Настройка Dcom для операционной системы Windows 10

Обновлено: 21.11.2024

Загрузить параметры DCOM для связи между компьютерами между серверами OPC и клиентами OPC.

Описание

Настройки DCOM для связи между компьютерами между серверами OPC и клиентами OPC 1.

В OPC DA служебная программа dcomcnfg используется для связи между компьютерами между клиентами OPC и серверами OPC. Эта сервисная программа будет выглядеть и вести себя по-разному в зависимости от используемой операционной системы (Windows 98/2000/XP/XP SP2). Этот документ относится к Windows 2000 и Windows XP SP2. Аспекты, относящиеся только к Windows XP SP2, отмечены в тексте. DCOM разрешает только аутентифицированный доступ между компьютерами. Мы рекомендуем зарегистрировать компьютеры в одном домене и указать группу пользователей (например, «Пользователи OPC») для связи OPC на всех компьютерах. Примечание: «dcomcnfg» влияет на операционную систему на очень глубоком уровне. Неправильная конфигурация может привести к тому, что операционная система станет нестабильной или перестанет работать. Указанные здесь настройки уменьшат безопасность вашей системы. В качестве альтернативы вы можете использовать инструмент Softing OPC Tunnel. При этом не требуются никакие настройки DCOM. Последний раздел кратко представляет этот инструмент. Примечание. В некоторых случаях «dcomcnfg» может выдавать предупреждения о конфигурации DCOM. Вас спросят, хотите ли вы автоматически исправлять несоответствия в конфигурации DCOM. Это не обязательно для описанных здесь настроек.

Настройки DCOM для общесистемных параметров безопасности

На клиентском компьютере и сервере должны быть установлены следующие настройки.

<р>2.1. Запустите "dcomcnfg" -

Войдите в систему с правами администратора Откройте меню "Пуск" Windows Выберите "Выполнить" Введите "dcomcnfg" Нажмите "ОК"

Изображение 1. Диалоговое окно "Выполнить" в Microsoft Windows

Изображение 2: стартовая страница "dcomcnfg"

<р>2.2. Откройте диалоговое окно «Свойства моего компьютера» -

Выберите "Корень консоли/Службы компонентов/Компьютеры/Мой компьютер" в дереве. Откройте контекстное меню (правая кнопка мыши) Свойства

Изображение 3. Стартовая страница "Свойства моего компьютера"

<р>2.3. Установите "Свойства по умолчанию" -

Выберите вкладку "Свойства по умолчанию" Включить распределенный COM на этом компьютере Уровень аутентификации по умолчанию: Нет Уровень олицетворения по умолчанию: Олицетворение

Изображение 4: вкладка "Свойства по умолчанию"

Примечание. Уровень аутентификации по умолчанию. Указывает, когда следует выполнять аутентификацию (никогда, при подключении, для каждого пакета и т. д.). Уровень олицетворения по умолчанию. Указывает, могут ли приложения определять, кто им звонит, и выполнять операции с использованием идентификатора клиента. .

<р>2.4. Установите "Протоколы по умолчанию" -

Выберите вкладку "Протоколы по умолчанию". Убедитесь, что "TCP/IP, ориентированный на подключение" стоит на первом месте

Изображение 5: вкладка "Протоколы по умолчанию"

Примечание. Windows проверяет протоколы в том порядке, в котором они отображаются здесь. Если «TCP/IP, ориентированный на соединение» не стоит на первом месте, будут задержки. Если время, необходимое для установления соединения, превышает время, отведенное серверу, сервер не сможет запуститься. Большое количество протоколов DCOM приведет к ненужным задержкам в случае разрыва соединения. Поэтому ненужные записи следует удалить.

2.5. Установите "Безопасность COM" -

Выберите вкладку «Безопасность COM» Нажмите кнопку «Разрешение доступа: Изменить ограничения» Добавьте «АНОНИМНЫЙ ВХОД», «Все», «ИНТЕРАКТИВ», «СЕТЬ» и «СИСТЕМА» в качестве имен пользователей (см. примечание) Разрешить " Локальный доступ» и «Удаленный доступ» для этих имен пользователей. Нажмите «ОК»

Изображение 6: Настройка "Разрешения на доступ"

Примечание. Если нужное имя группы или пользователя не отображается в окне выбора, его можно добавить следующим образом: -

Нажмите «Добавить» Нажмите «Дополнительно» Нажмите «Найти сейчас» Отметьте «Имена групп или пользователей» (можно выбрать несколько вариантов, удерживая нажатой клавишу «Ctrl») Нажмите «ОК»

Примечание. В группу пользователей "Все" входят все пользователи (локальные и доменные). Вы также можете создать разрешения для группы (например, «Пользователи OPC») и добавить в эту группу всех пользователей OPC. Затем эта группа должна существовать на сервере и клиентском компьютере. Windows не допускает пустых паролей для связи DCOM.

Разрешения на запуск и активацию: нажмите «Изменить ограничения». Добавьте «Все», «ИНТЕРАКТИВНЫЙ», «СЕТЬ» и «СИСТЕМА» в качестве имен пользователей. Разрешите «Локальный запуск», «Удаленный запуск», «Локальная активация» и «Удаленная активация». Активация» для этих пользователей и администратора Нажмите «ОК»

Рисунок 7. Настройка "Разрешение на запуск"

Разрешение на доступ: нажмите «Изменить по умолчанию». Добавьте «Все», «ИНТЕРАКТИВНЫЙ», «СЕТЬ» и «СИСТЕМА» в качестве имен пользователей. Разрешите «Локальный доступ» и «Удаленный доступ» для этих пользователей и администратора. Нажмите «ОК».

Разрешения на запуск и активацию: нажмите «Изменить по умолчанию». Добавьте «Все», «ИНТЕРАКТИВНЫЙ», «СЕТЬ» и «СИСТЕМА» в качестве имен пользователей. Разрешите «Локальный запуск», «Удаленный запуск», «Локальная активация» и «Удаленная активация». Активация» для этих пользователей и администратора Нажмите «ОК»

Диалог "Свойства моего компьютера": нажмите "ОК"

Настройки DCOM для параметров безопасности приложения

Выполните следующие шаги для вашего OPC-сервера и OPCenum.exe на серверном компьютере.

<р>3.1. Откройте диалоговое окно "Свойства" для сервера OPC -

Запустите «Конфигурация DCOM» (см. раздел 2 «Настройки DCOM» для общесистемных параметров безопасности). Выберите «Корень консоли / Службы компонентов / Компьютеры / Мой компьютер / Конфигурация DCOM» в древовидном представлении. Выберите сервер DCOM (справа). Откройте контекст. меню (правая кнопка мыши) Свойства

Изображение 8. Стартовая страница конфигурации DCOM для конкретного приложения

Выберите вкладку "Идентификация" Выберите "Интерактивный пользователь"

Изображение 9: Установка идентификатора

Примечание. Если сервер OPC работает как «служба», строки «интерактивный пользователь» и «запускающий пользователь» будут выделены серым цветом. В этом случае выберите «Этот пользователь» и введите пользователя (желательно из группы «Пользователи OPC») (см. примечание в разделе 2 «Настройки DCOM для общесистемных параметров безопасности»)

<р>3.3. Установить параметры безопасности –

Выберите вкладку "Безопасность"

Разрешения на запуск и активацию: выберите "Использовать по умолчанию" Разрешения на доступ: выберите "Использовать по умолчанию"

Разрешения на настройку: выберите «Настроить» и нажмите «Изменить». Добавьте «Все», «ИНТЕРАКТИВ», «СЕТЬ» и «СИСТЕМА» в качестве имен пользователей. Разрешите «Полный доступ» и «Чтение» для этих пользователей и администратора. Нажмите "ОК"

Примечание. Чтобы включить параметры "dcomcnfg", необходимо перезапустить сервер OPC и клиент OPC.

Активация гостевого доступа

Этот раздел относится только к Windows XP. При стандартной установке XP пользователи аутентифицируются на удаленных компьютерах как гости. Это означает, что клиент DCOM не сможет подключиться к серверу до тех пор, пока не будет активирован гостевой доступ и у гостя не будет достаточно прав для доступа к серверу. На клиентском компьютере и сервере должны быть установлены следующие настройки. -

Откройте меню "Пуск" Windows. Выберите "Настройки/Панель управления". Выберите "Администрирование". Выберите "Локальная политика безопасности". В дереве выберите "Локальные политики/Параметры безопасности".

Дважды щелкните "Доступ к сети: модель общего доступа и безопасности для локальных учетных записей" и выберите "Классический — локальные пользователи аутентифицируются как они сами"

Дважды щелкните «Доступ к сети: разрешить всем применять разрешения для анонимных пользователей». Выберите «Включено»

Изображение 10. Установка «Локальных настроек безопасности»

Настройка брандмауэра Windows

Этот раздел относится к брандмауэру в Windows XP SP2. Однако эти настройки обычно применяются и ко всем другим брандмауэрам. Конфигурация должна выполняться на клиентском компьютере и сервере.

<р>5.1. Запустите конфигуратор "Брандмауэр Windows" -

Откройте меню "Пуск" Windows. Выберите "Настройки/Панель управления". Выберите "Брандмауэр Windows".

Изображение 11. Брандмауэр Windows

5.2. Укажите «Исключения» -

Выберите вкладку «Исключения». Нажмите «Добавить программу». Добавьте следующие программы: o Все клиенты OPC / серверы OPC o Консоль управления Microsoft o «OPCEnum.exe» (Windows/System32) Примечание. Не все приложения отображаются в Диалог «Добавить программу». Другие приложения можно найти с помощью кнопки «Обзор». Примечание. В список исключений включены только файлы *.exe. Для внутрипроцессного сервера выберите приложение, которое вызывает сервер.

Рисунок 12. Указание исключений

Выберите вкладку «Исключения». Нажмите «Добавить порт». Установите следующие параметры: o Имя: «DCOM» o Номер порта: «135» o Выберите переключатель «TCP» Нажмите «ОК»

Изображение 13. Открытие порта для DCOM

Примечание. Открытие порта 135 создает критическую брешь в безопасности. Это позволяет приложениям выполнять удаленные вызовы процедур по сети и, таким образом, влиять на компоненты Windows. Это создает шлюз для многих компьютерных вирусов. Убедитесь, что порт 135 остается закрытым между сетью вашей компании и Интернетом.

DCOM в Windows CE В Windows CE параметры безопасности для связи OPC между компьютерами еще более строгие. Также нет программы для настройки DCOM. Поэтому здесь невозможно дать общее описание. Если у вас есть какие-либо вопросы, свяжитесь с нашей службой поддержки ([email protected]).

Инструмент подключения туннеля OPC

Туннель OPC — это «обход DCOM», который обеспечивает связь между компонентами OPC на сетевых компьютерах. Туннель OPC должен быть установлен как на компьютере-клиенте OPC, так и на компьютере-сервере OPC. Связь между туннелями OPC на стороне клиента и сервера осуществляется через соединение TCP/IP, которое может быть зашифровано. Таким образом, данные, которыми обмениваются клиентское и серверное приложения, «туннелируются» через TCP/IP. DCOM полностью обойден. Настройка осуществляется с помощью понятного помощника. По сути, конфигурация включает в себя определение IP-адреса сервера и порта для связи TCP/IP. Туннель OPC доступен для Windows NT4, 2000, XP, 2003 и Windows CE и поддерживает Data Access 1.0a, 2.05 и 3.0, а также Alarms&Events 1.10.

DCOM для Windows 7, 10 и Server 2008R2 и более поздних версий

Настройка DCOM состоит из пяти шагов.

Чтобы запустить конфигурацию DCOM, введите «DCOMCNFG.EXE» в меню «Пуск»

Примечание. В Windows 10 нажмите кнопку «Пуск» или используйте клавишу Windows на клавиатуре и начните вводить текст для поиска.

Открытие средства настройки DCOM может занять несколько секунд. Вы увидите окно ниже, как только откроется инструмент конфигурации DOCM.

Настройка общих параметров/параметров по умолчанию
Нажмите «Компьютеры», затем щелкните правой кнопкой мыши «Мой компьютер» и выберите «Свойства».

Затем выберите Свойства по умолчанию справа.

Настройте следующие параметры следующим образом:

ДОЛЖЕН быть установлен флажок Включить распределенный COM на этом компьютере.
Уровень аутентификации по умолчанию должен быть установлен на «Нет». Обратите внимание: мы обнаружили, что проверка подлинности по умолчанию «Нет» может вызвать проблемы с некоторыми службами Windows (например, с Центром обновления Windows). Если проблема наблюдается с какими-либо компонентами Windows, измените этот параметр обратно на Подключение
Уровень олицетворения по умолчанию должен быть установлен на Идентификация.

Необходимо изменить каждую выделенную кнопку.

Нажмите кнопку «Изменить по умолчанию» в области «Разрешения на доступ» и убедитесь, что существуют следующие учетные записи с разрешениями «Разрешить доступ».

Если вы планируете использовать IIS (Internet Information Services) в качестве клиента OPC, его контекст входа в систему следует добавить в список доверенных учетных записей, как показано выше.

Проделайте то же самое с кнопкой Изменить настройки по умолчанию в разделе Разрешения на запуск и дайте право Разрешить запуск тем же учетным записям, что и выше.

Убедитесь, что для обеих кнопок Изменить ограничения используются одни и те же настройки. Это создаст минимальную безопасность для ваших настроек DCOM. Это просто для того, чтобы убедиться, что мы можем установить рабочее соединение. После настройки всех параметров и установления соединения безопасность можно усилить.

Теперь нажмите OK, чтобы сохранить и закрыть окно..

Целью этих руководств является помощь в настройке связи OPC в различных версиях Windows.

Пользователи часто испытывают трудности с OPC-коммуникацией из-за расширенных настроек безопасности.

В этом документе описывается, как отключить эти параметры безопасности, чтобы разрешить связь OPC:

DCOM имеет ограничения на подключение при работе в отдельных доменах/рабочих группах. Эти шаги могут работать, но в зависимости от отдельных сетей могут потребоваться дополнительные настройки и компоненты.

Настройки безопасности DCOM

OPC использует ActiveX COM и DCOM для связи, поэтому мы должны открыть наши разрешения DCOM, чтобы разрешить это.

Выберите Пуск > Выполнить (или нажмите Windows + R).

Введите dcomcnfg и нажмите OK.

Выберите Корень консоли > Службы компонентов > Компьютеры > Мой компьютер. Щелкните правой кнопкой мыши Мой компьютер и выберите Свойства.

Перейдите на вкладку Свойства по умолчанию и убедитесь, что ваше окно соответствует показанному ниже:

Перейдите на вкладку "Безопасность COM". В разделе «Разрешения на доступ» нажмите кнопку «Изменить ограничения».

Убедитесь, что у вас есть разрешения на Анонимный вход, Все, Интерактив, Сеть и Система, как показано ниже. Затем нажмите ОК.

В разделе "Разрешения на доступ" нажмите кнопку "Изменить по умолчанию".

В разделе "Разрешения на запуск и активацию" выберите "Изменить ограничения".

В разделе "Разрешения на запуск и активацию" выберите "Изменить по умолчанию".

Мы успешно настроили параметры DCOM по умолчанию. Нажмите OK, чтобы вернуться в окно Службы компонентов.

В разделе "Мой компьютер" откройте папку DCOM Config.

Перейдите к своему серверу OPC, щелкните его правой кнопкой мыши и выберите "Свойства".

На вкладке "Общие" установите для параметра "Уровень аутентификации" значение "Подключение".

Перейдите на вкладку "Безопасность". В разделе «Разрешения на запуск и активацию» нажмите кнопку «Настроить». Затем нажмите «Изменить».

Убедитесь, что у вас есть разрешения для всех, интерактивного доступа, сети и системы, как показано ниже. Затем нажмите ОК.

В разделе «Разрешения на доступ» нажмите кнопку «Настроить». Затем нажмите «Изменить».

Перейдите на вкладку Личность. Убедитесь, что ваш сервер работает либо как интерактивный пользователь, либо, если он работает как служба, как системная учетная запись. Нажмите OK, чтобы вернуться в окно Службы компонентов.

В папке конфигурации DCOM перейдите к OpcEnum. Щелкните его правой кнопкой мыши и выберите "Свойства".

На вкладке "Общие" убедитесь, что уровень аутентификации установлен на "Подключение".

В разделе «Разрешения на доступ» нажмите кнопку «Настроить». Затем нажмите «Изменить».

Перейдите на вкладку Личность. Для пользователя должна быть установлена системная учетная запись, так как OpcEnum работает как служба. Нажмите «ОК». Настройки DCOM на этом компьютере теперь правильные.

Брандмауэр Windows

Если брандмауэр Windows запущен и работает, он будет мешать обмену данными между приложениями в системе.

В противном случае отключите брандмауэр, выполнив следующие действия:

Выберите Пуск > Панель управления, как показано на рисунке:

В Панели управления выберите Система и безопасность > Брандмауэр Windows.

В окне брандмауэра Windows нажмите «Включить или отключить брандмауэр Windows».

Выберите «Отключить брандмауэр Windows (не рекомендуется)» для своей сети и нажмите «ОК» для подтверждения.

Предотвращение выполнения данных

Предотвращение выполнения данных (DEP) – это набор аппаратных и программных технологий, которые выполняют дополнительные проверки памяти для предотвращения запуска вредоносного кода в системе. В Microsoft Windows XP с пакетом обновления 2 (SP2) и Microsoft Windows XP Tablet PC Edition 2005 DEP обеспечивается аппаратным и программным обеспечением.

DEP также предотвращает запуск многих установок и, как известно, вызывает другие проблемы с программным обеспечением. Отключите его, выполнив следующие действия:

В меню "Пуск" щелкните правой кнопкой мыши "Мой компьютер" и выберите "Свойства".

В окне "Система" выберите "Дополнительные параметры системы".

Перейдите на вкладку "Дополнительно". В разделе «Производительность» нажмите кнопку «Настройки».

Выберите «Включить DEP для важных…». кнопку, как показано на рисунке. Нажмите «ОК». На этом этапе может потребоваться перезагрузка машины.

Локальная политика безопасности

Если вы используете рабочие группы вместо доменов, для установления связи может потребоваться выполнить следующие действия. Обратите внимание, что эти изменения могут поставить под угрозу безопасность вашей системы. Если у вас есть какие-либо опасения, обратитесь к сетевому администратору.

Выберите "Пуск" > "Панель управления" > "Система и безопасность" > "Администрирование" > "Локальная политика безопасности".

Перейдите в раздел "Параметры безопасности" > "Локальные политики" > "Параметры безопасности".

Щелкните правой кнопкой мыши DCOM: Ограничения доступа к компьютеру… и выберите Свойства.

Нажмите кнопку "Изменить безопасность", как показано на рисунке.

Убедитесь, что все, интерактивные, сетевые и системные пользователи добавлены в разрешенные имена групп или пользователей, как показано на рисунке. Нажмите OK, чтобы вернуться в главное окно политики безопасности.

Щелкните правой кнопкой мыши DCOM: Ограничения запуска компьютера… и выберите Свойства.

Нажмите кнопку "Изменить безопасность", как показано на рисунке.

Перейти к сетевому доступу: разрешить всем применять разрешения для анонимных пользователей. Щелкните его правой кнопкой мыши и выберите "Свойства".

Выберите «Включено» и нажмите «ОК».

Перейдите к разделу Доступ к сети: модель общего доступа и безопасности для локальных учетных записей. Щелкните его правой кнопкой мыши и выберите "Свойства".

Основы удаленного доступа к серверу OPC-DA с помощью DCOM

1) Сервер OPC-DA можно рассматривать как общий объект ActiveX (см. Настройка интерфейса DCOM для ActiveX), поэтому сервер OPC-DA можно установить как на стороне сервера, так и на стороне клиента.

a) Если пакет основных компонентов OPC установлен и на стороне клиента, и на стороне сервера, то можно на клиентском сайте в системе PROMOTIC использовать кнопку в конфигураторе "OPC-сервер - CLSID/ProgID" для просмотра список установленных серверов OPC на сервере. Серверный компьютер определяется в конфигураторе «Запуск на компьютере».

b) Если пакет основных компонентов OPC установлен только на стороне клиента, то просмотр списка установленных серверов OPC на сервере невозможен, и необходимо ввести CLSID удаленного сервера OPC. вручную.

Настройка удаленного доступа к OPC-серверу посредством DCOM

Для настройки DCOM необходимо иметь права администратора ОС Windows. Конфигурация сервера и клиента DCOM аналогична. На сервере вы также можете (для OPCEnum) настроить сервер OPC.

1) Сервер и клиент: Если компьютер сервера и клиента не в домене, то необходимо создать пользователя на сервере с тем же именем и паролем, что и пользователь на клиентском компьютере (общий пользователь).

2) Сервер и клиент: Если включен упрощенный общий доступ к файлам в ОС Windows XP, то при попытке доступа к удаленному OPC-серверу возникает ошибка «Отказано в доступе». Поэтому его необходимо отключить.
См. «Пуск» > «Панель управления» > «Свойства папки» > «Вид» > «Подробные настройки» > «Использовать упрощенный общий доступ к файлам».

3) Сервер и клиент:
Запустите консоль «Пуск» > «Программы» > «Администрирование» > «Локальная политика безопасности».
В консоли выберите Локальные политики > Параметры безопасности
Проверьте следующие параметры:

6) Сервер и клиент: Запустите инструмент настройки DCOMCNFG.EXE (находится в подпапке ОС Windows system32), который представляет собой административную консоль DCOM.

7) Сервер и клиент: В консоли выберите Службы компонентов > Компьютеры > Мой компьютер и откройте Свойства (правой кнопкой мыши). Здесь вы можете управлять конфигурацией общих частей COM, DCOM и значениями по умолчанию для каждого COM-сервера.

– В разделе «Разрешения на доступ» > «Изменить ограничения для всех» включены как локальный, так и удаленный доступ.

– В разделе «Разрешения на доступ» > «Изменить значение по умолчанию» для обычного пользователя (одинаковые для клиента и сервера) включены как локальный, так и удаленный доступ.

– В разделе «Разрешения на запуск и активацию» > «Изменить ограничения для всех» включены локальный запуск, удаленный запуск, локальная активация и удаленная активация.

- В разделе «Разрешения на запуск и активацию» > «Редактировать значения по умолчанию» для обычного пользователя (одинакового для клиента и сервера) включены функции «Локальный запуск», «Удаленный запуск», «Локальная активация» и «Удаленная активация».

8) Сервер и клиент: Настройка DCOM для программы OPCEnum из пакета основных компонентов OPC.
В консоли выберите Службы компонентов > Компьютеры > Мой компьютер > Конфигурация DCOM > OPCEnum и откройте Свойства (правой кнопкой мыши).

c) На вкладке "Безопасность" проверьте, все ли параметры установлены на "Использовать по умолчанию". Возможные варианты: Разрешения на запуск и активацию , Разрешения на доступ и Разрешения на настройку .

d) На вкладке «Идентификация» проверьте настройку системной учетной записи. Если выбран другой компонент, кроме OPCEnum, который не является службой (например, сервер OPC), также можно установить данные для входа конкретного обычного пользователя.

9) Сервер: Конфигурация DCOM для сервера OPC-DA.
В консоли выберите «Службы компонентов» > «Компьютеры» > «Мой компьютер» > «Конфигурация DCOM» > «Имя сервера OPC» и откройте «Свойства» (правой кнопкой мыши).
Осторожно! Конфигурация сервера OPC аналогична конфигурации OPCEnum, поэтому повторите шаги с 8a по 8d .

Читайте также: