Современные технологии автоматизации» («СТА») —  журнал для квалифицированных специалистов по промышленной автоматизации Форум СТА — современные технологии автоматизации Домашняя страница
Домашняя страница форума CTA Домашняя страница форума CTA > II. АСУТП и SCADA > Программное обеспечение
  Активные темы Активные темы
  FAQ FAQ  Искать в форуме   Зарегистрироваться Зарегистрироваться  Вход в систему Вход в систему

OPC и DCOM - настройки сделал, но не работает!

 Ответить Ответить Страница  <123
Автор
Сообщение
killy Смотреть выпадающим
Новичок
Новичок


Присоединился: 17 Февраль 2009
Категория: Russian Federation
Online Status: Offline
Публикации: 13
Свойства публикации Свойства публикации   Ответить, цитируя автора - killy Ответить, цитируя автора -  ОтветитьОтвет Прямая ссылка на эту публикацию Тема сообщения: OPC и DCOM - настройки сделал, но не работает!
    Опубликовано: 19 Февраль 2009 12:04

Dismay, cпасибо большое за DCOM_Help, полезная информация для общего представления механизма работы. Вот только не понял что значит "Разрешить/запретить запуск OPC сервера по DCOM" где выставляется данная натройка, на вкладке расположение?

Изменил уровень авторизации на Connect, но ничего не изменилось.

Никогда не занимался администрированием поэтому даже не знаю где копать. К примеру выдержка из статьи по WS2003SP1: "Изменения внесены в модель DCOM для снижения риска сетевой атаки. DCOM разрешает удаленное исполнение объектов COM. Пакет Windows 2003 SP1 ужесточает процесс идентификации, необходимый модели DCOM для активации объектов COM, позволяя отклонять входящие вызовы протокола DCOM." И что с этим делать?

Никак не пойму (потому что не представляю как это работает) почему при выборе запускающего проходит авторизация, а при выборе текщего - нет, инициирующий пользователь один и тот же, с правами админа? В чем принципальная разница авторизации первого и второго варианта?

Наверх
Dismay Смотреть выпадающим
Действительный член
Действительный член
Аватар

Присоединился: 01 Июнь 2006
Категория: Russian Federation
Online Status: Offline
Публикации: 464
Свойства публикации Свойства публикации   Ответить, цитируя автора - Dismay Ответить, цитируя автора -  ОтветитьОтвет Прямая ссылка на эту публикацию Опубликовано: 19 Февраль 2009 17:23
Первоначально опубликовано killy

Вот только не понял что значит "Разрешить/запретить запуск OPC сервера по DCOM" где выставляется данная натройка, на вкладке расположение?

Смотим дерево утилиты Dcomcnfg, Мой компьютер->Настройка DCOM->Ваш OPC сервер по имени

открываем свойства и смотрим настройки вкладки безопасность, здесь определено три уровня безопасности;

1. Запуск

2. Доступ

3. Настройка

Задаем необходимые разрешения

Первоначально опубликовано killy

Изменил уровень авторизации на Connect, но ничего не изменилось.

Никогда не занимался администрированием поэтому даже не знаю где копать. К примеру выдержка из статьи по WS2003SP1: "Изменения внесены в модель DCOM для снижения риска сетевой атаки. DCOM разрешает удаленное исполнение объектов COM. Пакет Windows 2003 SP1 ужесточает процесс идентификации, необходимый модели DCOM для активации объектов COM, позволяя отклонять входящие вызовы протокола DCOM." И что с этим делать?

Сорри тут сложно помочь, просто надо смотреть все, во всяком случае у меня нет простых полезных рекомендаций

Первоначально опубликовано killy

Никак не пойму (потому что не представляю как это работает) почему при выборе запускающего проходит авторизация, а при выборе текщего - нет, инициирующий пользователь один и тот же, с правами админа? В чем принципальная разница авторизации первого и второго варианта?

При выборе запускающего пользователя ИМХО открываеться независимая сессия для вызывающего пользователя, в случае интерактивного (текущего пользователя) процесс должен быть запущен в сесси пользователя нулевой консоли и это требует каких то дополнительных разрешений, которые по умолчанию заданы на WinXP и запрещены на сервере ИМХО так, к сожалению тут у меня только предположения...

Наверх
killy Смотреть выпадающим
Новичок
Новичок


Присоединился: 17 Февраль 2009
Категория: Russian Federation
Online Status: Offline
Публикации: 13
Свойства публикации Свойства публикации   Ответить, цитируя автора - killy Ответить, цитируя автора -  ОтветитьОтвет Прямая ссылка на эту публикацию Опубликовано: 24 Февраль 2009 13:58
Dismay, спасибо за советы. Правильно ли я понимаю, что все настройки, которые могут ограничивать доступ находятся в локальных политиках безопасности? Я сравнил настройки локальных политик безопасности на двух WS2003 (на одном из них обмен данными по DCOM работает), принципиальных отличий не нашел. Где еще может быть загвоздка в безопасности?
Наверх
Dismay Смотреть выпадающим
Действительный член
Действительный член
Аватар

Присоединился: 01 Июнь 2006
Категория: Russian Federation
Online Status: Offline
Публикации: 464
Свойства публикации Свойства публикации   Ответить, цитируя автора - Dismay Ответить, цитируя автора -  ОтветитьОтвет Прямая ссылка на эту публикацию Опубликовано: 24 Февраль 2009 17:52

Первоначально опубликовано killy

Dismay, спасибо за советы. Правильно ли я понимаю, что все настройки, которые могут ограничивать доступ находятся в локальных политиках безопасности? Я сравнил настройки локальных политик безопасности на двух WS2003 (на одном из них обмен данными по DCOM работает), принципиальных отличий не нашел. Где еще может быть загвоздка в безопасности?

В основном настройки производятся с помощью утилиты “dcomcnfg” которая редактирует ветку реестра “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole”  содержащую настройки для безопасности DCOM общие для всей системы. Данный раздел не является политиками. Так же данная утилита позволяет производит индивидуальную настройку приложений DCOM. Так же не является политиками.

Индивидуальные и общие настройки могут быть перетоптаны политиками заданными редактором локальных групповых политик. Тут проблема в полноте шаблонов политик. С каждым сервиспаком количество возможностей редактора политик растет. Вообще я думаю, что настройки любого приложения можно определить как через его ветку в реестре, так и через политики.

Локальные политики могут быть перетоптаны доменными политиками безопасности, если машина является членом домена

К сожалению многие вещи оказываются за бортом возможностей приведенных средств, что приводит к необходимости ковыряться в реестре руками…

 

Наверх
Dismay Смотреть выпадающим
Действительный член
Действительный член
Аватар

Присоединился: 01 Июнь 2006
Категория: Russian Federation
Online Status: Offline
Публикации: 464
Свойства публикации Свойства публикации   Ответить, цитируя автора - Dismay Ответить, цитируя автора -  ОтветитьОтвет Прямая ссылка на эту публикацию Опубликовано: 18 Апрель 2009 05:29
Первоначально опубликовано Lectus

Первоначально опубликовано Dismay

Посмотрел ваши рекомендации по ссылке, круто


Разрешить "Локальный доступ" ("Local Access"), "Удаленный доступ" ("Remote Access") для пользователей: "Анонимный вход" ("Anonymous Logon"), "Все" ("Everyone"), "Интерактивные" ("Interactive"), "Сеть" ("Network") и "System":



Страна не пуганых... как там дальше было в гении то? Руби Баха даешь металл Евривана в админы


 



В настройках локальной безопасности указано:
"Имейте в виду, что эти настройки могут снизить безопасность вашей системы - обратитесь к сетевому администратору, если у вас есть какие-либо проблемы".

Столкнулся с ситуацией, когда необходимо получить данные с удаленного OPC сервера под управлением Windows XP SP1, на клиента под управлением Windows XP SP2. Доступ возможен только при снятии ограничения на удаленный доступ анонимному пользователю... (в конфигурции клиента) В противном случае работа в асинхронном режиме невозможна, не проходит обратный вызов с сервера OPC
Наверх
Dismay Смотреть выпадающим
Действительный член
Действительный член
Аватар

Присоединился: 01 Июнь 2006
Категория: Russian Federation
Online Status: Offline
Публикации: 464
Свойства публикации Свойства публикации   Ответить, цитируя автора - Dismay Ответить, цитируя автора -  ОтветитьОтвет Прямая ссылка на эту публикацию Опубликовано: 30 Июль 2009 04:40
Столкнулся с интересной проблемой. Две машины взаимодействовали по OPC причем сервер был в домене и имел две сетевых карты (Windows 2003 Server SP1). Клиент Windows 2000 в рабочей группе в одной из физических подсетей. NetBIOS включен, машины видят друг друга по именам, однако обмен падал каждые 40-50 минут, когда происходило обновление таблицы имен мастербраузера подсети домена. Выяснилось, что на клиенте остановлена служба «Обозревателя компьютеров» которая необходима для поддержания имени машины в таблице участников сети мастербраузера. Так что обращайте внимание на работу этой службы тоже…
Наверх
Dismay Смотреть выпадающим
Действительный член
Действительный член
Аватар

Присоединился: 01 Июнь 2006
Категория: Russian Federation
Online Status: Offline
Публикации: 464
Свойства публикации Свойства публикации   Ответить, цитируя автора - Dismay Ответить, цитируя автора -  ОтветитьОтвет Прямая ссылка на эту публикацию Опубликовано: 07 Сентябрь 2009 17:00
Возникла забавная задачка. Необходимо было запустить приложение OPC-клиент не являющийся интерактивным приложением и транслирующим данные на верхний уровень. Консоль хоста достаточно активно используется и посему существует вероятность закрытия апликухи непричастным пользователем. Рассмотрел все варианты и запустил как сервис, причем в этот раз решил разобраться с вариантом от мелкомягких. Вот конспект новой главы моей справочки, может кому нибудь пригодится   
Сервис (служба) – приложение контролируемое системой посредством механизма позволяющего запускать процессы, не увязываемые с интерактивным пользователем. Windows-сервисы состоят из трех компонентов:

сервисного приложения (service application),
программы управления сервисом (service control program, SCP),
диспетчера управления сервисами (service control manager, SCM).

Сервисные приложения представляют собой Windows-программы (GUI или консольные) с дополнительным кодом для обработки команд от SCM и возврата ему статусной информации (реализуют интерфейс iService).

Microsoft в составе Resource Kit для Windows предлагает набор программ, позволяющий выполнить любое приложение как сервис. SrvAny – позволяет выполнить любое приложение как сервис, она считывает путь файла, который должен быть загружен из раздела реестра Parametrs пользовательского сервиса. При запуске SrvAny уведомляет SCM о том, что она предоставляет определенный сервис. Получив от SCM команду SrvAny запускает пользовательское приложение как дочерний процесс, последний получает копию маркера доступа процесса SrvAny и ссылку на тот же объект WindowsStation. Таким образом, сервис выполняется с параметрами защиты и настройками, указанными вами при конфигурировании пользовательского сервиса. Для регистрации пользовательского сервиса используется консольная утилита InstSrv.exe.

Для создания определяемой пользователем службы Windows NT выполните следующие действия:

1. В командной строке (выполняется CMD.EXE) введите следующую команду:

Путь\INSTSRV.EXE Моя_служба путь\SRVANY.EXE, где путь указывает букву диска и каталог набора Windows NT Resource Kit (например, C:\RESKIT), а Моя_служба — имя создаваемой службы.

Пример:
C:\Program Files\Resource Kit\Instsrv.exe Notepad C:\Program Files\Resource Kit\Srvany.exe

ПРИМЕЧАНИЕ. Для проверки правильности создания службы убедитесь, что параметр ImagePath в разделе
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\имя_службы указывает на SrvAny.exe. Если этот параметр установлен неправильно, служба прекращает работу вскоре после запуска и возвращает код события 7000 — «Не удается запустить имя_службы».
2. Запустите редактор реестра (Regedt32.exe) и найдите следующий подраздел:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<My Service>

3. В меню «Правка» выберите «Добавить раздел». Введите следующие данные и нажмите кнопку «ОК»:
Название раздела: «Parameters»

4. Выберите раздел «Parameters».

5. В меню «Правка» выберите «Добавить параметр». Введите следующие данные и нажмите кнопку «ОК».

Имя параметра: «Application»
Тип данных: REG_SZ
Строка: <путь>\<application.exe> где <путь>\<имя_приложения_с_расширением> — это буква диска и полный путь к исполняемому файлу приложения,  включая расширение (например C:\WinNT\Notepad.exe)

6. Закройте редактор реестра.

7. Определите параметры запуска службы и необходимые зависимости.

 

Для определения зависимостей службы необходимо:

1. Запустите редактор реестра (Regedt32.exe) и найдите следующий подраздел:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<My Service>
Имя параметра: DependONService
Тип данных:    REG_MULTI_SZ

2. Перечислить службы из раздела:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

ожидание запуска которых требуется.

ПРИМЕР:
RPCSS
Browser

Для задания текста описания службы необходимо:

1. Запустите редактор реестра (Regedt32.exe) и найдите следующий подраздел:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<My Service>

Имя параметра: Description
Тип данных:    REG_SZ

Задать текст описания службы.
Наверх
 Ответить Ответить Страница  <123

Переход на форум Права доступа на форуме Смотреть выпадающим

Bulletin Board Software by Web Wiz Forums® version 9.64
Powered by Web Wiz Forums Free Express Edition
Copyright ©2001-2009 Web Wiz