|
|
OPC и DCOM - настройки сделал, но не работает! |
|
Dismay, cпасибо большое за DCOM_Help, полезная информация для общего представления механизма работы. Вот только не понял что значит "Разрешить/запретить запуск OPC сервера по DCOM" где выставляется данная натройка, на вкладке расположение? Изменил уровень авторизации на Connect, но ничего не изменилось. Никогда не занимался администрированием поэтому даже не знаю где копать. К примеру выдержка из статьи по WS2003SP1: "Изменения внесены в модель DCOM для снижения риска сетевой атаки. DCOM разрешает удаленное исполнение объектов COM. Пакет Windows 2003 SP1 ужесточает процесс идентификации, необходимый модели DCOM для активации объектов COM, позволяя отклонять входящие вызовы протокола DCOM." И что с этим делать? Никак не пойму (потому что не представляю как это работает) почему при выборе запускающего проходит авторизация, а при выборе текщего - нет, инициирующий пользователь один и тот же, с правами админа? В чем принципальная разница авторизации первого и второго варианта? |
|||
 |
|||
Смотим дерево утилиты Dcomcnfg, Мой компьютер->Настройка DCOM->Ваш OPC сервер по имени открываем свойства и смотрим настройки вкладки безопасность, здесь определено три уровня безопасности; 1. Запуск 2. Доступ 3. Настройка Задаем необходимые разрешения
Сорри тут сложно помочь, просто надо смотреть все, во всяком случае у меня нет простых полезных рекомендаций
При выборе запускающего пользователя ИМХО открываеться независимая сессия для вызывающего пользователя, в случае интерактивного (текущего пользователя) процесс должен быть запущен в сесси пользователя нулевой консоли и это требует каких то дополнительных разрешений, которые по умолчанию заданы на WinXP и запрещены на сервере ИМХО так, к сожалению тут у меня только предположения... |
|||
|
|||
|
Dismay, спасибо за советы. Правильно ли я понимаю, что все настройки, которые могут ограничивать доступ находятся в локальных политиках безопасности? Я сравнил настройки локальных политик безопасности на двух WS2003 (на одном из них обмен данными по DCOM работает), принципиальных отличий не нашел. Где еще может быть загвоздка в безопасности?
|
|||
|
|||
|
В основном настройки производятся с помощью утилиты “dcomcnfg” которая редактирует ветку реестра “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole” содержащую настройки для безопасности DCOM общие для всей системы. Данный раздел не является политиками. Так же данная утилита позволяет производит индивидуальную настройку приложений DCOM. Так же не является политиками. Индивидуальные и общие настройки могут быть перетоптаны политиками заданными редактором локальных групповых политик. Тут проблема в полноте шаблонов политик. С каждым сервиспаком количество возможностей редактора политик растет. Вообще я думаю, что настройки любого приложения можно определить как через его ветку в реестре, так и через политики. Локальные политики могут быть перетоптаны доменными политиками безопасности, если машина является членом домена К сожалению многие вещи оказываются за бортом возможностей приведенных средств, что приводит к необходимости ковыряться в реестре руками…
|
|||
|
|||
Столкнулся с ситуацией, когда необходимо получить данные с удаленного OPC сервера под управлением Windows XP SP1, на клиента под управлением Windows XP SP2. Доступ возможен только при снятии ограничения на удаленный доступ анонимному пользователю...  (в конфигурции клиента) В противном случае работа в асинхронном режиме невозможна, не проходит обратный вызов с сервера OPC
|
|||
|
|||
|
Столкнулся с интересной проблемой. Две машины взаимодействовали по OPC причем сервер был в домене и имел две сетевых карты (Windows 2003 Server SP1). Клиент Windows 2000 в рабочей группе в одной из физических подсетей. NetBIOS включен, машины видят друг друга по именам, однако обмен падал каждые 40-50 минут, когда происходило обновление таблицы имен мастербраузера подсети домена. Выяснилось, что на клиенте остановлена служба «Обозревателя компьютеров» которая необходима для поддержания имени машины в таблице участников сети мастербраузера. Так что обращайте внимание на работу этой службы тоже…
|
|||
|
|||
|
Возникла забавная задачка. Необходимо было запустить приложение OPC-клиент не являющийся интерактивным приложением и транслирующим данные на верхний уровень. Консоль хоста достаточно активно используется и посему существует вероятность закрытия апликухи непричастным пользователем. Рассмотрел все варианты и запустил как сервис, причем в этот раз решил разобраться с вариантом от мелкомягких. Вот конспект новой главы моей справочки, может кому нибудь пригодится
Сервис (служба) – приложение контролируемое системой посредством механизма позволяющего запускать процессы, не увязываемые с интерактивным пользователем. Windows-сервисы состоят из трех компонентов: сервисного приложения (service application), программы управления сервисом (service control program, SCP), диспетчера управления сервисами (service control manager, SCM). Сервисные приложения представляют собой Windows-программы (GUI или консольные) с дополнительным кодом для обработки команд от SCM и возврата ему статусной информации (реализуют интерфейс iService). Microsoft в составе Resource Kit для Windows предлагает набор программ, позволяющий выполнить любое приложение как сервис. SrvAny – позволяет выполнить любое приложение как сервис, она считывает путь файла, который должен быть загружен из раздела реестра Parametrs пользовательского сервиса. При запуске SrvAny уведомляет SCM о том, что она предоставляет определенный сервис. Получив от SCM команду SrvAny запускает пользовательское приложение как дочерний процесс, последний получает копию маркера доступа процесса SrvAny и ссылку на тот же объект WindowsStation. Таким образом, сервис выполняется с параметрами защиты и настройками, указанными вами при конфигурировании пользовательского сервиса. Для регистрации пользовательского сервиса используется консольная утилита InstSrv.exe. Для создания определяемой пользователем службы Windows NT выполните следующие действия: 1. В командной строке (выполняется CMD.EXE) введите следующую команду: Путь\INSTSRV.EXE Моя_служба путь\SRVANY.EXE, где путь указывает букву диска и каталог набора Windows NT Resource Kit (например, C:\RESKIT), а Моя_служба — имя создаваемой службы. Пример: C:\Program Files\Resource Kit\Instsrv.exe Notepad C:\Program Files\Resource Kit\Srvany.exe ПРИМЕЧАНИЕ. Для проверки правильности создания службы убедитесь, что параметр ImagePath в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\имя_службы указывает на SrvAny.exe. Если этот параметр установлен неправильно, служба прекращает работу вскоре после запуска и возвращает код события 7000 — «Не удается запустить имя_службы». 2. Запустите редактор реестра (Regedt32.exe) и найдите следующий подраздел: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<My Service> 3. В меню «Правка» выберите «Добавить раздел». Введите следующие данные и нажмите кнопку «ОК»: Название раздела: «Parameters» 4. Выберите раздел «Parameters». 5. В меню «Правка» выберите «Добавить параметр». Введите следующие данные и нажмите кнопку «ОК». Имя параметра: «Application» Тип данных: REG_SZ Строка: <путь>\<application.exe> где <путь>\<имя_приложения_с_расширением> — это буква диска и полный путь к исполняемому файлу приложения, включая расширение (например C:\WinNT\Notepad.exe) 6. Закройте редактор реестра. 7. Определите параметры запуска службы и необходимые зависимости. Для определения зависимостей службы необходимо: 1. Запустите редактор реестра (Regedt32.exe) и найдите следующий подраздел: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<My Service> Имя параметра: DependONService Тип данных: REG_MULTI_SZ 2. Перечислить службы из раздела: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ ожидание запуска которых требуется. ПРИМЕР: RPCSS Browser Для задания текста описания службы необходимо: 1. Запустите редактор реестра (Regedt32.exe) и найдите следующий подраздел: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<My Service> Имя параметра: Description Тип данных: REG_SZ Задать текст описания службы. 
|
|||
|
|||
Ответить 
|
Страница <123 |
| Переход на форум | Права доступа на форуме  Вы не можете публиковать новые темы в этом форуме Вы не можете отвечать на сообщения в этом форуме Вы не можете удалять Ваши сообщения на этом форуме Вы не можете редактировать Ваши сообщения на этом форуме Вы не можете создавать голосования на этом форуме Вы не можете выражать своё мнение в голосованиях на этом форуме |
