Remote OPC или танцы с бубном

Немного позабавившись с этой возможностью я пришел к следующим выводам:

Необходимо снимать ограничения на запуск и активацию для пользователей
SYSTEM
Администраторы
Интерактивные
Лучше везде использовать тип запуска указанный пользователь
Вероятно пользователю необходимо право входа как службе.

Далее по логике вещей можно предположить, что при таком запуске нет необходимости иметь файлы сервера на клиенте. По всей вероятности необходимы только рунтаймы OPC.
Исходя из этих соображений я предпринял попытку переноса прокси на другой удаленный хост, на котором имелась подсистема OPC (установлен Genesis32) но нет OPC сервера CoDeSys.
Были перенесены следующие разделы реестра:

Запись об OPC сервере


Записи о классе и его расположении





Затем был переопределен запускающий пользователь (пользователь и пароль переносятся но не работают пока не продублируешь на локального пользователя с корректным SID)

В итоге вуаля мы имеем рабочий локальный OPC сервер для клиентов а по факту инстанцируем удаленный OPC

Продолжаю систематизировать информацию по DCOM в целом и OPC в частности. Буду обновлять ссылку в этом топике.

DCOM Help ver 1.0.0 от 24.01.2009

DCOM_Help.rar

Клиент в домене, следовательно, для обмена следует использовать локального пользователя без вариантов.

Раз клиент подключается к OPC и настраивает его (создает группу и подписывается на тэги) проблем с безопасностью на сервере нет, однако при попытке авторизоваться на клиенте при обратном вызове сервер получает отказ в доступе, следовательно, необходимо смотреть настройки безопасности клиента.

1. Соответствует ли пароль пользователя политике домена. Просмотреть результирующую политику хоста.
2. Модель доступа обычная пользователи удостоверяются, как они есть
3. Лучше использовать одного локального пользователя с одинаковым паролем, тем не менее клиент может искать пользователя в домне и это может стать камнем преткновения, в этом случае можно создать одноименного доменного пользователя с одинаковым паролем, но на третьем паке я этого не проверял к сожалению.
4. Пользователь должен быть администратором на хосте клиента
5. DCOM на клиенте должен быть так же включен и настроен (настройки по умолчанию и ограничения доступа)

Дать права на запуск и активацию пользователям:

SYSTEM

АДМИНИСТРАТОРЫ

ИНТКРАКТИВНЫЕ

ВСЕ

СЛУЖБА

6. Оба хоста должны видеть друг друга по кроткому имени в противном случае сервер должен знать суффикс домена клиента. (Настройки NetBIOS Name)
7. На начальном этапе настройки необходимо отключить брандмауэр Windows (в последствии его можно настроить при необходимости)
8. Необходимо убедится, что не слетели права на директорию “C:\WINDOWS\Registration” Все – на чтение SYSTEM и Администраторы – полный доступ.

Думаю для начала этого хватит…

Планирую до конца месяца выложить на ваш суд новое издание своей справки 

Можно попробовать следующее:

На обоих хостах создать пользователя с правами администратора

На стороне сервера создать сетевой пароль для хоста клиента с указанием домена клиента (имеется в виду не домена в который входит клиентская машина а локальная база безопасности) Имя машины\Имя пользователя. После сохранения сетевого пароля лучше всего перезагрузить обе машины, если не уверены что нет открытых сессий. Далее запустите на сервере оснастку консоль mmc и добавьте в нее оснастку управления компьютером, выберите компьютер клиента, если оснастка подключится и покажет пользователей и группы то обратный вызов должен проходить. Обмен реализуйте под этим  локальным пользователем. Также на сервере можно попробовать уровень олицетворения “олицетворение” а не идентификация, при этом сервер будет делать обратный вызов с параметрами обратившегося клиента, этот уровень используется при запуске сервера с системной учетной записью.

Вот подробно из первоиточника

http://support.microsoft.com/kb/306541/ru

http://support.microsoft.com/kb/281660/RU/