遠(yuǎn)程OPC訪問必須在服務(wù)器和客戶端兩端配置DCOM。本文講述如何正確配置 DCOM 的步驟并保證安全。更多通訊資源請登錄網(wǎng)信智匯(wangxinzhihui.com)。

一個簡單有效的配置并建立可靠的DOM通訊包括了下列的步驟:

1. 移除Windows安全

2. 建立相互能識別的用戶賬號

3. 配置系統(tǒng)寬泛的DCOM設(shè)置

4. 配置Server 特殊的DCOM 設(shè)置

5. 恢復(fù)Windows安全

1)? 移除Windows 安全

為了能夠建立DCOM通訊，第一步需要禁止Windows 防火墻的功能,這個功能從Windows XPService Pack 2 或以后的版本缺省時是被打開的. 防火墻能夠阻止未被授權(quán)的訪問 (通常防止病毒,蠕蟲, 和不懷好意的或者粗心大意的操作). 如果計算機(jī)在一個安全的網(wǎng)絡(luò)里, 即使是防火墻在短的時間內(nèi)關(guān)閉也不會有什么潛在的危害. 可以向管理員確認(rèn)臨時的關(guān)閉防火墻是否安全. 在第5步中還會恢復(fù)安全功能 “恢復(fù)Windows安全”。

關(guān)閉Windows防火墻, 按下面的步驟：

a. ?點(diǎn)擊Windows開始按鈕, 選擇控制面板, 最后點(diǎn)擊Windows 防火墻

b. ?在 General 標(biāo)簽里, 選擇 “關(guān)閉”

2)? 建立相互能識別的用戶賬號

為了使計算機(jī)能正確的識別用戶賬號,所以必須保證用戶賬戶在OPC客戶機(jī)和OPC服務(wù)器上都能夠被識別，這也包括Everyone這個用戶賬號在OPC訪問上。

a. 添加用戶賬戶

確保所有的計算機(jī)有相同的用戶名和密碼的組合. 用戶名與密碼的匹配在 OPC 的訪問是必須的。注意：

• 一個賬戶必須有一個用戶名和密碼. 如果一個賬戶沒有密碼是不能夠建立通訊.

• 當(dāng)使用的是Windows 工作組,每個計算機(jī)上擁有自己全部的用戶賬戶和密碼

• 當(dāng)使用單個域, 用戶賬戶是由域控制器來同步.

• 當(dāng)使用多域，需要作域間的信任或者添加本地用戶到受影響的計算機(jī)上

b. 本地用戶的認(rèn)證

在 Windows XP 和 Windows Vista,有一個設(shè)置需要修改. 在 Windows 2000 更早的版本沒有必要修改. 在缺省情況下”簡單文件共享”總是被開啟的, ”簡單文件共享”強(qiáng)制使遠(yuǎn)程的每個用戶作為 Guest 賬戶來認(rèn)證. 這種安全機(jī)制使的不能正常通訊，有兩種方法關(guān)閉。

方法 1: 關(guān)閉“簡單文件共享”

• 雙擊桌面上 “我的電腦”。

• 在工具菜單里, 點(diǎn)擊文件夾選項(xiàng).

• 點(diǎn)擊 View 標(biāo)簽, 并去除勾選 "使用簡單文件共享" 復(fù)選框來關(guān)閉“簡單文件共享”

方法 2: 設(shè)置本地安全策略

• 點(diǎn)擊 Windows 開始按鈕, 選擇控制面板\管理工具\(yùn)本地策略.如果在控制面板中找不到管理工具 , 可以選擇點(diǎn)擊 Windows 開始按鈕; 選擇運(yùn)行菜單并輸入 “secpol.msc”

• 在目錄樹找到安全設(shè)置\本地安全, 最后選擇安全選項(xiàng)文件夾

• 找到+ “網(wǎng)絡(luò)訪問:本地賬戶的共享和安全模式” 選項(xiàng)設(shè)置“經(jīng)典-本地用戶以自己的身份驗(yàn)證”

3)? 配置系統(tǒng)寬泛的DCOM設(shè)置

系統(tǒng)的寬泛的 DCOM 設(shè)置影響著 Windows 的 DCOM 的應(yīng)用，包括 OPC 的應(yīng)用，由于 OPC 客戶端沒有自己的 DCOM 的設(shè)置，所以它受缺省 DCOM 的配置的影響，因此需要作必要的改變，如下面的步驟所示：

a． 點(diǎn)擊 Windows 的開始按鈕，選擇運(yùn)行菜單命令。

b. 在彈出的對話框中輸入"DCOMCNFG"初始化 DCOM 的配置過程，點(diǎn)擊 OK 確認(rèn)后，彈出組件服務(wù)的窗體。

c． 組件服務(wù)的窗口打開后，選擇目錄樹中的“控制臺根目錄\組件服務(wù)\計算機(jī)\我的電腦”。

d． 右擊“我的電腦”，選擇“屬性”選項(xiàng)。

【缺省屬性】 在缺省屬性標(biāo)簽里，確保三個指定的選項(xiàng)設(shè)置如下

• 勾選“在此計算機(jī)啟用分布式COM”選項(xiàng)，注意，如果這一項(xiàng)做了改變需要重新啟動計算機(jī)才能生效。

• 設(shè)置“默認(rèn)身份驗(yàn)證級別”為“連接”，也可以使用列表里的其它設(shè)置項(xiàng)，但“連接”選項(xiàng)是考慮安全的最小的權(quán)限。

• 設(shè)置“默認(rèn)模擬級別”為“標(biāo)識”，在缺省協(xié)議的標(biāo)簽里選擇缺省的協(xié) 議 為 “面向連接的TCP/IP” ， OPC 的 通 訊 是 僅 需 要 “面向連接的TCP/IP”，所以盡可能把其它協(xié)議刪除，然而若其它的應(yīng)用程序需要其它的協(xié)議，那么就必須保留其它協(xié)議。這樣作是能夠減小延時。

【COM安全】Windows 用 COM 的安全標(biāo)簽設(shè)置所有對象的系統(tǒng)寬泛的訪問控制列表，訪問控制列表包括了 啟動/激活和訪問權(quán)限，為了添加正確的允許權(quán)限。按下列的步驟操作。

• 在訪問允許的組，點(diǎn)擊“編輯默認(rèn)值”按鈕，添加“Everyone”到“組或用戶名稱”，點(diǎn)擊OK按鈕。

• 在訪問允許的組，點(diǎn)擊“編輯限制”按鈕，添加“Anonymous Logon”和“Everyone”到“組或用戶名稱”，點(diǎn)擊OK按鈕。

• 在啟動與激活允許的組里，點(diǎn)擊“編輯默認(rèn)值”按鈕，添加“Everyone”到“組或用戶名稱”，點(diǎn)擊OK按鈕。

• 在啟動與激活允許的組里，點(diǎn)擊“編輯限制”按鈕，添加“Everyone”到“組或用戶名稱”，點(diǎn)擊OK按鈕。

在4個權(quán)限編輯中，分別添加“Administrator, Administratos、Anonymous Logon 、Everyone、Interactive、 Network”到“組或用戶名稱”，并允許本地或遠(yuǎn)程激活、啟動、訪問。

4)? 配置Server的特殊DCOM設(shè)置

一旦DCOM的寬泛配置設(shè)置完，就需要關(guān)注Server的DCOM的特殊設(shè)置，這里的設(shè)置最終將會不同于其它的OPC Server的設(shè)置。改變設(shè)置如下：

a.?? 在右邊的Windows的窗口里，找到需要配置的OPC Server，右擊該Server，在彈出的菜單里選擇屬性選項(xiàng)，進(jìn)行OPC Server的特殊設(shè)置，在OPC Server的特殊設(shè)置里僅Identity標(biāo)簽的內(nèi)容需要修改，其它標(biāo)簽項(xiàng)可參考DCOM的寬泛設(shè)置

b.?? 但是需注意的是標(biāo)識標(biāo)簽項(xiàng)的設(shè)置,標(biāo)識標(biāo)簽有四個選項(xiàng)：

• 交互式用戶：OPC Server 以交互的用戶認(rèn)證， 這個賬戶是當(dāng)前登陸此計算機(jī)且駐留在OPC Server的計算機(jī)上，也就是必須有賬戶登錄，否則不能啟動OPC Server，當(dāng)此用戶注銷時，OPC Server就會關(guān)閉，即使是計算機(jī)的重新啟動，也會造成OPC Server的短暫的關(guān)閉。

• 啟動用戶： OPC Server以訪問的用戶認(rèn)證，操作系統(tǒng)會為每個訪問的用戶創(chuàng)建一個實(shí)例，這樣會有三個問題出現(xiàn)，若OPC Server只允許一個用戶訪問時，當(dāng)系統(tǒng)中已經(jīng)有了一個實(shí)例，再有其它用戶就無法訪問。若是OPC Server允許多個用戶訪問時，那么帶來的問題是隨著不同用戶的訪問，就會打開多個實(shí)例，這樣就會占用更多的計算機(jī)的資源。另外的一個問題是硬件的搶占，如串口，當(dāng)一個使用了，其它的用戶就無法再使用。

• 指定用戶：OPC Server以指定的用戶賬戶認(rèn)證，這種情況需要在OPC Server的計算機(jī)上存在著要指定的賬戶，而且對于OPC Client必須知道此用戶。否則無法訪問。

• 系統(tǒng)賬戶(僅用于服務(wù))：OPC Server以操作系統(tǒng)賬戶認(rèn)證，對于工作組還是域，系統(tǒng)賬戶都能被識別，也不需要有用戶登陸。但OPC server必須以服務(wù)的方式啟動。

5)? 恢復(fù)Windows安全

一旦建立OPC Client和OPC Server的通訊，保證計算機(jī)的安全也是非常重要的，這包括下列的步驟：

再次開啟計算機(jī)的防火墻，來阻止未授權(quán)的網(wǎng)絡(luò)訪問。而且需要做兩個層次的例外處理：

• 應(yīng)用程序：指定那些應(yīng)用可以響應(yīng)自動的請求

• 端口協(xié)議：指定對于TCP/IP或者UDP/IP的端口的允許或拒絕訪問。

修改訪問控制列表允許或者否決所需要，這即包括寬泛配置中的設(shè)置也包括 Server 的特殊配置，需要提醒的是 OPCEnum 需要“Anonymous Logon”的訪問權(quán)限。

??? 以上為OPC Server端的DCOM配置。對于OPC Client端的DCOM配置執(zhí)行2）3）兩步操作即可。DCOM配置完畢后機(jī)器需要重啟。

??? 更多通訊資源請登錄網(wǎng)信智匯(wangxinzhihui.com)。