【转】OPC远程访问相关配置信息

原文：http://blog.gkong.com/kking_25653.ashx

对于远程访问OPC服务器，需要在客户和服务器计算机上都进行DCOM设置，本文提供一些具体配置方法。（by Kevin，2007-9-20）

DCOM配置与windows操作系统的安全体系结合在一起，而各版本操作系统（9x、NT、2000、XP、2003等）的安全体系又或多或少地有所区别。同时，OPC服务器运行的方式也不尽相同（进程内、进程外、系统服务、有无界面……）。而且，不同的应用系统对安全的要求也可能不一样。总之，要想根据具体情况合理地完成OPC DCOM配置并不是一件很轻松的事。

本文暂不考虑OPC客户及服务器计算机在NT域中的情况。

要进行DCOM安全配置，操作者通常必须拥有客户和服务器计算机的管理员权限。

以下是大致的配置过程：

（1）    用户的建立及配置

     最简单的用户配置是在客户和服务器计算机上建立名称、密码都相同的用户（Administrator权限不是必需的），并用此用户登录系统、运行OPC服务器程序。这种方式适用于系统调试期间，或对安全要求不高的场合。

     在有一定安全要求的系统中，可按如下方式配置：

Ø       在服务器计算机上建立一个用户，如OPCUser，可以是一般用户，服务器计算机在运行OPC服务器时必须以这个用户登录。

Ø       在服务器计算机上建立一个用户组，如OPCClients。

（客户端不需要用户切换的情况下可以不建立，建这个组的目的是管理方便）

Ø       在OPC客户计算机中，建立OPCUser用户，口令也要与服务器上的一致，可以设为普通用户以保证安全。（建这个用户的目的是保证服务器回调时的权限，如OnDataChange）

Ø       在客户和服务器计算机上都建立ClientA、ClientB等用户，且密码一致。

Ø       在服务器计算机上将ClientA、ClientB等用户都加入到OPCClients组中。客户计算机用这些用户登录。

（2）    OPC服务器计算机的DCOM设置

     运行dcomcnfg，进行如下设置：

     默认属性：

启用DCOM；

默认身份验证级别：连接

默认模拟级别：标识

     默认安全机制：

          默认访问权限：

至少要保证OPCClients组允许访问，也可放宽至Everyone；

          默认启动权限：至少保证允许INTERACTIVE用户调用；

          默认配置权限：一般情况下不需修改。

          默认协议：保证面向连接的TCP/IP在最上。

     OPC服务器配置：

          常规：身份验证级别为默认值；

          位置：在这台计算机上运行；

          安全性：使用默认的访问和启动权限，配置权限不要修改；

          身份标识：交互式用户。

          终结点：不修改。

（3）    客户计算机的DCOM配置

     为了保证OPC数据订阅等回调机制能正常运行，需要对客户计算机的DCOM权限进行配置。

     默认属性、默认协议的配置和服务器端基本一致；

     默认安全机制只需要修改默认访问权限。保证允许OPCUser访问。也可放宽至Everyone。

（4）    系统设置

防火墙：

     对于安装了第三方防火墙软件的计算机，可尝试配置允许OPC客户及服务器程序通过，或直接停止防火墙服务。

     对于启用了操作系统（XP SP2、Server 2003等）自带防火墙的情况，可按OPC基金会提供的文档《Using OPC via DCOM with XP SP2》中描述的进行配置，或直接关闭防火墙。

     注意：客户、服务器计算机都要配置。

安全策略：（XP、Server 2003等）

     “控制面板 -> 管理工具 -> 本地安全策略 -> 本地策略 -> 安全选项”中，

    “网络访问:本地帐户的共享和安全模式”项设置为：

     “经典 － 本地用户以自己的身份验证”

（5）    其它注意事项

连不通时首先检查网络是否正常；（比如在关闭了防火墙的情况下ping服务器计算机）

用户密码不要设置为空；

【注】 还有其它一些特殊情况，本文未提及，比如服务器为NT服务，服务器为进程内组件等，以后会陆续补充。

MatrikonOPC Tunneller解决了在DCOM 基础之上使用OPC遇到的六个主要问题：

1. 跨域和工作组

身份认证使跨域或跨工作组的DCOM连接变得极其困难甚至有时不可为。通过OPC Tunneller就可突破这一限制。基本上, 只要您能够对计算机进行连通性检测命令（ping）, 就能够用Tunneller访问不同的域或工作组。

2. 穿越防火墙的DCOM 和 OPC

DCOM使用了众多的端口, 这样一来要配置防火墙就几乎不可能。更不用说, DCOM已成为Blaster等病毒和蠕虫病毒的主要攻击对象。OPC Tunneller可以让我们在拥有OPC优势的同时让防火墙继继续提供保护作用, 从而最大限度地抵御病毒和蠕虫病毒的攻击。

3. DCOM需要大量带宽

DCOM在低延时和高带宽的环境里工作效率最高, 比较典型的就是办公室的LAN连接。这一点在通过卫星、调制解调器、 无线电和其它带宽受限的通讯中就会造成极大的限制。MatrikonOPC Tunneller的特征之一就是无数据丢失的压缩, 这样可以减少对网络的负荷, 同时在按流量付费的通讯中可以节省费用。

4. 超时和断开

您在为超时（timeout）而感到苦恼吗？您需要比DCOM中无法改变的6分钟超时设置更短的恢复时间吗？MatrikonOPC Tunneller 具备可以调试的超时设置, 能够与您的网络达到最佳配合, 在转瞬之间重新连接到OPC服务器。

5. 数据私密性

OPC Tunneller现在具备了数据流加密技术。“中间人”之类的攻击现在可以被挫败了, 因为Tunneller保证如果没有密匙就不能读取OPC 数据。加密可以选择64、96、或 128字节的AES。OPC Tunneller也可以被设置仅于您所定义的IP地址进行客户端连接。

6. 轻松配置

根据不同的系统, 调试DCOM使其正常通讯可能需要好几天的时间。 而OPC Tunneller轻松将此过程减少到几分钟的时间。

·  将Matrikon OPC Tunneller安装在OPC客户端和OPC服务器节点（所在计算机）上。

·  在客户端节点, 定义一个将要连接的IP地址和计算机名称。

·  开始通讯！