本文介绍如何配置DCOM以实现远程访问OPC服务器,包括用户建立、OPC服务器计算机与客户计算机的DCOM设置、系统设置等内容。
导读:
对于远程访问OPC服务器,需要在客户和服务器计算机上都进行DCOM设置,本文提供一些具体配置方法。(by Kevin,2007-9-20)
DCOM配置与windows操作系统的安全体系结合在一起,而各版本操作系统(9x、NT、2000、XP、2003等)的安全体系又或多或少地有所区别。同时,OPC服务器运行的方式也不尽相同(进程内、进程外、系统服务、有无界面……)。而且,不同的应用系统对安全的要求也可能不一样。总之,要想根据具体情况合理地完成OPC DCOM配置并不是一件很轻松的事。
本文暂不考虑OPC客户及服务器计算机在NT域中的情况。
要进行DCOM安全配置,操作者通常必须拥有客户和服务器计算机的管理员权限。
以下是大致的配置过程:
(1) 用户的建立及配置
最简单的用户配置是在客户和服务器计算机上建立名称、密码都相同的用户(Administrator权限 不是必需的),并用此用户登录系统、运行OPC服务器程序。这种方式适用于系统调试期间,或对安全要求不高的场合。
在有一定安全要求的系统中,可按如下方式配置:
在服务器计算机上建立一个用户,如 OPCUser,可以是一般用户,服务器计算机在运行OPC服务器时 必须以这个用户登录。
在服务器计算机上建立一个用户组,如 OPCClients 。
(客户端不需要用户切换的情况下可以不建立,建这个组的目的是管理方便)
在 OPC 客户计算机中,建立 OPCUser用户,口令也要与服务器上的一致,可以设为普通用户以保证安全。(建这个用户的目的是保证服务器回调时的权限,如OnDataChange)
在客户和服务器计算机上都建立 ClientA 、 ClientB 等用户,且密码一致。
在 服务器计算机上将 ClientA 、 ClientB 等用户都加入到 OPCClients组中。客户计算机用这些用户登录。
(2) OPC 服务器计算机的 DCOM 设置
运行 dcomcnfg,进行如下设置:
默认属性:
启用 DCOM ;
默认身份验证级别: 连接
默认模拟级别: 标识
默认安全机制:
默认访问权限:
至少要保证 OPCClients组允许访问,也可放宽至Everyone;
默认启动权限:至少保证允许INTERACTIVE用户调用;
默认配置权限:一般情况下不需修改。
默认协议:保证面向连接的TCP/IP在最上。
OPC 服务器配置:
常规:身份验证级别为 默认值;
位置:在这台计算机上运行;
安全性:使用 默认的访问和启动权限,配置权限不要修改;
身份标识:交互式用户。
终结点:不修改。
(3) 客户计算机的 DCOM 配置
为了保证OPC数据 订阅等回调机制能正常运行,需要对客户计算机的DCOM权限进行配置。
默认属性、默认协议的配置和服务器端基本一致;
默认安全机制只需要修改 默认访问权限。保证允许 OPCUser访问。也可放宽至Everyone。
(4) 系统设置
防火墙:
对于安装了第三方防火墙软件的计算机,可尝试配置允许OPC客户及服务器程序通过,或直接停止防火墙服务。
对于启用了操作系统(XP SP2、Server 2003等)自带防火墙的情况,可按OPC基金会提供的文档《Using OPC via DCOM with XP SP2》中描述的进行配置,或直接关闭防火墙。
注意:客户、服务器计算机都要配置。
安全策略:(XP、Server 2003等)
“ 控制面板 -> 管理工具 -> 本地安全策略 -> 本地策略 -> 安全选项”中,
“ 网络访问 : 本地帐户的共享和安全模式”项设置为:
“ 经典 - 本地用户以自己的身份验证”
(5) 其它注意事项
连不通时首先检查网络是否正常;(比如在关闭了防火墙的情况下ping服务器计算机)
用户密码不要设置为空;
【注】 还有其它一些特殊情况,本文未提及,比如服务器为NT服务,服务器为进程内组件等,以后会陆续补充。
本文转自
http://blog.gkong.com/more.asp?name=kking&id=25653
对于远程访问OPC服务器,需要在客户和服务器计算机上都进行DCOM设置,本文提供一些具体配置方法。(by Kevin,2007-9-20)
DCOM配置与windows操作系统的安全体系结合在一起,而各版本操作系统(9x、NT、2000、XP、2003等)的安全体系又或多或少地有所区别。同时,OPC服务器运行的方式也不尽相同(进程内、进程外、系统服务、有无界面……)。而且,不同的应用系统对安全的要求也可能不一样。总之,要想根据具体情况合理地完成OPC DCOM配置并不是一件很轻松的事。
本文暂不考虑OPC客户及服务器计算机在NT域中的情况。
要进行DCOM安全配置,操作者通常必须拥有客户和服务器计算机的管理员权限。
以下是大致的配置过程:
(1) 用户的建立及配置
最简单的用户配置是在客户和服务器计算机上建立名称、密码都相同的用户(Administrator权限 不是必需的),并用此用户登录系统、运行OPC服务器程序。这种方式适用于系统调试期间,或对安全要求不高的场合。
在有一定安全要求的系统中,可按如下方式配置:
在服务器计算机上建立一个用户,如 OPCUser,可以是一般用户,服务器计算机在运行OPC服务器时 必须以这个用户登录。
在服务器计算机上建立一个用户组,如 OPCClients 。
(客户端不需要用户切换的情况下可以不建立,建这个组的目的是管理方便)
在 OPC 客户计算机中,建立 OPCUser用户,口令也要与服务器上的一致,可以设为普通用户以保证安全。(建这个用户的目的是保证服务器回调时的权限,如OnDataChange)
在客户和服务器计算机上都建立 ClientA 、 ClientB 等用户,且密码一致。
在 服务器计算机上将 ClientA 、 ClientB 等用户都加入到 OPCClients组中。客户计算机用这些用户登录。
(2) OPC 服务器计算机的 DCOM 设置
运行 dcomcnfg,进行如下设置:
默认属性:
启用 DCOM ;
默认身份验证级别: 连接
默认模拟级别: 标识
默认安全机制:
默认访问权限:
至少要保证 OPCClients组允许访问,也可放宽至Everyone;
默认启动权限:至少保证允许INTERACTIVE用户调用;
默认配置权限:一般情况下不需修改。
默认协议:保证面向连接的TCP/IP在最上。
OPC 服务器配置:
常规:身份验证级别为 默认值;
位置:在这台计算机上运行;
安全性:使用 默认的访问和启动权限,配置权限不要修改;
身份标识:交互式用户。
终结点:不修改。
(3) 客户计算机的 DCOM 配置
为了保证OPC数据 订阅等回调机制能正常运行,需要对客户计算机的DCOM权限进行配置。
默认属性、默认协议的配置和服务器端基本一致;
默认安全机制只需要修改 默认访问权限。保证允许 OPCUser访问。也可放宽至Everyone。
(4) 系统设置
防火墙:
对于安装了第三方防火墙软件的计算机,可尝试配置允许OPC客户及服务器程序通过,或直接停止防火墙服务。
对于启用了操作系统(XP SP2、Server 2003等)自带防火墙的情况,可按OPC基金会提供的文档《Using OPC via DCOM with XP SP2》中描述的进行配置,或直接关闭防火墙。
注意:客户、服务器计算机都要配置。
安全策略:(XP、Server 2003等)
“ 控制面板 -> 管理工具 -> 本地安全策略 -> 本地策略 -> 安全选项”中,
“ 网络访问 : 本地帐户的共享和安全模式”项设置为:
“ 经典 - 本地用户以自己的身份验证”
(5) 其它注意事项
连不通时首先检查网络是否正常;(比如在关闭了防火墙的情况下ping服务器计算机)
用户密码不要设置为空;
【注】 还有其它一些特殊情况,本文未提及,比如服务器为NT服务,服务器为进程内组件等,以后会陆续补充。
本文转自
http://blog.gkong.com/more.asp?name=kking&id=25653
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
