Настройка dcom для opc windows 10

Введение

Данное руководство рекомендуется применять в случае, когда требуется организовать подключение программы АСУД.SCADA к Tekon ОРС-серверу, находящихся на разных ПК.

Статья подходит для ПК с операционной системой

• Windows 8 «Профессиональная» или «Корпоративная»
• Windows 10 «Профессиональная» или «Корпоративная»  

Инструкция так же подходит для пульта АСУД-248-ПК с ОС

• Windows 8 Embedded,
• Windows 10 Embedded.  

Инструкция может применяться ко всем версиям АСУД.SCADA 
(при настройке подключения в АСУД.SCADA версий до 2.7.2 включительно, следует обратить внимание на замечание в разделе конфигурирования ОРС-сервера). 

Внимание! 
В настоящее время вы можете просто ознакомиться с инструкцией, для понимания того, что происходит в процессе настройки.
А всю настройку выполнить с помощью утилиты DCOM Access Assistant

Настройка ПК с ОРС-сервером

Настройка DCOM на уровне компьютера

1. Нажимаем Win+R или «Пуск-меню — Выполнить».
2. В строке пишем dcomcnfg и нажимаем «Enter».
3. В открывшемся окне ищем вкладку «Службы компонентов — Компьютеры — Мой компьютер».
4. Нажимаем правой кнопкой мыши на «Мой компьютер» и нажимаем «Свойства».

Далее нажимаем:

«Свойства по умолчанию». Выставляем, как показано на рисунке

«Безопасность COM».

В разделе «Разрешение на запуск и активацию» нажать «Изменить ограничения».

Добавить группу «Distrebuted COM Users» или «Пользователи DCOM». И дать ей полные права.

 

Далее нажать в этом же разделе «Изменить значения по умолчпнию» и проделать то же самое.

Настройка пользователей Server и Scada.

Пользователь Server

1. Открываем «Управление компьютером», Открываем вкладку «Служебные программы — Локальные пользователи и группы — Пользователи». Добавляем пользователя Server.

2. Галочки расставляем, как на рисунке. Пароль — 0000 (или свой).

3. Добавляем пользователя «Server» в группу «Администраторы». Остальные группы у пользователя удаляем.

4. Открываем «Панель управления — Администрирование — Локальная политика безопасности». 

5. Открываем вкладку «Локальные политики — Назначение прав пользователя».

6. Добавляем пользователя Server в следующие политики : «Запретить локальный вход» и «Отказать в доступе к этому компьютеру из сети».

Пользователь Scada

1. Открываем «Локальные пользователи и группы»
2. Добавляем пользователя Scada, галочки и пароль — аналогично,как пользователю Server.
3. Добавляем его в группу «Пользователи DCOM», отальные группы удаляем.
4. В локальной политике безопасности запрещаем этому пользователю локальный вход.

Права DCOM компонентам OpcEnum и Tekon OPC Server

Настройка OpcEnum

1. Открываем dcomcnfg.
2. Открываем вкладку «Службы компонентов — Компьютеры — Мой компьютер — Настройка DCOM».
3. В выпадающем списке, либо в окне с права ищем компонент «OpcEnum».
4. Нажимаем на него правой кнопкой мыши и выбираем «Свойства».
5. Во вкладке «Общие» параметр «Проверка подлинности» — выставляем » По умочанию».

   

6. Во кладке «Безопасность» в разрешениях «на запуск и активацию» и «на доступ» выставляем «По умолчанию»
7. Парамерт «на изменение настроек» не трогаем и нажимаем «ОК»

Настройка Tekon OPC Server

1. Ищем в окне компонентов Tekon OPC Data Access Server (version 3.4)
2. Наживаем правой кнопкой мыши — «Свойства»

   

3. Во вкладке «Общие» параметр «Уровень проверки подлинности» выставляем «По умолчанию».

   

4. Во кладке «Безопасность» в разрешениях «на запуск и активацию» и «на доступ» выставляем «По умочанию».
5. Параметр «на изменение настроек» не трогаем и нажимаем «ОК».

   

6. Открываем вкладку «Удостоверение» и указываем пользователя Server с его паролем на запуск приложения и нажимаем «ОК».

   

Настройка брандмауэра Windows

1. Добавить правило во входящих подключениях для 135 ТСР порта. 
2. Добавить правило во входящих подключениях для приложения «%SystemRoot%SysWOW64OpcEnum.exe» (или «%SystemRoot%System32OpcEnum.exe» , если у Вас 32-х разрядная ОС) .
3. Добавить правило во входящих подключениях для приложения «%SystemDrive%1TekonASUD ScadaOPC Serveropcsrv.exe».
4. Добавить правило в исходящих подключениях для приложения «%SystemDrive%1TekonASUD ScadaOPC Serveropcsrv.exe».
5. Здесь же включить два правила «Наблюдение за виртуальной машиной (эхо-запрос — ICMPv4 — входящий трафик)» и «Наблюдение за виртуальной машиной (DCOM — входящий трафик)».

Замечание относительно версий АСУД.SCADA до 2.8.0

При настройке АСУД Scada версии до версии 2.8.0, на ПК с OPC-сервером дополнительно к указанным действиям должен быть создан:

• пользователь, учетные данные которого  (логин и пароль) совпадают с учетными данными пользователя запускающего АСУД Scada на ПК со SCADA
• пользователь, который был указан при регистрации подключения SCADA к ОРС-серверу.

Обычно, на Пультах-ПК — это пользователи:

• dispatcher
• adminscada.

Настройка ПК со Scada

Настройка пользователей и предоставление прав

1. Создаем пользователя Server, задаем ему пароль и добавляем в группу Пользователи DCOM. Остальные группы у пользователя удаляем.

   

2. В «Локальной политике безопасности» запрещаем пользователю Server локальный вход.

   

Настройка Брандмауэра Windows

1. Добавить правило входящих подключений для 135 ТСР порта.
2. Добавить правило исходящих подключений для приложения %SystemDrive%1TekonASUD ScadaSCADAscada.exe.

Регистрация Tekon ОРС-сервера в АСУД.SCADA 

ASUD Scada и ОРС-сервер установлены на одном ПК

Если программа SCADA и орс-сервер уcтановлены на одном ПК, то можно не использвать дополнительные настройки DCOM.

При регистрации OPC-сервера в SCADA можно использовать текущего пользователя, как показано на ресунке:

ASUD Scada и ОРС-сервер установлены на разных ПК

Если конфигурация более сложная, например Scada и ОРС-сервер установлены на разных ПК, то рекомендуется настраивать ПК, как описано выше в пунктах 2 и 3.

При регистрации ОРС-сервера в SCADA следует использовать учетные данные пользователя scada, созданного на ПК с сервером:

DCOM Access Assistant

Внимание!
Использовать только в Windows 8/8.1/10/11 

Данный мастер создает необходимых для работы системы Пользователей, а так же настраивает:

• Брандмауэр.
• Службы Компонентов DCOM.
• Локальную политику безопасности. 

Скачать программу можно по ссылке.

Вы можете применять данную программу для конфигураций:

• локальная SCADA + OPC.Сервер, если есть проблемы в работе преднастроенной конфигурации.
• локальная SCADA + OPC.Сервер  и удаленная SCADA, подключаемая к этому же ОРС.Серверу.
• удаленный OPC.Сервер + одна или несколько SCADA
• и т.д.

Утилита должна быть запущена последовательно на каждом из ПК. Перед запуском у вас уже должно быть установлено ПО АСУД.SCADA

После первого запуска утилита просканирует конфигурацию АСУД и оторазит текущую версию установленного программного обеспечения.

Далее следует выбрать тип настраиваемого ПО:

• если на ПК, где запущена утилита, есть проблемы с работой ОРС.Сервера и SCADA — выбираем обе программы
• если необходимо настроить только подключение удаленной SCADA — выбираем настройки только ОРС.Сервера 
• и т.п.

Далее есть два варинта настройки:

• Лайт вариант — упрощенный, для наших ПК с пользователями adminscada, dispather
• Полноценный вариант — с выбор специального пользователя для подключения SCADA — ОРС.Сервер
  (как описано в инструкции выше)

Замечание!
При настройке версий до 2.8.0 см. замечание указанное в статье выше.

 В Лайт-варианте при настройке АСУД.SCADA версии до 2.8.0 на нашем ПК или Пульт-ПК, мастер необходимо просто запустить 2 раза, как указано на рисунке ниже:  

• один раз для пользователя Adminscada
• второй —  для пользователя Dispatcher.

Если вы хотите выполнить полноценную «безопасную» настройку подключения согласно инструкции (выше), следует выбирать пользователя server, scada c блокировкой локального входа для этих пользователей и отказом доступа по сети.

DCOM ошибки и их решения

В данном разделе описаны типовые ошибки, причины их возникновния и способы их решения.

«Сервер RPC не доступен»	При регистрации орс-сервера указан не правильный ip-адрес. Проверить корректность ip-адреса сервера. Подключение блокируется брендмауером или антивирусом сервера. Рекомендуется добавить в него исключения, описанные здесь.
«Отказано в доступе»	Пользователю или группе «Пользователи DCOM» не разрешено удалённое подключение к DCOM компонетам на ПК с сервером. Проверьте эти настройки. Не корекнтые настройки компонетов OpcEnum и Tekon Data Access Server. Рекомендуется открыть dcomcnfg и настроить, как описано в этом пунтке. На ПК с сервером нужно проверить права пользователя, с которым Scada подключается к серверу. Возможно, что у него не достаточно прав, либо при подключении используются не корректные логин и пароль. Рекомендуется перепроверить коррекность вводимых данных. Как настроить права прользователя, можно посмотреть здесь. Пользователю или группе «Пользователи DCOM» нет доступа к папке «1Tekon». Рекомендуется открыть свойства папки, во вкладке «Безопасность» добавить группу «Пользователи DCOM» и дать ей права на чтение и на запись..
«Класс не зарегистрирован»	Не установлен пакет библиотек «OPC Core Components». Означает, что на ПК с сервером не было установленна Asud.Scada, либо установлепна, но не установился OpcEnum по каким-то причинам. Для этого следует установить его отдельным файлом. Внимание! Если установлена Asud.Scada весрии ниже 2.7.3, то после установки пакета «OPC Core Components» необходимо запустить файл da1.reg. Иначе будет возникать ошибка «Не опознанная ошибка».
«Интерфейс не зарегистрирован»	Не установлен пакет библиотек «OPC Core Components» на ПК со скадой.  Рекомендуется установить пакет «OPC Core Components».
«Не опознанная ошибка»	Возникает, если на ПК с сервером установлена Asud.Scada версии ниже 2.7.3 и установлен OPC Core последней версии(3.00). Такая ситуация могла возникнуть на оъектах, где устанавливался сторонний орс-север в месте с нашим. Так как Asud.Scada(до 2.7.3) ставила OPC Core более старой версии — 2.00(и могла работать только с ним), пакет стороннего сервера обнорвлял его до своей версии, более новой. Решение — обновить ПО Asud.Scada до версии 2.7.3 либо установить файл da1.reg.
«Не удалось зарегистрировать интерфейс обратных вызовов в точке подключения IID_IOPCShutdown», «Отказано в доступе»	На ПК с сервером служба Tekon OPC запущена от системной учетной записи. Рекомендуется проверить настройки, показанные в этом пункте. На ПК со Scada не зарегитрирован прользователь Server либо его учетные данные не совпадают с данными пользователя ПК с орс-сервером. Проверьте эти настройки.
«Не удалось зарегистрировать интерфейс обратных вызовов в точке подключения IID_IOPCShutdown», «Сбой при удалённом вызове процедуре»	Проверьте : в настройках брандмауера на ПК со Scada «правила для входящих подключений» для порта 135 ТСР, для приложения scada.exe. на ПК с орс-сервером «правила для исходящего подключения» для приложения opcsrv.exe
«Указанная служба не установена»	На ПК с орс-ервером не установлена служба OpcEnum. Рекомендуется переустановить пакет «OPC Core Components».
«Не удается найти указанный файл»	На ПК с орс-сервером установлена служба OpcEnum, но файл C:WindowsSySWoW64OpcEnum.exe (или C:WindowsSystem32OpcEnum.exe, если 32-ная операционная система) отсутствует или поврежден. Рекомендуется переустановить пакет «OPC Core Components».

You are here: Home
> OPC Download Center > OPC Whitepapers > OPC DCOM Configuration

OPC & DCOM: 5 Things You Need to Know (Windows 10)

This whitepaper discusses the five steps to a simple and effective strategy to establish reliable DCOM communication. OPC technology relies on Microsoft’s COM and DCOM to exchange data between automation hardware and software; however it can be frustrating for new users to configure DCOM properly. If you have ever been unable to establish an OPC connection or transfer OPC data successfully, the underlying issue is likely DCOM-related.

Note: The focus of this whitepaper is Windows 8, Windows 8.1, Windows 10, Windows 2012, Windows 2012R2, and Windows Server 2016. Refer to our other whitepapers for other Windows versions.

For automated troubleshooting, refer to OPC Expert, a software application to troubleshoot OPC connections. If OPC Expert fails to connect, it automatically informs you of the problem, diagnoses the cause, and suggests a solution. OPC Expert is free to download, does not require installation, and makes no changes to Windows registry, so it is safe to use on your computer. Download at www.OpcExpert.com.

You are here: Home
> OPC Download Center > OPC Whitepapers > OPC DCOM Configuration

【Верхний сервер OPC Server скачать】

Распределенный COM (DCOM)Это технология Microsoft, которая предоставляет приложения Windows для подключения к другому компьютеру с компьютера на LAN (LAN), WAN (WAN) или Интернета (Интернет). Например, DCOM позволяет подключить клиентское приложение OPC с сервером OPC на другом компьютере.

DCOM может быть очень эффективным и включить много интересных приложений. Однако очень важно понимать детали, чтобы гарантировать, что OPC работает должным образом. Различные операционные системы решают метод непоследовательны, сегодня в основном является применение к методу установки DCOM для окна 7, 10, Server 2008R2 и обновленных версий.

Пять шагов для настройки DCOM:

• Откройте dcomconfig.exe.

• Настройка обычных / настроек по умолчанию

• Настройте настройки OPCENUM

• Настройте настройки сервера OPC

• Настройка локальной политики безопасности

Запустите тип конфигурации DCOM «dcmcnfg.exe» из меню Пуск

Примечание. В Windows 10 щелкните кнопку «Пуск» или используйте клавишу Windows на клавиатуре, чтобы войти в поиск.

Инструмент Configuration DCOM может занять несколько секунд. Как только инструмент конфигурации DOCM открыт, вы увидите окно ниже.

Настройте регулярные / настройки по умолчанию:

Нажмите на компьютер и щелкните правой кнопкой мыши мой компьютер и выберите «Свойства».

Затем выберите атрибут по умолчанию самой правой стороны.

Настройте следующие параметры:

• Включить распределенный COM на этом компьютере должен быть проверен.

• Уровень аутентификации по умолчанию должен быть установлен на «Нет». Обратите внимание: я обнаружил, что аутентификация по умолчанию «Нет» может привести к некоторым услугам Windows (таких как обновление Windows). Если у вас есть какие-либо компоненты Windows, измените эту настройку обратно к подключению.

• Уровень аналогового уровня по умолчанию должен быть установлен на идентификатор.

Нажмите на вкладку «COM Security».

Каждая выделенная кнопка должна быть изменена.

Нажмите кнопку «Редактировать по умолчанию» в области разрешений доступа и убедитесь, что следующая учетная запись «разрешить доступ к разрешениям».

• аноним

• все

• Гости

• интерактивный

• Интернет

• система

Если вы планируете использовать IIS (сервис информации в Интернете) в качестве клиента OPC, вы должны войти в контекст, чтобы добавить в список доверенных учетных записей, как показано ниже.

• Iwam_ <имя компьютера>

• IUSR_ <имя компьютера>

Кнопка «Редактирование по умолчанию» в разделе «Пуск начать» выполняет ту же операцию, а также предоставляет право «Разрешить запуск» разрешения на те же учетные записи, как описано выше.

Убедитесь, что одинаковые настройки используются в соответствии с кнопкой редактирования ограничений. Это создаст минимальную безопасность для ваших настроек DCOM. Это просто для обеспечения того, чтобы мы могли установить эффективные соединения. Усилить безопасность после завершения всех настроек, вы можете укрепить безопасность.

Теперь нажмите кнопку ОК, чтобы сохранить и закрыть окно.

Настроить OPCENUM

Следующим шагом является расположение OPCENUM в списке компонентов COM. Просто нажмите или разверните «Конфигурация DCOM» под моим компьютером и найдите «Opcenum».

Щелкните правой кнопкой мыши и выберите «Свойства» в меню.

Общая вкладка:

Выберите «Нет» как уровень аутентификации

Расположение вкладка:

Opcenum — это программа для сканирования реестра, чтобы найти список серверов OPC на вашем компьютере. LPCENUM должен иметь возможность работать на своем компьютере. Поэтому убедитесь, что проверьте приложение «RUN» на этом компьютере

Продолжение …

В Интернете я не встречал описание настроек по умолчанию для системы DCom, поэтому решил написать статью.

Предупреждение

Изменение разрешений на доступ, а также на запуск и активацию может повлиять на запуск приложений, возможность нормальной работы пользователей и администраторов. Неправильное управление списками прав доступа к DCOM-компонентам при помощи dcomcnfg.exe может привести к сбоям работы приложений или компонентов, взаимодействующих с помощью технологии DCOM. Переопределение параметров по умолчанию для DCOM, которые создаются при установке Windows, как правило не требуется, поэтому их не надо изменять. Если задача состоит в усилении безопасности относительно той, что задана по умолчанию, убедитесь, что пользователи имеют права на запуск и активацию. Если права на запуск и активацию не предоставлены глобально, придётся изменить ACL разрешений на запуск для конкретного приложения, чтобы предоставить соответствующим пользователям права на активацию. Не рекомендую редактировать права системных групп пользователей, которые установила Windows при установке.

Причины сбоев работы DCOM

1. Компоненты DCOM работают с помощью транспортной системы ORPC (Object Remote Procedure Call). Служба RPC является одной из важнейших, т.к. от неё зависит работа Windows, которая тоже использует DCOM для запуска большинства компонентов. Встречал на практике, что увлёкшись отключением «ненужных» служб Windows пользователь запретил запуск службы RPC. В результате, компьютер после перезагрузки отказался загружаться. Загрузка проходила «в час по чайной ложке», операционная система не откликалась на действия. Таким образом, служба RPC должна работать. В отличие от службы DBUS в Linux, которая использует сообщения, в DCOM в Windows используются потоки бит (упакованные вызовы), созданные при помощи Маршалинга, аналога сериализации.

2. Доступ к компонентам DCOM производится на основе прав, которые задаются с помощью ACL — Access Control Lists. Описание оснастки dcomcnfg.exe, с помощью которой производится настройка, плохое. Фирма Microsoft просто рекомендует не изменять настройки по умолчанию, т.к. они могут нарушить работу системы. Сами же настройки нигде не упомянуты.
   Существуют 2 настройки прав:

   • Право доступа (который бывает локальный или удалённый)
   • Право активации — т.е. запуска компоненты.
     Также, два лимита (ограничения)
   • Лимит доступа
   • Лимит активации

3. FireWall — на терминальном же сервере 1с использует единственный порт RDP 3389, который должен быть открыт.

Если терминальный сервер не используется, сетевая версия 1с «Предприятия» использует порты TCP, которые нужно открыть наружу.

на сервере в брандмауэре создать правило для входящих подключений — разрешить TCP порты: 1540, 1541, 1560-1591.

Открытые порты на ПК можно вывести командой netstat -an

1. Групповые политики. Пользователи при удалённом запуске DCOM используют ресурсы сервера. Настройки по умолчанию позволяют работу DCOM в таком режиме, но усиливая безопасность можно случайно затронуть право пользователей на удаленный запуск, в Конфигурация компьютера — Административные шаблоны — Система — Распределённая модель COM (Computer Configuration — Administrative templates — System — Distributed COM).

2. Свойства и разрешения конкретного приложения DCOM в оснастке «Службы компонентов»: Панель управления -> Система и безопасность -> Администрирование -> Службы компонентов -> Компьютеры -> Мой компьютер -> Настройка DCOM -> Имя приложения -> Свойства -> Безопасность.

   • Разрешения на запуск и активацию — По умолчанию
   • Разрешения на доступ — По умолчанию
     Общие — Уровень проверки подлинности — По умолчанию.
     Удостоверение — Запускающий пользователь.
     Размещение — Запускать приложение на данном компьютере.

3. Антивирус тоже может контролировать порты, если имеет встроенный брандмауэр.

Быстрое восстановление настроек прав доступа DCOM по умолчанию

Данный пункт нужно выполнять лишь в случае, если система DCOM перестала работать полностью или частично.

Во-первых, DCOM должен быть включен, и уровень олицетворения — «Определить» (цифровое значение — 2).

HKEY_LOCAL_MACHINESoftwareMicrosoftOle

Ключ «ENABLE_DCOM» — строка REG_SZ — значение «Y».

Ключ «LegacyImpersonationLevel» — DWORD — значение 2.

Во-вторых, Чтобы привести права к исходном виду, нужно в редакторе реестра REGEDIT.EXE удалить 4 ключа реестра:

HKEY_LOCAL_MACHINESoftwareMicrosoftOle

• DefaultAccessPermission
• DefaultLaunchPermission
• MachineAccessRestriction
• MachineLaunchRestriction

Данные ключи можно спокойно удалить, они создадутся снова. При этом будут удалены все нестандартные настройки прав доступа DCOM, выполненные администратором, а разрешения на запуск и активацию, лимиты и группы пользователей DCOM вернутся к первоначальным значениям, которые были сразу после установки ОС. В результате, восстановится нормальная работа системы DCOM.

Настройки прав доступа в утилите dcomcnfg.exe по умолчанию

Ниже привожу настройки DCOM по умолчанию для Windows 8-10 привожу ниже.

DCOMCNFG.EXE —Свойства «Мой компьютер» — Безопасность COM

Свойства по умолчанию:

Права доступа — Ограничения (Лимиты)

Права доступ — Значения по умолчанию

Разрешения на запуск и активацию — Ограничения (Лимиты)

Разрешения на запуск и активацию — Значения по умолчанию

Группа	Локальный доступ	Удаленный доступ
Все	Разрешить	Разрешить
ВСЕ ПАКЕТЫ ПРИЛОЖЕНИЙ	Разрешить	—
Пользователи журналов производительности	Разрешить	Разрешить
Пользователи DCOM	Разрешить	Разрешить
АНОНИМНЫЙ ВХОД	Разрешить	—

Права доступ — Значения по умолчанию

Группа	Локальный доступ	Удаленный доступ
SELF	Разрешить	Разрешить
СИСТЕМА	Разрешить	—
Администраторы	Разрешить	Разрешить

Разрешения на запуск и активацию — Ограничения (Лимиты)

Группа	Локальный запуск	Удаленный запуск	Локальная активация	Удаленная активация
Все	Разрешить	—	Разрешить	—
ВСЕ ПАКЕТЫ ПРИЛОЖЕНИЙ	Разрешить	—	Разрешить
Администраторы	Разрешить	Разрешить	Разрешить	Разрешить
Пользователи журналов производительности	Разрешить	Разрешить	Разрешить	Разрешить
Пользователи DCOM	Разрешить	Разрешить	Разрешить	Разрешить

Разрешения на запуск и активацию — Значения по умолчанию

Группа	Локальный запуск	Удаленный запуск	Локальная активация	Удаленная активация
СИСТЕМА	Разрешить	Разрешить	Разрешить	Разрешить
Администраторы	Разрешить	Разрешить	Разрешить	Разрешить
Интерактивные	Разрешить	Разрешить	Разрешить	Разрешить

Группа пользователей «Пользователи DCOM»

В группу «Пользователи DCOM» нужно добавить пользователей, которые должны иметь возможность запускать DCOM компоненты, как удаленного так и локально. То есть не всех пользователей, а лишь тех, кто реально работает с DCOM.