OPC DCOM详细配置方法.docx

OPC DCOM详细配置方法不关防火墙不换登陆用户1 .前言OPC DCOM的设置是实现跨网络OPC通信的基础，现有的一些OPC DCOM配置教程虽然讲解了如何配置DCOM,但没有讲清楚为什么要这么做, 而且各个教程涉及的配置方法也不尽相同。为了彻底搞清楚OPC DCOM的配置过程，我重新做了两台机器的系统， 一台是Windows 7 32位，一台是Windows 10 64位，并且重零开始完整的测 试了正常运行OPC DCOM所需的最少的配置条件，并进而测试了如何在不关 闭Windows防火墙，不切换专用用户（一般的教程都需要在OPC客户端和 OPC服务器的计算机上使用同一个用户账户登录）。不敢独享成果，拿出来和 各位专业人士商榷。本文为原创文章，请勿抄袭。谢谢.基础知识如何顺利的配置OPC相关的DCOM?首先需要了解OPC DA的工作模式 及相关程序（组件、服务）以及Windows的DCOM组件工作机制，然后才能 正确的配置OPC DCOM,所谓的正确配置DCOM,不仅仅是能完成客户端与服务器的通信，而是要 求能够确保Windows系统的平安，还包括灵活运用Windows账户，而不是非 得需要在服务器和客户端计算机上使用同一个账户。另外，也无需关闭 Windows防火墙就能实现OPC DCOM通信。1.1 OPC DCOM的工作机制。1.1.1 Client和Server在同一台计算机默认平安道或用a£(G)：JWXD). *R)SELF的农JR(P)允许愈a玄埼访问0S«访问0图表12系统组件服务通用属性-访问权限-默认值图表13系统组件服务通用属性启动和激活权限平安限制图表14系统组件服务通用属性启动和激活权限默认值修改组件服务通用属性1 .点击Windows的开始按钮，在“搜索程序和文件”对话框中输入： dcomcnfg,并回车。2 .在弹出的“组件服务”对话框中。展开左侧“控制台根节点”，展开到“我的 电脑:鼠标右键选择“我的电脑”，在弹出菜单中选择“属性”。QHFWrWflW)M<v) 从这里初.匚(W)愿性(R)颠H)图表16我的电脑默认属性>.用“旨务m 文$F)前RA) M(V) «D(W) «H3(H)，1* 日L 笈三泛筮名除COM* SJW« m：DCOM£|图表15 DCOM通用属性设置3 .在弹出的“我的电脑属性”页中，选择“默认属性”页，按以下图设置。有一些 设置教程的这一步和下面的OPC Server设置均将默认身份验证级别设置为 “无”，但为了确保网络通讯的平安性，而且已经在客户端和服务器的计算机上 建立了相同的用户，因此，还是设置为“连接”比拟好4 .选择默认协议，确保“面向连接的TCP/IP”协议存在于“DCOM协议”中。图表17默认协议5 .选择“COM平安”页，分别如图选择“访问权限”和“启动和激活权限”的“编 当限号”和“编辑默认值”按钮。的电白性t 一. MTaT图表18 coM平安6 .“访问权限”- “编辑限制”对话框确保Everyone> opcuser和ANONYMOUS LOGON三个用户都被添加到“组或 用户名”列表中，并且上述三个用户的“本地访问”和“远程访问”都被允许。图表19访问权限-编辑限制7 .“访问权限”-“默认访问权限”确保SYSTEM、opcuser都被添加至组或用户名”列表中，并且上述账户的本 地访问”和“远程访问嘟被允许。图表20访问限制-编辑默认值8 .“启动和激活权限”-“编辑限制”确保Everyone、opcuser用户被添加到“组和用户名”列表中，并且“本地启动”、 “远程启动”、“本地激活”和“远程激活”都被允许。H动检激活权限安例制里或用户名（G）lEvtryont£ opcuscr (Yurtx>&c-PCepeustr)str aim's CruAxiAC-PCAd»knistrat»rs)Per fora anc« Log Users (Yuxain(-PCP«r£orB»nc«.加）口 2虹2允许 拒绝DDBDZ0 "，一Dislribut«d COi U*<rt (Tunxinc-rcBiitribut«d .Enryom的权第g本地启动 远程启动 本灿舌 江自漱舌匚瓯口 腔匚图表21启动和激活权限-编辑限制9 .“启动和激活权限”-“编辑默认值”确保opcuser、INTERACTIVE和SYSTEM用户被添加到“组和用户名”列表中, 并R “本地启动”、“远程启动”、“本地激活”和“远程激活”都被允许。姐或用户名(G)： opens er (Tuwcinc-PCopcux<r)Adninistretors GwaincrcXAdftiniitrators) INTERACTIVE*0). JSYSTW的校隔(?)允许 拒绝本地启动 远程启动 本地激运 远程击舌图表22启动和激活权限-编辑默认值经过上述步骤，组件服务的通用属性就设置好了。记住，OPC客户端和 OPC服务器所在的计算机都需要设置。3.43 OPC Server 的 DCOM 设置点击Windows的开始按钮,在“搜索程序和文件”对话框中输入:deomenfg, 并回车。在弹出的“组件服务”对话框中。展开左侧“控制台根节点”，展开到“DCOM 配置:然后在右侧的DCOM组件列表中找到需要配置的OPC Server,鼠标右 键选择该服务器，然后选“属性”。»女用前明）m<v） ea（w）*，i*飞日田匕工屋nri . > x班节，名以应用羽to，>.电皿为-. ttMr.-今网港展:COM.应用位小 DCOMKI 正在层行的W程 OittributM Tr*r(il *>«« cmd SPf>S<xro9«te (B2d97df-«3e5-4<b9- 畲 H>pui(08680C98 09A24他i fppui(CCFD024D-CEA8-4512 SQCTaUcCocne- (1638A9BO-8174 440 > SRS_APO_U«w»_. 553C4«B2 BA6812- f $Ue*mlModuk 487AlWt-C67-4E8t SwipAPOOH(0A21D9M-674A-4CCft $ynAPI2(63,933，<8”q*1 Sync Center (Pr_ (6W5OF2D.35£E11D ft Sync(Pr_ (M55MU-DF5E-4W> Sync Center (X. (12020B«>-1DAC-42C | 含 Sync Ce” Co- (1A1M206 0688-4E7F A Sync Cewte* IJ (W9CB2S-25E2-4BE) 1 Sync Center Sc_ (80S88E J0 C451421I ft Sync Cer Ut- (DeJAA156-D5M-4BA S Sync Infrastrvct. (C947D50F-378E 4FF6 SyfKHoM(B8C4356A-F004-4A21.SyncM«c“mS_. (A8C81DS5 990(44 .DCOMKB-* 'i图表23组件服务分别按下面的设置，设置OPC Server。1.0PC Server常规属性图表24 OPC Server常规属性2. OPC Server位置属性图表25 OPC Server位置属性3. OPC Server平安属性其中，配置权限选择自定义，并且不需要修改。图表26 OPC Server平安属性4. OPC Server终结点属性图表27 OPC Server终结点属性5. OPC Server标识属性OPC Server标识属性通常设置为“交互式用户”即可。图表28 OPC Server标识属性当Client和Server在同一台计算机时，首先，Client向OpeEnum组件 (CLSID： 13486D51 -4821 -11D2-A494-3CB306C10000)发起查询本机已 注册的所有OPC服务器(包括2.0标准(GUID:63D5F431-CFE4-11D1-B2C8-0060083BA1FB)的及 1,0 标准(GUID : 63D5F430-CFE4-11d1-B2c8-0060083BA1FB)的服务器。OpeEnum 组件负 责返回所有已注册的OPC服务器信息。第二步,OPC Client获取己注册OPC服务器信息后，确定需要连接的OPC 服务器，并通过ConnectionPoint接口及AdviseSink接口获取服务器的各种配 置信息、数据项(Tag)实时数据及其它通知(如服务器关闭)。图表1 OPCCIientt/Server安装在同一台计算机2.1.2 Client和Server在不同的计算机OPC Slient和Server安装在不同的计算机上，如果需要实现Client和 Serve的互联互通，Client和Server所在计算机必须安装有标准的OPC DA组 件，并完成系统注册。标准的OPCDA组件包括： opc_aeps.dll opcbc_ps.dll opccomn_ps.dll opcdaauto.dll这几个选项的含义及作用如下：交互式用户：这个账户是当前登陆此计算机的用户账户，也就是说必须有 账户登陆，否那么不能启动OPC服务器，当此用户注销时，OPC Server就会关 闭；启动用户：OPC服务器以访问的用户认证，操作系统会为每个访问的用 户创立一个实例，这样会有三个问题出现，假设OPC Server只允许一个用户访 问时，当系统中已经有了一个实例，再有其它用户就无法访问。假设是OPC Server 允许多个用户访问时，那么带来的问题是随着不同用户的访问，就会翻开多个 实例，这样就会占用更多的计算机的资源。另外的一个问题是硬件的抢占，如 串口，当一个使用了，其它的用户就无法再使用。因此通常不使用此选项。以下用户：OPC Server以指定的用户账户认证，这种情况需要在OPC Server的计算机上存在着要指定的账户，而且对于OPC Client必须知道此用 户。否那么无法访问。系统账户（仅用于服务）：OPC Server以操作系统账户认证，对于工作 组还是域，系统账户都能被识别，也不需要有用户登陆。但OPC server必须 以服务的方式启动。3.4.4 OPCEnum 设置OPCEnum的设置和OPC Server的设置基本相同，只有“标识”属性不同， 可参照以下图设置。图表29 OPCEnum设置-标识01有的系统在这一步无法设置Interactive User账户，那就将用户设置为 opcusero图表30 OPCEnum设置-标识023.4.5 小结经过3.2至3.4的设置后，OPC客户端和服务器就能够实现跨网络的互 联互通了。但此时还存在两个问题，一是Windows防火墙还处于关闭状态，这 会带来潜在的平安问题。二是OPC客户端和OPC服务器所在的Windows操 作系统必须以相同的用户账户登录，这种登录模式可以满足账户敏感度不高的 应用环境，但对企业及应用，例如混合了 MRP、ERP等应用的环境，各计算 机的Windows平台都使用一个账户登录是不能满足应用及平安需求的。第3章介绍如何解决这两个问题。4增强平安性的配置按照第二节的教程设置好OPC DCOM后，跨网络的OPC访问就能实现 了，但此时，Windows防火墙是关闭的，这肯定会带来平安隐患，因此，最好 还是翻开Windows防火墙。但翻开Windows防火墙后，如果不做任何设置，OPC的访问就会被防火 墙阻隔。按照下面的步骤设置Windows防火墙的入、出站规那么，即可实现OPC 网络访问的正常化。4.1 入站规那么OPCEnum选择控制面板-> 系统和平安-Windows防火墙-> 高级设置。然后选 择“入站规那么工 dvome»«< O<*woM«Me O1Ac«qmA Acw«XCMTetfCa- 0IAoo«o* * Ac»*«X.8C CUI NT COM XK<m 3W 8c CUI NT COMsW60K CUtNT COM OCK CUINT COM ?HdmAN(KP>nM*4«lANCV091 Orsfwq 12K30U"3OlXtM«AT XLjA«t<. nuveuo图表31 Windows防火墙高级设置鼠标右键选择“入站规那么”，然后先择“新建规那么”。图表32 Windows防火墙入站规那么-规那么类型*他那么匹*&剂停够整帽松枝无可以出1y£株电*2?- H%时 H!文件百观那么应用于所真4a正是力定起厚，飒那么住用手与相四的十机上的班育壮健. ttfff»SK（r>：VSyv，*K»«aSy>t«B3?X）KR2 1 ”小”。3 « Orwfil.tlMa«3rl«o«i*r *x«；5 t-><, 丁G'J。钟 W图表33 Windows防火墙入站规那么-程序在 Windows 10 64 位系统中，OpcEnum.exe 位于 Windows/SysWOW64 路径下。图表34 Windows防火墙入站规那么-操作图表35 Windows防火墙入站规那么-配置文件图表36 Windows防火墙入站规那么-名称4.1.2 OPC服务器、OPC客户端OPC服务器和OPC客户端参考OPCEnum的设置过程设置入站规那么即可。4.2出站规那么OPCEnum、OPC服务器和OPC客户端的出站规那么与入站规那么类似，在 此不再重复。需要注意的是，在“新建出站规那么向导”中“操作”页面，一定要选择 “允许连接工设置完成入站规那么和出站规那么后，在Windows防火墙翻开状态下，也可以 实现OPC客户端与OPC服务器的跨网络访问，并且能够保证对应的计算机在 网络上的平安性。5不同的账户登录在3.2节中提到，如果要实现跨网络的OPC通讯，最简单的方法就是在 OPC客户端和OPC服务器所在的计算机上设置相同的账户（同样的用户名和 同样的密码），但这也带来一个问题，一些其它的企业级应用，如ERP等，可 能会有同样的对登录账户的需求，而在企业所有的网络计算机上设置并使用相同的用户账户登录是不现实的，同时也会有潜在的平安问题。下面给出解决办 法。在OPC客户端所在的计算机上，选择控制面板-> 用户账户和家庭平安,然后选择“凭据管理器”。如以下图所示。校!nte*rwt程孝用 xqid 章gt 外叫0个量化 E*. tSVtQSMIS0方向用户即咚 更3TM是K .考必»电*?* 9S Window! Cm»率,拄制曙等方*对丹发厚长爱，】Windows CardSpace首际>m kowt 弓J图表37 Windows凭据管理器然后选择“添加Windows凭据工存储用于自动登录的凭据 使用为35$理将红GC用户名町定码）存&514色库中,以便的以金松登甄计1133苗.Windows保管K 默认俚告宦<2«还写口g4R）_广 Windows kIBI 血C Windows AS无 Windows US.'于修书SWUB痢（/钝书的为S无迂书.««%«港期田为Egit $:/9>thub.cofn修改町隰 2019/11/30 v图表38添加Windows凭据在“添加Windows凭据对话框”中，输入用于连接OPC服务器的网络地址、 用户名、密码。此时需注意，如果在连接OPC服务器时，使用的是IP地址，那么在Internet 地址栏目中就应该填写IP地址，如果使用的是计算机名，那么填写计算机名，或 者干脆两种凭据都加上。如以下图。入网站地址(或阿络位闻为第户矶Intent)> 192.16(0-105用opcus<r.砾niuuii <tS9) | MM图表39 Windows凭据-IP地址Q存储用于自动签量的凭据使用瓮将瓮薯gc用户名町在否初到保.以便培何以尊xatii trx«is. r Windows «*« 款认件苫*仪 eww &w(r)Window* klB32c Windows 为8*CTT«：转®OESKTOP-F1AOM31传丽强：转 于if/次l.卷5C»子证物力«S9X1BIC9M»git W/StKjhcom修改町制:2019/11/30*图表40 Windows凭据最终状态添加完Windows凭据后，即使使用其它用户账户登录Windows,也能实 现和OPC服务器的通讯。OPC Client图表2 OPC Client/Server安装在不同的计算机OPC ServerOPCEnum opchda_ps.dll opcproxy.dll opcsec_ps.dllOPC Data Access Se*wn VerSon 2.0 OR .OPC Dat* Access Server Verson 1.0 计算机B首先，OPC客户端软件访问OPC服务器所在计算机上注册的 OPCEnum.exe,查询服务器所在计算机上已注册的所有OPC服务器。 OpcEnum组件负责返回所有已注册的OPC服务器信息。第二步,OPC Client获取己注册OPC服务器信息后，确定需要连接的OPC 服务相，并通过ConnectionPoint接口及AdviseSink接口获取服务器的各种配 置信息、数据项（Tag）实时数据及其它通知（如服务器关闭）。在简单了解OPC客户端与服务器的通讯过程后，可以得出一个结论，无 论是在同一台计算机还是不同的计算机，OPC客户端和服务器之间的通讯主要 涉及三个局部：OPC Client、OPCEnum.exe 和 OPC Server。下面以Windows 7 32位版本为例，说明OPC DCOM的配置过程。3基本（最简单）的配置方法3.1概述本节所介绍内容，均通过Windows 10及Windows 7的测试。3.2 关闭Windows防火墙为了简化介绍如何建立OPC DCOM通讯的过程，先不考虑防火墙的问题, 在建立好DCOM通讯后，在考虑防火墙。所以首先需要禁止Windows防火墙 的功能。关闭Windows防火墙，按如下步骤操作：控制面板-> 系统和平安-> Windows防火墙，按以下图操作关闭“家庭或工作（专用）网路位置”及“公用网路 位置”防火墙。图表3关闭Windows防火墙建立相互能识别的用户账号为了完成网路中两台计算机的互相访问，必须保证在OPC客户端和OPC 服务器上有同样用户名并且密码非空的用户账户。3.2.1 添加用户账户在OPC客户端和OPC服务器所在的计算机操作系统中添加同样的用户， 注意: 该账户必须有相同的账户用户名和密码；使用Windows域时，用户账户是由域控制器来同步； 使用多域时，需要作域间的信任或者添加本地用户到受影响的计算机上。Windows 7添加用户步骤如下：控制面板-> 系统和平安-> 管理工具-> 计算机管理-> 本地用户和组。图表4本地用户和组鼠标左键双击左侧树结构中的“本地用户和组”，然后选择“用户”节点。图表5用户然后选择“操作”->“新用户”菜单，在新用户对话框中输入用户名和密码, 如以下图所示。%用户也j用户松登录fl寸须更改充码璐)口用户不能更改击码6)密码永不过即“)M户已禁用®)r那助)一pwcF? 一痴而匚)图表6添加新用户填写完成后，按'创立"按钮，即完成添加用户账户。注意：在OPC客户端 和OPC服务器计算机上要创立相同用户名和密码的用户！设置本地平安策略本步骤需要在OPC客户端及OPC服务器所在计算机上进行设置。以 Windows 7为例，说明设置本地平安策略步骤如下：控制面板-> 管理工具-> 本地平安策略，或点击Windows开始按钮，在“搜索程序和文件”对话框中输入 “secpol.msc”。哀M SA) M(V) MtCH) rffi x rl G TrOCOM：使标t骐0OOgmf，nBB Mkrotoft R«M» IBljaanTWFMW Mkrowft RMHHfr fM2万Sr*S3SC»«.加 -R«s«» r*®«6a*s<(»«.««* SPN 6£1r«0All Mkrotoh R«e«»Microtoft R««*» KMfcBTSS XVMan Mio-* R«*» r*MdarsawoMkr<H©#i Re«*i» 信*Mir*RahBifli三方 sm kV WKHJfcSr 下 m“证左/央x*erwifMOttKB* ?：£=<«m*8 文直“师 sua» xe 3加文， 交互mr asETUMF写 交蕾.钠户g>ING.H«RJfiKMb XM» X 交置式» “6*«髭淮田皿eu«23«5XS» zm*X河口MTSEBMm ««-*v»e»«- R2Me»W：£rJM5ft» e» , CD «OM Vhi6JKZirF«BMm.«>播于廿tTE.mctt 行 wcms图表7本地平安策略在“本地平安策略”对话框中，展开（鼠标左键双击）左侧“本地策略”，“安全选项”项，在右侧的列表框中，找到“网路访问：本地账户的共享和平安模型”,将其更改为“经典-对本地用户进行身份验证，不改变其本来身份工A sw*红' j文呻)tUA) W«<v)aMMM rOx ., Q F4 AoMd *M 口 角 Ftw®I 4金建B9> 口 gR金 VWzfcE C?X«R4FAW9M*a>m«» EORWMS ip妾金“s ；二 W«««MHUISt«lFUtt* M NTIMNTIM£WSkGt* * NUM *"V*HBTyt± NUM HMTIM 入 NTLM Al£w«kM NTLM:HUMRMfM * NTIM：IM MTIM 力 NTlM&WSXR«»T a Loc4tSyMm NUUg«义n* «8MU«rw? wtlmSflQU：尺g* RUt+Hb NU2V鲁£MUc网虹 在叱»c=«*h，e»*iR«««- ITF-HlWlRHi IAN V3M»fl且"*u?共一EM ti« k3HFi-3 *FI8grart耳谡毋不向um w.Kmcrca«sem=不BMW fw<yc电.&mR*J!« 8T2同的仅，网依吗ES64r««!R«S /加XmCsFtC«ntro.R«B>4 4 西13-1 里"MJ予 NSyiteH«Csw<Cof«ro.R4h»e HMK"$Sf«GMSr4UMBMR«6 眸 «*« UD/SWWBMwire n vwm 于mg都方x2BMMra 2c*Miutr*$：jEE 94wiBMMX* « w*H»WBMM2C«-9MMe£«S&“&B W Worn 尊Wi女BM.- . 一一 «图表8本地平安策略-平安选项网络访问:户的共享般全模受愿性本地平安设置说明网络访问：本地蛛户的共蕈和平安俱理经典-对本地用户迸行身份卷证，不改变其本来身份:图表9本地账户的共享和平安模型属性3.4配置系统DCOM设置OPC客户端及OPC服务器所在计算机系统的DCOM设置影响着 Windows的DCOM的应用，包括OPC的应用，由于OPC客户端没有自己的 DCOM的设置，所以它受缺省DCOM的配置的影响，因此需要作必要的改变。系统默认的组件服务通用属性系统默认的组件服务通用属性如下面（Windows 10的截图，Windows 7 相同）*« !M 性 ttU令& COM*t MSOTC0a»i+®rLL®w«*« coM（t） fi£tt*fLLM COM lrt«n MINIs»*WlttB!«££.RWM5£?JMS9CMV. UA*K«T«nv*M W8e#Hk».BtUNAMik版力aamm-qE H知皿AK或M星金 03WSMM»«.2raM R8U»*<701 更 aBMiaeei 更.图表10系统组件服务通用属性-默认属性图表11系统组件服务通用属性-访问权限-平安限制