【轉】OPC遠程訪問相關配置信息

原文：http://blog.gkong.com/kking_25653.ashx

對於遠程訪問OPC服務器，須要在客戶和服務器計算機上都進行DCOM設置，本文提供一些具體配置方法。（by Kevin，2007-9-20）

 

DCOM配置與windows操做系統的安全體系結合在一塊兒，而各版本操做系統（9x、NT、2000、XP、2003等）的安全體系又或多或少地有所區別。同時，OPC服務器運行的方式也不盡相同（進程內、進程外、系統服務、有無界面……）。並且，不一樣的應用系統對安全的要求也可能不同。總之，要想根據具體狀況合理地完成OPC DCOM配置並非一件很輕鬆的事。

 

本文暫不考慮OPC客戶及服務器計算機在NT域中的狀況。

 

要進行DCOM安全配置，操做者一般必須擁有客戶和服務器計算機的管理員權限。

 

如下是大體的配置過程：

 

（1）    用戶的創建及配置

     最簡單的用戶配置是在客戶和服務器計算機上創建名稱、密碼都相同的用戶（Administrator權限不是必需的），並用此用戶登陸系統、運行OPC服務器程序。這種方式適用於系統調試期間，或對安全要求不高的場合。

 

     在有必定安全要求的系統中，可按以下方式配置：

 

Ø       在服務器計算機上創建一個用戶，如OPCUser，能夠是通常用戶，服務器計算機在運行OPC服務器時必須以這個用戶登陸。

 

Ø       在服務器計算機上創建一個用戶組，如OPCClients。

（客戶端不須要用戶切換的狀況下能夠不創建，建這個組的目的是管理方便）

 

Ø       在OPC客戶計算機中，創建OPCUser用戶，口令也要與服務器上的一致，能夠設爲普通用戶以保證安全。（建這個用戶的目的是保證服務器回調時的權限，如OnDataChange）

 

Ø       在客戶和服務器計算機上都創建ClientA、ClientB等用戶，且密碼一致。

 

Ø       在服務器計算機上將ClientA、ClientB等用戶都加入到OPCClients組中。客戶計算機用這些用戶登陸。

 

（2）    OPC服務器計算機的DCOM設置

     運行dcomcnfg，進行以下設置：

     默認屬性：

啓用DCOM；

默認身份驗證級別：鏈接

默認模擬級別：標識

 

     默認安全機制：

          默認訪問權限：

至少要保證OPCClients組容許訪問，也可放寬至Everyone；

          默認啓動權限：至少保證容許INTERACTIVE用戶調用；

          默認配置權限：通常狀況下不需修改。

          默認協議：保證面向鏈接的TCP/IP在最上。

 

     OPC服務器配置：

          常規：身份驗證級別爲默認值；

          位置：在這臺計算機上運行；

          安全性：使用默認的訪問和啓動權限，配置權限不要修改；

          身份標識：交互式用戶。

          終結點：不修改。

 

（3）    客戶計算機的DCOM配置

     爲了保證OPC數據訂閱等回調機制能正常運行，須要對客戶計算機的DCOM權限進行配置。

     默認屬性、默認協議的配置和服務器端基本一致；

     默認安全機制只須要修改默認訪問權限。保證容許OPCUser訪問。也可放寬至Everyone。

 

（4）    系統設置

 

防火牆：

     對於安裝了第三方防火牆軟件的計算機，可嘗試配置容許OPC客戶及服務器程序經過，或直接中止防火牆服務。

     對於啓用了操做系統（XP SP二、Server 2003等）自帶防火牆的狀況，可按OPC基金會提供的文檔《Using OPC via DCOM with XP SP2》中描述的進行配置，或直接關閉防火牆。

     注意：客戶、服務器計算機都要配置。

 

安全策略：（XP、Server 2003等）

     「控制面板 -> 管理工具 -> 本地安全策略 -> 本地策略 -> 安全選項」中，

    「網絡訪問:本地賬戶的共享和安全模式」項設置爲：

     「經典 － 本地用戶以本身的身份驗證」

 

（5）    其它注意事項

連不通時首先檢查網絡是否正常；（好比在關閉了防火牆的狀況下ping服務器計算機）

用戶密碼不要設置爲空；

 

 

【注】 還有其它一些特殊狀況，本文未說起，好比服務器爲NT服務，服務器爲進程內組件等，之後會陸續補充。

 

 

MatrikonOPC Tunneller解決了在DCOM 基礎之上使用OPC遇到的六個主要問題：

1. 跨域和工做組

身份認證使跨域或跨工做組的DCOM鏈接變得極其困難甚至有時不可爲。經過OPC Tunneller就可突破這一限制。基本上, 只要您可以對計算機進行連通性檢測命令（ping）, 就可以用Tunneller訪問不一樣的域或工做組。

2. 穿越防火牆的DCOM 和 OPC

DCOM使用了衆多的端口, 這樣一來要配置防火牆就幾乎不可能。更不用說, DCOM已成爲Blaster等病毒和蠕蟲病毒的主要攻擊對象。OPC Tunneller可讓咱們在擁有OPC優點的同時讓防火牆繼繼續提供保護做用, 從而最大限度地抵禦病毒和蠕蟲病毒的攻擊。

3. DCOM須要大量帶寬

DCOM在低延時和高帶寬的環境裏工做效率最高, 比較典型的就是辦公室的LAN鏈接。這一點在經過衛星、調制解調器、 無線電和其它帶寬受限的通信中就會形成極大的限制。MatrikonOPC Tunneller的特徵之一就是無數據丟失的壓縮, 這樣能夠減小對網絡的負荷, 同時在按流量付費的通信中能夠節省費用。

4. 超時和斷開

您在爲超時（timeout）而感到苦惱嗎？您須要比DCOM中沒法改變的6分鐘超時設置更短的恢復時間嗎？MatrikonOPC Tunneller 具有能夠調試的超時設置, 可以與您的網絡達到最佳配合, 在轉瞬之間從新鏈接到OPC服務器。

5. 數據私密性

OPC Tunneller如今具有了數據流加密技術。「中間人」之類的攻擊如今能夠被挫敗了, 由於Tunneller保證若是沒有密匙就不能讀取OPC 數據。加密能夠選擇6四、9六、或 128字節的AES。OPC Tunneller也能夠被設置僅於您所定義的IP地址進行客戶端鏈接。

6. 輕鬆配置

根據不一樣的系統, 調試DCOM使其正常通信可能須要好幾天的時間。 而OPC Tunneller輕鬆將此過程減小到幾分鐘的時間。

·  將Matrikon OPC Tunneller安裝在OPC客戶端和OPC服務器節點（所在計算機）上。

·  在客戶端節點, 定義一個將要鏈接的IP地址和計算機名稱。

·  開始通信！