【转】OPC远程访问相关配置信息

原文：http://blog.gkong.com/kking_25653.ashx

对于远程访问OPC服务器，须要在客户和服务器计算机上都进行DCOM设置，本文提供一些具体配置方法。（by Kevin，2007-9-20）

 

DCOM配置与windows操做系统的安全体系结合在一块儿，而各版本操做系统（9x、NT、2000、XP、2003等）的安全体系又或多或少地有所区别。同时，OPC服务器运行的方式也不尽相同（进程内、进程外、系统服务、有无界面……）。并且，不一样的应用系统对安全的要求也可能不同。总之，要想根据具体状况合理地完成OPC DCOM配置并非一件很轻松的事。

 

本文暂不考虑OPC客户及服务器计算机在NT域中的状况。

 

要进行DCOM安全配置，操做者一般必须拥有客户和服务器计算机的管理员权限。

 

如下是大体的配置过程：

 

（1）    用户的创建及配置

     最简单的用户配置是在客户和服务器计算机上创建名称、密码都相同的用户（Administrator权限不是必需的），并用此用户登陆系统、运行OPC服务器程序。这种方式适用于系统调试期间，或对安全要求不高的场合。

 

     在有必定安全要求的系统中，可按以下方式配置：

 

Ø       在服务器计算机上创建一个用户，如OPCUser，能够是通常用户，服务器计算机在运行OPC服务器时必须以这个用户登陆。

 

Ø       在服务器计算机上创建一个用户组，如OPCClients。

（客户端不须要用户切换的状况下能够不创建，建这个组的目的是管理方便）

 

Ø       在OPC客户计算机中，创建OPCUser用户，口令也要与服务器上的一致，能够设为普通用户以保证安全。（建这个用户的目的是保证服务器回调时的权限，如OnDataChange）

 

Ø       在客户和服务器计算机上都创建ClientA、ClientB等用户，且密码一致。

 

Ø       在服务器计算机上将ClientA、ClientB等用户都加入到OPCClients组中。客户计算机用这些用户登陆。

 

（2）    OPC服务器计算机的DCOM设置

     运行dcomcnfg，进行以下设置：

     默认属性：

启用DCOM；

默认身份验证级别：链接

默认模拟级别：标识

 

     默认安全机制：

          默认访问权限：

至少要保证OPCClients组容许访问，也可放宽至Everyone；

          默认启动权限：至少保证容许INTERACTIVE用户调用；

          默认配置权限：通常状况下不需修改。

          默认协议：保证面向链接的TCP/IP在最上。

 

     OPC服务器配置：

          常规：身份验证级别为默认值；

          位置：在这台计算机上运行；

          安全性：使用默认的访问和启动权限，配置权限不要修改；

          身份标识：交互式用户。

          终结点：不修改。

 

（3）    客户计算机的DCOM配置

     为了保证OPC数据订阅等回调机制能正常运行，须要对客户计算机的DCOM权限进行配置。

     默认属性、默认协议的配置和服务器端基本一致；

     默认安全机制只须要修改默认访问权限。保证容许OPCUser访问。也可放宽至Everyone。

 

（4）    系统设置

 

防火墙：

     对于安装了第三方防火墙软件的计算机，可尝试配置容许OPC客户及服务器程序经过，或直接中止防火墙服务。

     对于启用了操做系统（XP SP二、Server 2003等）自带防火墙的状况，可按OPC基金会提供的文档《Using OPC via DCOM with XP SP2》中描述的进行配置，或直接关闭防火墙。

     注意：客户、服务器计算机都要配置。

 

安全策略：（XP、Server 2003等）

     “控制面板 -> 管理工具 -> 本地安全策略 -> 本地策略 -> 安全选项”中，

    “网络访问:本地账户的共享和安全模式”项设置为：

     “经典 － 本地用户以本身的身份验证”

 

（5）    其它注意事项

连不通时首先检查网络是否正常；（好比在关闭了防火墙的状况下ping服务器计算机）

用户密码不要设置为空；

 

 

【注】 还有其它一些特殊状况，本文未说起，好比服务器为NT服务，服务器为进程内组件等，之后会陆续补充。

 

 

MatrikonOPC Tunneller解决了在DCOM 基础之上使用OPC遇到的六个主要问题：

1. 跨域和工做组

身份认证使跨域或跨工做组的DCOM链接变得极其困难甚至有时不可为。经过OPC Tunneller就可突破这一限制。基本上, 只要您可以对计算机进行连通性检测命令（ping）, 就可以用Tunneller访问不一样的域或工做组。

2. 穿越防火墙的DCOM 和 OPC

DCOM使用了众多的端口, 这样一来要配置防火墙就几乎不可能。更不用说, DCOM已成为Blaster等病毒和蠕虫病毒的主要攻击对象。OPC Tunneller可让咱们在拥有OPC优点的同时让防火墙继继续提供保护做用, 从而最大限度地抵御病毒和蠕虫病毒的攻击。

3. DCOM须要大量带宽

DCOM在低延时和高带宽的环境里工做效率最高, 比较典型的就是办公室的LAN链接。这一点在经过卫星、调制解调器、 无线电和其它带宽受限的通信中就会形成极大的限制。MatrikonOPC Tunneller的特征之一就是无数据丢失的压缩, 这样能够减小对网络的负荷, 同时在按流量付费的通信中能够节省费用。

4. 超时和断开

您在为超时（timeout）而感到苦恼吗？您须要比DCOM中没法改变的6分钟超时设置更短的恢复时间吗？MatrikonOPC Tunneller 具有能够调试的超时设置, 可以与您的网络达到最佳配合, 在转瞬之间从新链接到OPC服务器。

5. 数据私密性

OPC Tunneller如今具有了数据流加密技术。“中间人”之类的攻击如今能够被挫败了, 由于Tunneller保证若是没有密匙就不能读取OPC 数据。加密能够选择6四、9六、或 128字节的AES。OPC Tunneller也能够被设置仅于您所定义的IP地址进行客户端链接。

6. 轻松配置

根据不一样的系统, 调试DCOM使其正常通信可能须要好几天的时间。 而OPC Tunneller轻松将此过程减小到几分钟的时间。

·  将Matrikon OPC Tunneller安装在OPC客户端和OPC服务器节点（所在计算机）上。

·  在客户端节点, 定义一个将要链接的IP地址和计算机名称。

·  开始通信！