DCOM Einstellungen für Remote Server

Soll ein Server als Remote Server gestartet werden, so ist durch korrekte Konfiguration der DCOM Einstellungen sicherzustellen, dass einerseits der Client auf den Server zugreifen, andererseits der Server auch über Callbacks den Client erreichen und Daten schicken kann.

Folgende Schritte müssen am PC auf dem der OPC-Server läuft zum Herstellen der DCOM-Kommunikation durchgeführt werden:

  • Allgemeine (Systemweite) DCOM-Einstellungen

  • Serverspezifische DCOM-Einstellungen

  • User Account (optional, nur bei Verwendung von Arbeitsgruppen)

  • Deaktivieren der Windows-Firewall

VORSICHT: DCOM war für die Nutzung in Netzwerken vorgesehen, in denen alle Rechner der gleichen Domäne angehören und keine Firewall aktiv ist. Die Konfiguration von DCOM wird in aktuellen Netzwerken daher zunehmend komplexer und entspricht nicht den immer höher werdenden Sicherheitsanforderungen. Auch die in diesem Kapitel beschriebenen Einstellungen wirken sich negativ auf die Sicherheit eines Netzwerks aus. Um die Sicherheit Ihres Netzwerks nicht zu gefährden, empfehlen wir daher auf dem Rechner auf dem der OPC-Server läuft eine Minimalinstallation von WinCC OA durchzuführen und den OPC-Treiber als abgesetzten WinCC OA -Treiber zu betreiben.

DCOM-Konfiguration

Um OPC über DCOM zu verwenden, müssen die DCOM-Einstellungen korrekt vorgenommen werden. Hierbei ist es möglich, DCOM sowohl systemweit als auch serverspezifisch zu konfigurieren.

Anmerkung: Systemweite DCOM-Einstellungen wirken sich auf alle Windows-Programme aus die DCOM verwenden.

Systemweite DCOM-Einstellungen

Öffnen Sie das Fenster Component Services ("Windowstaste + R" > Eingabe von "dcomcnfg" > OK).

Gehen Sie in der Baumansicht auf Console Root > Component Services > Computers, klicken Sie mit der rechten Maustaste auf My Computer und wählen Sie im Kontextmenü den Eintrag Properties.

Default Properties

Wechseln Sie auf den Reiter Default Properties und nehmen Sie folgende Einstellungen vor:

  • Auswählen von Enable Distributed COM on this computer

  • Setzen von Default Authentication Level auf Connect

  • Setzen vonDefault Impersonation Level auf Identify

COM Security

Wechseln Sie auf den Reiter COM Security.

Access Permissions

Klicken Sie im Bereich Access Permissions auf die Edit Default-Schaltfläche und nehmen Sie folgende Einstellungen vor.

  • Hinzufügen der Benutzer Anonymous, Everyone, Interactive, NetworkundSystem

  • Setzen Sie für alle oben angeführten Benutzernamen bei Local und Remote Access die Option Allow.

Launch and Activation Permission

Klicken Sie im Bereich Launch and Activation Permission auf die Edit Default-Schaltfläche und nehmen Sie folgende Einstellungen vor.

  • Hinzufügen der Benutzer Anonymous, Everyone, Interactive, Network und System

  • Setzen Sie für alle oben angeführten Benutzernamen bei Local und Remote Launch bzw. Local und Remote Activation die Option Allow.

Serverspezifische DCOM Einstellungen

Nachdem die allgemeinen DCOM-Einstellungen vorgenommen wurden, werden die serverspezifischen DCOM-Einstellungen konfiguriert.

Component Services - DCOM Config

Klicken Sie hierfür in der Baumansicht unter Console Root > Component Services > Computers > My Computer den Ordner DCOM Config an und suchen Sie den entsprechenden OPC Server.

Klicken Sie mit der rechten Maustaste auf den gewünschten OPC Server und wählen Sie im Kontextmenü den Eintrag Properties.

General Tab

Wählen Sie in der Auswahlliste bei Authentication Level den Eintrag Connect.

Security Tab

Wechseln Sie auf den Security-Reiter.

Wählen Sie in den Bereichen Launch and Activation Permissions sowie Access Permissions jeweils die Option Customize.

Launch and Activation Permission

  • Hinzufügen der Benutzer Anonymous, Everyone, Interactive, Network und System

  • Setzen Sie für alle oben angeführten Benutzernamen bei Local und Remote Launch bzw. Activation die Option Allow.

Access Permission

  • Hinzufügen der Benutzer Anonymous, Everyone, Interactive, Network und System

  • Setzen Sie für alle oben angeführten Benutzernamen bei Local und Remote Launch bzw. Activation die Option Allow.

Endpoints Tab

Wechseln Sie auf den Endpoints-Reiter. Wenn der Eintrag Connection-oriented TCP/IP nicht im Feld DCOM Protocols and endpoints aufscheint, dann fügen Sie diesen hinzu.

Klicken Sie hierzu auf Add, wählen Sie Connection-oriented TCP/IP in der Auswahlliste und wählen Sie die Checkbox Use default endpoints an.

Identity

Wechseln Sie auf den Identity-Reiter und wählen Sie die Option This user. Tragen Sie den entsprechenden Benutzernamen inklusive Passwort ein.

Anmerkung: Durch die Definition eines bestimmten Users, unter dem der Server laufen soll, kann der WinCC OA OPC Server nicht mehr über die Konsole gestartet werden. In diesem Fall ist es erforderlich, dass der Client den Server startet. Um den Client aus der Konsole zu starten, muss die Option "interactive user" gesetzt werden.

Local Security Policy

Um zwischen zwei Computern eine DCOM-Verbindung herstellen zu können, müssen beide Computer Zugriffsberechtigungen aufeinander haben. Werden die Computer in einer gemeinsamen Domäne betrieben, werden Benutzerdaten automatisch synchronisiert und die in diesem Abschnitt beschriebenen Schritte sind nicht notwendig. Beim Verwenden von Arbeitsgruppen müssen folgende Einstellungen vorgenommen werden:

Anmerkung: Die hier beschriebene Konfiguration kann sich negativ auf die Sicherheit des Netzwerks auswirken.

Local Security Policy

Öffnen Sie das folgende Fenster (Start > Control Panel > Administrative Tools > Local Security Policy).

Security Options - DCOM: Machine Access Restrictions

Gehen Sie in der Baumansicht auf Security Settings > Local Policies > Security Options, klicken Sie mit der rechten Maustaste auf den Eintrag DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax und wählen Sie im Kontextmenü den Eintrag Properties.

Klicken Sie auf die Edit Security-Schaltfläche.

  • Wenn nicht vorhanden, fügen Sie die Benutzer Anonymous, Everyone, Interactive, Network und System hinzu

  • Setzen Sie für alle oben angeführten Benutzernamen bei Local und Remote Access die Option Allow.

Security Options - DCOM: Machine Launch Restrictions

Klicken Sie in der Auflistung der Security Settings mit der rechten Maustaste auf DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax und wählen Sie im Kontextmenü den Eintrag Properties.

Klicken Sie auf die Edit Security-Schaltfläche.

  • Wenn nicht vorhanden fügen Sie die Benutzer Anonymous, Everyone, Interactive, Network und System hinzu

  • Setzen Sie für alle oben angeführten Benutzernamen bei Local und Remote Launch bzw. Local und Remote Activation die Option Allow.

Security Options - Network access: Let Everyone permissions apply to anonymous users

Klicken Sie mit der rechten Maustaste auf den Eintrag Network access: Let Everyone permissions apply to anonymous users und wählen Sie im Kontextmenü den Eintrag Properties. Wählen Sie im Properties-Fenster die Option Enabled.

User Rights Assignment

Wechseln Sie in der Baumansicht auf Security Settings > Local Policies > User Rights Assignment, klicken Sie mit der rechten Maustaste auf den Eintrag Access this computer from network und wählen Sie im Kontextmenü den Eintrag Properties.

Wenn nicht bereits vorhanden, fügen Sie die Benutzer Everyone und Users hinzu.

Firewall

Durch die Windows Firewall wird die DCOM-Kommunikation verhindert. Gehen Sie auf Start > Control Panel > Windwos Firewall und klicken Sie auf Turn Windows Firewall on or off und deaktivieren Sie die Windows Firewall.

Anmerkung:

Wenn der folgende Fehler auftritt, müssen Sie die Firewall auch auf dem Client deaktivieren:

WCCOAopc2:Could not connect shutdown interface!: The RPC server is unavailable
WCCOAopc2: (0x800706ba