon OPC Server

1. Ищем в окне компонентов Tekon OPC Data Access Server (version 3.4)
2. Наживаем правой кнопкой мыши — «Свойства»

   

3. Во вкладке «Общие» параметр «Уровень проверки подлинности» выставляем «По умолчанию».

   

4. Во кладке «Безопасность» в разрешениях «на запуск и активацию» и «на доступ» выставляем «По умочанию».
5. Параметр «на изменение настроек» не трогаем и нажимаем «ОК».

   

6. Открываем вкладку «Удостоверение» и указываем пользователя Server с его паролем на запуск приложения и нажимаем «ОК».

   

Настройка брандмауэра Windows

1. Добавить правило во входящих подключениях для 135 ТСР порта. 
2. Добавить правило во входящих подключениях для приложения «%SystemRoot%\SysWOW64\OpcEnum.exe» (или «%SystemRoot%\System32\OpcEnum.exe» , если у Вас 32-х разрядная ОС) .
3. Добавить правило во входящих подключениях для приложения «%SystemDrive%\1Tekon\ASUD Scada\OPC Server\opcsrv.exe».
4. Добавить правило в исходящих подключениях для приложения «%SystemDrive%\1Tekon\ASUD Scada\OPC Server\opcsrv.exe».
5. Здесь же включить два правила «Наблюдение за виртуальной машиной (эхо-запрос — ICMPv4 — входящий трафик)» и «Наблюдение за виртуальной машиной (DCOM — входящий трафик)».

Замечание относительно версий АСУД.SCADA до 2.8.0

При настройке АСУД Scada версии до версии 2.8.0, на ПК с OPC-сервером дополнительно к указанным действиям должен быть создан:

• пользователь, учетные данные которого  (логин и пароль) совпадают с учетными данными пользователя запускающего АСУД Scada на ПК со SCADA
• пользователь, который был указан при регистрации подключения SCADA к ОРС-серверу.

Обычно, на Пультах-ПК — это пользователи:

• dispatcher
• adminscada.

Настройка ПК со Scada

Настройка пользователей и предоставление прав

1. Создаем пользователя Server, задаем ему пароль и добавляем в группу Пользователи DCOM. Остальные группы у пользователя удаляем.

   

2. В «Локальной политике безопасности» запрещаем пользователю Server локальный вход.

   

Настройка Брандмауэра Windows

1. Добавить правило входящих подключений для 135 ТСР порта.
2. Добавить правило исходящих подключений для приложения %SystemDrive%\1Tekon\ASUD Scada\SCADA\scada.exe.

Регистрация Tekon ОРС-сервера в АСУД.SCADA 

ASUD Scada и ОРС-сервер установлены на одном ПК

Если программа SCADA и орс-сервер уcтановлены на одном ПК, то можно не использвать дополнительные настройки DCOM.

При регистрации OPC-сервера в SCADA можно использовать текущего пользователя, как показано на ресунке:

ASUD Scada и ОРС-сервер установлены на разных ПК

Если конфигурация более сложная, например Scada и ОРС-сервер установлены на разных ПК, то рекомендуется настраивать ПК, как описано выше в пунктах 2 и 3.

При регистрации ОРС-сервера в SCADA следует использовать учетные данные пользователя scada, созданного на ПК с сервером:

DCOM Access Assistant

Внимание!
Использовать только в Windows 8/8.1/10/11 

Данный мастер (PowerShell скрипт)создает необходимых для работы системы Пользователей, а так же настраивает:

• Брандмауэр.
• Службы Компонентов DCOM.
• Локальную политику безопасности. 

Скачать скрипт можно по ссылке. Для запуска скрипта используйте JS-файл.

Вы можете применять данный скрипт для конфигураций:

• локальная SCADA + OPC.Сервер, если есть проблемы в работе преднастроенной конфигурации.
• локальная SCADA + OPC.Сервер  и удаленная SCADA, подключаемая к этому же ОРС.Серверу.
• удаленный OPC.Сервер + одна или несколько SCADA
• и т.д.

Скрипт должен быть запущен последовательно на каждом из ПК. Перед запуском у вас уже должно быть установлено ПО АСУД.SCADA

После первого запуска скрипт просканирует конфигурацию АСУД и оторазит текущую версию установленного программного обеспечения.

Далее следует выбрать тип настраиваемого ПО:

• если на ПК, где запущена утилита, есть проблемы с работой ОРС.Сервера и SCADA — выбираем обе программы
• если необходимо настроить только подключение удаленной SCADA — выбираем настройки только ОРС.Сервера 
• и т.п.

Далее есть два варинта настройки:

• Лайт вариант — упрощенный, для наших ПК с пользователями adminscada, dispather
• Полноценный вариант — с выбор специального пользователя для подключения SCADA — ОРС.Сервер
  (как описано в инструкции выше)

Замечание!
При настройке версий до 2.8.0 см. замечание указанное в статье выше.

 В Лайт-варианте при настройке АСУД.SCADA версии до 2.8.0 на нашем ПК или Пульт-ПК, мастер необходимо просто запустить 2 раза, как указано на рисунке ниже:  

• один раз для пользователя Adminscada
• второй —  для пользователя Dispatcher.

Если вы хотите выполнить полноценную «безопасную» настройку подключения согласно инструкции (выше), следует выбирать пользователя server, scada c блокировкой локального входа для этих пользователей и отказом доступа по сети.

DCOM ошибки и их решения

В данном разделе описаны типовые ошибки, причины их возникновния и способы их решения.

«Сервер RPC не доступен»	При регистрации орс-сервера указан не правильный ip-адрес. Проверить корректность ip-адреса сервера. Подключение блокируется брендмауером или антивирусом сервера. Рекомендуется добавить в него исключения, описанные здесь.
«Отказано в доступе»	Пользователю или группе «Пользователи DCOM» не разрешено удалённое подключение к DCOM компонетам на ПК с сервером. Проверьте эти настройки. Не корекнтые настройки компонетов OpcEnum и Tekon Data Access Server. Рекомендуется открыть dcomcnfg и настроить, как описано в этом пунтке. На ПК с сервером нужно проверить права пользователя, с которым Scada подключается к серверу. Возможно, что у него не достаточно прав, либо при подключении используются не корректные логин и пароль. Рекомендуется перепроверить коррекность вводимых данных. Как настроить права прользователя, можно посмотреть здесь. Пользователю или группе «Пользователи DCOM» нет доступа к папке «1Tekon». Рекомендуется открыть свойства папки, во вкладке «Безопасность» добавить группу «Пользователи DCOM» и дать ей права на чтение и на запись..
«Класс не зарегистрирован»	Не установлен пакет библиотек «OPC Core Components». Означает, что на ПК с сервером не было установленна Asud.Scada, либо установлепна, но не установился OpcEnum по каким-то причинам. Для этого следует установить его отдельным файлом. Внимание! Если установлена Asud.Scada весрии ниже 2.7.3, то после установки пакета «OPC Core Components» необходимо запустить файл da1.reg. Иначе будет возникать ошибка «Не опознанная ошибка».
«Интерфейс не зарегистрирован»	Не установлен пакет библиотек «OPC Core Components» на ПК со скадой.  Рекомендуется установить пакет «OPC Core Components».
«Не опознанная ошибка»	Возникает, если на ПК с сервером установлена Asud.Scada версии ниже 2.7.3 и установлен OPC Core последней версии(3.00). Такая ситуация могла возникнуть на оъектах, где устанавливался сторонний орс-север в месте с нашим. Так как Asud.Scada(до 2.7.3) ставила OPC Core более старой версии — 2.00(и могла работать только с ним), пакет стороннего сервера обнорвлял его до своей версии, более новой. Решение — обновить ПО Asud.Scada до версии 2.7.3 либо установить файл da1.reg.
«Не удалось зарегистрировать интерфейс обратных вызовов в точке подключения IID_IOPCShutdown», «Отказано в доступе»	На ПК с сервером служба Tekon OPC запущена от системной учетной записи. Рекомендуется проверить настройки, показанные в этом пункте. На ПК со Scada не зарегитрирован прользователь Server либо его учетные данные не совпадают с данными пользователя ПК с орс-сервером. Проверьте эти настройки.
«Не удалось зарегистрировать интерфейс обратных вызовов в точке подключения IID_IOPCShutdown», «Сбой при удалённом вызове процедуре»	Проверьте : в настройках брандмауера на ПК со Scada «правила для входящих подключений» для порта 135 ТСР, для приложения scada.exe. на ПК с орс-сервером «правила для исходящего подключения» для приложения opcsrv.exe
«Указанная служба не установена»	На ПК с орс-ервером не установлена служба OpcEnum. Рекомендуется переустановить пакет «OPC Core Components».
«Не удается найти указанный файл»	На ПК с орс-сервером установлена служба OpcEnum, но файл C:\Windows\SySWoW64\OpcEnum.exe (или C:\Windows\System32\OpcEnum.exe, если 32-ная операционная система) отсутствует или поврежден. Рекомендуется переустановить пакет «OPC Core Components».

• Часть 1. Установка OPC компонент, необходимых для функционирования OPC интерфейса.
• Часть 2. Настройка DCOM и OPC. Создание пользователя и выдача прав.
• Часть 3. Настройка брандмауэра Windows 2008 и Windows 7 для разрешения работы DCOM и OPC.
• Часть 4. Настройка параметров DCOM. Dcomcnfg.
• Часть 5. Настройка DCOM и OPC. Проблемы и их решение.

4. Настройка параметров DCOM

Для корректной работы OPC серверов необходимо настроить сетевые параметры и параметры безопасности DCOM.

Настройка OpcEnum не требуется, поскольку данная служба автоматически настраивается при установке «OPC Core Components».

Пример настройки параметров приведен для тестового OPC сервера «Те st OPC Server». Настройка параметров DCOM выполняется с помощью служебной команды «dcomcnfg».

Для запуска «dcomcnfg» нажмите на клавиатуре Win+ R, чтобы открыть окно запуска программ из командной строки.

Рис. 20 Запуск службы компонентов

4.1 Настройка параметров по умолчанию

Рис. 21 Свойства

Рис. 22 Безопасность COM

Кликните по кнопке №1 (рис. 22). В появившемся диалоговом окне (рис.23):

1. Кликните на кнопке «Добавить»;
2. Добавьте группу пользователей «Пользователи DCOM», выполнив действия, аналогичные показанным на рисунках 7 – 9;
3. Установите для нее права доступа;
4. Сохраните изменения, кликнув по кнопке «OK».

Рис. 23 Настройка прав доступа

Повторите действия в диалоговом окне «Разрешение на запуск и активацию» (рис.24), которое появляется при клике на кнопке №2 «Изменить умолчания» (рис.22).

Рис. 24 Настройка разрешений на запуск

На закладке «Набор протоколов» (рис.25) удалите все протоколы, кроме TCP/ IP и нажмите «OK» для того чтобы сохранить изменения в диалоговом окне «Свойства: Мой компьютер».

Рис. 25 Настройка разрешений на запуск

4.2 Настройка параметров для OPC сервера

Рис. 26 Настройка DCOM для OPC сервера

Поскольку все параметры были настроены для всего компьютера, то необходимо убедиться, что OPC сервер использует параметры по умолчанию.

Рис. 27 Общие свойства OPC сервера

Рис. 28 Свойства безопасности

Рис. 29 Конечные узлы

Рис. 30 Удостоверение

На закладке «Удостоверение» необходимо указать имя пользователя, который был создан ранее, от имени которого будет запускаться OPC сервер.

Замечание 1.
Перед изменением настроек OPC сервера необходимо убедиться, что он не запушен и отсутствует в списке активных процессов. Или перезапустить OPC сервер после изменения настроек.

Замечание 2.
Для некоторых OPC серверов необходимо, чтобы они были запущены хотя бы один раз с правами администратора, для того чтобы зарегистрироваться в системе и инициализировать параметры OPC сервера. Только после такой инициализации они будут доступны для обнаружения через OpcEnum и подключения.

4.3 Настройка доступа к OPC серверам «Для всех»

Внимание! Разрешение доступа для всех может снизить уровень безопасности компьютера.

Иногда требуется разрешить доступ к OPC серверу для всех, включая анонимных пользователей. Например, когда компьютер с сервером не включен в домен, а к серверу будут подключаться множество клиентов.

Преимущества:

1. Компьютер с сервером может быть не включен в домен;
2. Не требуется создавать пользователей на компьютере с OPC сервером;
3. Пользователи могут запускать OPC клиент от своего имени.

Недостатки:

1. Угроза безопасности компьютера за счет разрешения удаленного доступа к DCOM для всех.

Если вы хотите дать доступ к OPC серверу для всех, то необходимо настроить индивидуальные права доступа для выбранного OPC сервера.

Откройте настройки DCOM для OPC сервера, как показано в разделе 4.2 и модифицируйте их согласно рис.31 – рис.34. Остальные опции должны соответствовать параметрам, указанным в разделе 4.2.

Рис. 31 Общие свойства

Рис. 32 Свойства безопасности

Рис. 33 Разрешения на запуск и активацию

Рис. 34 Права доступа

Необходимо настроить локальную политику безопасности. Для этого необходимо открыть консоль управления «Локальная политика безопасности». Консоль можно запустить, выполнив «Пуск» — «Администрирование» — «Локальная политика безопасности». Необходимо перейти в раздел «Локальные политики: Параметры безопасности». И установить состояние правила «» в состояние «Включено» (рис. 35).

Рис. 35 Свойства политики безопасности

Если после изменения политики безопасности, как показано на рис. 35, OPC клиенты не могут получать список OPC серверов и подключаться к ним, то необходимо настроить и сохранить дополнительные свойства политики безопасности (рис. 36-37).

Рис. 36 DCOM: ограничения на доступ

Рис. 37 DCOM: ограничения на запуск

Процесс добавление группы пользователь подробно показан в разделе 2.2.

Пройдя через подключения преобразователя интерфейса ЕКОН к компьютеру можно приступить к завершающей части ради которой все и затевалось. Я имею ввиду получения данных с приборов, которые подключены к ЕКОНу. Для этого необходимо проделать те же операции что и при стандартном подключении приборов через преобразователь (АС4 например). То есть для начала необходимо внести список приборов в OPC-сервер, а затем добавить необходимые приборы в SCADA-систему. Всё точно также за исключением одного! Необходимо запускать «Конфигуратор виртуальных портов», точнее поставить галочки «Запускать последнюю конфигурацию» и «Запускать при загрузке Windows», чтобы он запускался автоматически при старте Windows. Этим самым обеспечивается создание виртуального порта с которым будет работать и OPC-сервер и SCADA-система. Вот теперь можно приступать к настройке системы для получения данных с приборов.

Установка SCADA-системы (MasterScada)

Первым делом необходимо установить SCADA-систему. В моем случае это MasterScada, так как пару тройку лет назад, когда необходимо было выбрать такую систему для предприятия, то именно она стала победительницей при беглом тестировании многих систем такого типа. Тут в общем то нет ничего необычного, обычная программа для Windows обычная установка с помощью одной кнопки «Далее» и минимум настроек при установке. Как и все программы для Windows запускается MasterScada по ярлычку в меню «Пуск».

Установка OPC-сервера

Далее необходим OPC-сервер через которого SCADA-система будет общаться с приборами. В данном случае это OPC-сервер от OWEN. Взять его можно на сайте фирмы OWEN. Правда там не один сервер, а целых три: два для интерфейса RS-485 и один для токовой петли. Нам необходим для интерфейса RS-485 с протоколом ОВЕН, а справочную систему ставьте по желанию. Я даже не помню использовал я её когда только начинал разбираться со всем этим или нет. Установка, опять же стандартная, трудностей возникнуть не должно. Для примерна при установке я ничего не менял и поставил все три OPC-сервера, если думаете, что ваши эксперименты будут продолжаться с различными приборами, то рекомендую поступить также. Вот коллекция скриншотов кому интересно:

Подключение приборов ЕКОНа к OPC-серверу

И так! Начнем. Должно быть так: запускаем OPC-сервер, в нём выбираем нужный COM-порт и составляем список тех приборов, которые подключены к этому порту. COM-порт в нашем случае находиться на ЕКОНе, но это для компьютера всё равно, так как «Конфигуратор виртуальных портов» эмулирует нам его в системе. И система думает что все приборы на самом деле подключены к самому системному блоку компьютера. Запускаем OPC-сервер, ждем пока он загрузиться…

… и настраиваем! Но фиг! В моем случае появилось два COM-порта. Эта порты отдельной платы воткнутой в материнскую плату системного блока. А где же порт ЕКОНа??? А он не появиться пока не будет запущен «Конфигуратор виртуальных портов» о котором я написал в первом абзаце! Если после тех настроек закрыть его и не перезагрузить комп, но в системе не будет виртуального порта ЕКОНа. А есть ли он или нет и является ли какой либо порт ЕКОНовским можно проверить в диспетчере устройств. В моем случае были два COM-порта специальной платы и не одного от ЕКОНа:

Запускаем конфигуратор смотрим, какой порт он выбрал для эмулирования. Тут указан COM5. Ранее был COM1, не обращайте вниманию на разницу. Я не сразу настраивал прибор в SCADA-системе, а через пару дней в которые мне нужен был COM1. Так что сам конфигуратор не выбирает COM-порты, достаточно определить его один раз, затем он автоматически будет эмулировать то, что было указано первоначально. Запускаем диспетчер задач и видим появившийся COM-порт, затем снова запускаем OPC-сервер и видим все что необходимо.

Дальше всё просто, кто уже сталкивался с настройкой приборов проблем не будет. Настройка приборов в OPC-сервере приборов подключенных к ЕКОНу нисколько не отличается от настройки приборов подключенных на прямую в компьютер. Надо задать список приборов и ввести их настройки. У меня это ТРМ202 с восьмибитным адресом «10». После настройки приборов необходимо указать правильные настройки самого интерфейса обмена: скорость, битность, стоп бит и т.д. Это всё то, что мы указывали когда настраивали порт ЕКОНа. На правом скриншоте окончательные настройки при которых корректный обмен с приборами будет возможен.

Присоединение приборов OPC-сервера к SCADA-системе

Запустив MasterScada вылазиет приглашение создания нового проекта. В строке имя проекта пишу «testingEKON», а при создании пароля оставляю поля пустыми. После этого система примет вид для проектирования и настройки проекта. Основными для проектирования являются два «белых» окна. В одном в левом верхнем углу написано «Система» в другом «Объект». Там где «Система» проектируется оборудование: компьютеры, OPC-сервера и приборы. А в окне «Объект» вы можете построить «дерево» какой нибудь установки и подключить определенные датчики из системы к параметру установки. Допустим первый датчик прибора ТРМ202 с адресом 25 к установке «Морфлот» параметр «Влажность». Также понятней? Не придеться вспомниать что отображает датчик какого-то прибора, а сразу видно что показывают цифры.

MasterScada может функционировать как распределенная система, поэтому в ней можно указать несколько компьютеров на которых она запущена и распределить задачи между ними, допустим кто-то рисует графики для пользователей, а кто-то собирает данные с приборов, таким образом вся нагрузка не ляжет на мощь одного компьютера, а будет равномерно (а может и не равномерно — это уж кто как настроит) распределена между всеми компьютерами. В данном случае используется один компьютер и для этого примера его более чем достаточно. Так что для начала следует «вставить» в проект «Компьютер», затем «вставить» в него OPC-сервер, который на нем используется. Ну и как не сложно догадаться добавить приборы которые использует OPC-сервер. Чем мне и понравилась MasterScada это то что можно проектировать систему как снизу вверх так и с верху вниз. Рассматривать полное проектирование проекта я не буду, у них для тех кто покупает систему впервые идет книжка с подробными описаниями как и что делать. Именно я её и использовал для изучения возможностей этой SCADA-системы.

Когда в проекте присутсвует OPC-сервер он подгружается в системный трей (значок рядом с часами), но в нашем случае еще есть и конфигуратор. Так вот если кликнуть на конфигуратор, то можно заметить что около строки с портом который мы используем обновился значек и означает он что работаем через этот самый конфигуратор. Действительно доступ OPC-сервер получает от COM-порта который эмулирует конфигуратор.

Долгожданное получение данных
от «заЕКОНовских приборов»

Настало время запустить проект кликнув по значку с ракеткой, ответив да на вопрос о сохранении, выбрав в окне «Идентификатор оператора» оператора «sa» и нажать кнопку «ОК». Остается ждать когда придут данные, а пока они идут можно проверить идет ли обмен с виртуальным портом и какие данные с него идут.

Запускаем конфигуратор из трея смотрим, значек опять изменился! И на этот раз он отображает обмен информацией с самим портом на ЕКОНе, то есть тут все нормально. Посмотрим какие приходят данные. Запускаем OPC-сервер по значку в трее, переходим на вкладку «Информация». Здесь в двоичном виде показываются данные полученные с приборов. Точнее показываются не приборы, а их адреса. Если в одном приборе два датчика, а адрес прибора 10, то данные будут идти так, первый датчик адрес 10, второй датчик адрес — 11. Что у нас и отображается… Только вот данных нет… Показывается что превышел лимит ожидания данных от прибора — «timeout». Тут либо прибор не подключит либо что то не так с настройками обмена. Останавливаем проект по кнопочке «Стоп» лезем разбираться.

В чем заключается настройка DCOM OPC? Для корректной работы OPC серверов по сети, необходимо настроить сетевые параметры и параметры безопасности DCOM.

Настройка DCOM для компьютера

Distributed Component Object Model (DCOM) — это протокол, с помощью которого компоненты программного обеспечения поддерживают связь по сети. Модель DCOM (прежнее название — «Network OLE») может использовать несколько сетевых транспортов, включая протоколы Интернета (например, протокол HTTP).

Поддержка DCOM встроена в Windows, начиная с версии Windows NT 4.0.

Первым шагом к настройке DCOM OPC всегда является для работы с OPC. Если у вас пользователь настроен, то приступим к настройке сети и параметров безопасности.

В данном разделе нужно настроить свойства DCOM по умолчанию на сервере, чтобы «все работало». Приступим.

1. Запустим окно настройки DCOM

Настройка параметров DCOM выполняется с помощью служебной команды «dcomcnfg». Для запуска «dcomcnfg» нажмите на клавиатуре Win+R, чтобы открыть окно запуска программ из командной строки.

Откроется окно Службы компонентов
, в котором нужно будет раскрыть список Службы компонентов
, а затем и список Компьютеры
, где мы увидим еще один вложенный список Мой компьютер
, на который нужно нажать правой кнопкой мыши и выбрать пункт меню Свойства
.

2. Настройка свойств компьютера для DCOM

В появившемся окне свойств выбираем вкладку Свойства по умолчанию
и устанавливаем следующие настройки:

1. Галка Разрешить использование DCOM на этом компьютере
   — без нее DCOM работать не будет.
2. В Уровень проверки подлинности по умолчанию
   выбираем Подключиться
   .
3. В Уровень олицетворения по умолчанию
   выбираем Определить
   .

После жмем кнопку OK
. Система может предупредить о том, что будут изменены свойства DCOM — соглашайтесь. Окно Службы компонентов
не закрывайте, оно нам еще понадобится.

Те же настройки необходимо провести и на клиенте за исключением пунктов 3.2 и 3.3 — они не повлияют на работу, но и не повредят. Самое главное, чтобы DCOM был разрешен.

Настройка безопасности DCOM

Переходим на вкладку Безопасность
и устанавливаем умолчания на права доступа и на запуск и активацию.

Кликните по кнопке №1. В появившемся диалоговом окне:

1. Кликните на кнопке «Добавить»;
2. Добавьте группу пользователей «Пользователи DCOM
3. Установите для нее права доступа;
4. Сохраните изменения, кликнув по кнопке «OK».

Повторите действия в диалоговом окне «Разрешение на запуск и активацию»
которое появляется при клике на кнопке №2 «Изменить умолчания».

На вкладке Набор протоколов
должен быть только один протокол, как на скриншоте

Настройка DCOM для OPC Enum

Настройка OPC Enum по умолчанию

Если вы настроили умолчания для компьютера, то чаще всего эта настройка не нужна. Нужно только убедиться, что все настройки выставлены так, как надо.

Настройка OPC Enum вручную

Но иногда почему-то настройки по умолчанию не работают. Тогда настраиваем DCOM для OPC Enum вручную.

Служба OpcEnum отвечает за отображение OPC-серверов. Если ее настроить некорректно, то при браузинге серверов, вы не увидите ничего, кроме ошибок. Эту службу нужно настроить на сервере.

Вкладка Общие

Откроется окно свойств, и во вкладке Общие
в списке Уровень проверки подлинности
выбрать Подключиться
.

Вкладка Размещение

Во вкладке Размещение
должен быть выбран пункт Запустить приложение на данном компьютере
. Остальные галки должны быть сняты.

Вкладка Безопасность

Во всех трех случаях выбираем пункт Настроить
, т.е. у нас должны быть активны три кнопки Изменить
.

Открываем окошко Разрешение на изменение настроек
.

В этом окне точно так же добавляем группу и разрешаем ей Полный доступ
и Read
— они ставятся одновременно и снимаются так же. Жмем OK
.

Вкладка Удостоверение

Переходим ко вкладке Удостоверение
окна свойств OpcEnum.

Для службы OpcEnum возможно два варианта запуска:

Определившись нажимаем OK
и переходим к перезапуску службы OpcEnum. Это можно сделать из того же окна: слева выбираем Службы (локальные)
, справа в списке ищем OpcEnum, выбираем и перезапускаем нажатием на появившуюся ссылку.

1. Дожидаемся перезапуска службы и переходим к клиенту.
2. На клиенте запускаем OPC-клиент и пытаемся искать OPC-сервера на компьютере OPC-сервера.

Но при попытке достучаться до тэгов прилетает отказ. Этого следовало ожидать, ведь мы еще не настраивали наш OPC сервер.

Настройка DCOM для OPC сервера

Мы вплотную подобрались к настройке ПО, которое будет выдавать нам теги на клиенте. Настройка не сильно отличается от процедуры, описанной в предыдущем разделе.

4.3 Настройка DCOM

Для настройки прав доступа к DCOM-приложениям в операционных системах Windows XP, Windows Server 2003 и Windows Vista используется оснастка «Службы компонентов»
(Component Services) консоли управления.

Оснастку можно вызвать:

· из системного меню «Пуск/Выполнить»
по команде dcomcnfg (рисунок 4.15)

Рисунок 4.15 — Запуск утилиты dcomcnfg

· из системного меню «Пуск/Панель управления/Администрирование/Службы компонентов» (рисунок 4.16)

Рисунок 4.16 – Системные инструментальные средства «Службы компонентов»

· а также через консоль управления Microsoft – mmc. exe.

GВнимание!!!

После запуска оснастки «Службы компонентов» производится поиск
COM
-приложений, которые ещё не зарегистрированы в системе на данный момент, и предлагается зарегистрировать их. Обычно, следует разрешать регистрацию, за исключением случаев, когда иное не указано в документации на программное обеспечение .

После запуска появляется окно «Службы компонентов» (рисунок 4.17).

Рисунок 4.17 — Оснастка «Службы компонентов»

GВнимание!!!

После перехода к более низкому уровню безопасности следует перезапустить операционную систему, чтобы изменения вступили в силу.

4.3.1 Настройка общих параметров DCOM

Для установления связи с удаленными OPC-серверами сначала следует настроить общие параметры DCOM.

Для этого:

1) На компьютере откройте оснастку «Службы компонентов
» и выберите раздел «Корень консоли/Службы компонентов/Компьютеры
» («Console Root/Component Services/Computers»)

2) Откройте контекстное меню элемента «Мой компьютер» («My Computer») и выберите пункт «Свойства» («Properties») – рисунок 4.18

https://pandia.ru/text/78/216/images/image005_49.jpg» width=»356″ height=»415 src=»>

Рисунок 4.19 — Свойства компьютера, закладка «Безопасность COM»

Активация» href=»/text/category/aktivatciya/» rel=»bookmark»>активацию
» (рисунок 4.19).. В открывшемся окне «Разрешение на запуск
» нажмите кнопку «Добавить
» и добавьте группу, «Users OPC» (описание в разделе 4.1 «Создание и настройка учетных записей Пользователей»). Для этой группы поставьте галочки «Разрешить
» для всех вариантов запуска и активации (рисунок 4.21).

Кнопка «Изменить ограничения…
» может быть не доступна, если была изменена политика «DCOM: Ограничения компьютера на запуск в синтаксисе SDDL
» («Security Descriptor Definition Language»). В этом случае пропустите текущий шаг.

https://pandia.ru/text/78/216/images/image008_38.jpg» width=»445″ height=»520 src=»>

Рисунок 4.22 — Свойства компьютера, закладка «Свойства по умолчанию»

· Закладка «Протоколы по умолчанию» (рисунок 4.23)

Добавлены следующие протоколы DCOM:

§ «TCP/IP c ориентацией на подключения»

§ «SPX c ориентацией на подключения».

DIV_ADBLOCK25″>

§ «Время ожидания транзакции (с)»: 60
.

При работе в компьютерной сети в случае возникновения обрывов, переполнения и других критических ситуациях при попытках восстановления связи DCOM-приложения используют время ожидания транзакции (Transaction timeout). Это время, в течение которого DCOM-приложение посылает запрос к источнику данных и ожидает восстановления связи. DCOM-приложение совершает до 6 таких попыток, прежде чем подаст сигнал об ошибке в сети.

По умолчанию этот интервал равен 60 секундам. Соответственно, максимальное время, за которое DCOM-приложение определит, что сеть неисправна – 60*6 = 360 секунд или 6 минут.

Однако это время не всегда может устроить Пользователей DCOM-приложения. Очевидно, что чем короче время ожидания транзакции, тем быстрее DCOM-приложение сможет сообщить Пользователю об ошибке в сети. Поэтому, если Пользователь DCOM-приложения хочет сократить время определения ошибки в сети, он может уменьшить время ожидания транзакции.

https://pandia.ru/text/78/216/images/image011_24.jpg» width=»494″ height=»357 src=»>

Рисунок 4.25 — Выбор свойств OPC-сервера

3) В открывшемся окне «Свойства:
…» перейдите на закладку «Безопасность
» («Security»)

4) На панели «Разрешения на запуск и активацию
» выберите «Настроить
» и нажмите на кнопку «Изменить …
». В открывшемся окне «Разрешение на запуск
» (рисунок 4.26) нажмите кнопку «Добавить
» и добавьте группу «Users OPC» (описание в разделе 4.1 «Создание и настройка учетных записей Пользователей»)

https://pandia.ru/text/78/216/images/image013_16.jpg» width=»512″ height=»743 src=»>

Рисунок 4.27 — Окно настройки «Разрешение на доступ» для OPC-сервера

Для этой группы («Users OPC») поставьте галочки «Разрешить
» для всех вариантов доступа.

Если Пользователи группы должны получить только удаленный доступ к OPC-серверу, поставьте галочку «Разрешить
» только для пункта «Удаленный доступ
».

6) Для того, чтобы указать, под какой учетной записью будет запускаться OPC-сервер, перейдите на закладку «Удостоверение
» (рисунок 4.28).

0 » style=»margin-left:41.4pt;border-collapse:collapse;border:none»>

OPC-сервер будет запускаться под учетной записью вошедшего в систему интерактивного Пользователя.

Это позволит OPC-сервер взаимодействовать с Пользователем, т. е. Пользователь увидит все видимые окна, открываемые OPC-сервером (например, диалоги, сообщения об ошибках).

Однако если компьютер не используется ни одним из Пользователей, т. е. текущего Пользователя не существует, в этом случае OPC-сервер запущен не будет. К тому же, если в систему зайдет Пользователь с недостаточными правами, работоспособность приложения может оказаться под угрозой. Когда интерактивный Пользователь выходит из системы, все OPC-серверы с данной настройкой принудительно закрываются.

OPC-сервер будет запускаться под учетной записью запускающего Пользователя (обычно удаленного).

Этому Пользователю должны быть предоставлены необходимые разрешения. Пользователь также должен обладать разрешениями, принимаемыми по умолчанию, введенными для группы Пользователей на этом компьютере. Другими словами, он должен принадлежать группе Пользователей.

При подключении нового OPC-клиента будет запускаться отдельная копия OPC-сервера. Это может вызвать проблемы в работе. Например, при работе нескольких экземпляров OPC-сервера с устройством через один порт.

Этот вариант запуска недоступен, если сервер зарегистрирован как сервис.

OPC-сервер будет запускаться под учетной записью, указанной в поле «Пользователь» (User), которое становится доступно после активизации данного варианта загрузки.

Требуется задать пароль. При этом имя учетной записи проверяется на правильность. Верность пароля при вводе не проверяется, о неправильности пароля вы узнаете только после того, как получите соответствующее сообщение об ошибке при попытке запустить OPC-сервер.

OPC-сервер не сможет напрямую взаимодействовать с интерактивным Пользователем. Т. е. Пользователь НЕ увидит открываемые OPC-сервером окна.

Рекомендуется использовать данный тип Пользователя, если запускаемый
OPC
-сервер должен обладать специфическими правами доступа. Например, если требуется запустить
OPC
-сервер с правами Администратора, а ни текущий Пользователь, ни запускающий не принадлежат к группе «Администраторы».

GВнимание!!!

Если
OPC
-сервер запускается под учетной записью Пользователя, к которой нет доступа на компьютере клиента, то будет не доступен асинхронный опрос
OPC
-сервера.

Если компьютеры в рабочей группе, и должен использоваться асинхронный опрос, то нужно создать на клиенте такую же учетную запись (описание в разделе 4.1.2 «Настройка компьютеров, находящихся в рабочей группе», шаг 3).

Если компьютеры входят в состав домена, используйте для запуска
OPC
-сервера учетную запись Пользователя домена или системную учетную запись.

7) После выбора Пользователя для запуска OPC-сервера необходимо проверить, есть ли у него доступ к исполняемому файлу OPC-сервера.

Например, если exe-файл OPC-сервера помещен в папку, к которой запрещен доступ учетной записи, используемой для запуска OPC-сервера, тогда при запуске ОРС-сервера клиент получит сообщение об ошибке «Отказ в доступе».

Чтобы проверить разрешения на доступ к исполняемому файлу OPC-сервера, выполните следующую последовательность действий:

Откройте контекстное меню для папки, в которой находится exe-файл OPC-сервера, и выберите пункт «Свойства
» («Properties»). В открывшемся окне «Свойства:
…» перейдите на закладку «Безопасность
» (рисунок 4.29).

margin-top:0cm» type=»disc»> В списке «Группы или Пользователи
» должен быть Пользователь, который используется для запуска OPC-сервера, или группа, в которую он включен.

Если Пользователь отсутствует, нажмите кнопку «Добавить
» и добавьте требуемого Пользователя

Если для выбранного Пользователя не установлен вариант доступа «Полный доступ
», поставьте галочку «Разрешить
» для этого варианта Нажмите кнопку «OK
» для сохранения сделанных изменений.

Для сохранения изменений нажмите «OK»
.

Чтобы изменения были применены к OPC-серверу, его необходимо перезапустить (если он был запущен ранее).

GВнимание!!!

Без перезапуска
OPC
-сервера измененные настройки не будут применены к нему.

Если OPC-сервер не имеет интерфейса Пользователя, с помощью которого он может быть перезапущен, завершите процесс OPC-сервера. Для этого:

· откройте Диспетчер задач
Windows
и перейдите на вкладку «Процессы
»

· выберите процесс настраиваемого OPC-сервера и нажмите кнопку «Завершить процесс
».

После нового подключения OPC-клиента, OPC-сервер будет загружен уже с новыми настройками.

4.3.3 Настройка параметров DCOM для утилиты поиска OPC-серверов

GВнимание!!!

Настройки парметров
DCOM
для утилиты
OPCEnum
.
exe
производятся только на компьютере, где установлены удаленные
OPC
-серверы.

При доступе к данным удаленного OPC-сервера используется стандартная OPC-утилита OPCEnum
.
exe
, которая формирует список
доступных ОРС–серверов.

Для использования этой утилиты необходимо настроить параметры DCOM.

Настройка разрешений осуществляется аналогично настройке OPC-серверов, описанной выше (раздел 4.4.2). Отличие заключается в том, что в списке приложений (компонент) необходимо выбирать OpcEnum
(рисунок 4.30).

https://pandia.ru/text/78/216/images/image017_7.jpg» width=»425″ height=»236 src=»>

Рисунок 4.31 — Удаление учетной записи Пользователя из группы «Пользователи»

GВнимание!!!

Для нормального функционирования некоторых
OPC
-серверов требуются права администратора. В этом случае, а также в некоторых других, новую учётную запись Пользователя нужно добавить в группу «Администраторы» (Administrator
s
)

2) При необходимости запретите локальный вход Пользователя в систему.

§ Для этого: откройте службу «Локальная политика безопасности
» («Пуск/Панель управления/Администрирование/Локальная политика безопасности» («Local Security Settings»
)

§ Выберите раздел «Локальные политики/Назначение прав Пользователя
» и откройте политику «Отклонить локальный вход
» (рисунок 4.32).

Рисунок 4.32 — Настройка политики «Отклонить локальный вход»

§ Нажмите кнопку «Добавить Пользователя или группу…
» и добавьте в список новую учетную запись Пользователя («Mike») или группы («Users OPC»). Для выбранных учетных записей будет запрещен локальный вход в систему.

System: use win10 64-bit system

PDF file:

• This article, Link:Baidu SkyDrivePassword: reht,
• Win7 and Win7_SP1 network OPC configuration, Link:Baidu SkyDrivePassword: dhhc

Online reference: English

• Reference 1
• Reference 2

OPCServer server used:

• KEPServer V6, link:Baidu SkyDrivePassword: ykj2
•  

1. Install the OPC runtime library

KEPServer integrates the OPC runtime library, so there is no need to install it separately

OPC Core Components Redistributable.msi Link: https://pan.baidu.com/s/1gU7_2e1Ye_qW1saObYV6xQ Password: 9evk

2. Create users and grant access rights: computer management

Create user:

       OPCUser

       123456

Add to DCOM group

3. Firewall rules on DCOM and OPC: Advanced Security Windows Defender Firewall

Open DCOM access: DCOM (wmi) is enabled

Port 135: Only one computer does not need to be set

Create OPC program rules: allow the program OPCEnum

Location: «C: \ Windows \ SysWOW64 \ OpcEnum.exe»

Rules for adding OPC server program: allow program server_runtime of KEPServer

”” ”” ”” ： Location: «C: \ Program Files (x 86) \ Kepware \ KEPServerEX 6 \ server_runtime.exe»

4. Configure DCOM Security: Component Services

Configure security settings of COM: My Computer-COM Properties-Security-Access, Activation Configuration

Security settings for OPCENUM: Security options for OpcEnum

Configure the security settings of the OPC server: the security options of KEPServer

5. Configure the local security policy:

Local security policy Local policy—network access—anonymity: enabled

The following is a screenshot of the configuration process

———————————————
Copyright notice: This article is an original article by CSDN blogger «ioufev», which follows the CC 4.0 BY-SA copyright agreement. Please attach the original source link and this statement for reprint.
Original link: https://blog.csdn.net/ioufev/article/details/81772698

————————————————
Copyright notice: This article is an original article by CSDN blogger «ioufev», which follows the CC 4.0 BY-SA copyright agreement. Please attach the original source link and this statement for reprint.
Original link: https://blog.csdn.net/ioufev/article/details/81772698

 OPC and DCOM configuration

Внимание! В ОС Windows XP / 2003 может быть включен «Брандмауэр Windows» («Windows Firewall»). Для работы по DCOM его необходимо выключить или настроить для работы с соответствующим сервером оборудования. Описание настройки брандмауэра выходит за рамки данной документации.

1. Из меню «Пуск» («Start») выбрать «Выполнить» («Run»).
2. Ввести «dcomcnfg» и нажать «OK».
3. Выбрать «Корень консоли»\»Службы компонентов\Компьютеры\Мой компьютер\Настройка DCOM» («Consol Root»\»Component Services\Computers\My Computer\DCOM config»), нажать правую кнопку мыши и выбрать «Свойства» («Properties») так как показано на рисунке:
4. Выбрать закладку «Свойства по умолчанию» («Default Properties») и установить параметры, указанные на рисунке:
5. Выбрать закладку «Безопасность COM» («COM Security»).

   В группе «Права доступа» («Access Permissions») нажать кнопку «Изменить ограничения» («Edit Limits»):

6. Разрешить «Локальный доступ» («Local Access»), «Удаленный доступ» («Remote Access») для пользователей: «Анонимный вход» («Anonymous Logon»), «Все» («Everyone»), «Интерактивные» («Interactive»), «Сеть» («Network») и «System»:
7. В группе «Права доступа» («Access Permissions») нажать кнопку «Изменить настройки по умолчанию» («Edit Default»):
8. Разрешить «Локальный доступ» («Local Access»), «Удаленный доступ» («Remote Access») для пользователей: «Анонимный вход» («Anonymous Logon»), «Все» («Everyone»), «Интерактивные» («Interactive»), «Сеть» («Network») и «System»:
9. В группе «Разрешение на запуск и активацию» («Launch and Activation Permissions») нажать кнопку «Изменить ограничения» («Edit Limits»):
10. Разрешить «Локальный запуск» («Local Launch»), «Удаленный запуск» («Remote Launch»), «Локальная активация» («Local Activation»), «Удаленная активация» («Remote Activation») для пользователей: «Анонимный вход» («Anonymous Logon»), «Все» («Everyone»), «Интерактивные» («Interactive»), «Сеть» («Network») и «System»:
11. В группе «Разрешение на запуск и активацию» («Launch and Activation Permissions») нажать кнопку «Изменить настройки по умолчанию» («Edit Default»):
12. Разрешить «Локальный запуск» («Local Launch»), «Удаленный запуск» («Remote Launch»), «Локальная активация» («Local Activation»), «Удаленная активация» («Remote Activation») для пользователей: «Анонимный вход» («Anonymous Logon»), «Все» («Everyone»), «Интерактивные» («Interactive»), «Сеть» («Network») и «System»:
13. На дереве «Корень консоли» («Consol Root») выделить OPC сервер «Службы компонентов\Компьютеры\Мой компьютер\Настройка DCOM\Lectus Modbus OPC/DDE server» («Component Services\Computers\My Computer\DCOM config\Lectus Modbus OPC/DDE server»), нажать правую кнопку мыши и выбрать «Свойства» («Properties») так как показано на рисунке:
14. Выбрать закладку «Общие» («General») и установить параметры, указанные на рисунке:
15. Перейти на закладку «Безопасность» («Security»). В группе «Разрешения на запуск и активацию» («Launch and Activation Permissions») нажать кнопку «Изменить» («Edit»).
16. Разрешить «Локальный запуск» («Local Launch»), «Удаленный запуск» («Remote Launch»), «Локальная активация» («Local Activation»), «Удаленная активация» («Remote Activation») для пользователей: «Все» («Everyone»), «Интерактивные» («Interactive»), «Сеть» («Network») и «System»:
17. В группе «Права доступа» («Access Permissions») нажать кнопку «Изменить» («Edit»).
18. Разрешить «Локальный доступ» («Local Access»), «Удаленный доступ» («Remote Access») для пользователей: «Все» («Everyone»), «Интерактивные» («Interactive»), «Сеть» («Network») и «System»:
19. Перейти на закладку «Удостоверение» («Identity»). Установить запуск сервера от имени «Текущий пользователь» («The interactive user») или, если он запускается как сервис, «Системная учетная запись» («The system account»).
20. На дереве «Корень консоли» («Consol Root») выделить «OpcEnum» «Службы компонентов\Компьютеры\Мой компьютер\Настройка DCOM\Lectus Modbus OPC/DDE server» («Component Services\Computers\My Computer\DCOM config\OpcEnum»), нажать правую кнопку мыши и выбрать «Свойства» («Properties») так как показано на рисунке:
21. Настроить свойства «OpcEnum» аналогично свойствам OPC сервера.

Настройка предотвращения выполнения данных (Data Execution Prevention)

Предотвращение выполнения данных (DEP) это набор аппаратных и программных технологий, которые выполняют дополнительнуюпроверку памяти для защиты компьютера от повреждения вирусами и при других угрозах безопасности.

1. Из меню «Пуск» («Start») выбрать «Мой компьютер» («My computer»), нажать правую кнопку мыши и выбрать «Свойства» («Properties») так как показано на рисунке:
2. Перейти на закладку «Дополнительно» («Advanced»). В группе «Быстродействие» («Performance») нажать кнопку «Параметры» («Settings»).
3. Выбрать закладку «Предотвращение выполнения данных» («Data Execution Prevention») и установить параметры, указанные на рисунке:

Настройка локальной политики безопасности (Local Security Policy)

Если компьютер является членом рабочей группы, а не домена, то следующие шаги необходимы для установкисоединения. Имейте в виду, что эти настройки могут снизить безопасность вашей системы — обратитесь ксетевому администратору, если у вас есть какие-либо проблемы.

1. Из меню «Пуск» («Start») выбрать «Панель управления» («Control panel»).
2. Выбрать «Администрирование» («Administrative Tools»).
3. Выбрать «Локальная политика безопасности» («Local Security Policy»).
4. Выбрать «Параметры безопасности»\»Локальные политики»\»Параметры безопасности» («Security Settings»\»Local Policies»\»Security Options»). Нажать правую кнопку мыши на «DCOM: Ограничения компьютера на доступ в синтаксисе SDDL» («DCOM: Machine Access Restrictions…») и выбрать «Свойства» («Properties»)
5. Нажать кнопку «Изменить безопасность» («Edit Security»).
6. Разрешить «Локальный доступ» («Local Access»), «Удаленный доступ» («Remote Access») для пользователей: «Все» («Everyone»), «Интерактивные» («Interactive»), «Сеть» («Network») и «System»:
7. Нажать правую кнопку мыши на «DCOM: Ограничения компьютера на запуск в синтаксисе SDDL» («DCOM: Machine Launch Restrictions…») и выбрать «Свойства» («Properties»)
8. Нажать кнопку «Изменить безопасность» («Edit Security»).
9. Разрешить «Локальный запуск» («Local Launch»), «Удаленный запуск» («Remote Launch»), «Локальная активация» («Local Activation»), «Удаленная активация» («Remote Activation») для пользователей: «Все» («Everyone»), «Интерактивные» («Interactive»), «Сеть» («Network») и «System»:
10. Нажать правую кнопку мыши на «Сетевой доступ: разрешить применение разрешений для всех к анонимным пользователям» («Network access: Let Everyone permissions apply to anonymous users») и выбрать «Свойства» («Properties»)
11. Выбрать «Включить» («Enabled»).
12. Нажать правую кнопку мыши на «Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей» («Network access: Sharing and security model for local accounts») и выбрать «Свойства» («Properties»)
13. Выбрать «Обычная — локальные пользователи удостоверяются как они сами» («Classic – local users authenticate as themselves»).

Теперь компьютер настроен для взаимодействия через DCOM.

P.S. DCOM имеет ограничения для подключений привзаимодействии компьютеров в домене и рабочей группе. Подключения через DCOM с вышеприведенными настройки могут работать, но, в зависимости от индивидуальных настроек сетей, может потребоваться настройка дополнительных параметров.

Источник: http://www.lectussoft.com/manual/ManualServer/ConfigDCOM.html

Настройка DCOM OPC: как настроить сеть и параметры безопасности

В чем заключается настройка DCOM OPC? Для корректной работы OPC серверов по сети, необходимо настроить сетевые параметры и параметры безопасности DCOM.

Distributed Component Object Model (DCOM) — это протокол, с помощью которого компоненты программного обеспечения поддерживают связь по сети. Модель DCOM (прежнее название — «Network OLE») может использовать несколько сетевых транспортов, включая протоколы Интернета (например, протокол HTTP).

Поддержка DCOM встроена в Windows, начиная с версии Windows NT 4.0.

Первым шагом к настройке DCOM OPC всегда является добавление пользователя для работы с OPC. Если у вас пользователь настроен, то приступим к настройке сети и параметров безопасности.

В данном разделе нужно настроить свойства DCOM по умолчанию на сервере, чтобы «все работало». Приступим.

1. Запустим окно настройки DCOM

Настройка параметров DCOM выполняется с помощью служебной команды «dcomcnfg».  Для запуска «dcomcnfg» нажмите на клавиатуре Win+R, чтобы открыть окно запуска программ из командной строки.

Откроется окно Службы компонентов, в котором нужно будет раскрыть список Службы компонентов, а затем и список Компьютеры, где мы увидим еще один вложенный список Мой компьютер, на который нужно нажать правой кнопкой мыши и выбрать пункт меню Свойства.

2. Настройка свойств компьютера для DCOM

В появившемся окне свойств выбираем вкладку Свойства по умолчанию и устанавливаем следующие настройки:

1. Галка Разрешить использование DCOM на этом компьютере — без нее DCOM работать не будет.
2. В Уровень проверки подлинности по умолчанию выбираем Подключиться.
3. В Уровень олицетворения по умолчанию выбираем Определить.

После жмем кнопку OK. Система может предупредить о том, что будут изменены свойства DCOM — соглашайтесь. Окно Службы компонентов не закрывайте, оно нам еще понадобится.

Те же настройки необходимо провести и на клиенте за исключением пунктов 3.2 и 3.3 — они не повлияют на работу, но и не повредят. Самое главное, чтобы DCOM был разрешен.

Настройка безопасности DCOM

Переходим на вкладку Безопасность и устанавливаем умолчания на права доступа и на запуск и активацию.

Кликните по кнопке №1. В появившемся диалоговом окне:

1. Кликните на кнопке «Добавить»;
2. Добавьте группу пользователей «Пользователи DCOM
3. Установите для нее права доступа;
4. Сохраните изменения, кликнув по кнопке «OK».

Повторите действия в диалоговом окне «Разрешение на запуск и активацию» которое появляется при клике на кнопке №2 «Изменить умолчания».

Смотрите еще:  Ошибка записи в файл msvcr90.dll

На вкладке Набор протоколов должен быть только один протокол, как на скриншоте

Настройка OPC Enum по умолчанию

Если вы настроили умолчания для компьютера, то чаще всего эта настройка не нужна. Нужно только убедиться, что все настройки выставлены так, как надо.

Настройка OPC Enum вручную

Но иногда почему-то настройки по умолчанию не работают. Тогда настраиваем DCOM для OPC Enum вручную.

Служба OpcEnum отвечает за отображение OPC-серверов. Если ее настроить некорректно, то при браузинге серверов, вы не увидите ничего, кроме ошибок. Эту службу нужно настроить на сервере.

1. В окне Служба компонентов должно уже быть открыто дерево до Настройка DCOM. Нужно выбрать этот элемент в левой части окна, и после этого в правой найти OpcEnum, кликнуть на него правой кнопкой мышки и выбрать пункт меню Свойства.

Вкладка Общие

Откроется окно свойств, и во вкладке Общие в списке Уровень проверки подлинности выбрать Подключиться.

Вкладка Размещение

Во вкладке Размещение должен быть выбран пункт Запустить приложение на данном компьютере. Остальные галки должны быть сняты.

Вкладка Безопасность

Далее переходим к вкладке Безопасность, где будем раздавать права на удаленный запуск, доступ и изменение настроек OpcEnum.

Во всех трех случаях выбираем пункт Настроить, т.е. у нас должны быть активны три кнопки Изменить.

• Начнем с Разрешение на запуск и активацию. Нам нужно добавить нашу группу с необходимыми разрешениями, поэтому кликаем на кнопку Добавить.
• Вписываем (или ищем) Пользователи DCOM, жмем OK — группа должна добавиться.
• Итак, группа в списке, теперь надо проставить галки под словом Разрешить. Ставим все галки, но, теоретически,  для того, чтобы служба работала по сети нам нужно лишь Удаленный запуск и Удаленная активация. После проставления галок жмем OK.
• Открываем следующее окно — Права доступа. Точно так же добавляем нашу группу и разрешаем ей все, либо только Удаленный доступ, жмем OK.

Открываем окошко Разрешение на изменение настроек.

В этом окне точно так же добавляем группу и разрешаем ей Полный доступ и Read — они ставятся одновременно и снимаются так же. Жмем OK .

Вкладка Удостоверение

Переходим ко вкладке Удостоверение окна свойств OpcEnum.

Для службы OpcEnum возможно два варианта запуска:

• Системная учетная запись (только службы) — OPC-сервер будет запущен под системной учетной записью независимо от входа в систему. Данный вариант нам подходит, и его советуют как более предпочтительный.
• Указанный пользователь — при данной настройке OPC-сервер будет  запущен от имени указанного нами пользователя в одном экземпляре, независимо от того, под какой учетной записью совершен вход. В данном случае мы сами указываем пользователя.

Определившись нажимаем OK и переходим к перезапуску службы OpcEnum. Это можно сделать из того же окна: слева выбираем Службы (локальные), справа в  списке ищем OpcEnum, выбираем и перезапускаем нажатием на появившуюся ссылку.

1. Дожидаемся перезапуска службы и переходим к клиенту.
2. На клиенте запускаем OPC-клиент и пытаемся искать OPC-сервера на компьютере OPC-сервера.

Но при попытке достучаться до тэгов прилетает отказ. Этого следовало ожидать, ведь мы еще не настраивали наш OPC сервер.

Мы вплотную подобрались к настройке ПО, которое будет выдавать нам теги на клиенте. Настройка не сильно отличается от процедуры, описанной в предыдущем разделе.

1. В Настройка DCOM ищем необходимый OPC-сервер, тыкаем правой кнопкой мыши и выбираем свойства.
2. На вкладке Общие выбираем Уровень проверки подлинности Подключиться.
3. На вкладке Размещение должен быть выбран только пункт Запустить приложение на данном компьютере.
4. На вкладке Безопасность группе Пользователи DCOM даем права на удаленный запуск, доступ и изменение настроек как и в случае с OpcEnum
5. На вкладке Удостоверение у нас есть 4 варианта:
   • Текущий пользователь — в этом случае OPC-сервер будет запускаться от имени вошедшего в систему пользователя. Можно использовать данный вариант, но необходимо на сервере авторизовываться под учетной записью opc, что может быть не всегда удобно. Но тем не менее можно выбрать этот вариант при условии, что сервер всегда будет запущен под учеткой opc.
   • Запускающий пользователь — при авторизации пользователя будет запущен экземпляр OPC-сервера. Если к серверу будет подключено два клиента, то будет запущено два OPC-сервера. В одном случае это будет отжирать ресурсы, в другом — все кроме первого клиенты не будут видеть данных.
   • Указанный пользователь — как и в случае с OpcEnum, этот вариант предпочтительный потому, что при такой настройке будет запущен один экземпляр под необходимой учетной записью.  Можно выбрать этот вариант и ввести логин и пароль предварительно созданного пользователя.
   • Системная учетная запись (только службы)
6. После выбора одного из вариантов и нажатия на кнопку OK, нужно перезапустить OPC-сервер, если он запущен.
7. Теперь переходим к компьютеру, на котором запущен OPC-клиент и пытаемся искать OPC-сервер на удаленном сервере. Вы должны увидеть список OPC-серверов без каких-либо проблем, как и в предыдущем разделе.
8. Но после манипуляций описанных в этом разделе мы должны иметь возможность создать группу в клиенте, увидеть теги и их значения.

Источник: http://telesys.by/nastrojka-dcom-dlya-raboty-opc-serverov-v-windows-7/

Настройка параметров DCOM. Dcomcnfg | Advanced OPC Data Logger

Для Win2000 — Windows 10 (2019) (Server, x86, x64). Последняя версия: 3.6.6 build 411. 11 апреля 2020.

   Верси для печати

Для корректной работы OPC серверов необходимо настроить сетевые параметры и параметры безопасности DCOM.

Настройка OpcEnum не требуется, поскольку данная служба автоматически настраивается при установке «OPC Core Components».

Пример настройки параметров приведен для тестового OPC сервера «Те st OPC Server». Настройка параметров DCOM выполняется с помощью служебной команды «dcomcnfg».

Для запуска «dcomcnfg» нажмите на клавиатуре Win+ R, чтобы открыть окно запуска программ из командной строки.

Рис. 20 Запуск службы компонентов

4.1 Настройка параметров по умолчанию

Рис. 21 Свойства

Рис. 22 Безопасность COM

Кликните по кнопке №1 (рис. 22). В появившемся диалоговом окне (рис.23):

1. Кликните на кнопке «Добавить»;
2. Добавьте группу пользователей «Пользователи DCOM», выполнив действия, аналогичные показанным на рисунках 7 – 9;
3. Установите для нее права доступа;
4. Сохраните изменения, кликнув по кнопке «OK».

Рис. 23 Настройка прав доступа

Повторите действия в диалоговом окне «Разрешение на запуск и активацию» (рис.24), которое появляется при клике на кнопке №2 «Изменить умолчания» (рис.22).

Рис. 24 Настройка разрешений на запуск

На закладке «Набор протоколов» (рис.25) удалите все протоколы, кроме TCP/ IP и нажмите «OK» для того чтобы сохранить изменения в диалоговом окне «Свойства: Мой компьютер».

Рис. 25 Настройка разрешений на запуск

4.2 Настройка параметров для OPC сервера

Рис. 26 Настройка DCOM для OPC сервера

Поскольку все параметры были настроены для всего компьютера, то необходимо убедиться, что OPC сервер использует параметры по умолчанию.

Рис. 27 Общие свойства OPC сервера

Рис. 28 Свойства безопасности

Рис. 29 Конечные узлы

Рис. 30 Удостоверение

На закладке «Удостоверение» необходимо указать имя пользователя, который был создан ранее, от имени которого будет запускаться OPC сервер.

Замечание 1. Перед изменением настроек OPC сервера необходимо убедиться, что он не запушен и отсутствует в списке активных процессов. Или перезапустить OPC сервер после изменения настроек.

Замечание 2. Для некоторых OPC серверов необходимо, чтобы они были запущены хотя бы один раз с правами администратора, для того чтобы зарегистрироваться в системе и инициализировать параметры OPC сервера. Только после такой инициализации они будут доступны для обнаружения через OpcEnum и подключения.

4.3 Настройка доступа к OPC серверам «Для всех»

Внимание! Разрешение доступа для всех может снизить уровень безопасности компьютера.

Иногда требуется разрешить доступ к OPC серверу для всех, включая анонимных пользователей. Например, когда компьютер с сервером не включен в домен, а к серверу будут подключаться множество клиентов.

Преимущества:

1. Компьютер с сервером может быть не включен в домен;
2. Не требуется создавать пользователей на компьютере с OPC сервером;
3. Пользователи могут запускать OPC клиент от своего имени.

Недостатки:

1. Угроза безопасности компьютера за счет разрешения удаленного доступа к DCOM для всех.

Если вы хотите дать доступ к OPC серверу для всех, то необходимо настроить индивидуальные права доступа для выбранного OPC сервера.

Откройте настройки DCOM для OPC сервера, как показано в разделе 4.2 и модифицируйте их согласно рис.31 – рис.34. Остальные опции должны соответствовать параметрам, указанным в разделе 4.2.

Рис. 31 Общие свойства

Рис. 32 Свойства безопасности

Рис. 33 Разрешения на запуск и активацию

Рис. 34 Права доступа

Необходимо настроить локальную политику безопасности. Для этого необходимо открыть консоль управления «Локальная политика безопасности». Консоль можно запустить, выполнив «Пуск» — «Администрирование» — «Локальная политика безопасности». Необходимо перейти в раздел «Локальные политики: Параметры безопасности». И установить состояние правила «» в состояние «Включено» (рис. 35).

Рис. 35 Свойства политики безопасности

Рис. 36 DCOM: ограничения на доступ

Рис. 37 DCOM: ограничения на запуск

Процесс добавление группы пользователь подробно показан в разделе 2.2.

Источник: https://www.aggsoft.ru/asdl-dcom-opc-config-4.htm