遠端OPC通路必須在伺服器和用戶端兩端配置DCOM。本文講述如何正确配置 DCOM 的步驟并保證安全。更多通訊資源請登入網信智彙(wangxinzhihui.com)。
一個簡單有效的配置并建立可靠的DOM通訊包括了下列的步驟:
1. 移除Windows安全
2. 建立互相能識别的使用者賬号
3. 配置系統寬泛的DCOM設定
4. 配置Server 特殊的DCOM 設定
5. 恢複Windows安全
- 移除Windows 安全
為了能夠建立DCOM通訊,第一步需要禁止Windows 防火牆的功能,這個功能從Windows XPService Pack 2 或以後的版本預設時是被打開的. 防火牆能夠阻止未被授權的通路 (通常防止病毒,蠕蟲, 和不懷好意的或者粗心大意的操作). 如果計算機在一個安全的網絡裡, 即使是防火牆在短的時間内關閉也不會有什麼潛在的危害. 可以向管理者确認臨時的關閉防火牆是否安全. 在第5步中還會恢複安全功能 “恢複Windows安全”。
關閉Windows防火牆, 按下面的步驟:
- 點選Windows開始按鈕, 選擇控制台, 最後點選Windows 防火牆
- 在 General 标簽裡, 選擇 “關閉”
- 建立互相能識别的使用者賬号
為了使計算機能正确的識别使用者賬号,是以必須保證使用者賬戶在OPC客戶機和OPC伺服器上都能夠被識别,這也包括Everyone這個使用者賬号在OPC通路上。
a. 添加使用者賬戶
確定所有的計算機有相同的使用者名和密碼的組合. 使用者名與密碼的比對在 OPC 的通路是必須的。注意:
- 一個賬戶必須有一個使用者名和密碼. 如果一個賬戶沒有密碼是不能夠建立通訊.
- 當使用的是Windows 工作組,每個計算機上擁有自己全部的使用者賬戶和密碼
- 當使用單個域, 使用者賬戶是由域控制器來同步.
- 當使用多域,需要作域間的信任或者添加本地使用者到受影響的計算機上
b. 本地使用者的認證
在 Windows XP 和 Windows Vista,有一個設定需要修改. 在 Windows 2000 更早的版本沒有必要修改. 在預設情況下”簡單檔案共享”總是被開啟的, ”簡單檔案共享”強制使遠端的每個使用者作為 Guest 賬戶來認證. 這種安全機制使的不能正常通訊,有兩種方法關閉。
方法 1: 關閉“簡單檔案共享”
- 輕按兩下桌面上 “我的電腦”。
- 在工具菜單裡, 點選檔案夾選項.
- 點選 View 标簽, 并去除勾選 "使用簡單檔案共享" 複選框來關閉“簡單檔案共享”
方法 2: 設定本地安全政策
- 點選 Windows 開始按鈕, 選擇控制台\管理工具\本地政策.如果在控制台中找不到管理工具 , 可以選擇點選 Windows 開始按鈕; 選擇運作菜單并輸入 “secpol.msc”
- 在目錄樹找到安全設定\本地安全, 最後選擇安全選項檔案夾
- 找到+ “網絡通路:本地賬戶的共享和安全模式” 選項設定“經典-本地使用者以自己的身份驗證”
- 配置系統寬泛的DCOM設定
系統的寬泛的 DCOM 設定影響着 Windows 的 DCOM 的應用,包括 OPC 的應用,由于 OPC 用戶端沒有自己的 DCOM 的設定,是以它受預設 DCOM 的配置的影響,是以需要作必要的改變,如下面的步驟所示:
a. 點選 Windows 的開始按鈕,選擇運作菜單指令。
b. 在彈出的對話框中輸入"DCOMCNFG"初始化 DCOM 的配置過程,點選 OK 确認後,彈出元件服務的窗體。
c. 元件服務的視窗打開後,選擇目錄樹中的“控制台根目錄\元件服務\計算機\我的電腦”。
d. 右擊“我的電腦”,選擇“屬性”選項。
【預設屬性】 在預設屬性标簽裡,確定三個指定的選項設定如下
- 勾選“在此計算機啟用分布式COM”選項,注意,如果這一項做了改變需要重新啟動計算機才能生效。設定“預設身份驗證級别”為“連接配接”,也可以使用清單裡的其它設定項,但“連接配接”選項是考慮安全的最小的權限。設定“預設模拟級别”為“辨別”,在預設協定的标簽裡選擇預設的協 議 為 “面向連接配接的TCP/IP” , OPC 的 通 訊 是 僅 需 要 “面向連接配接的TCP/IP”,是以盡可能把其它協定删除,然而若其它的應用程式需要其它的協定,那麼就必須保留其它協定。這樣作是能夠減小延時。
【COM安全】Windows 用 COM 的安全标簽設定所有對象的系統寬泛的通路控制清單,通路控制清單包括了 啟動/激活和通路權限,為了添加正确的允許權限。按下列的步驟操作。
- 在通路允許的組,點選“編輯預設值”按鈕,添加“Everyone”到“組或使用者名稱”,點選OK按鈕。
- 在通路允許的組,點選“編輯限制”按鈕,添加“Anonymous Logon”和“Everyone”到“組或使用者名稱”,點選OK按鈕。
- 在啟動與激活允許的組裡,點選“編輯預設值”按鈕,添加“Everyone”到“組或使用者名稱”,點選OK按鈕。
- 在啟動與激活允許的組裡,點選“編輯限制”按鈕,添加“Everyone”到“組或使用者名稱”,點選OK按鈕。
在4個權限編輯中,分别添加“Administrator, Administratos、Anonymous Logon 、Everyone、Interactive、 Network”到“組或使用者名稱”,并允許本地或遠端激活、啟動、通路。
- 配置Server的特殊DCOM設定
一旦DCOM的寬泛配置設定完,就需要關注Server的DCOM的特殊設定,這裡的設定最終将會不同于其它的OPC Server的設定。改變設定如下:
- 在右邊的Windows的視窗裡,找到需要配置的OPC Server,右擊該Server,在彈出的菜單裡選擇屬性選項,進行OPC Server的特殊設定,在OPC Server的特殊設定裡僅Identity标簽的内容需要修改,其它标簽項可參考DCOM的寬泛設定
- 但是需注意的是辨別标簽項的設定,辨別标簽有四個選項:
- 互動式使用者:OPC Server 以互動的使用者認證, 這個賬戶是目前登陸此計算機且駐留在OPC Server的計算機上,也就是必須有賬戶登入,否則不能啟動OPC Server,當此使用者登出時,OPC Server就會關閉,即使是計算機的重新啟動,也會造成OPC Server的短暫的關閉。啟動使用者: OPC Server以通路的使用者認證,作業系統會為每個通路的使用者建立一個執行個體,這樣會有三個問題出現,若OPC Server隻允許一個使用者通路時,當系統中已經有了一個執行個體,再有其它使用者就無法通路。若是OPC Server允許多個使用者通路時,那麼帶來的問題是随着不同使用者的通路,就會打開多個執行個體,這樣就會占用更多的計算機的資源。另外的一個問題是硬體的搶占,如序列槽,當一個使用了,其它的使用者就無法再使用。指定使用者:OPC Server以指定的使用者賬戶認證,這種情況需要在OPC Server的計算機上存在着要指定的賬戶,而且對于OPC Client必須知道此使用者。否則無法通路。系統賬戶(僅用于服務):OPC Server以作業系統賬戶認證,對于工作組還是域,系統賬戶都能被識别,也不需要有使用者登陸。但OPC server必須以服務的方式啟動。
- 恢複Windows安全
一旦建立OPC Client和OPC Server的通訊,保證計算機的安全也是非常重要的,這包括下列的步驟:
再次開啟計算機的防火牆,來阻止未授權的網絡通路。而且需要做兩個層次的例外處理:
- 應用程式:指定那些應用可以響應自動的請求
- 端口協定:指定對于TCP/IP或者UDP/IP的端口的允許或拒絕通路。
修改通路控制清單允許或者否決所需要,這即包括寬泛配置中的設定也包括 Server 的特殊配置,需要提醒的是 OPCEnum 需要“Anonymous Logon”的通路權限。
以上為OPC Server端的DCOM配置。對于OPC Client端的DCOM配置執行2)3)兩步操作即可。DCOM配置完畢後機器需要重新開機。
更多通訊資源請登入網信智彙(wangxinzhihui.com)。