OPC配置方法(含防火墙)

Posted on 2008-12-18 16:16 张荣华阅读(2884) 评论(1)编辑收藏所属分类:computer&network, DotNet一，操作系统用户1、在OPC服务器上用Administrator用户建立一个拥有管理员权限的用户并设置密码，一定要设置密码，不能为空，如：用户名：OPCClientUser 密码：1232、在OPCClient服务器上用Administrator用户建立一个相同的拥有管理员权限的用户并设置相同密码，一定要设置密码，不能为空，如：用户名：OPCClientUser 密码：123，并用OPCClientUser用户登入。

二、防火墙设置（OPC服务器和客户端上都要进行设置）1、关闭window自带的防火墙。

2、如果不关闭windows自带的防火墙，则需要在window防火墙管理界面上配置允许客户端程序访问权限和开放OPC通讯135端口。

步骤如下：1）2）3）4）5）三、DCOM配置（OPC服务器和OPCClient服务器都要进行设置）1、开始—>运行—>输入：dcomcnfg进入DCOM的总体默认属性页面，将“在这台计算机上启用分布式COM”打上勾，将默认身份级别改为“无”。

如下面画面2、打开属性—>切换到“安全”属性页，分别编辑如下4个选项。

3、以上4个选项分别添加everyone，administratro,anonymous user三个用户用户，并勾选上所有权限选项。

【请注意是三个用户，如果少了一个有可能出现找不到服务器的情况】设置DTC在msdtc标签下，点击“安全性配置”，按下图配置4、在OPC服务器上，还要回到“组件服务”界面，打开DCOM配置，找到注册的OPC 服务器的名称选项，打开它的属性。

设置加密设置位置启用交互式用户（注：有时做好dcom配置后，需要重新启动电脑才起作用。

所以为了安全起见，建议最好重新启动一下电脑，再做下一步）。

第一种方法：（如配置不成功，尝试第二种方法）在WINDOWS XP SP2系统中使用OPC的DCOM配置方法V1.0大多数OPC Clients和OPC Servers利用DCOM通过网络进行通信。

在XP SP2中，经由DCOM的OPC 通信是默认关闭的，本文讨论了当使用XP SP2时重建OPC通信的必要设置方法。

由于OPC使用的回调方法使得OPC Client转变为DCOM server同时使OPC Server转变为一个DCOM client，所以本文中提供的配置方法应在包含有OPC Server和OPC Client的客户端节点上分别进行设置。

配置WINDOWS 防火墙WINDOWS防火墙是基于“例外”的，也就是默认情况下，防火墙将阻止外部“未被请求”的连接通过网络，而管理员可以在规则之外设置特定的应用程序或端口来响应外部“未被请求”的连接。

防火墙的例外可被归入两种层次的情况，一是应用程序层次，二是端口与协议层次。

前者可设置特定的程序来对“未被请求”的连接进行响应，后者可设置特定的TCP或UDP端口来允许相应的通信。

为了使OPC 程序可以通过DCOM正常工作，必须在这两个层次上都进行设置。

防火墙的配置过程如下：1.为了给系统提供必须的保护，WINDOWS防火墙是默认启用的。

（个人）不推荐关闭WINDOWS防火墙，若通信连接失败，在调试过程中可以暂时关闭防火墙以确实问题是否是由防火墙所引起。

如若确定永久关闭防火墙，下面所述关于防火墙的设置均可忽略。

2.进入WINDOWS控制面板，双击“WINDOWS防火墙”图标，打开“WINDOWS防火墙”设置对话框，选中“例外”选项卡，把相应OPC Client和Server程序添加进例外列表。

同时添加Microsoft Management Console (mmc.exe 在Windows\System32目录下)和OPC 应用程序OPCEnum (opcenum.exe 在Windows\System32 目录下)到例外列表中。

目录一.DCS中控服务器设置 (2)1.1 添加新用户 (2)1.2 DCS中控服务端DCOM设置 (3)1.3修改 OPCENUM 的安全设置 (7)1.4 OPCsever设置 (11)1.5 修改“服务”中的OPC enum (15)1.6 修改“本地安全策略”配置 (16)二.OPCclient客户端设置 (20)2.1添加新用户 (20)2.2 OPCclient端DCOM设置 (21)2.3修改 OPCENUM 的安全设置 (25)2.4修改服务中的OPC enum以及OPCServer服务 (29)2.5 修改client上的“本地安全策略” (31)三.注意事项 (35)4、考虑到安全问题，两台计算机的密码不能设置为一样的。

(35)注意：配置DCOM时不要删除原有的用户权限。

现场OPCserver服务器与OPCclient远程连接设置方法一.DCS中控服务器设置1.1 添加新用户：在“我的电脑”上点击右键，管理，打开“本地用户和组”,在“用户”中添加新用户OPCUser，密码设置为123456，并将此用户添加到管理员组：1.2 DCS中控服务端DCOM设置：在“开始”菜单的“运行”选项，输入：dcomcnfg（回车），启动“组件服务”管理器，如图：修改“我的电脑”的“COM 安全”设置，选“组件服务\计算机\我的电脑”项目，在此项目上点击鼠标右键，在弹出的右键菜单中选择“属性”项目，如图：在弹出的对话框中，选择“默认属性”标签，确认属性设置，如图：确认后，选择“MSDTC”标签页，如图：选择“COM 安全”标签页，如图：在“访问权限”和“启动和激活权限”的“编辑限制”和“编辑默认值”，分别添“administrators”，”SYSTEM””OPCUser””INTERACTIVE”这几个账户，再添加刚才我们创建的“OPCUser”账户。

并将所有的权限前面全打√，注意：不要删除原有的用户权限1.3修改 OPCENUM 的安全设置：选择“组件服务\计算机\我的电脑\DCOM 配置\OPCENUM”项，点击鼠标右键，弹出“OPCEnum 属性”对话框，“常规”标签页，确认身份验证级别为“默认”，在“启动和激活权限”“访问权限”“配置权限”项目都选择自定义，然后编辑并添加“administrators”，””SYSTEM””OPCUser “INTERACTIVE”并将权限全部勾上。

0．把OPCDAAuto.dll放入windows的system32文件夹，然后在windows的开始菜单选“运行”，输入regsvr32 OPCDAAuto.dll ，确定。

在64位系统服务器和客户端上面有可能需要执行此注册操作。

解决步骤:1、首先去网上下载.dll文件，然后将.dll文件复制到 C:WindowsSysWOW64文件夹中；2、接着点击开始按钮打开开始菜单，并在搜索框中输入cmd命令，然后右击选择“以管理员身份运行”；3、在打开的命令提示符窗口光标处输入regsvr32 .dll 命令后，回车，这时候就可以注册成功了1．（有可能不需要）得知了Prog ID，把和WinCC的机器名填入EBI的OPC Channal信息里仍然是不够的，因为在安装EBI的服务器上并没有注册WinCC 的OPC服务。

解决办法有两个，可以将WinCC直接安装到这台EBI服务器。

但这样费时费力，第二个办法是将相关的注册表键值写入到EBI服务器。

因为OPC的本质实际上是DCOM，而DCOM组件是通过注册表在系统中进行注册的。

经过查找，与WinCC的OPCServer相关的注册表键值有两组，分别位于：HKEY_CLASSES_ROOT\OPCServer.WinCC和HKEY_CLASSES_ROOT\CLSID\{75d00bbb-dda5-11d1-b944-9e614d000000}将这两组键值导出然后导入到EBI服务器上，就成功地将该OPCServer注册成功，如果再运行OPC客户端的测试软件，可以清楚地看见，它查找到了OPCServer.WinCC.需要特别指出的是，无论WinCC安装在哪台计算机上，和OPCServer相关的键值都位于同一处，该结论也适用于其他OPCServer。

2 安装OPC Core Components 2.00 Redistributable 2.30.msi在客户机上面。

OPC配置手册——不同系统配置OPC方法及要点目录Windows 2000 Advanced Server (1)一、用户名密码 (1)二、防火墙设置 (2)三、DCOM安全设置 (2)四、DTC安全配置 (5)五、本地安全策略 (5)六、安装OPCEnum枚举服务 (6)七、本地连接测试 (6)八、配置特定DCOM服务属性 (7)九、远程连接测试 (8)Windows XP (9)一、用户名密码 (9)二、防火墙设置 (10)三、DCOM安全设置 (10)四、DTC安全配置 (13)五、本地安全策略 (14)六、安装OPCEnum枚举服务 (14)七、本地连接测试 (14)八、配置特定DCOM服务属性 (15)九、远程连接测试 (16)Windows2003 server (17)一、用户名密码 (17)二、防火墙设置 (18)三、DCOM安全设置 (18)四、DTC安全配置 (20)五、本地安全策略 (21)六、安装OPCEnum枚举服务 (21)七、本地连接测试 (21)九、远程连接测试 (21)Windows 7 (22)一、用户名密码 (22)二、防火墙设置 (23)三、DCOM安全设置 (23)四、DTC安全配置 (26)五、本地安全策略 (26)六、安装OPCEnum枚举服务 (27)七、本地连接测试 (27)八、配置特定DCOM服务属性 (27)九、远程连接测试 (27)Windows server2008 R2 (28)一、用户名密码 (28)二、防火墙设置 (29)三、DCOM安全设置 (29)四、DTC安全配置 (32)五、本地安全策略 (32)六、安装OPCEnum枚举服务 (33)七、本地连接测试 (33)八、配置特定DCOM服务属性 (33)九、远程连接测试 (33)Windows 8 (34)一、用户名密码 (34)二、防火墙设置 (35)三、DCOM安全设置 (35)四、DTC安全配置 (38)五、本地安全策略 (39)六、安装OPCEnum枚举服务 (39)七、本地连接测试 (39)八、配置特定DCOM服务属性 (40)九、远程连接测试 (40)Windows 2000 Advanced Server一、用户名密码在“我的电脑”上点击右键，管理，打开“本地用户和组”，在“用户”中添加新用户“SuperControl”，并将此用户添加到管理员组。

OPC Server 设置说明注意：1．如果server所在的计算机加入的某个域一定将client加入该域；2．如果server没有加入某域则将client计算机的用户名和密码同Server设置成为完全相同（或在两台计算机上建具有管理员权限的同名用户）；不用，只根对西屋OVATION/（但防火墙要关掉）3．测试程序时攒将windows防火墙关掉，测试成功后可按手册OPC Tools User Guide for Windows and Solaris Platforms CON-016 第81页重新设置防火墙；4．OPCClient.exe是一个很好的客户端测试程序，可用来测试opc是否联通；5．启用OpcServer计算机和OpcClient计算机的Guest用户和文件共享(任意文件夹然后设置为共享)；6．OpcServer计算机和OpcClient计算机通讯的网卡常规属性中，只启用“microsoft网络客户端”、“microsoft网络的文件和打印机共享”和“INTERNET协议(TCP/IP)”；7．OpcClient计算机一定要用与OpcServer计算机创建的与具有管理员权限的同名用户登陆，OpcServer计算机则不用。

对于服务器端、客户端计算机以下是设置步骤，可能会有多余，但比较全面。

1．将以下文件拷贝到客户端c:\windows\system32下opccomn_ps.dll，OPCDAAuto.dll，OPCENUM.EXE，opcproxy.dll2．在客户端windows开始菜单中点击Run,在弹出的窗口中注册以上动态库，和启动OPCENum服务即，分别输入以下命令，点击okregsvr32 OPCProxy.dllregsvr32 OPCDaAuto.dllregsvr32 OPCComn_ps.dllOPCEnum –service不用，只根对西屋OVATION/3 打开文本a.txt修改文本的最后一行，将ip地址设置成Server所在计算机的地址，保存并将文件的扩展名改为.reg 文件，然后双击该文件将信息写到注册表中。

OPC网络通讯调试说明一、OPC通讯调试前的基本设置：1、安装 OPC 驱动程序；2、OPC 组件的安装；OPCEnum.exe的主要作用是方便用户浏览本地或者远程计算机上的ProgID，用于遍历本地所有注册的 OPC Server 名称，为 OPC 通讯必须的服务。

DCOMServerProcessLauncher，为 DCOM 服务提供加载功能，如果关闭这个服务，会造成很多手动服务无法在需要的时候自动启动，而使许多依赖于DCOM组件的服务和程序无法正常工作。

安装完成后在计算机管理中“服务和应用程序”中的服务查看应当存在 DECOM Server Process Launder 和 OpcENUM 服务项（如下图）。

3、配置Windows 防火墙；使 OPC 通讯需要的相关程序通过防火墙信任，允许访问OPC Server所在计算机的TCP 135 端口(如下图)。

4、配置操作系统的安全策略；a、启用安全策略“网络访问：让每个人权限应用于匿名用户” （如下图）。

如果启用此策略，会将 Everyone SID 添加到为匿名连接创建的令牌。

在这种情况下，匿名用户可以访问 Everyone 组拥有权限的所有资源。

b、为使得可以接受远程计算机的 rpc 请求，可配置为按照来访者身份验证模式或来宾模式。

1）、来访者身份验证模式此安全设置确定如何对使用本地帐户的网络登录进行身份验证。

如果将此设置设为“经典”，使用本地帐户凭据的网络登录通过这些凭据进行身份验证。

“经典”模型能够对资源的访问权限进行精细的控制。

通过使用“经典”模型，您可以针对同一个资源为不同用户授予不同类型的访问权限（如下图)。

2)、来宾模式如果将此设置设为“仅来宾”，使用本地帐户的网络登录会自动映射到来宾帐户。

使用“仅来宾”模型，所有用户都可得到平等对待。

所有用户都以来宾身份进行验证，并且都获得相同的访问权限级别来访问指定的资源，这些权限可以为只读或修改（如下图）。

Win7系统局域连接OPC配置一.运行环境OPC效劳器操作系统：Win7，客户端操作系统：Win7，如果是*P系统则配置方法类似〔见后面〕。

由于OPC〔OLE for Process Control〕建立在Microsoft的COM〔Component Object Model〕组件对象模型根底上，并且OPC的远程通讯依赖Microsoft的DCOM〔Distribute COM〕，平安方面则依赖Microsof的Windows平安设置。

二.配置〔配置前先对注册表备份，特别是关键的几个项单独导出HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DCOM和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole〕1.保持OPC Server效劳器与客户端的用户名密码一样。

(效劳器端与客户端)分别在客户端和效劳端上添加一样的账户名和密码，一定要确保一样。

因为访问是通过windows验证的，在远程访问时需要有着一样的账户和密码。

操作如下：假设是为了平安考量，请保持密码不为空。

要想使新创立的用户有使用DCOM的权限，需要将用户参加"Distribute COM Users〞用户组。

2.关闭防火墙或在防火墙设置中将相应的程序和端口参加到例外(效劳器端与客户端)效劳器端的防火墙设置中OPC效劳器软件端口例外3.组件效劳配置(效劳器端)操作：开场--"运行--"输入：dcomcnfg在"组件效劳〞管理器的左侧树形菜单，选择"组件效劳\计算机\我的电脑〞，在鼠标右键的弹出菜单，选择"属性〞工程，在弹出的"我的电脑属性〞，选择"默认属性〞标签页，如下列图：注意，假设"我的电脑〞显示红色向下箭头，右键无"属性〞项，处理如下：a.在运行中输入msdtc –resetlog；b.在命令行下运行 msdtc -uninstall，删除了 msdtc〔Distributed Transaction Coordinator〕效劳c.重新启动机器后，在命令行下运行 msdtc -install，安装 msdtc 效劳。

OPC通讯协议解析1 通讯步骤1.1 第一问OPC Client和OPC Server之间通讯谁是主动的？答：当然是OPC Client。

1.2 第二问OPC Client第一次动作做了什么？答：从大多数OPC Client行为来看，一是自动遍历本机已注册的OPC Server列表名称，二是等待用户定义预访问的OPC Server的信息。

1.3 第三问OPC Client第二次动作做了什么？答：OPC Client的第一步动作会产生分支，访问本地OPC Server的这个分支就不再说了。

要分析的是网络方式访问OPC Server这个分支。

第二个动作是根据用户指定的IP地址或计算机名去查询远程计算机上已注册的OPC Server列表名称。

从这步开始就比较复杂了。

1.4 第四问OPC Client是用什么协议去和远程计算机交流的？答：用的是TCP/IP这个协议。

OPC Client用TCP/IP 135端口去打开远程计算机的那一扇门。

简单解释下：在Windows操作系统中，135端口主要用于使用PRC协议并提供DCOM （分布式组件对象模型）服务，通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码。

使用DCOM可以通过网络直接进行通信，能够跨包括HTTP 协议在内的多种网络传输。

多年来，135端口一直被人利用。

1.5 第五问OPC Client去访问远程计算机的TCP135这扇门时，第一道关卡是谁？答：网络安全防火墙是第一关卡，网络安全放火墙中，如果不允许远程计算机的TCP 135端口，那么连接就被掐断了。

后续的通讯就无法进行。

要想能向下进行，网络安全防火墙必须允许对TCP 135这扇门的访问。

这里需要在防火墙中将135端口例外操作。

1.6 第六问各系统的安全策略有什么不同？答：（一）Windows 2000的安全策略：支持来访者以自己的身份进行验证，且不拒绝来宾用户从网络中访问，来宾用户默认启用。

OPC设置说明文档maxDNA OPC C/S配置说明关键词：maxDNA OPC；DCOM；配置；说明书第一章maxDNA OPCServer中配置DCOM的目的OPC的服务器端组件与客户端程序通常会位于不同的计算机中，它们之间的通讯需要依靠DCOM来进行，为保障通讯能够正常进行，需要在服务器端与客户端进行DCOM的设置。

第二章创建用于通讯的用户2.1创建用户的目的创建通讯用户是为了使服务器端与客户端用户具有可兼容的操作权限，以使DCOM通讯能够正确进行。

2.2创建用户的方法在“控制面板”中选择“管理工具”，双击“计算机管理”图标，可看见如图2-1的计算机管理控制台程序。

图2-1 服务器运行界面1．启用Guest用户。

选择Guest用户，在右键菜单中选择“属性”，在如图2-2的对话框中检查“帐户已停用”选项是否被钩掉，如是选中状态，则去掉前面的对钩。

图2-2 Guest属性2．在用户中新建一个用于DCOM通讯的用户，如图2-3所示。

图2-3 新建用户将新建的用户添加到Administrators组，使该用户具有管理员权限，如图2-4所示。

图2-4 设置用户所属的组注意事项：1、在OPC服务器端和客户端分别建立同样的上述用户，用户名及密码可任选，但一定要保证两端一致。

2、在OPC客户端用所建立的用户登录，OPC服务器端可使用其它用户登录。

第三章maxDNA Station下的DCOM配置3.1配置DCOM在“运行”中输入“dcomcnfg”，如图3-1所示。

图3-1 运行命令运行命令出现如图3-2的控制台界面。

图3-2 控制台界面在“我的电脑”中选择属性，可使用右键菜单或点击工具栏中红色框所标示的按钮，可出现如图3-3的对话框图3-3 “我的电脑”属性对话框“默认属性”页选择“默认属性”页，在该页中确定“默认身份验证级别”选择为“无”。

此页其它选项如图3-3中所示设置。

再选择“COM安全”页，如图3-4所示。