Настройка dcom windows xp

Обновлено: 22.01.2025

Для настройки удаленного доступа с помощью сервисов DCOM нужно в первую очередь экспортировать список пользователей сети с первичного контролера домена. Дело в том, что применение технологии DCOM базируется на предоставлении прав на удаленный запуск конкретного приложения тем или иным пользователем или группам пользователей. Поэтому компьютер, содержащий сервер, который планируется запускать удаленно, обязательно должен иметь в своем реестре описание прав доступа к данному серверу различных пользователей и их групп. При этом пользователь компьютера на котором предполагается запускать сервер, должен иметь право импортировать список пользователей домена.

При таком способе доступа к серверу необходимо, чтобы все клиенты и сам сервер располагались внутри одного домена.

Для задания правила использования выбранного сервера в Windows NT/2000 нужно щелкнуть на кнопке Properties (Свойства). В случае Windows XP нужно выбрать команду Properties в контекстном меню соответствующего сервера. Далее в открывшимся диалоговом окне перейти на вкладку Location (Расположение) и установить флажок Run Application on this computer (Запускать приложение на данном компьютере) (рисунок 5.2.1.2).

Далее нужно перейти на вкладку Security (Безопасность), установить переключатель Use custom access permission (Разрешение на доступ настраиваемое).

Рисунок 5.2.1.1.

После чего щелкнуть на находящейся рядом кнопке Edit (Изменить) (рисунок 5.2.1.3). Это позволит выбрать пользователей и группы пользователей, которые смогут подключиться к уже запущенному серверу (из этого разрешения вовсе не следует, что они могут инициировать его запуск).

Затем в открывшемся окне со списком пользователей (рисунок 5.2.1.4), уже имеющих разрешение (он может быть пуст), следует выбрать Add (Добавить) и выбрать в списке пользователей домена (рабочей группы) того пользователя (или группу пользователей), которому нужно дать подобное разрешение.

После этого соответствующие пользователи и группы пользователей будут добавлены в список тех, кому разрешен доступ к уже запущенному серверу.

Чтобы разрешить пользователю или группе пользователей не только удаленно обращаться к запущенному серверу, но и инициировать его запуск, в окне задания параметров разрешения (рисунок 5.2.1.3.) следует установить переключатель Use custom launch permissions (Разрешение на запуск), щелкнуть на кнопке Edit (Изменить) и повторить все описанные выше шаги. С помощью переключателя Use custom configuration (Разрешение на изменение настроек) и соответствующей кнопки Edit (Изменить) можно указать кому из пользователей разрешено менять настройки данного сервера, если таковые имеются.

Рисунок 5.2.1.2.

Во всех остальных случаях кнопка приложения, сигнализирующая о наличии сервера, на панели задач отображаться не будет, пользовательский интерфейс сервера окажется недоступным, то есть его формы на экране не появятся, а команды от мыши и клавиатуры не будут выполняться. При этом если в процессе работы сервера потребуется вывести модальное диалоговое окно, создастся впечатление «зависания» приложения. Выгрузить такое приложение можно, только уничтожив его процесс с помощью утилиты Task Manager (Диспетчер Задач), что удается далеко не всегда - ведь владельцем процесса является другой пользователь.

Далее следует зарегистрировать сервер в реестре рабочей станции, где будет запускаться клиентское приложение.

Рисунок 5.2.1.3.

Для этого сервер автоматизации, нужно хотя бы один раз запустить на компьютере, содержащем приложение-клиент. Альтернативой является внесение записей о сервере в реестр каким-либо иным способом, например путем написания процедуры регистрации сервера на клиентской рабочей станции или импорта REG-файлов.

Рисунок 5.2.1.4.

В реестре компьютера, на котором запускается контролер автоматизации, также должны содержатся сведения о том, что соответствующий сервер автоматизации запускается удаленно. Для этого нужно, чтобы в реестре о сервере автоматизации уже была соответствующая запись, поэтому его требуется хотя бы один раз запустить локально.

После этого можно с помощью той же утилиты DCOMCNFG указать, что выбранный COM-сервер запускается не на данном компьютере, а на удаленном.

Для корректной работы OPC серверов необходимо настроить сетевые параметры и параметры безопасности DCOM.

Настройка OpcEnum не требуется, поскольку данная служба автоматически настраивается при установке "OPC Core Components".

Пример настройки параметров приведен для тестового OPC сервера "Те st OPC Server". Настройка параметров DCOM выполняется с помощью служебной команды "dcomcnfg".

Для запуска "dcomcnfg" нажмите на клавиатуре Win+ R, чтобы открыть окно запуска программ из командной строки.

Рис. 20 Запуск службы компонентов

4.1 Настройка параметров по умолчанию

Рис. 21 Свойства

Рис. 22 Безопасность COM

Кликните по кнопке №1 (рис. 22). В появившемся диалоговом окне (рис.23):

Кликните на кнопке "Добавить";
Добавьте группу пользователей "Пользователи DCOM", выполнив действия, аналогичные показанным на рисунках 7 – 9;
Установите для нее права доступа;
Сохраните изменения, кликнув по кнопке "OK".

Рис. 23 Настройка прав доступа

Повторите действия в диалоговом окне "Разрешение на запуск и активацию" (рис.24), которое появляется при клике на кнопке №2 "Изменить умолчания" (рис.22).

Рис. 24 Настройка разрешений на запуск

На закладке "Набор протоколов" (рис.25) удалите все протоколы, кроме TCP/ IP и нажмите "OK" для того чтобы сохранить изменения в диалоговом окне "Свойства: Мой компьютер".

Рис. 25 Настройка разрешений на запуск

4.2 Настройка параметров для OPC сервера

Рис. 26 Настройка DCOM для OPC сервера

Поскольку все параметры были настроены для всего компьютера, то необходимо убедиться, что OPC сервер использует параметры по умолчанию.

Рис. 27 Общие свойства OPC сервера

Рис. 28 Свойства безопасности

Рис. 29 Конечные узлы

Рис. 30 Удостоверение

На закладке "Удостоверение" необходимо указать имя пользователя, который был создан ранее, от имени которого будет запускаться OPC сервер.

Замечание 1. Перед изменением настроек OPC сервера необходимо убедиться, что он не запушен и отсутствует в списке активных процессов. Или перезапустить OPC сервер после изменения настроек.

Замечание 2. Для некоторых OPC серверов необходимо, чтобы они были запущены хотя бы один раз с правами администратора, для того чтобы зарегистрироваться в системе и инициализировать параметры OPC сервера. Только после такой инициализации они будут доступны для обнаружения через OpcEnum и подключения.

4.3 Настройка доступа к OPC серверам "Для всех"

Внимание! Разрешение доступа для всех может снизить уровень безопасности компьютера.

Иногда требуется разрешить доступ к OPC серверу для всех, включая анонимных пользователей. Например, когда компьютер с сервером не включен в домен, а к серверу будут подключаться множество клиентов.

Компьютер с сервером может быть не включен в домен;
Не требуется создавать пользователей на компьютере с OPC сервером;
Пользователи могут запускать OPC клиент от своего имени.

Угроза безопасности компьютера за счет разрешения удаленного доступа к DCOM для всех.

Если вы хотите дать доступ к OPC серверу для всех, то необходимо настроить индивидуальные права доступа для выбранного OPC сервера.

Откройте настройки DCOM для OPC сервера, как показано в разделе 4.2 и модифицируйте их согласно рис.31 – рис.34. Остальные опции должны соответствовать параметрам, указанным в разделе 4.2.

Рис. 31 Общие свойства

Рис. 32 Свойства безопасности

Рис. 33 Разрешения на запуск и активацию

Рис. 34 Права доступа

Необходимо настроить локальную политику безопасности. Для этого необходимо открыть консоль управления "Локальная политика безопасности". Консоль можно запустить, выполнив "Пуск" - "Администрирование" - "Локальная политика безопасности". Необходимо перейти в раздел "Локальные политики: Параметры безопасности". И установить состояние правила "" в состояние "Включено" (рис. 35).

Рис. 35 Свойства политики безопасности

Если после изменения политики безопасности, как показано на рис. 35, OPC клиенты не могут получать список OPC серверов и подключаться к ним, то необходимо настроить и сохранить дополнительные свойства политики безопасности (рис. 36-37).

Для настройки прав доступа к DCOM-приложениям в операционных системах Windows XP, Windows Server 2003 и Windows Vista используется оснастка «Службы компонентов» (Component Services) консоли управления.

Оснастку можно вызвать:

из системного меню «Пуск/Выполнить» по команде dcomcnfg (рисунок 4.15)

Рисунок 4.15 Запуск утилиты dcomcnfg

из системного меню «Пуск/Панель управления/Администрирование/Службы компонентов» (рисунок 4.16)

Рисунок 4.16 Системные инструментальные средства «Службы компонентов»

а также через консоль управления Microsoft – mmc.exe

После запуска появляется окно «Службы компонентов» (рисунок 4.17)

Рисунок 4.17 Оснастка «Службы компонентов»

После перехода к более низкому уровню безопасности следует перезапустить операционную систему, чтобы изменения вступили в силу.

Настройка общих параметров DCOM

Для установления связи с удаленными OPC-серверами сначала следует настроить общие параметры DCOM. Для этого:

На компьютере откройте оснастк у «Службы компонентов» и выберите раздел «Корень консоли/Службы компонентов/Компьютеры» («Console Root/Component Services/Computers»)

Откройте контекстное меню элемента «Мой компьютер» («My Computer») и выберите пункт «Свойства» («Properties») – рисунок 4.18

Рисунок 4.19 - Свойства компьютера, закладка «Безопасность COM»

Кнопка «Изменить ограничения…» может быть не доступна, если была изменена политика «DCOM: Ограничения компьютера на доступ в синтаксисе SDDL (Security Descriptor Definition Language)». В этом случае пропустите текущий шаг.

Эти настройки необходимы для функционирования утилиты поиска OPC-серверов (OPCEnum.exe) и некоторых OPC-серверов, для которых «Уровень проверки подлинности» («Authentication Level») установлен «Нет» («None»).

Рисунок 4.20 - Окно настройки «Разрешение на доступ»

Этот шаг настройки необходимо выполнить как на компьютере, где установлен OPC-сервер, так и на компьютере, где установлен OPC-клиент. Остальные шаги выполняются на компьютере сервера.

Нажмите на кнопку «Изменить ограничения…» на панели «Разрешения на запуск и активацию» (рисунок 4.19).. В открывшемся окне «Разрешение на запуск» нажмите кнопку «Добавить» и добавьте группу, «Users OPC» (описание в разделе 4.1 «Создание и настройка учетных записей Пользователей»). Для этой группы поставьте галочки «Разрешить» для всех вариантов запуска и активации (рисунок 4.21). Кнопка «Изменить ограничения…» может быть не доступна, если была изменена политика «DCOM: Ограничения компьютера на запуск в синтаксисе SDDL» («Security Descriptor Definition Language»). В этом случае пропустите текущий шаг. Если Пользователи группы должны получить только удаленный доступ к OPC-серверу, поставьте галочки «Разрешить» только для пунктов «Удаленный запуск» и «Удаленная активация».

Рисунок 4.21 - Окно настройки «Разрешение на запуск»

Остальные общие параметры DCOM могут остаться по умолчанию. Если они были изменены, и это нарушило работу OPC-серверов, верните их в прежнее состояние. Список параметров по умолчанию приведен ниже:

Закладка «Свойства по умолчанию» (рисунок 4.22)

Значения по умолчанию:

Установлена галочка «Разрешить использование DCOM на этом компьютере».

§ «Уровень проверки подлинности по умолчанию» – «Подключение».

§ «Уровень олицетворения по умолчанию» – «Идентификация».

§ Снята галочка «Повышенная безопасность для отслеживания ссылок».

Рисунок 4.22 — Свойства компьютера, закладка «Свойства по умолчанию»

Добавлены следующие протоколы DCOM:

§ «TCP/IP c ориентацией на подключения»

§ «SPX c ориентацией на подключения».

Рисунок 4.23 - Свойства компьютера, закладка «Протоколы по умолчанию»

Значения по умолчанию:

§ Установлена галочка «Проверять локальное хранилище при выборе раздела».

§ «Время ожидания транзакции (с)»: 60.

При работе в компьютерной сети в случае возникновения обрывов, переполнения и других критических ситуациях при попытках восстановления связи DCOM-приложения используют время ожидания транзакции (Transaction timeout). Это время, в течение которого DCOM-приложение посылает запрос к источнику данных и ожидает восстановления связи. DCOM-приложение совершает до 6 таких попыток, прежде чем подаст сигнал об ошибке в сети.

По умолчанию этот интервал равен 60 секундам. Соответственно, максимальное время, за которое DCOM-приложение определит, что сеть неисправна – 60*6 = 360 секунд или 6 минут.

Однако это время не всегда может устроить Пользователей DCOM-приложения. Очевидно, что чем короче время ожидания транзакции, тем быстрее DCOM-приложение сможет сообщить Пользователю об ошибке в сети. Поэтому, если Пользователь DCOM-приложения хочет сократить время определения ошибки в сети, он может уменьшить время ожидания транзакции.

Рисунок 4.24 - Свойства компьютера, закладка «Параметры»

GВнимание .

Времени ожидания транзакции настраивается на компьютере сервера.

При изменении времени ожидания транзакции следует понимать, что это коснется ВСЕХ DCOM-приложений, работающих на этом компьютере. Поэтому, если нет сильной необходимости изменить значение по умолчанию для этого пункта, то изменять его не рекомендуется.

4.1.2 Настройка параметров DCOM для OPC-сервера

Настройки, описанные в этом пункте, производятся на компьютере, где установлен OPC-сервер.

Для того чтобы настроить параметры DCOM для конкретного OPC-сервера, следует:

1) В оснастке «Службы компонентов» выберите раздел «Корень консоли/Службы компонентов/Компьютеры/Мой компьютер/Настройка DCOM» («Console Root/Component Services/Computers/My Computer/DCOM Config»)

2) Откройте контекстное меню нужного OPC-сервера (рисунок 4.25) и выберите пункт «Свойства» («Properties»)

Рисунок 4.25 - Выбор свойств OPC-сервера

3) В открывшемся окне «Свойства:…» перейдите на закладку «Безопасность» («Security»)

4) На панели «Разрешения на запуск и активацию» выберите «Настроить» и нажмите на кнопку «Изменить …». В открывшемся окне «Разрешение на запуск» (рисунок 4.26) нажмите кнопку «Добавить» и добавьте группу «Users OPC» (описание в разделе 4.1 «Создание и настройка учетных записей Пользователей»)

Рисунок 4.26 - Окно настройки «Разрешение на запуск» для OPC-сервера

Для группы «Users OPC»поставьте галочки «Разрешить» для всех пунктов. Если Пользователи группы должны получить только удаленный доступ к OPC-серверу, поставьте галочки «Разрешить» только для пунктов «Удаленный запуск» и «Удаленная активация»

5) На панели «Права доступа» (закладка «Безопасность») выберите «Настроить» и нажмите на кнопку «Изменить …». В открывшемся окне «Разрешение на доступ» (рисунок 4.27) нажмите кнопку «Добавить» и добавьте группу «Users OPC» (описание в разделе 4.1 «Создание и настройка учетных записей Пользователей»)

Рисунок 4.27 - Окно настройки «Разрешение на доступ» для OPC-сервера

Для этой группы («Users OPC») поставьте галочки «Разрешить» для всех вариантов доступа.

Если Пользователи группы должны получить только удаленный доступ к OPC-серверу, поставьте галочку «Разрешить» только для пункта «Удаленный доступ».

6) Для того, чтобы указать, под какой учетной записью будет запускаться OPC-сервер, перейдите на закладку «Удостоверение» (рисунок 4.28).

Рисунок 4.28 - Свойства OPC-сервера, закладка «Удостоверение»

Выбор учетной записи для запуска данного приложения зависит от реализации данного OPC-сервера. Воспользуйтесь документацией к OPC-серверу, чтобы выбрать «запускающего» Пользователя.

Общие рекомендации по выбору Пользователя для запуска OPC-сервера приведены в таблице 4.1.

Таблица 4.1 Рекомендации по выбору Пользователя для запуска OPC-сервера

«Текущий Пользователь»

(The Interactive User)

OPC-сервер будет запускаться под учетной записью вошедшего в систему интерактивного Пользователя.

Однако если компьютер не используется ни одним из Пользователей, т.е. текущего Пользователя не существует, в этом случае OPC-сервер запущен не будет. К тому же, если в систему зайдет Пользователь с недостаточными правами, работоспособность приложения может оказаться под угрозой. Когда интерактивный Пользователь выходит из системы, все OPC-серверы с данной настройкой принудительно закрываются.

Рекомендуем использовать данный тип Пользователя, если OPC-сервер выводит на экран диалоговые окна, требующие реакции Пользователя.

«Запускающий Пользователь»

(The Launching User)

OPC-сервер будет запускаться под учетной записью запускающего Пользователя (обычно удаленного).

Этому Пользователю должны быть предоставлены необходимые разрешения. Пользователь также должен обладать разрешениями, принимаемыми по умолчанию, введенными для группы Пользователей на этом компьютере. Другими словами, он должен принадлежать группе Пользователей.

OPC-сервер не сможет напрямую взаимодействовать с интерактивным Пользователем. Т.е. Пользователь НЕ увидит открываемые OPC-сервером окна.

При подключении нового OPC-клиента будет запускаться отдельная копия OPC-сервера. Это может вызвать проблемы в работе. Например, при работе нескольких экземпляров OPC-сервера с устройством через один порт.

Рекомендуем использовать только в том случае, когда OPC-сервер требует для взаимодействия именно этот тип Пользователя (внимательно ознакомьтесь с документацией на ОРС-сервер).

«Указанный Пользователь»

OPC-сервер будет запускаться под учетной записью, указанной в поле «Пользователь» (User), которое становится доступно после активизации данного варианта загрузки.

Рекомендуется использовать данный тип Пользователя, если запускаемый OPC-сервер должен обладать специфическими правами доступа. Например, если требуется запустить OPC-сервер с правами Администратора, а ни текущий Пользователь, ни запускающий не принадлежат к группе «Администраторы».

Системная учетная запись

(The System Account)

Рекомендуется использовать данный тип Пользователя, если OPC-сервер является сервисом.

Если OPC-сервер запускается под учетной записью Пользователя, к которой нет доступа на компьютере клиента, то будет не доступен асинхронный опрос OPC-сервера.

Если компьютеры в рабочей группе, и должен использоваться асинхронный опрос, то нужно создать на клиенте такую же учетную запись (описание в разделе 4.1.2 «Настройка компьютеров, находящихся в рабочей группе», шаг 3).

Если компьютеры входят в состав домена, используйте для запуска OPC-сервера учетную запись Пользователя домена или системную учетную запись.

7) После выбора Пользователя для запуска OPC-сервера необходимо проверить, есть ли у него доступ к исполняемому файлу OPC-сервера.

Чтобы проверить разрешения на доступ к исполняемому файлу OPC-сервера, выполните следующую последовательность действий:

Откройте контекстное меню для папки, в которой находится exe-файл OPC-сервера, и выберите пункт «Свойства» («Properties»).
В открывшемся окне «Свойства:…» перейдите на закладку «Безопасность» (рисунок 4.29).

Рисунок 4.29 - Свойства папки, закладка «Безопасность»

В списке «Группы или Пользователи» должен быть Пользователь, который используется для запуска OPC-сервера, или группа, в которую он включен.

Если Пользователь отсутствует, нажмите кнопку «Добавить» и добавьте требуемого Пользователя

Чтобы изменения были применены к OPC-серверу, его необходимо перезапустить (если он был запущен ранее).

Без перезапуска OPC-сервера измененные настройки не будут применены к нему.

Если OPC-сервер не имеет интерфейса Пользователя, с помощью которого он может быть перезапущен, завершите процесс OPC-сервера. Для этого:

откройте Диспетчер задач Windows и перейдите на вкладку «Процессы»
выберите процесс настраиваемого OPC-сервера и нажмите кнопку «Завершить процесс».

После нового подключения OPC-клиента, OPC-сервер будет загружен уже с новыми настройками.

4.1.3 Настройка параметров DCOM для утилиты поиска OPC-серверов

Настройки парметров DCOM для утилиты OPCEnum.exe производятся только на компьютере, где установлены удаленные OPC-серверы.

При доступе к данным удаленного OPC-сервера используется стандартная OPC-утилита OPCEnum.exe, которая формирует список доступных ОРС–серверов.

Для использования этой утилиты необходимо настроить параметры DCOM.

Настройка разрешений осуществляется аналогично настройке OPC-серверов, описанной выше (раздел 4.4.2). Отличие заключается в том, что в списке приложений (компонент) необходимо выбирать OpcEnum (рисунок 4.30).

Рисунок 4.30 - Выбор свойств утилиты OPCEnum

4.2 Ограничение прав добавленных Пользователей

Рекомендуем проводить ограничение прав Пользователей после завершения настройки параметров DCOM для OPC-серверов.

Для ограничения прав Пользователей следует выполнить следующее:

1) Настройте права добавленного Пользователя (в нашем примере Пользователь «Mike»). В большинстве случаев они могут быть ограничены до минимума или вообще отсутствовать. Для ограничения прав можно удалить Пользователя из всех групп (кроме Пользователей OPC – «Users OPC») или добавить в группу с более низкими правами (рисунок 4.31).

Рисунок 4.31 - Удаление учетной записи Пользователя из группы «Пользователи»

Для нормального функционирования некоторых OPC-серверов требуются права администратора. В этом случае, а также в некоторых других, новую учётную запись Пользователя нужно добавить в группу «Администраторы» (

Настройка ПК с ОРС-сервером

Настройка DCOM на уровне компьютера

"Свойства по умолчанию". Выставляем, как показано на рисунке

В разделе "Разрешение на запуск и активацию" нажать "Изменить ограничения".

Настройка пользователей Server и Scada.

Пользователь Server

1. Открываем "Управление компьютером", Открываем вкладку "Служебные программы - Локальные пользователи и группы - Пользователи". Добавляем пользователя Server.

2. Галочки расставляем, как на рисунке. Пароль - 0000 (или свой).

3. Добавляем пользователя "Server" в группу "Администраторы". Остальные группы у пользователя удаляем.

5. Открываем вкладку "Локальные политики - Назначение прав пользователя".

Пользователь Scada

Открываем "Локальные пользователи и группы"
Добавляем пользователя Scada, галочки и пароль - аналогично,как пользователю Server.
Добавляем его в группу "Пользователи DCOM", отальные группы удаляем.
В локальной политике безопасности запрещаем этому пользователю локальный вход.

Права DCOM компонентам OpcEnum и Tekon OPC Server

Настройка OpcEnum

Настройка Tekon OPC Server

Ищем в окне компонентов Tekon OPC Data Access Server (version 3.4)
Наживаем правой кнопкой мыши - "Свойства"

Настройка брандмауэра Windows

Замечание относительно версий АСУД.SCADA до 2.8.0

При настройке АСУД Scada версии до версии 2.8.0, на ПК с OPC-сервером дополнительно к указанным действиям должен быть создан:

Обычно, на Пультах-ПК - это пользователи:

Настройка ПК со Scada

Настройка пользователей и предоставление прав

Настройка Брандмауэра Windows

ASUD Scada и ОРС-сервер установлены на одном ПК

Если программа SCADA и орс-сервер уcтановлены на одном ПК, то можно не использвать дополнительные настройки DCOM.

Если конфигурация более сложная, например Scada и ОРС-сервер установлены на разных ПК, то рекомендуется настраивать ПК, как описано выше в пунктах 2 и 3.

При регистрации ОРС-сервера в SCADA следует использовать учетные данные пользователя scada, созданного на ПК с сервером:

DCOM Access Assistant

Данный мастер создает необходимых для работы системы Пользователей, а так же настраивает:

Вы можете применять данную программу для конфигураций:

Утилита должна быть запущена последовательно на каждом из ПК. Перед запуском у вас уже должно быть установлено ПО АСУД.SCADA

После первого запуска утилита просканирует конфигурацию АСУД и оторазит текущую версию установленного программного обеспечения.

Далее есть два варинта настройки:

Лайт вариант - упрощенный, для наших ПК с пользователями adminscada, dispather
Полноценный вариант - с выбор специального пользователя для подключения SCADA - ОРС.Сервер
(как описано в инструкции выше)

Замечание!
При настройке версий до 2.8.0 см. замечание указанное в статье выше.

Если вы хотите выполнить полноценную "безопасную" настройку подключения согласно инструкции (выше), следует выбирать пользователя server, scada c блокировкой локального входа для этих пользователей и отказом доступа по сети.

DCOM ошибки и их решения

В данном разделе описаны типовые ошибки, причины их возникновния и способы их решения.

Читайте также: