OPC and DCOM.doc

OPC 和 DCOM： OPC 技术仰赖微软 COM 和 DCOM 交换自动化硬件和软件之间的数据； 然而它能挫败让新的使用者适当地配置 DCOM 。如果你曾经不能够成功地建立一个 OPC 连接或者转移 OPC 数据，在下面的议题是有可能的 DCOM 讲的。这一 whitepaper 讨论适当地和安全地把 DCOM 弄工作所需的步骤。建立可靠的 DCOM 沟通的一个简单、有效的策略包括下列的步骤： 1. 距离窗口安全 2. 装备相互的使用者帐户承认 3. 配置全系统的 DCOM 设定 4. 配置伺候器特性 DCOM 设定 5. 复位窗口安全 除此之外， whitepaper 包括故障修理诀窍识别通常的 OPC 和 DCOM 问题，他们的症状、因素和该如何解决他们。这将会帮助整合之人设定向上可靠又安心的 OPC 连接。 距离窗口安全 建立 DCOM 沟通的第一步骤将使窗口防火墙，在窗口 XP 服务包裹 2 预先设定地被打开失去能力和稍后。防火墙帮助保护计算机免于未经认可的通路。（通常从病毒、虫和人以怀恶意或疏忽的意图）如果计算机在一个保险箱网络上住，如果防火墙为短时间的时期被关掉，为损害通常有小的潜能。向网络管理人确定确定，暂时关掉防火墙是安全的。你将会把防火墙转回来在第 5 节中，在第 9 页上命名了 复位窗口安全， 之上. 要关掉窗口防火墙遵从下面的步骤： 一 在窗口开始钮扣上的点击，选择控制嵌板，而且最后按下窗口防火墙。 图像 1: 暂时关掉窗口防火墙对 OPC 伺候器计算机让遥远的通路。b。在一般的定位键中，选择那 离开 （不推荐） 收音机钮扣. （提到描绘 1) 装备相互的使用者帐户承认 为了要使两者的计算机能够适当地认识使用者帐户，确定是必需的使用者帐户在 OPC 客户和伺候器计算机上被辨认出。这包括所有的将会需要 OPC 通路的使用者帐户。 增加使用者解释 确定那两者的计算机可以使用相同的使用者名字和密码组合。使用者命名，而且密码一定在所有的需要 OPC 通路的计算机上相配。注意： ？使用者帐户一定有一个使用者名字和密码。如果使用者帐户没有一个密码，建立沟通是不可能的。 ？当使用窗口工作团队的时候，每部计算机一定有所有使用者帐户和密码的一本完全目录。 ？当使用一个窗口领域的时候，使用者帐户适当地被领域控制器同步化。 ？当使用多个窗口领域的时候，你将会或必须建立领域之間的信赖，或把一个当地的使用者帐户加入受到影响的计算机。（提及 /technet/prodtechnol/windows2000serv/reskit/deploy/dgbe_sec_ztsn.mspx?mfr真实的有关建立领域信赖) 当地的使用者当做他们自己证明 在窗口 XP 和视窗 Vista，有你应该修正的另外的一个设定。这在窗口 2000 不是必需或比较早的。简单的文件分享在窗口 XP 家总是被打开版本建立的计算机。预先设定地，分享使用者接口的简单的文件在被叁加到一个工作团队的 Windows XP 专业版建立的计算机被打开。只有被叁加到一种领域使用第一流的文件分享的 Windows XP 专业版建立的计算机和安全接口。简单的文件分享强迫每一遥远的使用者证明如使用者解释的客人。这将不使你能够建立适当的安全。有二个方法要把这选项关掉。任一方法将会运作。因为有较多的安全选项窗口对我暴露，所以我亲自地偏爱第二个方法。 方法 1: 关掉简单的文件分享 一 加倍在桌面上按 我的计算机 。图像 2: 关掉 简单的文件分享 使窗口能够适当地证明使用者帐户。b。在工具菜单上，按文件夹选项。 c。按视野定位键，然后清除 使用简单的文件分享 （推荐） 检查盒子关掉简单的文件分享 . （提到描绘 2) 方法 2: 固定的当地安全政策 ？在窗口开始钮扣上的点击，和 然后选择控制嵌板，管理的 工具、和当地的安全政策。如果你 不能见到管理的工具在那 控制嵌板，只是选择第一流的视野进入 控制嵌板。当做的替代品所有的 这，按下窗口开始钮扣； 选择奔跑菜单选项、和类型 secpol.msc. ？在树控制中，对安全航行 设定，当地的政策，而且最后选择 安全选项文件夹（提到描绘 3)。 ？找那”网络存取： 分享，而且给当地的帐户 选项和组它到 古典作品当地的使用者的安全模型当做他们自己证明”. 图像 3: 适当的 OPC 安全因为需要窗口使当地的使用者能够当做他们自己证明宁可超过当做客人。配置全系统的 DCOM 设定 在 OPC 之前的 OPC 规格统一了建筑学 （OPC UA）为数据运输取决于微软 DCOM。结果，你一定适当地配置 DCOM 设定。配置全假设值制度的 DCOM 设定是可能的，恐怕最好为一个特定的 OPC 伺候器。 全系统的变化影响使用 DCOM 的所有的视窗应用程式，包括 OPC 申请。除此之外，因为 OPC 客户申请没有他们自己的 DCOM 设定，他们对假设值 DCOM 结构被影响变化。要作必需的变化遵从下面的步骤： 一。在窗口开始钮扣上的点击、和选择奔跑 菜单选项. （提到描绘 4) b。在奔跑对话方块中，键入 DCOMCNFG 开始那 DCOM 结构处理，而且按好钮扣。那 成份服务窗户将会出现. （提到描绘 5)DCOMCNFG图像 4:使用 DCOMCNFG 在计算机上修正 DCOM 设定。c。在成份服务窗户中的一次 （哪一个被 DCOMCNFG 开始如上述的）, 航行进控制台根文件夹到那 成份服务文件夹，然后到那 计算机文件夹。最后，你将会见到那我的 计算机在计算机内爬上树控制 文件夹。 d。权利按下我的计算机。注意这是 不是在你的桌面上的 我的计算机 圣像； 更正确的说，它是 我的计算机 树控制在 控制台服务申请。 e。选择财产选项。 图像 5: 权利按下我的计算机树控制存取计算机的假设值 DCOM 设定假设值财产 在假设值特性定位键中，确定，三特定的选项依下列各项被设定: （提到描绘 6) 一。检查那”使在这上能够分配 COM 计算机”菜单选项。注意，你将会有到 如果你对这作变化，重新启动计算机 检验盒。 b。设定 假设值证明水平 连接。它 可能另外地使用 在目录中的设定，但是那 连接 选项是那 最小程度的安全 你应该考虑。 c。设定那”假设值 扮演消除”到 监定。假设值记录 在假设值记录定位键 （提到描绘 7) 中，将 DCOM 记录设定为 连接定向的传输控制协议IP 。OPC 沟通只需要 连接定向的传输控制协议IP ，因此划除 DCOM 记录的其余者是可能的。然而，如果这些记录的确为非 OPC 的申请被需要，你能在那里离开他们。唯一的结果是暂时休息可能花稍微久的时间到达。图像 6: 假设值特性定位键使使用者能够打开或关闭 DCOM，连同设定证明和扮演结构图像 7: 在假设值记录定位键中，是将 DCOM 记录设定为 连接定向的传输控制协议IP.窗口使用 COM 安全定位键 （提到描绘 8) 为所有的物体设定全系统的通路控制目录 （ACL）。ACLs 为开始使活动 （能力开始一个申请）、和通路被包括。（能力用一个申请交换数据）注意，在一些系统上， 编辑极限 钮扣不是可得。 要增加正确的许可遵从下面的步骤： 一。在通路许可小组中，按 编辑假设值 钮扣. （提到描绘 9)把 每个人 加入目录 小组或使用者名字 .按好钮扣。 b。在通路许可小组中，按 编辑极限 钮扣. （提到描绘 9)增加 作者不详的注册 （为 OPCEnum 需要）和 每个人 对 小组或使用者名字 的目录.按好钮扣。 c。在开始和使活动许可小组方面，按 编辑假设值 钮扣. （提到描绘 9)把 每个人 加入 小组或使用者名字 的目录。按好钮扣。 d。在开始和使活动许可小组方面，按 编辑极限 钮扣. （提到描绘 9)把 每个人 加入 小组或使用者名字 的目录。点击 图像 8: 使用 COM 安全定位键设定假设值通路控制目录 （ACLs）。图像 9: 增加每个人而且作者不详的对开始和通路许可注册。一经沟通正在适当地运作，记得去回到这装备确定，你遵从企业的安全政策。配置伺候器特性 DCOM 设定 一经全系统的 DCOM 设定适当地被配置，将注意转向伺候器特性的 DCOM 设定。这些设定将会最后对每 OPC 伺候器不同。要改变这些设定从：开始一。在窗口开始钮扣上的点击、和选择那 被跑的菜单选项. （提到描绘 4) b。在奔跑对话方块中，键入 DCOMCNFG 到 开始 DCOM 结构程序、和点击 好钮扣。成份服务窗户 意志出现。（提到描绘 10) c。一旦在成份服务窗户中（ 被 DCOMCNFG 开始当做上述的）, 航行 在控制台根文件夹内对成份 服务文件夹，然后对计算机文件夹， 扩张我的计算机，最后按下 DCOM Config 文件夹。 d。在正确的窗户窗玻璃的物体的目录中，找 OPC 伺候器配置和权利按下它。选择财产选项。 图像 10: 伺候器特性的 DCOM 设定位于 DCOM Config 文件夹。在 OPC伺候器的特性设定中，只有身份定位键需要从假设值设定改变。定位键 （提到描绘 11) 的其它部分能提及在第 3 节 (配置全系统的 DCOM 设定）中被设定的假设值结构在图像 11: 在最初四个定位键 （上将、位置、安全和端点）的设定应该保持在他们的假设值设定当做在上面显示。第 4 页. 你一定对身份定位键给予特别的注意。身份定位键将会看起来像二中的一荧屏一样在下面的图像 12 加页眉。 这 4(四）身份选项是： ？交谈式使用者： 那 OPC 伺候器将会承担那 交谈式使用者的身份。 这是人是 现在登录而且使用 12: 使用身份定位键设定 OPC 伺候器的身份。典型地， OPC 伺候器身份应该被设定成 系统帐户 （只有服务） 。OPC 伺候器住的计算机在。之上注意，某人一定登录。如果没有人对计算机登录， OPC 伺候器将会无法发射。除此之外，如果某人现在被登录，像走开的人记录一样的很快， OPC 伺候器决意关门。持续，在一的情况重新启动， OPC 伺候器在某人登录之前，将不发射。结果，这典型地是 OPC 伺候器的一个贫穷的设定。OPCTI 不推荐，你使用这一个设定，除非 OPC 伺候器厂商明确地叙述这一个设定。 ？发射使用者： OPC 伺候器将会采取发射了它的使用者帐户的身份。藉由这一个设定，作业系统将会尝试开始每一发射使用者的一个新的例证。有三一般的这一个设定的问题。第一个问题是一些 OPC 伺候器将会只让一个例证运行。结果，发射使用者的秒将会不能够制造连接因为伺候器已经正在涉及计算机的一个 OPC 的例证。当 OPC 伺候器厂商允许超过协同地运行的 OPC 伺候器的一个例证的时候，第二个问题发生。在这情况，计算机在哪一个之上 OPC 伺候器住将会 OPC 伺候器有多副本协同地运行，这将会消费计算机资源的重要部分，而且可能有一不利的在计算机表现上影响。除此之外，一些系统资源可能是得不到的至跟随第一的 OPC 伺候器的任何例证。举例来说，那首先发射使用者将会能够连接到一个连续的港口，当发射使用者的每其他者将会只是接受坏的质量数据的时候。OPCTI 不推荐，你使用这一个设定，除非 OPC 伺候器厂商明确地叙述这一个设定。持续，发射使用者一定在 OPC 伺候器计算机上有管理的权利。他们不能被配置如一个 有限 使用者。 ？这一个使用者： OPC 伺候器将会采取特定使用者帐户的身份。当 OPC 伺候器紧紧地与在下面的数据来源一起加倍的时候，这一个设定可能被需要。在这情况， OPC 伺候器一定承担一个特定的身份用数据来源交换数据。然而，因为 OPC 伺候器使用一个特定的使用者帐户，它是可能的计算机跑客户不认识 OPC 伺候器的使用者帐户的 OPC。在这情况，所有的收回将会失败，而且所有的 OPC 数据捐献 （非同步的数据更新）将会失败。如果这的确是情形，你将会必须在跑 OPC 客户申请的计算机上增加 OPC 伺候器帐户。各种不同的 DCS 厂商为他们的 OPC 伺候器需要这个设定。OPCTI 不推荐，你使用这一个设定，除非 OPC 伺候器厂商明确地叙述这一个设定。 ？系统帐户 （只有服务）: OPC 伺候器将会采取作业系统的身份. （或系统为短）系统帐户在工作团队或领域上被所有计算机辨认出时，这典型地是 OPC 的被需要的设定伺候器。除此之外，没有人需要登录计算机，因此 OPC 伺候器能在无随员的环境运行。OPCTI 推荐用这一个设定配置 OPC 伺候器的身份，除非 OPC 伺候器厂商明确地叙述一个不同的设定。注意那窗口 OPC 伺候器住的计算机在。之上注意，某人一定登录。如果没有人对计算机登录， OPC 伺候器将会无法发射。除此之外，如果某人现在被登录，像走开的人记录一样的很快， OPC 伺候器决意关门。持续，在一的情况重新启动， OPC 伺候器在某人登录之前，将不发射。结果，这典型地是 OPC 伺候器的一个贫穷的设定。OPCTI 不推荐，你使用这一个设定，除非 OPC 伺候器厂商明确地叙述这一个设定。 ？发射使用者： OPC 伺候器将会采取发射了它的使用者帐户的身份。藉由这一个设定，作业系统将会尝试开始每一发射使用者的一个新的例证。有三一般的这一个设定的问题。第一个问题是一些 OPC 伺候器将会只让一个例证运行。结果，发射使用者的秒将会不能够制造连接因为伺候器已经正在涉及计算机的一个 OPC 的例证。当 OPC 伺候器厂商允许超过协同地运行的 OPC 伺候器的一个例证的时候，第二个问题发生。在这情况，计算机在哪一个之上 OPC 伺候器住将会 OPC 伺候器有多副本协同地运行，这将会消费计算机资源的重要部分，而且可能有一不利的在计算机表现上影响。除此之外，一些系统资源可能是得不到的至跟随第一的 OPC 伺候器的任何例证。举例来说，那首先发射使用者