Настройка DCOM для работы OPC серверов в Windows 7

В чем заключается настройка DCOM OPC? Для корректной работы OPC серверов по сети, необходимо настроить сетевые параметры и параметры безопасности DCOM.

Настройка DCOM для компьютера

Distributed Component Object Model (DCOM) — это протокол, с помощью которого компоненты программного обеспечения поддерживают связь по сети. Модель DCOM (прежнее название — «Network OLE») может использовать несколько сетевых транспортов, включая протоколы Интернета (например, протокол HTTP).

Поддержка DCOM встроена в Windows, начиная с версии Windows NT 4.0.

Первым шагом к настройке DCOM OPC всегда является добавление пользователя для работы с OPC. Если у вас пользователь настроен, то приступим к настройке сети и параметров безопасности.

В данном разделе нужно настроить свойства DCOM по умолчанию на сервере, чтобы «все работало». Приступим.

1. Запустим окно настройки DCOM

Настройка параметров DCOM выполняется с помощью служебной команды «dcomcnfg». Для запуска «dcomcnfg» нажмите на клавиатуре Win+R, чтобы открыть окно запуска программ из командной строки.

Откроется окно Службы компонентов, в котором нужно будет раскрыть список Службы компонентов, а затем и список Компьютеры, где мы увидим еще один вложенный список Мой компьютер, на который нужно нажать правой кнопкой мыши и выбрать пункт меню Свойства.

2. Настройка свойств компьютера для DCOM

В появившемся окне свойств выбираем вкладку Свойства по умолчанию и устанавливаем следующие настройки:

1. Галка Разрешить использование DCOM на этом компьютере — без нее DCOM работать не будет.
2. В Уровень проверки подлинности по умолчанию выбираем Подключиться.
3. В Уровень олицетворения по умолчанию выбираем Определить.

После жмем кнопку OK. Система может предупредить о том, что будут изменены свойства DCOM — соглашайтесь. Окно Службы компонентов не закрывайте, оно нам еще понадобится.

Те же настройки необходимо провести и на клиенте за исключением пунктов 3.2 и 3.3 — они не повлияют на работу, но и не повредят. Самое главное, чтобы DCOM был разрешен.

Настройка безопасности DCOM

Переходим на вкладку Безопасность и устанавливаем умолчания на права доступа и на запуск и активацию.

Кликните по кнопке №1. В появившемся диалоговом окне:

1. Кликните на кнопке «Добавить»;
2. Добавьте группу пользователей «Пользователи DCOM
3. Установите для нее права доступа;
4. Сохраните изменения, кликнув по кнопке «OK».

Повторите действия в диалоговом окне «Разрешение на запуск и активацию» которое появляется при клике на кнопке №2 «Изменить умолчания».

На вкладке Набор протоколов должен быть только один протокол, как на скриншоте

Настройка DCOM для OPC Enum

Настройка OPC Enum по умолчанию

Если вы настроили умолчания для компьютера, то чаще всего эта настройка не нужна. Нужно только убедиться, что все настройки выставлены так, как надо.

Настройка OPC Enum вручную

Но иногда почему-то настройки по умолчанию не работают. Тогда настраиваем DCOM для OPC Enum вручную.

Служба OpcEnum отвечает за отображение OPC-серверов. Если ее настроить некорректно, то при браузинге серверов, вы не увидите ничего, кроме ошибок. Эту службу нужно настроить на сервере.

1. В окне Служба компонентов должно уже быть открыто дерево до Настройка DCOM. Нужно выбрать этот элемент в левой части окна, и после этого в правой найти OpcEnum, кликнуть на него правой кнопкой мышки и выбрать пункт меню Свойства.
   

Вкладка Общие

Откроется окно свойств, и во вкладке Общие в списке Уровень проверки подлинности выбрать Подключиться.

Вкладка Размещение

Во вкладке Размещение должен быть выбран пункт Запустить приложение на данном компьютере. Остальные галки должны быть сняты.

Вкладка Безопасность

Далее переходим к вкладке Безопасность, где будем раздавать права на удаленный запуск, доступ и изменение настроек OpcEnum.

Во всех трех случаях выбираем пункт Настроить, т.е. у нас должны быть активны три кнопки Изменить.

• Начнем с Разрешение на запуск и активацию. Нам нужно добавить нашу группу с необходимыми разрешениями, поэтому кликаем на кнопку Добавить.
• Вписываем (или ищем) Пользователи DCOM, жмем OK — группа должна добавиться.
• Итак, группа в списке, теперь надо проставить галки под словом Разрешить. Ставим все галки, но, теоретически, для того, чтобы служба работала по сети нам нужно лишь Удаленный запуск и Удаленная активация. После проставления галок жмем OK.
  
  
• Открываем следующее окно — Права доступа. Точно так же добавляем нашу группу и разрешаем ей все, либо только Удаленный доступ, жмем OK.
  

Открываем окошко Разрешение на изменение настроек.

В этом окне точно так же добавляем группу и разрешаем ей Полный доступ и Read — они ставятся одновременно и снимаются так же. Жмем OK .

Вкладка Удостоверение

Переходим ко вкладке Удостоверение окна свойств OpcEnum.

Для службы OpcEnum возможно два варианта запуска:

• Системная учетная запись (только службы) — OPC-сервер будет запущен под системной учетной записью независимо от входа в систему. Данный вариант нам подходит, и его советуют как более предпочтительный.
• Указанный пользователь — при данной настройке OPC-сервер будет запущен от имени указанного нами пользователя в одном экземпляре, независимо от того, под какой учетной записью совершен вход. В данном случае мы сами указываем пользователя.
  

Определившись нажимаем OK и переходим к перезапуску службы OpcEnum. Это можно сделать из того же окна: слева выбираем Службы (локальные), справа в списке ищем OpcEnum, выбираем и перезапускаем нажатием на появившуюся ссылку.

1. Дожидаемся перезапуска службы и переходим к клиенту.
2. На клиенте запускаем OPC-клиент и пытаемся искать OPC-сервера на компьютере OPC-сервера.

Но при попытке достучаться до тэгов прилетает отказ. Этого следовало ожидать, ведь мы еще не настраивали наш OPC сервер.

Настройка DCOM для OPC сервера

Мы вплотную подобрались к настройке ПО, которое будет выдавать нам теги на клиенте. Настройка не сильно отличается от процедуры, описанной в предыдущем разделе.

1. В Настройка DCOM ищем необходимый OPC-сервер, тыкаем правой кнопкой мыши и выбираем свойства.
2. На вкладке Общие выбираем Уровень проверки подлинностиПодключиться.
3. На вкладке Размещение должен быть выбран только пункт Запустить приложение на данном компьютере.
4. На вкладке Безопасность группе Пользователи DCOM даем права на удаленный запуск, доступ и изменение настроек как и в случае с OpcEnum
   
5. На вкладке Удостоверение у нас есть 4 варианта:
   • Текущий пользователь — в этом случае OPC-сервер будет запускаться от имени вошедшего в систему пользователя. Можно использовать данный вариант, но необходимо на сервере авторизовываться под учетной записью opc, что может быть не всегда удобно. Но тем не менее можно выбрать этот вариант при условии, что сервер всегда будет запущен под учеткой opc.
   • Запускающий пользователь — при авторизации пользователя будет запущен экземпляр OPC-сервера. Если к серверу будет подключено два клиента, то будет запущено два OPC-сервера. В одном случае это будет отжирать ресурсы, в другом — все кроме первого клиенты не будут видеть данных.
   • Указанный пользователь — как и в случае с OpcEnum, этот вариант предпочтительный потому, что при такой настройке будет запущен один экземпляр под необходимой учетной записью. Можно выбрать этот вариант и ввести логин и пароль предварительно созданного пользователя.
     
   • Системная учетная запись (только службы)
6. После выбора одного из вариантов и нажатия на кнопку OK, нужно перезапустить OPC-сервер, если он запущен.
7. Теперь переходим к компьютеру, на котором запущен OPC-клиент и пытаемся искать OPC-сервер на удаленном сервере. Вы должны увидеть список OPC-серверов без каких-либо проблем, как и в предыдущем разделе.
8. Но после манипуляций описанных в этом разделе мы должны иметь возможность создать группу в клиенте, увидеть теги и их значения.

Настройка DCOM

4.3 Настройка DCOM

Для настройки прав доступа к DCOM-приложениям в операционных системах Windows XP, Windows Server 2003 и Windows Vista используется оснастка «Службы компонентов» (Component Services) консоли управления.

Оснастку можно вызвать:

· из системного меню «Пуск/Выполнить» по команде dcomcnfg (рисунок 4.15)

Рисунок 4.15 — Запуск утилиты dcomcnfg

· из системного меню «Пуск/Панель управления/Администрирование/Службы компонентов» (рисунок 4.16)

Рисунок 4.16 – Системные инструментальные средства «Службы компонентов»

· а также через консоль управления Microsoft – mmc. exe.

После запуска оснастки «Службы компонентов» производится поиск COM-приложений, которые ещё не зарегистрированы в системе на данный момент, и предлагается зарегистрировать их. Обычно, следует разрешать регистрацию, за исключением случаев, когда иное не указано в документации на программное обеспечение.

После запуска появляется окно «Службы компонентов» (рисунок 4.17).

Рисунок 4.17 — Оснастка «Службы компонентов»

После перехода к более низкому уровню безопасности следует перезапустить операционную систему, чтобы изменения вступили в силу.

4.3.1 Настройка общих параметров DCOM

Для установления связи с удаленными OPC-серверами сначала следует настроить общие параметры DCOM.

1) На компьютере откройте оснастку «Службы компонентов» и выберите раздел «Корень консоли/Службы компонентов/Компьютеры» («Console Root/Component Services/Computers»)

2) Откройте контекстное меню элемента «Мой компьютер» («My Computer») и выберите пункт «Свойства» («Properties») – рисунок 4.18

Рисунок 4.18 — Контекстное меню «Мой компьютер»

3) В открывшемся окне «Свойства: Мой компьютер» (рисунок 4.19) перейдите на закладку «Безопасность» (“COM Security”)

4) Нажмите на кнопку «Изменить ограничения…» на панели «Права доступа» (рисунок 4.19). В открывшемся окне «Разрешение на доступ» для группы «АНОНИМНЫЙ ВХОД» установите галочки «Разрешить» для пунктов «Локальный доступ» и «Удаленный доступ» (рисунок 4.20).

Кнопка «Изменить ограничения…» может быть не доступна, если была изменена политика «DCOM: Ограничения компьютера на доступ в синтаксисе SDDL (Security Descriptor Definition Language)». В этом случае пропустите текущий шаг.

Эти настройки необходимы для функционирования утилиты поиска OPC-серверов (OPCEnum. exe) и некоторых OPC-серверов, для которых «Уровень проверки подлинности» («Authentication Level») установлен «Нет» («None»).

Рисунок 4.19 — Свойства компьютера, закладка «Безопасность COM»

Рисунок 4.20 — Окно настройки «Разрешение на доступ»

Этот шаг настройки необходимо выполнить как на компьютере, где установлен OPC-сервер, так и на компьютере, где установлен OPC-клиент. Остальные шаги выполняются на компьютере сервера.

5) Нажмите на кнопку «Изменить ограничения…» на панели «Разрешения на запуск и активацию» (рисунок 4.19).. В открывшемся окне «Разрешение на запуск» нажмите кнопку «Добавить» и добавьте группу, «Users OPC» (описание в разделе 4.1 «Создание и настройка учетных записей Пользователей»). Для этой группы поставьте галочки «Разрешить» для всех вариантов запуска и активации (рисунок 4.21).

Кнопка «Изменить ограничения…» может быть не доступна, если была изменена политика «DCOM: Ограничения компьютера на запуск в синтаксисе SDDL» («Security Descriptor Definition Language»). В этом случае пропустите текущий шаг.

Рисунок 4.21 — Окно настройки «Разрешение на запуск»

Если Пользователи группы должны получить только удаленный доступ к OPC-серверу, поставьте галочки «Разрешить» только для пунктов «Удаленный запуск» и «Удаленная активация».

6) Остальные общие параметры DCOM могут остаться по умолчанию. Если они были изменены, и это нарушило работу OPC-серверов, верните их в прежнее состояние.

Список параметров по умолчанию приведен ниже:

· Закладка «Свойства по умолчанию» (рисунок 4.22)

Значения по умолчанию:

§ Установлена галочка «Разрешить использование DCOM на этом компьютере».

§ «Уровень проверки подлинности по умолчанию» – «Подключение».

§ «Уровень олицетворения по умолчанию» – «Идентификация».

§ Снята галочка «Повышенная безопасность для отслеживания ссылок».

Рисунок 4.22 — Свойства компьютера, закладка «Свойства по умолчанию»

· Закладка «Протоколы по умолчанию» (рисунок 4.23)

Добавлены следующие протоколы DCOM:

§ «TCP/IP c ориентацией на подключения»

§ «SPX c ориентацией на подключения».

Рисунок 4.23 — Свойства компьютера, закладка «Протоколы по умолчанию»

· Закладка «Параметры» (рисунок 4.24)

Значения по умолчанию:

§ Установлена галочка «Проверять локальное хранилище при выборе раздела».

§ «Время ожидания транзакции (с)»: 60.

При работе в компьютерной сети в случае возникновения обрывов, переполнения и других критических ситуациях при попытках восстановления связи DCOM-приложения используют время ожидания транзакции (Transaction timeout). Это время, в течение которого DCOM-приложение посылает запрос к источнику данных и ожидает восстановления связи. DCOM-приложение совершает до 6 таких попыток, прежде чем подаст сигнал об ошибке в сети.

По умолчанию этот интервал равен 60 секундам. Соответственно, максимальное время, за которое DCOM-приложение определит, что сеть неисправна – 60*6 = 360 секунд или 6 минут.

Однако это время не всегда может устроить Пользователей DCOM-приложения. Очевидно, что чем короче время ожидания транзакции, тем быстрее DCOM-приложение сможет сообщить Пользователю об ошибке в сети. Поэтому, если Пользователь DCOM-приложения хочет сократить время определения ошибки в сети, он может уменьшить время ожидания транзакции.

Рисунок 4.24 — Свойства компьютера, закладка «Параметры»

Времени ожидания транзакции настраивается на компьютере сервера.

При изменении времени ожидания транзакции следует понимать, что это коснется ВСЕХ DCOM-приложений, работающих на этом компьютере. Поэтому, если нет сильной необходимости изменить значение по умолчанию для этого пункта, то изменять его не рекомендуется.

4.3.2 Настройка параметров DCOM для OPC-сервера

Настройки, описанные в этом пункте, производятся на компьютере, где установлен OPC-сервер.

Для того чтобы настроить параметры DCOM для конкретного OPC-сервера, следует:

1) В оснастке «Службы компонентов» выберите раздел «Корень консоли/Службы компонентов/Компьютеры/Мой компьютер/Настройка DCOM» («Console Root/Component Services/Computers/My Computer/DCOM Config»)

2) Откройте контекстное меню нужного OPC-сервера (рисунок 4.25) и выберите пункт «Свойства» («Properties»)

Рисунок 4.25 — Выбор свойств OPC-сервера

3) В открывшемся окне «Свойства:…» перейдите на закладку «Безопасность» («Security»)

4) На панели «Разрешения на запуск и активацию» выберите «Настроить» и нажмите на кнопку «Изменить …». В открывшемся окне «Разрешение на запуск» (рисунок 4.26) нажмите кнопку «Добавить» и добавьте группу «Users OPC» (описание в разделе 4.1 «Создание и настройка учетных записей Пользователей»)

Рисунок 4.26 — Окно настройки «Разрешение на запуск» для OPC-сервера

Для группы «Users OPC»поставьте галочки «Разрешить» для всех пунктов. Если Пользователи группы должны получить только удаленный доступ к OPC-серверу, поставьте галочки «Разрешить» только для пунктов «Удаленный запуск» и «Удаленная активация»

5) На панели «Права доступа» (закладка «Безопасность») выберите «Настроить» и нажмите на кнопку «Изменить …». В открывшемся окне «Разрешение на доступ» (рисунок 4.27) нажмите кнопку «Добавить» и добавьте группу «Users OPC» (описание в разделе 4.1 «Создание и настройка учетных записей Пользователей»)

Рисунок 4.27 — Окно настройки «Разрешение на доступ» для OPC-сервера

Для этой группы («Users OPC») поставьте галочки «Разрешить» для всех вариантов доступа.

Если Пользователи группы должны получить только удаленный доступ к OPC-серверу, поставьте галочку «Разрешить» только для пункта «Удаленный доступ».

6) Для того, чтобы указать, под какой учетной записью будет запускаться OPC-сервер, перейдите на закладку «Удостоверение» (рисунок 4.28).

Рисунок 4.28 — Свойства OPC-сервера, закладка «Удостоверение»

Выбор учетной записи для запуска данного приложения зависит от реализации данного OPC-сервера. Воспользуйтесь документацией к OPC-серверу, чтобы выбрать «запускающего» Пользователя.

Общие рекомендации по выбору Пользователя для запуска OPC-сервера приведены в таблице 4.1.

Таблица 4.1 Рекомендации по выбору Пользователя для запуска OPC-сервера

(The Interactive User)

OPC-сервер будет запускаться под учетной записью вошедшего в систему интерактивного Пользователя.

Это позволит OPC-сервер взаимодействовать с Пользователем, т. е. Пользователь увидит все видимые окна, открываемые OPC-сервером (например, диалоги, сообщения об ошибках).

Однако если компьютер не используется ни одним из Пользователей, т. е. текущего Пользователя не существует, в этом случае OPC-сервер запущен не будет. К тому же, если в систему зайдет Пользователь с недостаточными правами, работоспособность приложения может оказаться под угрозой. Когда интерактивный Пользователь выходит из системы, все OPC-серверы с данной настройкой принудительно закрываются.

Этот вариант запуска недоступен, если сервер зарегистрирован как сервис.

Рекомендуем использовать данный тип Пользователя, если OPC-сервер выводит на экран диалоговые окна, требующие реакции Пользователя.

(The Launching User)

OPC-сервер будет запускаться под учетной записью запускающего Пользователя (обычно удаленного).

Этому Пользователю должны быть предоставлены необходимые разрешения. Пользователь также должен обладать разрешениями, принимаемыми по умолчанию, введенными для группы Пользователей на этом компьютере. Другими словами, он должен принадлежать группе Пользователей.

OPC-сервер не сможет напрямую взаимодействовать с интерактивным Пользователем. Т. е. Пользователь НЕ увидит открываемые OPC-сервером окна.

При подключении нового OPC-клиента будет запускаться отдельная копия OPC-сервера. Это может вызвать проблемы в работе. Например, при работе нескольких экземпляров OPC-сервера с устройством через один порт.

Этот вариант запуска недоступен, если сервер зарегистрирован как сервис.

Рекомендуем использовать только в том случае, когда OPC-сервер требует для взаимодействия именно этот тип Пользователя (внимательно ознакомьтесь с документацией на ОРС-сервер).

OPC-сервер будет запускаться под учетной записью, указанной в поле «Пользователь» (User), которое становится доступно после активизации данного варианта загрузки.

Требуется задать пароль. При этом имя учетной записи проверяется на правильность. Верность пароля при вводе не проверяется, о неправильности пароля вы узнаете только после того, как получите соответствующее сообщение об ошибке при попытке запустить OPC-сервер.

OPC-сервер не сможет напрямую взаимодействовать с интерактивным Пользователем. Т. е. Пользователь НЕ увидит открываемые OPC-сервером окна.

Рекомендуется использовать данный тип Пользователя, если запускаемый OPC-сервер должен обладать специфическими правами доступа. Например, если требуется запустить OPC-сервер с правами Администратора, а ни текущий Пользователь, ни запускающий не принадлежат к группе «Администраторы».

Системная учетная запись

(The System Account)

OPC-сервер будет запускаться под учетной записью SYSTEM. Этот тип доступен, если сервер зарегистрирован как сервис.

Рекомендуется использовать данный тип Пользователя, если OPC-сервер является сервисом.

Если OPC-сервер запускается под учетной записью Пользователя, к которой нет доступа на компьютере клиента, то будет не доступен асинхронный опрос OPC-сервера.

Если компьютеры в рабочей группе, и должен использоваться асинхронный опрос, то нужно создать на клиенте такую же учетную запись (описание в разделе 4.1.2 «Настройка компьютеров, находящихся в рабочей группе», шаг 3).

Если компьютеры входят в состав домена, используйте для запуска OPC-сервера учетную запись Пользователя домена или системную учетную запись.

7) После выбора Пользователя для запуска OPC-сервера необходимо проверить, есть ли у него доступ к исполняемому файлу OPC-сервера.

Например, если exe-файл OPC-сервера помещен в папку, к которой запрещен доступ учетной записи, используемой для запуска OPC-сервера, тогда при запуске ОРС-сервера клиент получит сообщение об ошибке «Отказ в доступе».

Чтобы проверить разрешения на доступ к исполняемому файлу OPC-сервера, выполните следующую последовательность действий:

Откройте контекстное меню для папки, в которой находится exe-файл OPC-сервера, и выберите пункт «Свойства» («Properties»). В открывшемся окне «Свойства:…» перейдите на закладку «Безопасность» (рисунок 4.29).

Рисунок 4.29 — Свойства папки, закладка «Безопасность»

В списке «Группы или Пользователи» должен быть Пользователь, который используется для запуска OPC-сервера, или группа, в которую он включен.

Если Пользователь отсутствует, нажмите кнопку «Добавить» и добавьте требуемого Пользователя

Если для выбранного Пользователя не установлен вариант доступа «Полный доступ», поставьте галочку «Разрешить» для этого варианта Нажмите кнопку «OK» для сохранения сделанных изменений.

8) Для сохранения изменений нажмите «OK».

Чтобы изменения были применены к OPC-серверу, его необходимо перезапустить (если он был запущен ранее).

Без перезапуска OPC-сервера измененные настройки не будут применены к нему.

Если OPC-сервер не имеет интерфейса Пользователя, с помощью которого он может быть перезапущен, завершите процесс OPC-сервера. Для этого:

· откройте Диспетчер задач Windows и перейдите на вкладку «Процессы»

· выберите процесс настраиваемого OPC-сервера и нажмите кнопку «Завершить процесс».

После нового подключения OPC-клиента, OPC-сервер будет загружен уже с новыми настройками.

4.3.3 Настройка параметров DCOM для утилиты поиска OPC-серверов

Настройки парметров DCOM для утилиты OPCEnum.exe производятся только на компьютере, где установлены удаленные OPC-серверы.

При доступе к данным удаленного OPC-сервера используется стандартная OPC-утилита OPCEnum.exe, которая формирует список доступных ОРС–серверов.

Для использования этой утилиты необходимо настроить параметры DCOM.

Настройка разрешений осуществляется аналогично настройке OPC-серверов, описанной выше (раздел 4.4.2). Отличие заключается в том, что в списке приложений (компонент) необходимо выбирать OpcEnum (рисунок 4.30).

Рисунок 4.30 — Выбор свойств утилиты OPCEnum

4.4 Ограничение прав добавленных Пользователей

Рекомендуем проводить ограничение прав Пользователей после завершения настройки параметров DCOM для OPC-серверов.

После перехода к более низкому уровню безопасности следует перезапустить операционную систему, чтобы изменения вступили в силу.

Для ограничения прав Пользователей следует выполнить следующее:

1) Настройте права добавленного Пользователя (в нашем примере Пользователь «Mike»). В большинстве случаев они могут быть ограничены до минимума или вообще отсутствовать. Для ограничения прав можно удалить Пользователя из всех групп (кроме Пользователей OPC – «Users OPC») или добавить в группу с более низкими правами (рисунок 4.31).

Рисунок 4.31 — Удаление учетной записи Пользователя из группы «Пользователи»

Для нормального функционирования некоторых OPC-серверов требуются права администратора. В этом случае, а также в некоторых других, новую учётную запись Пользователя нужно добавить в группу «Администраторы» (Administrators)

2) При необходимости запретите локальный вход Пользователя в систему.

§ Для этого: откройте службу «Локальная политика безопасности» («Пуск/Панель управления/Администрирование/Локальная политика безопасности» («Local Security Settings»)

§ Выберите раздел «Локальные политики/Назначение прав Пользователя» и откройте политику «Отклонить локальный вход» (рисунок 4.32).

Рисунок 4.32 — Настройка политики «Отклонить локальный вход»

§ Нажмите кнопку «Добавить Пользователя или группу…» и добавьте в список новую учетную запись Пользователя («Mike») или группы («Users OPC»). Для выбранных учетных записей будет запрещен локальный вход в систему.