1. Предисловие

Настройка OPC DCOM является основой для реализации межсетевой связи OPC. Хотя некоторые существующие руководства по настройке OPC DCOM объясняют, как настроить DCOM, они не объясняют четко, почему это делается, и методы настройки, используемые в каждом руководстве, также различны. .

Чтобы досконально понять процесс настройки OPC DCOM, я пересобрал системы двух машин, одна — с 32-битной Windows 7, а другая — с 64-битной Windows 10, и начал с нуля, чтобы полностью протестировать требования для нормальной работы. OPC DCOM Требуются минимальные условия конфигурации, а затем протестировано, как это сделать без отключения брандмауэра Windows или переключения выделенных пользователей (общие учебные пособия требуют входа в систему с одной и той же учетной записью пользователя на компьютерах клиента OPC и сервера OPC). Не смей держать результаты при себе, достаньте их и обсудите с профессионалами.

2. Базовые знания

 Как плавно настроить DCOM, связанный с OPC? Сначала вам необходимо понять режим работы OPC DA и связанных с ним программ (компонентов, сервисов) и механизм работы компонентов Windows DCOM, а затем вы сможете правильно настроить OPC DCOM.

Так называемая правильная настройка DCOM не только требует завершения связи между клиентом и сервером, но и требует возможности обеспечить безопасность системы Windows, а также включает в себя гибкое использование учетных записей Windows, а не необходимость использовать одну и ту же учетную запись на сервере и клиентских компьютерах. Кроме того, связь OPC DCOM может быть обеспечена без отключения брандмауэра Windows.

2.1 Механизм работы OPC DCOM.

2.1.1 Клиент и Сервер находятся на одном компьютере

Когда Клиент и Сервер находятся на одном компьютере, сначала Клиент инициирует запрос к компоненту OpeEnum (CLSID: {13486D51-4821-11D2-A494-3CB306C10000}) для всех OPC-серверов, зарегистрированных на этом компьютере (включая сервер 2.0). стандарт (GUID: Компонент OpcEnum отвечает за возврат всей зарегистрированной информации о сервере OPC. На втором этапе, после того как клиент OPC получает зарегистрированную информацию о сервере OPC, он определяет сервер OPC, который необходимо подключить, и получает различную информацию о конфигурации сервера, данные элемента данных (тега) в реальном времени и другие уведомления (например, как завершение работы сервера) через интерфейс ConnectionPoint и интерфейс AdviseSink).

Диаграмма 1. Клиент/сервер OPC, установленный на том же компьютере

2.1.2 Клиент и Сервер находятся на разных компьютерах

  OPC Slient и Сервер установлены на разных компьютерах. Если необходимо реализовать взаимосвязь между Клиентом и Сервером, на компьютерах, где расположены Клиент и Сервер, должны быть установлены стандартные компоненты OPC DA и произведена регистрация системы. Стандартные компоненты OPC DA включают:

• opc_aeps.dll
• opcbc_ps.dll
• opccomn_ps.dll
• opcdaauto.dll
• opchda_ps.dll opcproxy.dll opcsec_ps.dll

Диаграмма 2. Клиент/сервер OPC, установленный на разных компьютерах

 Сначала клиентское программное обеспечение OPC обращается к файлу OPCEnum.exe, зарегистрированному на компьютере, где расположен сервер OPC, и запрашивает все серверы OPC, зарегистрированные на компьютере, где расположен сервер. Компонент OpcEnum отвечает за возврат всей зарегистрированной информации о сервере OPC.

На втором этапе, после того как клиент OPC получает зарегистрированную информацию о сервере OPC, он определяет сервер OPC, который необходимо подключить, и получает различную информацию о конфигурации сервера, данные элемента данных (тега) в реальном времени и другие уведомления (например, как завершение работы сервера) через интерфейс ConnectionPoint и интерфейс AdviseSink).

После краткого понимания процесса связи между OPC-клиентом и сервером мы можем сделать вывод, что независимо от того, является ли это одним и тем же компьютером или другим компьютером, связь между OPC-клиентом и сервером в основном включает три части: OPC-клиент, OPCEnum.exe и OPC-сервер.

В качестве примера ниже приведена 32-разрядная версия Windows 7, иллюстрирующая процесс настройки OPC DCOM.

3 Базовый (самый простой) способ настройки

3.1 Обзор

 Содержимое, представленное в этом разделе, было протестировано в Windows 10 и Windows 7.

3.2 Отключите брандмауэр Windows

  Чтобы упростить введение в настройку OPC В процессе связи DCOM проблема брандмауэра не рассматривается в первую очередь. После установления связи DCOM рассматривается брандмауэр. Итак, сначала вам нужно отключить Windows Функциональность брандмауэра. Отключите брандмауэр Windows и выполните следующие действия: Панель управления. -> системы и безопасность -> Для брандмауэра Windows выполните следующие действия, чтобы отключить брандмауэры «Домашняя или рабочая (частная) сеть» и «Общественная сеть».

Рис. 3. Отключение брандмауэра Windows

3.3 Создание взаимно идентифицируемых учетных записей пользователей

Для осуществления взаимного доступа между двумя компьютерами в сети необходимо обеспечить наличие учетных записей пользователей с одинаковым именем пользователя и непустым паролем на OPC-клиенте и OPC-сервере.

3.3.1 Добавить учетную запись пользователя

 Добавьте одного и того же пользователя в операционной системе компьютера, где расположены OPC-клиент и OPC-сервер. Примечание. • Учетная запись должна иметь то же имя пользователя и пароль; • При использовании домена Windows учетные записи пользователей синхронизируются контроллером домена; • • При использовании нескольких доменов необходимо установить доверие между доменами или добавить локальных пользователей на затронутые компьютеры.

  Windows 7. Шаги по добавлению пользователей следующие: Панель управления. -> системы и безопасность -> Инструменты управления -> управление компьютером -> Локальные пользователи и группы.

Рисунок 4. Локальные пользователи и группы

 Дважды щелкните левой кнопкой мыши «Локальные пользователи и группы» в древовидной структуре слева, а затем выберите узел «Пользователи».

Диаграмма 5. Пользователи

  Затем выберите «Действия». -> В меню «Новый пользователь» введите имя пользователя и пароль в диалоговом окне нового пользователя, как показано на рисунке ниже.

Рисунок 6. Добавление новых пользователей

 После завершения заполнения нажмите кнопку «Создать» для завершения добавления учетной записи пользователя. Примечание. Создайте пользователей с одинаковыми именем пользователя и паролем на компьютерах клиента OPC и сервера OPC!

3.3.2 Настройка локальной политики безопасности

  Для этого шага необходимы настройки на компьютере, где расположены клиент OPC и сервер OPC. Окна 7 используется в качестве примера для иллюстрации следующих шагов настройки локальной политики безопасности: Панель управления -> Инструменты управления -> Локальная политика безопасности или щелкните Windows. Нажмите кнопку «Пуск» и введите в диалоговое окно «Поиск программ и файлов». “secpol.msc”。

Рис. 7. Локальная политика безопасности

  В диалоговом окне «Локальная политика безопасности» разверните (дважды щелкните левой кнопкой мыши) «Локальная политика» слева. -> В пункте «Параметры безопасности» в списке справа найдите «Сетевой доступ: модель общего доступа и безопасности для локальных учетных записей» и измените его на «Классический». – Аутентифицировать локальных пользователей без изменения их исходной личности».

Рисунок 8. Локальная политика безопасности – параметры безопасности

Рис. 9. Свойства модели общего доступа и безопасности для локальных учетных записей

3.4 Настройка системных параметров DCOM

Настройки DCOM компьютерной системы, в которой расположены клиент OPC и сервер OPC, влияют на приложения Windows DCOM, включая приложения OPC. Поскольку клиент OPC не имеет собственных настроек DCOM, на него влияет конфигурация DCOM по умолчанию, поэтому на него необходимо настроить DCOM. быть сделаны необходимые изменения.

3.4.1 Общие свойства системных служб компонентов по умолчанию

Общие свойства служб компонентов в системе по умолчанию следующие (скриншот Windows 10, такой же, как в Windows 7)

Рис. 10. Общие свойства службы системных компонентов — свойства по умолчанию

Схема 11 Общие свойства сервисов компонентов системы – права доступа – ограничения безопасности

Рисунок 12. Общие свойства службы компонентов системы — права доступа — значение по умолчанию

Схема 13 Общие свойства служб компонентов системы – разрешения на запуск и активацию – ограничения безопасности

Рис. 14 Общие свойства служб компонентов системы — разрешения на запуск и активацию — значения по умолчанию

3.4.2 Изменение общих свойств сервисов компонентов

  1. Нажмите Нажмите для Windows. кнопку «Пуск» и введите в диалоговое окно «Поиск программ и файлы».: dcomcnfg и нажмите Enter.

  2. Во всплывающем диалоговом окне «Службы компонентов». Разверните «Корневой узел консоли» слева и разверните его до «Мой компьютер». Щелкните правой кнопкой мыши, выберите «Мой компьютер» и во всплывающем меню выберите «Свойства».

Таблица 15. Общие настройки свойств DCOM.

 3. На всплывающей странице «Свойства моего компьютера» выберите страницу «Свойства по умолчанию» и установите, как показано ниже. На этом этапе некоторых руководств по установке и настройке OPC-сервера ниже для уровня аутентификации по умолчанию установлено значение «Нет», но для обеспечения безопасности сетевых коммуникаций на клиентском и серверном компьютерах установлен один и тот же пользователь. Поэтому лучше установить его на «Подключиться»

Таблица 16. Свойства моего компьютера по умолчанию

 4. Выберите протокол по умолчанию и убедитесь, что протокол «TCP/IP с установлением соединения» существует в «Протоколе DCOM».

Рис. 17 Протокол по умолчанию

 5. Выберите страницу «Безопасность COM» и нажмите кнопки «Изменить ограничения» и «Изменить настройки по умолчанию» в «Разрешения на доступ» и «Разрешения на запуск и активацию» соответственно, как показано на рисунке.

Рис. 18 Безопасность COM

  6. «Права доступа» – диалоговое окно «Изменить ограничения». Убедитесь, что три пользователя «Все», opcuser и АНОНИМНЫЙ ВХОД добавлены в список «Имя группы или пользователя» и что для трех вышеуказанных пользователей разрешены как «Локальный доступ», так и «Удаленный доступ».

Рисунок 19. Права доступа — редактирование ограничений

 7. «Права доступа» – «Права доступа по умолчанию». Убедитесь, что СИСТЕМА и opcuser добавлены в список «Группа или имя пользователя» и что для указанных выше учетных записей разрешены как «локальный доступ», так и «удаленный доступ».

Рис. 20. Ограничения доступа — изменение значений по умолчанию

  8. «Разрешения на запуск и активацию» — «Редактирование ограничений» Убедитесь, что пользователи «Все» и «opcuser» добавлены в список «Имя группы и пользователя», а также разрешены «Локальный запуск», «Удаленный запуск», «Локальная активация» и «Удаленная активация».

Рисунок 21. Разрешения на запуск и активацию — редактирование ограничений

9. «Разрешения на запуск и активацию» — «Изменить настройки по умолчанию». Убедитесь, что пользователи opcuser, INTERACTIVE и SYSTEM добавлены в список «Группы и имена пользователей» и что разрешены «Локальный запуск», «Удаленный запуск», «Локальная активация» и «Удаленная активация».

Рис. 22. Разрешения на запуск и активацию — изменение настроек по умолчанию

 После вышеописанных действий устанавливаются общие свойства сервиса компонента. Помните, что необходимо настроить как клиент OPC, так и компьютер, на котором расположен сервер OPC.

3.4.3 Настройки DCOM OPC-сервера

  Нажмите Нажмите для Windows. кнопку «Пуск» и введите в диалоговое окно «Поиск программ и файлы».: dcomcnfg и нажмите Enter.

 Во всплывающем диалоговом окне «Службы компонентов». Разверните «Корневой узел консоли» слева и выберите «Конфигурация DCOM». Затем в списке компонентов DCOM справа найдите OPC-сервер, который необходимо настроить, щелкните правой кнопкой мыши, чтобы выбрать сервер, а затем выберите «Свойства».

Рис. 23. Службы компонентов

 Нажмите настройки ниже, чтобы настроить OPC-сервер.

  1. Общие свойства OPC-сервера.

Таблица 24. Общие свойства OPC-сервера

   2. Атрибут местоположения OPC-сервера.

Рисунок 25. Атрибуты местоположения OPC-сервера.

  3. Атрибуты безопасности OPC-сервера. Среди них выберите «Настроить», чтобы получить разрешения на настройку, и их не нужно изменять.

Таблица 26 Атрибуты безопасности OPC-сервера

  4. Свойства конечной точки OPC-сервера.

Рисунок 27. Свойства конечной точки OPC-сервера.

  5. Идентификационный атрибут OPC-сервера. Атрибут идентификации OPC-сервера обычно имеет значение «Интерактивный пользователь».

Таблица 28. Атрибут идентификации OPC-сервера

 Значения и функции этих опций следующие:   Интерактивный пользователь: эта учетная запись представляет собой учетную запись пользователя, вошедшего в систему на этом компьютере в данный момент. Это означает, что должна быть зарегистрирована учетная запись, иначе сервер OPC не сможет быть запущен. Когда этот пользователь выйдет из системы, сервер OPC будет закрыт; Запуск пользователя: OPC-сервер аутентифицирует обращающегося пользователя. Операционная система создаст экземпляр для каждого обращающегося пользователя. Это вызовет три проблемы, если OPC-сервер разрешает доступ только одному пользователю, когда в системе уже есть экземпляр. , Никакие другие пользователи не смогут получить к нему доступ. Если OPC-сервер разрешает доступ нескольким пользователям, проблема в том, что при доступе разных пользователей будут открываться несколько экземпляров, которые будут занимать больше ресурсов компьютера. Другая проблема связана с аппаратным приоритетом, например последовательным портом. Когда он используется, другие пользователи больше не могут его использовать. Поэтому этот вариант обычно не используется. Следующие пользователи: OPC-сервер проверяет подлинность с использованием указанной учетной записи пользователя. В этом случае указанная учетная запись должна существовать на компьютере OPC-сервера, и этот пользователь должен быть известен OPC-клиенту. В противном случае он недоступен.  Системная учетная запись (только для службы): OPC-сервер аутентифицируется с использованием учетной записи операционной системы. Для рабочих групп или доменов системная учетная запись может быть распознана, и вход пользователя не требуется. Но OPC-сервер необходимо запускать как службу.

3.4.4 Настройки OPCEnum

Настройки OPCEnum в основном такие же, как и у OPC Server. Отличается только атрибут «идентификация». Для его установки можно обратиться к следующему рисунку.

Диаграмма 29 Настройки OPCEnum – ID 01  Некоторые системы не могут настроить учетную запись интерактивного пользователя на этом этапе, поэтому настройте пользователя как opcuser.

Диаграмма 30 Настройки OPCEnum – Идентификация 02

3.4.5 Резюме

 После настройки версий 3.2–3.4 клиент и сервер OPC могут обеспечить межсетевое соединение. Но на данный момент есть еще две проблемы. Одна из них заключается в том, что брандмауэр Windows все еще отключен, что может привести к потенциальным проблемам с безопасностью. Во-вторых, в операционную систему Windows, в которой расположены OPC-клиент и OPC-сервер, необходимо войти в систему с одной и той же учетной записью. Этот режим входа может соответствовать среде приложений с низкой чувствительностью учетной записи, но он не подходит для предприятий и приложений, таких как. смешанные приложения MRP, ERP и другие приложения. В такой среде использование одной учетной записи для входа на платформу Windows каждого компьютера не может соответствовать требованиям приложений и безопасности.

В главе 3 рассказывается, как решить эти две проблемы.

4 конфигурации для повышения безопасности

После настройки OPC DCOM в соответствии с руководством в разделе 2 можно обеспечить межсетевой доступ OPC. Однако в это время брандмауэр Windows отключен, что определенно создаст угрозу безопасности. Поэтому лучше всего включить Windows. Брандмауэр.

Но после включения брандмауэра Windows, если не выполнены никакие настройки, доступ к OPC будет заблокирован брандмауэром. Выполните следующие действия, чтобы установить правила входящего и исходящего трафика брандмауэра Windows для нормализации доступа к сети OPC.

4.1 Входящие правила

4.1.1 OPCEnum

  Выберите панель управления -> системы и безопасность –> Брандмауэр Windows -> Расширенные настройки. Затем выберите «Правила для входящего трафика».

диаграмма 31 Брандмауэр Windowsпередовойнастраивать

 Щелкните правой кнопкой мыши и выберите «Правила для входящего трафика», затем сначала выберите «Новое правило».

диаграмма 32 Брандмауэр WindowsВходящие правила - Тип правила

диаграмма 33 Брандмауэр WindowsВходящие правила - программа

В 64-разрядной системе Windows 10 файл OpcEnum.exe находится по пути Windows/SysWOW64.

диаграмма 34 Брандмауэр WindowsВходящие правила - действовать

диаграмма 35 Брандмауэр WindowsВходящие правила - Конфигурационный файл

диаграмма 36 Брандмауэр WindowsВходящие правила - имя

4.1.2 OPC-сервер, OPC-клиент

ˆ Сервер OPC и клиент OPC могут устанавливать правила для входящего трафика, обращаясь к процессу настройки OPCEnum.

4.2 Правила исходящего трафика

  исходящие для OPCEnum, OPC-сервера и OPC-клиента правилаи Входящие Правила аналогичны и здесь повторяться не будут. Следует отметить, что в «Новых исходящих На странице «действовать» мастера правил обязательно выберите «Разрешить подключение».

  настраивать Заканчивать Входящие правилаиисходящие правиланазад,Когда Брандмауэр Окна открыты,Также может быть обеспечен межсетевой доступ между OPC-клиентом и OPC-сервером.,И это может обеспечить безопасность соответствующего компьютера в сети.

5 разных входов в учетную запись

Как упоминалось в разделе 3.2, если вы хотите обеспечить межсетевую связь OPC, самый простой способ — настроить одну и ту же учетную запись (то же имя пользователя и тот же пароль) на компьютере, где расположены OPC-клиент и OPC-сервер. но это также вызывает вопрос. Некоторые другие приложения уровня предприятия, такие как ERP и т. д., могут предъявлять такие же требования к учетным записям для входа. Нереально настроить и использовать одну и ту же учетную запись пользователя для входа на всех сетевых компьютерах. В то же время на предприятии также возникнут потенциальные проблемы с безопасностью. Решение приведено ниже.

  На компьютере, где расположен OPC-клиент, выберите панель управления -> Учетные записи пользователей и семейная безопасность, затем выберите Диспетчер учетных данных. Как показано ниже.

диаграмма 37 Диспетчер учетных данных Windows

 Затем выберите «Добавить учетные данные Windows».

диаграмма 38 Добавьте учетные данные Windows

 В диалоговом окне «Добавьте учетные данные Windows» введите сетевой адрес, имя пользователя и пароль, используемые для подключения к OPC-серверу.

Следует отметить, что если вы используете IP-адрес при подключении к OPC-серверу, вам следует указать IP-адрес в столбце Интернет-адреса. Если вы используете имя компьютера, введите имя компьютера или просто добавьте. оба удостоверения. Как показано ниже.

диаграмма 39 учетные данные Windows - IP-адрес

диаграмма 40 учетные данные Окончательное состояние Windows

  Добавление учетных записей завершено. данные Windowsназад,Даже если вы войдете в Windows, используя другую учетную запись пользователя,Также может быть обеспечена связь с OPC-сервером.