Содержание
- DCOM для ОС Windows 10
- Члены групп
- Настройки DCOM
- Настройки брандмауэра
- Настройка параметров DCOM. Dcomcnfg
- Настройка DCOM и OPC на Windows 2008 и Windows 7
- 4. Настройка параметров DCOM
- 4.1 Настройка параметров по умолчанию
- 4.2 Настройка параметров для OPC сервера
- 4.3 Настройка доступа к OPC серверам «Для всех»
- Настройка DCOM
- Настройка DCOM
- Настройка общих параметров DCOM
- 4.1.2 Настройка параметров DCOM для OPC-сервера
- DCOM для ОС Windows 10
- Члены групп
- Настройки DCOM
- Настройки брандмауэра
- Настройка параметров DCOM и Dcomcnfg на Windows 8, Windows Server 2012
- 4. Настройка параметров DCOM
- 4.1 Настройка параметров по умолчанию
- 4.2 Настройка параметров для OPC сервера
- 4.3 Настройка доступа к OPC серверам «Для всех»
Не удаётся получить данные от удалённого OPC-сервера. Подключение происходит, тэги отображаются корректно, но примитив с синим «!».
Члены групп
Убедитесь, что пользователь Dispatcher входит в группу Пользователи DCOM (англ.Distributed COM Users) и Опытные пользователи (англ.PowerUsers), а пользователь AdminScada входит в группу Администраторы.
Настройки DCOM
Откройте оснастку Службы компонентов как указано на рисунке 1.
Откройте вкладку «Безопасность COM «Служб компонентов» как указано на рисунке 2.
В разделах Права доступа и Разрешение на запуск и активацию нажмите Изменить умолчания и добавьте группу Пользователи DCOM как указано на рисунке 3

Примените изменения и нажмите кнопку OK.
Откройте свойства службы компонентов Tekon в разделе Настройка DCOM как показано на рисунке 4.
Выберите вкладку Безопасность и пункты Разрешение на запуск и активацию и Разрешение на изменение настроек рис.5.
Добавьте группу Пользователи DCOM с правами, как показано на Рис.6.

Примените изменения и нажмите кнопку OK.
Настройки брандмауэра
Убедитесь, что настройки правил Брандмауэра Windows включают в себя
Источник

4. Настройка параметров DCOM
Для корректной работы OPC серверов необходимо настроить сетевые параметры и параметры безопасности DCOM.
Настройка OpcEnum не требуется, поскольку данная служба автоматически настраивается при установке «OPC Core Components».
Пример настройки параметров приведен для тестового OPC сервера «Те st OPC Server». Настройка параметров DCOM выполняется с помощью служебной команды «dcomcnfg».
Для запуска «dcomcnfg» нажмите на клавиатуре Win+ R, чтобы открыть окно запуска программ из командной строки.
Рис. 20 Запуск службы компонентов
4.1 Настройка параметров по умолчанию
Рис. 22 Безопасность COM
Кликните по кнопке №1 (рис. 22). В появившемся диалоговом окне (рис.23):
Рис. 23 Настройка прав доступа
Повторите действия в диалоговом окне «Разрешение на запуск и активацию» (рис.24), которое появляется при клике на кнопке №2 «Изменить умолчания» (рис.22).
Рис. 24 Настройка разрешений на запуск
На закладке «Набор протоколов» (рис.25) удалите все протоколы, кроме TCP/ IP и нажмите «OK» для того чтобы сохранить изменения в диалоговом окне «Свойства: Мой компьютер».
Рис. 25 Настройка разрешений на запуск
4.2 Настройка параметров для OPC сервера
Рис. 26 Настройка DCOM для OPC сервера
Поскольку все параметры были настроены для всего компьютера, то необходимо убедиться, что OPC сервер использует параметры по умолчанию.
Рис. 27 Общие свойства OPC сервера
Рис. 28 Свойства безопасности
Рис. 29 Конечные узлы
Рис. 30 Удостоверение
На закладке «Удостоверение» необходимо указать имя пользователя, который был создан ранее, от имени которого будет запускаться OPC сервер.
Замечание 1. Перед изменением настроек OPC сервера необходимо убедиться, что он не запушен и отсутствует в списке активных процессов. Или перезапустить OPC сервер после изменения настроек.
Замечание 2. Для некоторых OPC серверов необходимо, чтобы они были запущены хотя бы один раз с правами администратора, для того чтобы зарегистрироваться в системе и инициализировать параметры OPC сервера. Только после такой инициализации они будут доступны для обнаружения через OpcEnum и подключения.
4.3 Настройка доступа к OPC серверам «Для всех»
Внимание! Разрешение доступа для всех может снизить уровень безопасности компьютера.
Иногда требуется разрешить доступ к OPC серверу для всех, включая анонимных пользователей. Например, когда компьютер с сервером не включен в домен, а к серверу будут подключаться множество клиентов.
Если вы хотите дать доступ к OPC серверу для всех, то необходимо настроить индивидуальные права доступа для выбранного OPC сервера.
Откройте настройки DCOM для OPC сервера, как показано в разделе 4.2 и модифицируйте их согласно рис.31 – рис.34. Остальные опции должны соответствовать параметрам, указанным в разделе 4.2.
Рис. 31 Общие свойства
Рис. 32 Свойства безопасности
Рис. 33 Разрешения на запуск и активацию
Рис. 34 Права доступа
Рис. 35 Свойства политики безопасности
Если после изменения политики безопасности, как показано на рис. 35, OPC клиенты не могут получать список OPC серверов и подключаться к ним, то необходимо настроить и сохранить дополнительные свойства политики безопасности (рис. 36-37).
Рис. 36 DCOM: ограничения на доступ
Рис. 37 DCOM: ограничения на запуск
Процесс добавление группы пользователь подробно показан в разделе 2.2.
Источник
Настройка DCOM
Для настройки прав доступа к DCOM-приложениям в операционных системах Windows XP, Windows Server 2003 и Windows Vista используется оснастка «Службы компонентов» (Component Services) консоли управления.
Оснастку можно вызвать:
Рисунок 4.15 Запуск утилиты dcomcnfg
Рисунок 4.16 Системные инструментальные средства «Службы компонентов»
После запуска оснастки «Службы компонентов» производится поиск COM-приложений, которые ещё не зарегистрированы в системе на данный момент, и предлагается зарегистрировать их. Обычно, следует разрешать регистрацию, за исключением случаев, когда иное не указано в документации на программное обеспечение.
После запуска появляется окно «Службы компонентов» (рисунок 4.17)
Рисунок 4.17 Оснастка «Службы компонентов»
После перехода к более низкому уровню безопасности следует перезапустить операционную систему, чтобы изменения вступили в силу.
Настройка общих параметров DCOM
Для установления связи с удаленными OPC-серверами сначала следует настроить общие параметры DCOM. Для этого:
Кнопка «Изменить ограничения…» может быть не доступна, если была изменена политика «DCOM: Ограничения компьютера на доступ в синтаксисе SDDL (Security Descriptor Definition Language)». В этом случае пропустите текущий шаг.
Эти настройки необходимы для функционирования утилиты поиска OPC-серверов (OPCEnum.exe) и некоторых OPC-серверов, для которых «Уровень проверки подлинности» («Authentication Level») установлен «Нет» («None»).
Этот шаг настройки необходимо выполнить как на компьютере, где установлен OPC-сервер, так и на компьютере, где установлен OPC-клиент. Остальные шаги выполняются на компьютере сервера.
Закладка «Свойства по умолчанию» (рисунок 4.22)
Значения по умолчанию:
- Установлена галочка «Разрешить использование DCOM на этом компьютере».
- § «Уровень проверки подлинности по умолчанию» – «Подключение».
- § «Уровень олицетворения по умолчанию» – «Идентификация».
- § Снята галочка «Повышенная безопасность для отслеживания ссылок».
Рисунок 4.22 — Свойства компьютера, закладка «Свойства по умолчанию»
Добавлены следующие протоколы DCOM:
- § «TCP/IP c ориентацией на подключения»
- § «SPX c ориентацией на подключения».
Значения по умолчанию:
- § Установлена галочка «Проверять локальное хранилище при выборе раздела».
- § «Время ожидания транзакции (с)»: 60.
При работе в компьютерной сети в случае возникновения обрывов, переполнения и других критических ситуациях при попытках восстановления связи DCOM-приложения используют время ожидания транзакции (Transaction timeout). Это время, в течение которого DCOM-приложение посылает запрос к источнику данных и ожидает восстановления связи. DCOM-приложение совершает до 6 таких попыток, прежде чем подаст сигнал об ошибке в сети.
По умолчанию этот интервал равен 60 секундам. Соответственно, максимальное время, за которое DCOM-приложение определит, что сеть неисправна – 60*6 = 360 секунд или 6 минут.
Однако это время не всегда может устроить Пользователей DCOM-приложения. Очевидно, что чем короче время ожидания транзакции, тем быстрее DCOM-приложение сможет сообщить Пользователю об ошибке в сети. Поэтому, если Пользователь DCOM-приложения хочет сократить время определения ошибки в сети, он может уменьшить время ожидания транзакции.
Времени ожидания транзакции настраивается на компьютере сервера.
При изменении времени ожидания транзакции следует понимать, что это коснется ВСЕХ DCOM-приложений, работающих на этом компьютере. Поэтому, если нет сильной необходимости изменить значение по умолчанию для этого пункта, то изменять его не рекомендуется.
4.1.2 Настройка параметров DCOM для OPC-сервера
Настройки, описанные в этом пункте, производятся на компьютере, где установлен OPC-сервер.
Для того чтобы настроить параметры DCOM для конкретного OPC-сервера, следует:
- 1) В оснастке «Службы компонентов» выберите раздел «Корень консоли/Службы компонентов/Компьютеры/Мой компьютер/Настройка DCOM» («Console Root/Component Services/Computers/My Computer/DCOM Config»)
- 2) Откройте контекстное меню нужного OPC-сервера (рисунок 4.25) и выберите пункт «Свойства» («Properties»)
- 3) В открывшемся окне «Свойства:…» перейдите на закладку «Безопасность» («Security»)
- 4) На панели «Разрешения на запуск и активацию» выберите «Настроить» и нажмите на кнопку «Изменить …». В открывшемся окне «Разрешение на запуск» (рисунок 4.26) нажмите кнопку «Добавить» и добавьте группу «Users OPC» (описание в разделе 4.1 «Создание и настройка учетных записей Пользователей»)
Для группы «Users OPC»поставьте галочки «Разрешить» для всех пунктов. Если Пользователи группы должны получить только удаленный доступ к OPC-серверу, поставьте галочки «Разрешить» только для пунктов «Удаленный запуск» и «Удаленная активация»
- 5) На панели «Права доступа» (закладка «Безопасность») выберите «Настроить» и нажмите на кнопку «Изменить …». В открывшемся окне «Разрешение на доступ» (рисунок 4.27) нажмите кнопку «Добавить» и добавьте группу «Users OPC» (описание в разделе 4.1 «Создание и настройка учетных записей Пользователей»)
Для этой группы («Users OPC») поставьте галочки «Разрешить» для всех вариантов доступа.
Если Пользователи группы должны получить только удаленный доступ к OPC-серверу, поставьте галочку «Разрешить» только для пункта «Удаленный доступ».
- 6) Для того, чтобы указать, под какой учетной записью будет запускаться OPC-сервер, перейдите на закладку «Удостоверение» (рисунок 4.28).
Выбор учетной записи для запуска данного приложения зависит от реализации данного OPC-сервера. Воспользуйтесь документацией к OPC-серверу, чтобы выбрать «запускающего» Пользователя.
Общие рекомендации по выбору Пользователя для запуска OPC-сервера приведены в таблице 4.1.
Источник
Не удаётся получить данные от удалённого OPC-сервера. Подключение происходит, тэги отображаются корректно, но примитив с синим «!».
Члены групп
Убедитесь, что пользователь Dispatcher входит в группу Пользователи DCOM (англ.Distributed COM Users) и Опытные пользователи (англ.PowerUsers), а пользователь AdminScada входит в группу Администраторы.
Настройки DCOM
Откройте оснастку Службы компонентов как указано на рисунке 1.
Откройте вкладку «Безопасность COM «Служб компонентов» как указано на рисунке 2.
В разделах Права доступа и Разрешение на запуск и активацию нажмите Изменить умолчания и добавьте группу Пользователи DCOM как указано на рисунке 3

Примените изменения и нажмите кнопку OK.
Откройте свойства службы компонентов Tekon в разделе Настройка DCOM как показано на рисунке 4.
Выберите вкладку Безопасность и пункты Разрешение на запуск и активацию и Разрешение на изменение настроек рис.5.
Добавьте группу Пользователи DCOM с правами, как показано на Рис.6.

Примените изменения и нажмите кнопку OK.
Настройки брандмауэра
Убедитесь, что настройки правил Брандмауэра Windows включают в себя
Источник

Для корректной работы OPC серверов необходимо настроить сетевые параметры и параметры безопасности DCOM.
Настройка OpcEnum не требуется, поскольку данная служба автоматически настраивается при установке «OPC Core Components».
Пример настройки параметров приведен для тестового OPC сервера «Теst OPC Server» (является 32-х битным приложением). Настройка параметров DCOM выполняется с помощью панели управления «Службы компонентов» Windows. В зависимости от разрядности операционной системы и приложения OPC сервера необходимо запускать соответствующую версию панели управления:
Для выполнения команды нажмите на клавиатуре Win + R, чтобы открыть окно запуска программ из командной строки.
Рис. 19.1 Запуск службы компонентов (вариант 1)
Рис. 20 Запуск службы компонентов (вариант 2)
4.1 Настройка параметров по умолчанию
Рис. 22 Безопасность COM
Кликните по кнопке №1 (рис. 22). В появившемся диалоговом окне (рис.23):
Рис. 23 Настройка прав доступа
Повторите действия в диалоговом окне «Разрешение на запуск и активацию» (рис.24), которое появляется при клике на кнопке №2 «Изменить умолчания» (рис.22).
Рис. 24 Настройка разрешений на запуск
На закладке «Набор протоколов» (рис.25) удалите все протоколы, кроме TCP/ IP и нажмите «OK» для того чтобы сохранить изменения в диалоговом окне «Свойства: Мой компьютер».
Рис. 25 Настройка разрешений на запуск
4.2 Настройка параметров для OPC сервера
Рис. 26 Настройка DCOM для OPC сервера
Поскольку все параметры были настроены для всего компьютера, то необходимо убедиться, что OPC сервер использует параметры по умолчанию.
Рис. 27 Общие свойства OPC сервера
Рис. 28 Свойства безопасности
Рис. 29 Конечные узлы
Рис. 30 Удостоверение
На закладке «Удостоверение» необходимо указать имя пользователя, который был создан ранее, от имени которого будет запускаться OPC сервер.
Замечание 1. Перед изменением настроек OPC сервера необходимо убедиться, что он не запушен и отсутствует в списке активных процессов. Или перезапустить OPC сервер после изменения настроек.
Замечание 2. Для некоторых OPC серверов необходимо, чтобы они были запущены хотя бы один раз с правами администратора, для того чтобы зарегистрироваться в системе и инициализировать параметры OPC сервера. Только после такой инициализации они будут доступны для обнаружения через OpcEnum и подключения.
4.3 Настройка доступа к OPC серверам «Для всех»
Внимание! Разрешение доступа для всех может снизить уровень безопасности компьютера.
Иногда требуется разрешить доступ к OPC серверу для всех, включая анонимных пользователей. Например, когда компьютер с сервером не включен в домен, а к серверу будут подключаться множество клиентов.
Если вы хотите дать доступ к OPC серверу для всех, то необходимо настроить индивидуальные права доступа для выбранного OPC сервера.
Откройте настройки DCOM для OPC сервера, как показано в разделе 4.2 и модифицируйте их согласно рис.31 – рис.34. Остальные опции должны соответствовать параметрам, указанным в разделе 4.2.
Рис. 31 Общие свойства
Рис. 32 Свойства безопасности
Рис. 33 Разрешения на запуск и активацию
Рис. 34 Права доступа
Рис. 35 Свойства политики безопасности
Если после изменения политики безопасности, как показано на рис. 35, OPC клиенты не могут получать список OPC серверов и подключаться к ним, то необходимо настроить и сохранить дополнительные свойства политики безопасности (рис. 36-37).
Рис. 36 DCOM: ограничения на доступ
Процесс добавление группы пользователь подробно показан в разделе 2.2.
Источник
Содержание
- 1 Введение
- 2 Настройка ПК с ОРС-сервером
- 2.1 Настройка DCOM на уровне компьютера
- 2.2 Настройка пользователей Server и Scada.
- 2.2.1 Пользователь Server
- 2.2.2 Пользователь Scada
- 2.3 Права DCOM компонентам OpcEnum и Tekon OPC Server
- 2.3.1 Настройка OpcEnum
- 2.3.2 Настройка Tekon OPC Server
- 2.4 Настройка брандмауэра Windows
- 2.5 Замечание относительно версий АСУД.SCADA до 2.8.0
- 3 Настройка ПК со Scada
- 3.1 Настройка пользователей и предоставление прав
- 3.2 Настройка Брандмауэра Windows
- 4 Регистрация Tekon ОРС-сервера в АСУД.SCADA
- 4.1 ASUD Scada и ОРС-сервер установлены на одном ПК
- 4.2 ASUD Scada и ОРС-сервер установлены на разных ПК
- 5 DCOM Access Assistant
- 6 DCOM ошибки и их решения
Введение
Данное руководство рекомендуется применять в случае, когда требуется организовать подключение программы АСУД.SCADA к Tekon ОРС-серверу, находящихся на разных ПК.
Статья подходит для ПК с операционной системой
- Windows 8 «Профессиональная» или «Корпоративная»
- Windows 10 «Профессиональная» или «Корпоративная»
Инструкция так же подходит для пульта АСУД-248-ПК с ОС
- Windows 8 Embedded,
- Windows 10 Embedded.
Инструкция может применяться ко всем версиям АСУД.SCADA
(при настройке подключения в АСУД.SCADA версий до 2.7.2 включительно, следует обратить внимание на замечание в разделе конфигурирования ОРС-сервера).
Внимание!
В настоящее время вы можете просто ознакомиться с инструкцией, для понимания того, что происходит в процессе настройки.
А всю настройку выполнить с помощью утилиты DCOM Access Assistant
Настройка ПК с ОРС-сервером
Настройка DCOM на уровне компьютера
- Нажимаем Win+R или «Пуск-меню — Выполнить».
- В строке пишем dcomcnfg и нажимаем «Enter».
- В открывшемся окне ищем вкладку «Службы компонентов — Компьютеры — Мой компьютер».
- Нажимаем правой кнопкой мыши на «Мой компьютер» и нажимаем «Свойства».
Далее нажимаем:
«Свойства по умолчанию». Выставляем, как показано на рисунке
«Безопасность COM».
В разделе «Разрешение на запуск и активацию» нажать «Изменить ограничения».
Добавить группу «Distrebuted COM Users» или «Пользователи DCOM». И дать ей полные права.
Далее нажать в этом же разделе «Изменить значения по умолчпнию» и проделать то же самое.
Настройка пользователей Server и Scada.
Пользователь Server
1. Открываем «Управление компьютером», Открываем вкладку «Служебные программы — Локальные пользователи и группы — Пользователи». Добавляем пользователя Server.
2. Галочки расставляем, как на рисунке. Пароль — 0000 (или свой).
3. Добавляем пользователя «Server» в группу «Администраторы». Остальные группы у пользователя удаляем.
4. Открываем «Панель управления — Администрирование — Локальная политика безопасности».
5. Открываем вкладку «Локальные политики — Назначение прав пользователя».
6. Добавляем пользователя Server в следующие политики : «Запретить локальный вход» и «Отказать в доступе к этому компьютеру из сети».
Пользователь Scada
- Открываем «Локальные пользователи и группы»
- Добавляем пользователя Scada, галочки и пароль — аналогично,как пользователю Server.
- Добавляем его в группу «Пользователи DCOM», отальные группы удаляем.
- В локальной политике безопасности запрещаем этому пользователю локальный вход.
Права DCOM компонентам OpcEnum и Tekon OPC Server
Настройка OpcEnum
- Открываем dcomcnfg.
- Открываем вкладку «Службы компонентов — Компьютеры — Мой компьютер — Настройка DCOM».
- В выпадающем списке, либо в окне с права ищем компонент «OpcEnum».
- Нажимаем на него правой кнопкой мыши и выбираем «Свойства».
- Во вкладке «Общие» параметр «Проверка подлинности» — выставляем » По умочанию».
- Во кладке «Безопасность» в разрешениях «на запуск и активацию» и «на доступ» выставляем «По умолчанию»
- Парамерт «на изменение настроек» не трогаем и нажимаем «ОК»
Настройка Tekon OPC Server
- Ищем в окне компонентов Tekon OPC Data Access Server (version 3.4)
- Наживаем правой кнопкой мыши — «Свойства»
- Во вкладке «Общие» параметр «Уровень проверки подлинности» выставляем «По умолчанию».
- Во кладке «Безопасность» в разрешениях «на запуск и активацию» и «на доступ» выставляем «По умочанию».
- Параметр «на изменение настроек» не трогаем и нажимаем «ОК».
- Открываем вкладку «Удостоверение» и указываем пользователя Server с его паролем на запуск приложения и нажимаем «ОК».
Настройка брандмауэра Windows
- Добавить правило во входящих подключениях для 135 ТСР порта.
- Добавить правило во входящих подключениях для приложения «%SystemRoot%SysWOW64OpcEnum.exe» (или «%SystemRoot%System32OpcEnum.exe» , если у Вас 32-х разрядная ОС) .
- Добавить правило во входящих подключениях для приложения «%SystemDrive%1TekonASUD ScadaOPC Serveropcsrv.exe».
- Добавить правило в исходящих подключениях для приложения «%SystemDrive%1TekonASUD ScadaOPC Serveropcsrv.exe».
- Здесь же включить два правила «Наблюдение за виртуальной машиной (эхо-запрос — ICMPv4 — входящий трафик)» и «Наблюдение за виртуальной машиной (DCOM — входящий трафик)».
Замечание относительно версий АСУД.SCADA до 2.8.0
При настройке АСУД Scada версии до версии 2.8.0, на ПК с OPC-сервером дополнительно к указанным действиям должен быть создан:
- пользователь, учетные данные которого (логин и пароль) совпадают с учетными данными пользователя запускающего АСУД Scada на ПК со SCADA
- пользователь, который был указан при регистрации подключения SCADA к ОРС-серверу.
Обычно, на Пультах-ПК — это пользователи:
- dispatcher
- adminscada.
Настройка ПК со Scada
Настройка пользователей и предоставление прав
- Создаем пользователя Server, задаем ему пароль и добавляем в группу Пользователи DCOM. Остальные группы у пользователя удаляем.
- В «Локальной политике безопасности» запрещаем пользователю Server локальный вход.
Настройка Брандмауэра Windows
- Добавить правило входящих подключений для 135 ТСР порта.
- Добавить правило исходящих подключений для приложения %SystemDrive%1TekonASUD ScadaSCADAscada.exe.
Регистрация Tekon ОРС-сервера в АСУД.SCADA
ASUD Scada и ОРС-сервер установлены на одном ПК
Если программа SCADA и орс-сервер уcтановлены на одном ПК, то можно не использвать дополнительные настройки DCOM.
При регистрации OPC-сервера в SCADA можно использовать текущего пользователя, как показано на ресунке:
ASUD Scada и ОРС-сервер установлены на разных ПК
Если конфигурация более сложная, например Scada и ОРС-сервер установлены на разных ПК, то рекомендуется настраивать ПК, как описано выше в пунктах 2 и 3.
При регистрации ОРС-сервера в SCADA следует использовать учетные данные пользователя scada, созданного на ПК с сервером:
DCOM Access Assistant
Внимание!
Использовать только в Windows 8/8.1/10/11
Данный мастер создает необходимых для работы системы Пользователей, а так же настраивает:
- Брандмауэр.
- Службы Компонентов DCOM.
- Локальную политику безопасности.
Скачать программу можно по ссылке.
Вы можете применять данную программу для конфигураций:
- локальная SCADA + OPC.Сервер, если есть проблемы в работе преднастроенной конфигурации.
- локальная SCADA + OPC.Сервер и удаленная SCADA, подключаемая к этому же ОРС.Серверу.
- удаленный OPC.Сервер + одна или несколько SCADA
- и т.д.
Утилита должна быть запущена последовательно на каждом из ПК. Перед запуском у вас уже должно быть установлено ПО АСУД.SCADA
После первого запуска утилита просканирует конфигурацию АСУД и оторазит текущую версию установленного программного обеспечения.
Далее следует выбрать тип настраиваемого ПО:
- если на ПК, где запущена утилита, есть проблемы с работой ОРС.Сервера и SCADA — выбираем обе программы
- если необходимо настроить только подключение удаленной SCADA — выбираем настройки только ОРС.Сервера
- и т.п.
Далее есть два варинта настройки:
- Лайт вариант — упрощенный, для наших ПК с пользователями adminscada, dispather
- Полноценный вариант — с выбор специального пользователя для подключения SCADA — ОРС.Сервер
(как описано в инструкции выше)
Замечание!
При настройке версий до 2.8.0 см. замечание указанное в статье выше.
В Лайт-варианте при настройке АСУД.SCADA версии до 2.8.0 на нашем ПК или Пульт-ПК, мастер необходимо просто запустить 2 раза, как указано на рисунке ниже:
- один раз для пользователя Adminscada
- второй — для пользователя Dispatcher.
Если вы хотите выполнить полноценную «безопасную» настройку подключения согласно инструкции (выше), следует выбирать пользователя server, scada c блокировкой локального входа для этих пользователей и отказом доступа по сети.
DCOM ошибки и их решения
В данном разделе описаны типовые ошибки, причины их возникновния и способы их решения.
| «Сервер RPC не доступен» |
|
| «Отказано в доступе» |
|
| «Класс не зарегистрирован» |
|
| «Интерфейс не зарегистрирован» |
|
| «Не опознанная ошибка» |
|
| «Не удалось зарегистрировать интерфейс обратных вызовов в точке подключения IID_IOPCShutdown», «Отказано в доступе» |
|
| «Не удалось зарегистрировать интерфейс обратных вызовов в точке подключения IID_IOPCShutdown», «Сбой при удалённом вызове процедуре» |
Проверьте :
|
| «Указанная служба не установена» |
|
| «Не удается найти указанный файл» |
|
Настройка DCOM для работы OPC серверов в Windows 7
В чем заключается настройка DCOM OPC? Для корректной работы OPC серверов по сети, необходимо настроить сетевые параметры и параметры безопасности DCOM.
Настройка DCOM для компьютера
Distributed Component Object Model (DCOM) — это протокол, с помощью которого компоненты программного обеспечения поддерживают связь по сети. Модель DCOM (прежнее название — «Network OLE») может использовать несколько сетевых транспортов, включая протоколы Интернета (например, протокол HTTP).
Поддержка DCOM встроена в Windows, начиная с версии Windows NT 4.0.
Первым шагом к настройке DCOM OPC всегда является добавление пользователя для работы с OPC. Если у вас пользователь настроен, то приступим к настройке сети и параметров безопасности.
В данном разделе нужно настроить свойства DCOM по умолчанию на сервере, чтобы «все работало». Приступим.
1. Запустим окно настройки DCOM
Настройка параметров DCOM выполняется с помощью служебной команды «dcomcnfg». Для запуска «dcomcnfg» нажмите на клавиатуре Win+R, чтобы открыть окно запуска программ из командной строки.

Откроется окно Службы компонентов, в котором нужно будет раскрыть список Службы компонентов, а затем и список Компьютеры, где мы увидим еще один вложенный список Мой компьютер, на который нужно нажать правой кнопкой мыши и выбрать пункт меню Свойства.
2. Настройка свойств компьютера для DCOM
В появившемся окне свойств выбираем вкладку Свойства по умолчанию и устанавливаем следующие настройки:
- Галка Разрешить использование DCOM на этом компьютере — без нее DCOM работать не будет.
- В Уровень проверки подлинности по умолчанию выбираем Подключиться.
- В Уровень олицетворения по умолчанию выбираем Определить.
После жмем кнопку OK. Система может предупредить о том, что будут изменены свойства DCOM — соглашайтесь. Окно Службы компонентов не закрывайте, оно нам еще понадобится.
Те же настройки необходимо провести и на клиенте за исключением пунктов 3.2 и 3.3 — они не повлияют на работу, но и не повредят. Самое главное, чтобы DCOM был разрешен.
Настройка безопасности DCOM
Переходим на вкладку Безопасность и устанавливаем умолчания на права доступа и на запуск и активацию.
Кликните по кнопке №1. В появившемся диалоговом окне:
- Кликните на кнопке «Добавить»;
- Добавьте группу пользователей «Пользователи DCOM
- Установите для нее права доступа;
- Сохраните изменения, кликнув по кнопке «OK».
Повторите действия в диалоговом окне «Разрешение на запуск и активацию» которое появляется при клике на кнопке №2 «Изменить умолчания».
На вкладке Набор протоколов должен быть только один протокол, как на скриншоте
Настройка DCOM для OPC Enum
Настройка OPC Enum по умолчанию
Если вы настроили умолчания для компьютера, то чаще всего эта настройка не нужна. Нужно только убедиться, что все настройки выставлены так, как надо.
Настройка OPC Enum вручную
Но иногда почему-то настройки по умолчанию не работают. Тогда настраиваем DCOM для OPC Enum вручную.
Служба OpcEnum отвечает за отображение OPC-серверов. Если ее настроить некорректно, то при браузинге серверов, вы не увидите ничего, кроме ошибок. Эту службу нужно настроить на сервере.
- В окне Служба компонентов должно уже быть открыто дерево до Настройка DCOM. Нужно выбрать этот элемент в левой части окна, и после этого в правой найти OpcEnum, кликнуть на него правой кнопкой мышки и выбрать пункт меню Свойства.
Вкладка Общие
Откроется окно свойств, и во вкладке Общие в списке Уровень проверки подлинности выбрать Подключиться.
Вкладка Размещение
Во вкладке Размещение должен быть выбран пункт Запустить приложение на данном компьютере. Остальные галки должны быть сняты.

Вкладка Безопасность
Далее переходим к вкладке Безопасность, где будем раздавать права на удаленный запуск, доступ и изменение настроек OpcEnum.
Во всех трех случаях выбираем пункт Настроить, т.е. у нас должны быть активны три кнопки Изменить.
- Начнем с Разрешение на запуск и активацию. Нам нужно добавить нашу группу с необходимыми разрешениями, поэтому кликаем на кнопку Добавить.
- Вписываем (или ищем) Пользователи DCOM, жмем OK — группа должна добавиться.
- Итак, группа в списке, теперь надо проставить галки под словом Разрешить. Ставим все галки, но, теоретически, для того, чтобы служба работала по сети нам нужно лишь Удаленный запуск и Удаленная активация. После проставления галок жмем OK.
- Открываем следующее окно — Права доступа. Точно так же добавляем нашу группу и разрешаем ей все, либо только Удаленный доступ, жмем OK.
Открываем окошко Разрешение на изменение настроек.
В этом окне точно так же добавляем группу и разрешаем ей Полный доступ и Read — они ставятся одновременно и снимаются так же. Жмем OK .
Вкладка Удостоверение
Переходим ко вкладке Удостоверение окна свойств OpcEnum.
Для службы OpcEnum возможно два варианта запуска:
- Системная учетная запись (только службы) — OPC-сервер будет запущен под системной учетной записью независимо от входа в систему. Данный вариант нам подходит, и его советуют как более предпочтительный.
- Указанный пользователь — при данной настройке OPC-сервер будет запущен от имени указанного нами пользователя в одном экземпляре, независимо от того, под какой учетной записью совершен вход. В данном случае мы сами указываем пользователя.
Определившись нажимаем OK и переходим к перезапуску службы OpcEnum. Это можно сделать из того же окна: слева выбираем Службы (локальные), справа в списке ищем OpcEnum, выбираем и перезапускаем нажатием на появившуюся ссылку.
- Дожидаемся перезапуска службы и переходим к клиенту.
- На клиенте запускаем OPC-клиент и пытаемся искать OPC-сервера на компьютере OPC-сервера.
Но при попытке достучаться до тэгов прилетает отказ. Этого следовало ожидать, ведь мы еще не настраивали наш OPC сервер.
Настройка DCOM для OPC сервера
Мы вплотную подобрались к настройке ПО, которое будет выдавать нам теги на клиенте. Настройка не сильно отличается от процедуры, описанной в предыдущем разделе.
- В Настройка DCOM ищем необходимый OPC-сервер, тыкаем правой кнопкой мыши и выбираем свойства.
- На вкладке Общие выбираем Уровень проверки подлинностиПодключиться.
- На вкладке Размещение должен быть выбран только пункт Запустить приложение на данном компьютере.
- На вкладке Безопасность группе Пользователи DCOM даем права на удаленный запуск, доступ и изменение настроек как и в случае с OpcEnum
- На вкладке Удостоверение у нас есть 4 варианта:
- Текущий пользователь — в этом случае OPC-сервер будет запускаться от имени вошедшего в систему пользователя. Можно использовать данный вариант, но необходимо на сервере авторизовываться под учетной записью opc, что может быть не всегда удобно. Но тем не менее можно выбрать этот вариант при условии, что сервер всегда будет запущен под учеткой opc.
- Запускающий пользователь — при авторизации пользователя будет запущен экземпляр OPC-сервера. Если к серверу будет подключено два клиента, то будет запущено два OPC-сервера. В одном случае это будет отжирать ресурсы, в другом — все кроме первого клиенты не будут видеть данных.
- Указанный пользователь — как и в случае с OpcEnum, этот вариант предпочтительный потому, что при такой настройке будет запущен один экземпляр под необходимой учетной записью. Можно выбрать этот вариант и ввести логин и пароль предварительно созданного пользователя.
- Системная учетная запись (только службы)
- После выбора одного из вариантов и нажатия на кнопку OK, нужно перезапустить OPC-сервер, если он запущен.
- Теперь переходим к компьютеру, на котором запущен OPC-клиент и пытаемся искать OPC-сервер на удаленном сервере. Вы должны увидеть список OPC-серверов без каких-либо проблем, как и в предыдущем разделе.
- Но после манипуляций описанных в этом разделе мы должны иметь возможность создать группу в клиенте, увидеть теги и их значения.
Источник
Настройка параметров DCOM. Dcomcnfg

Настройка DCOM и OPC на Windows 2008 и Windows 7
4. Настройка параметров DCOM
Для корректной работы OPC серверов необходимо настроить сетевые параметры и параметры безопасности DCOM.
Настройка OpcEnum не требуется, поскольку данная служба автоматически настраивается при установке «OPC Core Components».
Пример настройки параметров приведен для тестового OPC сервера «Те st OPC Server». Настройка параметров DCOM выполняется с помощью служебной команды «dcomcnfg».
Для запуска «dcomcnfg» нажмите на клавиатуре Win+ R, чтобы открыть окно запуска программ из командной строки.
Рис. 20 Запуск службы компонентов
4.1 Настройка параметров по умолчанию
Рис. 22 Безопасность COM
Кликните по кнопке №1 (рис. 22). В появившемся диалоговом окне (рис.23):
- Кликните на кнопке «Добавить»;
- Добавьте группу пользователей «Пользователи DCOM», выполнив действия, аналогичные показанным на рисунках 7 – 9;
- Установите для нее права доступа;
- Сохраните изменения, кликнув по кнопке «OK».
Рис. 23 Настройка прав доступа
Повторите действия в диалоговом окне «Разрешение на запуск и активацию» (рис.24), которое появляется при клике на кнопке №2 «Изменить умолчания» (рис.22).
Рис. 24 Настройка разрешений на запуск
На закладке «Набор протоколов» (рис.25) удалите все протоколы, кроме TCP/ IP и нажмите «OK» для того чтобы сохранить изменения в диалоговом окне «Свойства: Мой компьютер».
Рис. 25 Настройка разрешений на запуск
4.2 Настройка параметров для OPC сервера
Рис. 26 Настройка DCOM для OPC сервера
Поскольку все параметры были настроены для всего компьютера, то необходимо убедиться, что OPC сервер использует параметры по умолчанию.
Рис. 27 Общие свойства OPC сервера
Рис. 28 Свойства безопасности
Рис. 29 Конечные узлы
Рис. 30 Удостоверение
На закладке «Удостоверение» необходимо указать имя пользователя, который был создан ранее, от имени которого будет запускаться OPC сервер.
Замечание 1. Перед изменением настроек OPC сервера необходимо убедиться, что он не запушен и отсутствует в списке активных процессов. Или перезапустить OPC сервер после изменения настроек.
Замечание 2. Для некоторых OPC серверов необходимо, чтобы они были запущены хотя бы один раз с правами администратора, для того чтобы зарегистрироваться в системе и инициализировать параметры OPC сервера. Только после такой инициализации они будут доступны для обнаружения через OpcEnum и подключения.
4.3 Настройка доступа к OPC серверам «Для всех»
Внимание! Разрешение доступа для всех может снизить уровень безопасности компьютера.
Иногда требуется разрешить доступ к OPC серверу для всех, включая анонимных пользователей. Например, когда компьютер с сервером не включен в домен, а к серверу будут подключаться множество клиентов.
- Компьютер с сервером может быть не включен в домен;
- Не требуется создавать пользователей на компьютере с OPC сервером;
- Пользователи могут запускать OPC клиент от своего имени.
- Угроза безопасности компьютера за счет разрешения удаленного доступа к DCOM для всех.
Если вы хотите дать доступ к OPC серверу для всех, то необходимо настроить индивидуальные права доступа для выбранного OPC сервера.
Откройте настройки DCOM для OPC сервера, как показано в разделе 4.2 и модифицируйте их согласно рис.31 – рис.34. Остальные опции должны соответствовать параметрам, указанным в разделе 4.2.
Рис. 31 Общие свойства
Рис. 32 Свойства безопасности
Рис. 33 Разрешения на запуск и активацию
Рис. 34 Права доступа
Необходимо настроить локальную политику безопасности. Для этого необходимо открыть консоль управления «Локальная политика безопасности». Консоль можно запустить, выполнив «Пуск» — «Администрирование» — «Локальная политика безопасности». Необходимо перейти в раздел «Локальные политики: Параметры безопасности». И установить состояние правила «» в состояние «Включено» (рис. 35).
Рис. 35 Свойства политики безопасности
Если после изменения политики безопасности, как показано на рис. 35, OPC клиенты не могут получать список OPC серверов и подключаться к ним, то необходимо настроить и сохранить дополнительные свойства политики безопасности (рис. 36-37).
Рис. 36 DCOM: ограничения на доступ
Рис. 37 DCOM: ограничения на запуск
Процесс добавление группы пользователь подробно показан в разделе 2.2.
Источник

Прежде чем получить доступ к Вашему WMI-хосту или OPC-серверу, запущенному на ПК с Microsoft Windows, следует убедиться, что распределённая объектная модель компонентов (Distributed COM (DCOM)) настроена должным образом на данном ПК. Следуйте контрольному перечню этапов, чтобы правильно выполнить настройку.
1. Запуск необходимых сервисов
Пожалуйста, убедитесь, что сервисы Server и RemoteRegistry запущены на ПК с COM-сервером.
2. Настройка прав доступа
Чтобы избежать ошибочной ситуации, когда Доступ отклонён, лучше подключиться к COM-серверу под идентификатором зарегистрированного в настоящий момент пользователя. Если разрешение прав доступа уровня «администратора» получить сложно, можно создать локального пользователя в группе «Пользователи».
2a. настройка доступа к DCOM
Перейдите в Панель Управления (Control Panel)> Администрирование (Administrative Tools) > Локальная политика безопасности (Local Security Policy) > Настройки безопасности (Security Settings) > Локальная политика ( Local Policies) > Опции безопасности (Security Options):
- Дважды щёлкните мышью по DCOM: Политика ограничения прав доступа к ПК (Machine Access Restrictions policy), кликните Редактировать безопасность (click Edit Security), добавьте пользователя, созданного ранее, (или авторизовавшегося в настоящий момент пользователя), разрешите «Удаленный доступ».
- Дважды щёлкните мышью по DCOM: Политика ограничений для запуска ПК (Machine Launch Restrictions policy), щёлкните Редактировать безопасность (Edit Security), добавьте пользователя, созданного ранее, (или авторизовавшегося в настоящий момент пользователя), разрешите «Локальный запуск», «Удаленный запуск», «Локальная активация, «Удалённая активация».
- Дважды щёлкните по элементу Доступ по сети (Network access): Модель защиты и совместного пользования для политики локальных учетных записей (Sharing and security model for local accounts policy), выберите элемент Классическая модель (Classic) — пользователь авторизуется под своим именем.
2B. настройка безопасности COM
Перейдите в панель управления (Control Panel) > Администрирование (Administrative Tools) > Служебные компоненты (Component Services) > Компьютеры (Computers) > щёлкните правой кнопкой мыши по элементу Мой компьютер (My Computer) > щёлкните по элементе Свойства (Properties) > вкладка Параметры по умолчанию (Default Settings):
- проверьте «Активировать распределённую COM на этом компьютере»
- установите уровень авторизации для подключения по умолчанию
- установите Уровень имперсонализации для идентификации по умолчанию
Перейдите в панель управления (Control Panel) > Администрирование (Administrative Tools) > Служебные компоненты (Component Services) > Компьютеры (Computers) > щёлкните правой кнопкой мыши по элементу Мой Компьютер (My Computer) > щёлкните Свойства (Properties) > щёлкните по вкладке Безопасность COM (COM Security):
- А разделе Права доступа (Access Permissions), щёлкните Редактировать по умолчанию (Edit Default) > добавьте пользователя, созданного ранее, (или авторизовавшегося в данный момент пользователя), разрешите «Удаленный доступ («Remote Access«)
- В разделе Права доступа к запуску и активации ( Launch and Activation Permissions) > щёлкните Редактировать по умолчанию (Edit Default) > добавьте пользователя, созданного ранее (или авторизовавшегося в данный момент пользователя), разрешите «Локальный запуск» (Local Launch), «Удаленный запуск» (Remote Launch), «Локальная активация» (Local Activation), «Удалённая активация» (Remote Activation).
![]() |
Что касается раздела Служебные компоненты (Component Services), Вы можете перейти к определённому компоненту и дать разрешение оттуда, а не из элемента «Мой компьютер» (My Computer), что является общим разрешением (blanket grant) |
3. Настройка Windows Firewall
Иногда Windows Firewall будет действовать некорректно, если его неверно настроить, поэтому, пожалуйста, убедитесь, что Вы настроили его для протокола DCOM или отключили его. Следует также убедиться, что должная настройка firewall позволит предотвратить неполадки приложений DCOM Windows.
4. Отключение UAC
Когда Управление доступом пользователя (User Access Control (UAC)) активно, у учетной записи администратора есть два токена безопасности, обычный токен пользователя и административный токен (который активируется лишь, когда Вы пройдёте процедуру UAC). К сожалению, удалённые запросы, которые поступают по сети, дают администратору обычный токен пользователя, и поскольку нет возможности обрабатывать процедуру UAC удалённо, токен нельзя повысить до токена уровня администратора.
Т.о., UAC следует отключить, чтобы разрешить удаленный доступ к DCOM.
5. Установка последних обновлений
Пожалуйста, убедитесь, что Ваш ПК с Windows (где развёрнут COM-сервер) имеет все пакеты обновления Microsoft. Многие проблемы возникают из-за неправильной конфигурации ПК.
Если перечисленные инструкции не помогли, обратитесь к примечаниям для особых версий Windows, расположенных ниже.
Настройка DCOM на Windows 2000
1. Кликните Старт (Start), Запустить (Run), а затем наберите DCOMCNFG.
2. Кликните Свойства по умолчанию (Default Properties). Выберите Активировать Распределённую COM на этом компьютере. Установите Уровень авторизации для подключения по умолчанию (вариант None тоже подходит). Установите уровень Имперсонализации для идентификации по умолчанию (вариант Impersonate тоже подходит).
3. Кликните по элементу Безопасность по умолчанию.
4. Под элементом Права доступа по умолчанию (Default Access Permissions) кликните Редактировать (Edit Default). Добавьте SYSTEM и INTERACTIVE. Пользователь, чьи учётные данные будут использоваться для доступа к COM-приложению, должны быть тоже включены в этот список. Существует много способов, как это сделать. Вы можете добавить специального пользователя или просто добавить группу, к которой принадлежит пользователь. Возможные значения включают:
— ДоменИмя пользователя (специальный пользователь)
— ДоменАдминистраторы (Все администраторы на специальном домене)
— Все (Все пользователи)
5. Под элементом Права доступа к запуску по умолчанию (Default Launch Permissions) кликните Редактировать по умолчанию (Edit Default). Убедитесь, что Права доступа к запуску имеют те же значения, что и Права доступа по умолчанию (Default Access Permissions).
6. Кликните Протоколы по умолчанию (Default Protocols). Убедитесь, что ориентированный на подключение TCP/IP перечисляется в начале.
7. Теперь Вы должны настроить приложение COM, к которому необходимо получить доступ. Кликните на приложении, а затем кликните правой кнопкой мыши по приложению, которое необходимо настроить. Выберите Свойства. Если Ваше приложение является библиотекой, следует сначала создать для замены EXE, используя инструментарий SetDllHost. После создания EXE, его имя появится в списке приложений. Выберите Свойства для него и продолжите действия.
8. Кликните Общее (General). Установите Уровень авторизации по умолчанию.
9. Кликните Расположение (Location). Выберите Запустить приложение на этом компьютере (Run application on this computer).
10. Кликните по элементу Безопасность (Security). Выберите Использовать права доступа по умолчанию (Use default access permissions) и используйте Права доступа для запуска по умолчанию ( default launch permissions).
11. Кликните по элементу Идентичность (Identity). Выберите Запускающего пользователя (launching user). Этот параметр задает учётную запись, которая будет использоваться для запуска COM после того, как она запущено программой клиента. Запускающий пользователь — это учетная пользовательская запись процесса клиента, который запустил сервер, и это рекомендуемая настройка. В зависимости от приложения COM, к которому необходимо подключиться, Вам, возможно, потребуется изменить его на:
— интерактивного пользователя (interactive user) — пользователь, который в настоящий момент авторизован на ПК, размещающем приложение COM.
— данного пользователя — определите пользовательскую учётную запись, которая всегда будет использоваться для запуска приложения COM, независимо от того, к какому из приложений подключается пользователь.
12. Щёлкните по элементу Endpoints. Выберите протоколы по умолчанию (Default System Protocols).
13. Если Вы всё ещё получаете сообщение об ошибке Доступ не разрешён (Access Denied) или Нет прав доступа (Permission Denied) после настройки параметров Вашей DCOM, попробуйте перезапустить ПК, чтобы позволить новым параметрам вступить в силу.
Настройка DCOM на Windows XP и Windows Server 2003
1. Если компьютер принадлежит не домену, а рабочей группе, следует убедиться, что он не использует простое совместное использование файлов. Откройте Windows Explorer или дважды кликните по элементу Мой компьютер (My Computer), кликните по элементу Инструментарий, а затем перейдите к элементу Опции папки (Folder Options), кликните Просмотр (click) и отмените выбор Использовать простое совместное использование файлов (Use simple file sharing) (рекомендовано) в Дополнительных параметрах (Advanced settings).
2. Кликните Старт (Start), кликните Программы (Programs), кликните Администрирование (Administrative Tools,) кликните Сервисы компонента (Component Services).
3. Разверните Сервисы компонента (Component Services), разверните компьютеры (Computers) и правой кнопкой мыши щёлкните по элементу Мой компьютер (My Computer). Выберите свойства.
4. Кликните Свойства по умолчанию (Default Properties). Выберите Активировать распределённую COM на этом компьютере. Установите Уровень авторизации для подключения по умолчанию (None тоже подходит). Установите Уровень имперсонализации для идентификации по умолчанию (Impersonate тоже подходит).
5. Кликните Безопасность COM по умолчанию (Default COM Security).
6. Под элементом Права доступа по умолчанию (Default Access Permissions) кликните по Редактировать по умолчанию (Edit Default). Добавьте SYSTEM, INTERACTIVE или NETWORK. Пользователь, чьи учётные данные будут использоваться для доступа к приложению COM, должны быть также включены в этот список. Существует много способов, как это сделать. Вы можете добавить специального пользователя или просто добавить группу, к которой принадлежит пользователь. Возможные значения включают:
— ДоменИмя пользователя (специальный пользователь)
— ДоменАдминистраторы (Все администраторы на специальном домене)
— Все (Все пользователи)
7. Под элементом Права доступа к запуску по умолчанию (Default Launch Permissions) кликните Редактировать по умолчанию (Edit Default). Убедитесь, что Права доступа к запуску имеют те же значению, что и Права доступа по умолчанию (Default Access Permissions).
8. Кликните Протоколы по умолчанию (Default Protocols). Убедитесь, что ориентированный на подключение TCP/IP перечисляется в начале.
9. Теперь Вы должны настроить приложение COM, к которому необходимо получить доступ. Кликните по приложению, а затем кликните правой кнопкой мыши по приложению, которое необходимо настроить. Выберите Свойства. Если Ваше приложение является библиотекой, следует сначала создать для замены EXE, используя инструментарий SetDllHost. После создания EXE, его имя появится в списке приложений. Выберите Свойства для него и продолжите действия.
10. Кликните Общее (General). Установите Уровень авторизации по умолчанию.
11. Кликните Расположение (Location). Выберите Запустить приложение на этом компьютере (Run application on this computer).
12. Кликните по элементу Безопасность (Security). Установите Использовать права доступа к запуску по умолчанию (Set Launch Permissions to Use Default). Установите права доступа по умолчанию (Access Permissions to Use Default). Установите права доступа к настройкам по умолчанию (Configuration Permissions to Use Default).
13. Кликните по элементу Идентичность (Identity). Выберите запускающего пользователя (launching user). Эта настройка задает учётную запись, которая будет использоваться для запуска приложения COM после того, как оно запущено программой клиента. Запускающий пользователь — это пользовательская учетная запись, которая запускает сервер, это рекомендуемая настройка. В зависимости от приложения COM, к которому необходимо подключиться, может потребоваться изменить его на:
— интерактивного пользователя — пользователь, который в текущий момент авторизован на ПК, размещающем приложение COM.
— этот пользователь — задать пользовательскую учётную запись, которая будет всегда использоваться для запуска приложения COM, независимо от того, какой пользователь имеет к ней доступ.
14. Щёлкните по элементу Endpoints. Выберите протоколы по умолчанию (Default System Protocols).
15. Если Вы все ещё получаете сообщение об ошибке Доступ не разрешён (Access Denied) или Нет прав доступа (Permission Denied) после настройки параметров Вашей DCOM, попробуйте перезапустить ПК, чтобы позволить вступить в силу новым параметрам.
настройка DCOM на Windows XP SP2
Microsoft добавил некоторые опции оптимизации безопасности DCOM в XP Service Pack 2. Помимо выше упомянутых параметров настройки для Windows XP DCOM, Вам потребуется выполнить следующие этапы:
1. Если компьютер принадлежит не к домену, а рабочей группе, убедитесь, что он не использует простое совместное использование файлов. Откройте Windows Explorer или дважды кликните по элементу Мой компьютер (My Computer), кликните по элементу Инструментарий, а затем перейдите к элементу Опции папки (Folder Options), кликните Просмотр и отмените выбор Использовать простое совместное использование файлов (Use simple file sharing) (рекомендовано) в Дополнительных параметрах (Advanced settings).
2.Кликните Старт (Start), кликните Программы (Programs), кликните Администрирование (Administrative Tools), кликните Сервисы компонента (Component Services).
3. Разверните Сервисы компонента (Component Services), разверните компьютеры (Computers) и правой кнопкой мыши щёлкните по элементу Мой компьютер (My Computer). Выберите свойства.
4. Кликните Безопасность COM по умолчанию (Default COM Security).
5. Под элементом Права доступа по умолчанию (Default Access Permissions) кликните Редактировать по умолчанию (Edit Default). Убедитесь, что SYSTEM, INTERACTIVE, NETWORK и пользователь, чьи учётные данные будут использоваться для доступа к приложению COM, все имеют права Локального и Удаленного доступа.
6. Под элементом Права доступа по умолчанию (Default Access Permissions) кликните Редактировать ограничения (Edit Limits). Service Pack 2 включает в себя следующие значения по умолчанию: ANONYMOUS LOGON (Локальный доступ) и Все (Локальные и удаленный доступ). Убедитесь, что эти значения перечислены, а затем добавьте пользователя, чьи учётные данные будут использоваться для доступа к приложению COM. Разрешите этому пользователю иметь локального и удаленного доступа (Local and Remote Access permissions).
7. Под элементом Права доступа к запуску по умолчанию (Default Launch Permissions) кликните Редактировать по умолчанию (Edit Default). Убедитесь, что SYSTEM, INTERACTIVE, NETWORK и пользователь, чьи учётные данные будут использоваться для доступа к приложению COM, имеют права локального и удаленного доступа, а также права локальной и удалённой активации.
8. Под элементом Права доступа к запуску по умолчанию (Default Launch Permissions) кликните Редактировать ограничения (Edit Limits). Service Pack 2 включает в себя следующие значения по умолчанию: MACHINEAdministrators (Локальный и удаленный запуск, локальная и удалённая активация) и Все (Локальный запуск и локальная активация). Убедитесь, что эти значения перечислены, а затем добавьте пользователя, чьи учётные данные будет использоваться для доступа к приложению COM. Разрешите этому пользователю иметь права доступа к локальному и удалённому запуску (Local and Remote Launch permissions), а также разрешения локальной и удалённой активации (Local and Remote Activation permissions).
9. Service Pack 2 включает в себя встроенный Windows Firewall. Если firewall включён, вам придётся позволить приложению COM подключиться по сети к Вашему ПК. Вы можете это сделать, открыв Windows Firewall и добавив Ваше приложение COM в список программ, расположенных во вкладке Исключения (Exceptions). Если выбрано Отображать уведомление, когда Windows Firewall блокирует программу, тогда система вам подскажет разблокировать приложение COM, когда AggreGate Server подключается к Вашему DCOM-серверу в первый раз. Выберите Разблокировать (Unblock), когда система предлагает так поступить.
10. Если все ещё всплывает сообщение об ошибке Доступ не разрешён (access denied) или Нет прав доступа (permission denied) после настройки параметров DCOM, попробуйте перезапустить Ваш ПК, чтобы изменения вступили в силу.
Содержание
- DCOM для ОС Windows 10
- Члены групп
- Настройки DCOM
- Настройки брандмауэра
- Настройка параметров DCOM. Dcomcnfg
- Настройка DCOM и OPC на Windows 2008 и Windows 7
- 4. Настройка параметров DCOM
- 4.1 Настройка параметров по умолчанию
- 4.2 Настройка параметров для OPC сервера
- 4.3 Настройка доступа к OPC серверам «Для всех»
- Настройка DCOM
- Настройка DCOM
- Настройка общих параметров DCOM
- 4.1.2 Настройка параметров DCOM для OPC-сервера
- DCOM для ОС Windows 10
- Члены групп
- Настройки DCOM
- Настройки брандмауэра
- Настройка параметров DCOM и Dcomcnfg на Windows 8, Windows Server 2012
- 4. Настройка параметров DCOM
- 4.1 Настройка параметров по умолчанию
- 4.2 Настройка параметров для OPC сервера
- 4.3 Настройка доступа к OPC серверам «Для всех»
Не удаётся получить данные от удалённого OPC-сервера. Подключение происходит, тэги отображаются корректно, но примитив с синим «!».
Члены групп
Убедитесь, что пользователь Dispatcher входит в группу Пользователи DCOM (англ.Distributed COM Users) и Опытные пользователи (англ.PowerUsers), а пользователь AdminScada входит в группу Администраторы.
Настройки DCOM
Откройте оснастку Службы компонентов как указано на рисунке 1.
Откройте вкладку «Безопасность COM «Служб компонентов» как указано на рисунке 2.
В разделах Права доступа и Разрешение на запуск и активацию нажмите Изменить умолчания и добавьте группу Пользователи DCOM как указано на рисунке 3

Примените изменения и нажмите кнопку OK.
Откройте свойства службы компонентов Tekon в разделе Настройка DCOM как показано на рисунке 4.
Выберите вкладку Безопасность и пункты Разрешение на запуск и активацию и Разрешение на изменение настроек рис.5.
Добавьте группу Пользователи DCOM с правами, как показано на Рис.6.

Примените изменения и нажмите кнопку OK.
Настройки брандмауэра
Убедитесь, что настройки правил Брандмауэра Windows включают в себя
Источник

Для корректной работы OPC серверов необходимо настроить сетевые параметры и параметры безопасности DCOM.
Настройка OpcEnum не требуется, поскольку данная служба автоматически настраивается при установке «OPC Core Components».
Пример настройки параметров приведен для тестового OPC сервера «Те st OPC Server». Настройка параметров DCOM выполняется с помощью служебной команды «dcomcnfg».
Для запуска «dcomcnfg» нажмите на клавиатуре Win+ R, чтобы открыть окно запуска программ из командной строки.
Рис. 20 Запуск службы компонентов
4.1 Настройка параметров по умолчанию
Рис. 22 Безопасность COM
Кликните по кнопке №1 (рис. 22). В появившемся диалоговом окне (рис.23):
Рис. 23 Настройка прав доступа
Повторите действия в диалоговом окне «Разрешение на запуск и активацию» (рис.24), которое появляется при клике на кнопке №2 «Изменить умолчания» (рис.22).
Рис. 24 Настройка разрешений на запуск
На закладке «Набор протоколов» (рис.25) удалите все протоколы, кроме TCP/ IP и нажмите «OK» для того чтобы сохранить изменения в диалоговом окне «Свойства: Мой компьютер».
Рис. 25 Настройка разрешений на запуск
4.2 Настройка параметров для OPC сервера
Рис. 26 Настройка DCOM для OPC сервера
Поскольку все параметры были настроены для всего компьютера, то необходимо убедиться, что OPC сервер использует параметры по умолчанию.
Рис. 27 Общие свойства OPC сервера
Рис. 28 Свойства безопасности
Рис. 29 Конечные узлы
Рис. 30 Удостоверение
На закладке «Удостоверение» необходимо указать имя пользователя, который был создан ранее, от имени которого будет запускаться OPC сервер.
Замечание 1. Перед изменением настроек OPC сервера необходимо убедиться, что он не запушен и отсутствует в списке активных процессов. Или перезапустить OPC сервер после изменения настроек.
Замечание 2. Для некоторых OPC серверов необходимо, чтобы они были запущены хотя бы один раз с правами администратора, для того чтобы зарегистрироваться в системе и инициализировать параметры OPC сервера. Только после такой инициализации они будут доступны для обнаружения через OpcEnum и подключения.
4.3 Настройка доступа к OPC серверам «Для всех»
Внимание! Разрешение доступа для всех может снизить уровень безопасности компьютера.
Иногда требуется разрешить доступ к OPC серверу для всех, включая анонимных пользователей. Например, когда компьютер с сервером не включен в домен, а к серверу будут подключаться множество клиентов.
Если вы хотите дать доступ к OPC серверу для всех, то необходимо настроить индивидуальные права доступа для выбранного OPC сервера.
Откройте настройки DCOM для OPC сервера, как показано в разделе 4.2 и модифицируйте их согласно рис.31 – рис.34. Остальные опции должны соответствовать параметрам, указанным в разделе 4.2.
Рис. 31 Общие свойства
Рис. 32 Свойства безопасности
Рис. 33 Разрешения на запуск и активацию
Рис. 34 Права доступа
Рис. 35 Свойства политики безопасности
Если после изменения политики безопасности, как показано на рис. 35, OPC клиенты не могут получать список OPC серверов и подключаться к ним, то необходимо настроить и сохранить дополнительные свойства политики безопасности (рис. 36-37).
Рис. 36 DCOM: ограничения на доступ
Рис. 37 DCOM: ограничения на запуск
Процесс добавление группы пользователь подробно показан в разделе 2.2.
Источник
Настройка DCOM
Для настройки прав доступа к DCOM-приложениям в операционных системах Windows XP, Windows Server 2003 и Windows Vista используется оснастка «Службы компонентов» (Component Services) консоли управления.
Оснастку можно вызвать:
Рисунок 4.15 Запуск утилиты dcomcnfg
Рисунок 4.16 Системные инструментальные средства «Службы компонентов»
После запуска оснастки «Службы компонентов» производится поиск COM-приложений, которые ещё не зарегистрированы в системе на данный момент, и предлагается зарегистрировать их. Обычно, следует разрешать регистрацию, за исключением случаев, когда иное не указано в документации на программное обеспечение.
После запуска появляется окно «Службы компонентов» (рисунок 4.17)
Рисунок 4.17 Оснастка «Службы компонентов»
После перехода к более низкому уровню безопасности следует перезапустить операционную систему, чтобы изменения вступили в силу.
Настройка общих параметров DCOM
Для установления связи с удаленными OPC-серверами сначала следует настроить общие параметры DCOM. Для этого:
Кнопка «Изменить ограничения…» может быть не доступна, если была изменена политика «DCOM: Ограничения компьютера на доступ в синтаксисе SDDL (Security Descriptor Definition Language)». В этом случае пропустите текущий шаг.
Эти настройки необходимы для функционирования утилиты поиска OPC-серверов (OPCEnum.exe) и некоторых OPC-серверов, для которых «Уровень проверки подлинности» («Authentication Level») установлен «Нет» («None»).
Этот шаг настройки необходимо выполнить как на компьютере, где установлен OPC-сервер, так и на компьютере, где установлен OPC-клиент. Остальные шаги выполняются на компьютере сервера.
Закладка «Свойства по умолчанию» (рисунок 4.22)
Значения по умолчанию:
- Установлена галочка «Разрешить использование DCOM на этом компьютере».
- § «Уровень проверки подлинности по умолчанию» – «Подключение».
- § «Уровень олицетворения по умолчанию» – «Идентификация».
- § Снята галочка «Повышенная безопасность для отслеживания ссылок».
Рисунок 4.22 — Свойства компьютера, закладка «Свойства по умолчанию»
Добавлены следующие протоколы DCOM:
- § «TCP/IP c ориентацией на подключения»
- § «SPX c ориентацией на подключения».
Значения по умолчанию:
- § Установлена галочка «Проверять локальное хранилище при выборе раздела».
- § «Время ожидания транзакции (с)»: 60.
При работе в компьютерной сети в случае возникновения обрывов, переполнения и других критических ситуациях при попытках восстановления связи DCOM-приложения используют время ожидания транзакции (Transaction timeout). Это время, в течение которого DCOM-приложение посылает запрос к источнику данных и ожидает восстановления связи. DCOM-приложение совершает до 6 таких попыток, прежде чем подаст сигнал об ошибке в сети.
По умолчанию этот интервал равен 60 секундам. Соответственно, максимальное время, за которое DCOM-приложение определит, что сеть неисправна – 60*6 = 360 секунд или 6 минут.
Однако это время не всегда может устроить Пользователей DCOM-приложения. Очевидно, что чем короче время ожидания транзакции, тем быстрее DCOM-приложение сможет сообщить Пользователю об ошибке в сети. Поэтому, если Пользователь DCOM-приложения хочет сократить время определения ошибки в сети, он может уменьшить время ожидания транзакции.
Времени ожидания транзакции настраивается на компьютере сервера.
При изменении времени ожидания транзакции следует понимать, что это коснется ВСЕХ DCOM-приложений, работающих на этом компьютере. Поэтому, если нет сильной необходимости изменить значение по умолчанию для этого пункта, то изменять его не рекомендуется.
4.1.2 Настройка параметров DCOM для OPC-сервера
Настройки, описанные в этом пункте, производятся на компьютере, где установлен OPC-сервер.
Для того чтобы настроить параметры DCOM для конкретного OPC-сервера, следует:
- 1) В оснастке «Службы компонентов» выберите раздел «Корень консоли/Службы компонентов/Компьютеры/Мой компьютер/Настройка DCOM» («Console Root/Component Services/Computers/My Computer/DCOM Config»)
- 2) Откройте контекстное меню нужного OPC-сервера (рисунок 4.25) и выберите пункт «Свойства» («Properties»)
- 3) В открывшемся окне «Свойства:…» перейдите на закладку «Безопасность» («Security»)
- 4) На панели «Разрешения на запуск и активацию» выберите «Настроить» и нажмите на кнопку «Изменить …». В открывшемся окне «Разрешение на запуск» (рисунок 4.26) нажмите кнопку «Добавить» и добавьте группу «Users OPC» (описание в разделе 4.1 «Создание и настройка учетных записей Пользователей»)
Для группы «Users OPC»поставьте галочки «Разрешить» для всех пунктов. Если Пользователи группы должны получить только удаленный доступ к OPC-серверу, поставьте галочки «Разрешить» только для пунктов «Удаленный запуск» и «Удаленная активация»
- 5) На панели «Права доступа» (закладка «Безопасность») выберите «Настроить» и нажмите на кнопку «Изменить …». В открывшемся окне «Разрешение на доступ» (рисунок 4.27) нажмите кнопку «Добавить» и добавьте группу «Users OPC» (описание в разделе 4.1 «Создание и настройка учетных записей Пользователей»)
Для этой группы («Users OPC») поставьте галочки «Разрешить» для всех вариантов доступа.
Если Пользователи группы должны получить только удаленный доступ к OPC-серверу, поставьте галочку «Разрешить» только для пункта «Удаленный доступ».
- 6) Для того, чтобы указать, под какой учетной записью будет запускаться OPC-сервер, перейдите на закладку «Удостоверение» (рисунок 4.28).
Выбор учетной записи для запуска данного приложения зависит от реализации данного OPC-сервера. Воспользуйтесь документацией к OPC-серверу, чтобы выбрать «запускающего» Пользователя.
Общие рекомендации по выбору Пользователя для запуска OPC-сервера приведены в таблице 4.1.
Источник
Не удаётся получить данные от удалённого OPC-сервера. Подключение происходит, тэги отображаются корректно, но примитив с синим «!».
Члены групп
Убедитесь, что пользователь Dispatcher входит в группу Пользователи DCOM (англ.Distributed COM Users) и Опытные пользователи (англ.PowerUsers), а пользователь AdminScada входит в группу Администраторы.
Настройки DCOM
Откройте оснастку Службы компонентов как указано на рисунке 1.
Откройте вкладку «Безопасность COM «Служб компонентов» как указано на рисунке 2.
В разделах Права доступа и Разрешение на запуск и активацию нажмите Изменить умолчания и добавьте группу Пользователи DCOM как указано на рисунке 3

Примените изменения и нажмите кнопку OK.
Откройте свойства службы компонентов Tekon в разделе Настройка DCOM как показано на рисунке 4.
Выберите вкладку Безопасность и пункты Разрешение на запуск и активацию и Разрешение на изменение настроек рис.5.
Добавьте группу Пользователи DCOM с правами, как показано на Рис.6.

Примените изменения и нажмите кнопку OK.
Настройки брандмауэра
Убедитесь, что настройки правил Брандмауэра Windows включают в себя
Источник

Для корректной работы OPC серверов необходимо настроить сетевые параметры и параметры безопасности DCOM.
Настройка OpcEnum не требуется, поскольку данная служба автоматически настраивается при установке «OPC Core Components».
Пример настройки параметров приведен для тестового OPC сервера «Теst OPC Server» (является 32-х битным приложением). Настройка параметров DCOM выполняется с помощью панели управления «Службы компонентов» Windows. В зависимости от разрядности операционной системы и приложения OPC сервера необходимо запускать соответствующую версию панели управления:
Для выполнения команды нажмите на клавиатуре Win + R, чтобы открыть окно запуска программ из командной строки.
Рис. 19.1 Запуск службы компонентов (вариант 1)
Рис. 20 Запуск службы компонентов (вариант 2)
4.1 Настройка параметров по умолчанию
Рис. 22 Безопасность COM
Кликните по кнопке №1 (рис. 22). В появившемся диалоговом окне (рис.23):
Рис. 23 Настройка прав доступа
Повторите действия в диалоговом окне «Разрешение на запуск и активацию» (рис.24), которое появляется при клике на кнопке №2 «Изменить умолчания» (рис.22).
Рис. 24 Настройка разрешений на запуск
На закладке «Набор протоколов» (рис.25) удалите все протоколы, кроме TCP/ IP и нажмите «OK» для того чтобы сохранить изменения в диалоговом окне «Свойства: Мой компьютер».
Рис. 25 Настройка разрешений на запуск
4.2 Настройка параметров для OPC сервера
Рис. 26 Настройка DCOM для OPC сервера
Поскольку все параметры были настроены для всего компьютера, то необходимо убедиться, что OPC сервер использует параметры по умолчанию.
Рис. 27 Общие свойства OPC сервера
Рис. 28 Свойства безопасности
Рис. 29 Конечные узлы
Рис. 30 Удостоверение
На закладке «Удостоверение» необходимо указать имя пользователя, который был создан ранее, от имени которого будет запускаться OPC сервер.
Замечание 1. Перед изменением настроек OPC сервера необходимо убедиться, что он не запушен и отсутствует в списке активных процессов. Или перезапустить OPC сервер после изменения настроек.
Замечание 2. Для некоторых OPC серверов необходимо, чтобы они были запущены хотя бы один раз с правами администратора, для того чтобы зарегистрироваться в системе и инициализировать параметры OPC сервера. Только после такой инициализации они будут доступны для обнаружения через OpcEnum и подключения.
4.3 Настройка доступа к OPC серверам «Для всех»
Внимание! Разрешение доступа для всех может снизить уровень безопасности компьютера.
Иногда требуется разрешить доступ к OPC серверу для всех, включая анонимных пользователей. Например, когда компьютер с сервером не включен в домен, а к серверу будут подключаться множество клиентов.
Если вы хотите дать доступ к OPC серверу для всех, то необходимо настроить индивидуальные права доступа для выбранного OPC сервера.
Откройте настройки DCOM для OPC сервера, как показано в разделе 4.2 и модифицируйте их согласно рис.31 – рис.34. Остальные опции должны соответствовать параметрам, указанным в разделе 4.2.
Рис. 31 Общие свойства
Рис. 32 Свойства безопасности
Рис. 33 Разрешения на запуск и активацию
Рис. 34 Права доступа
Рис. 35 Свойства политики безопасности
Если после изменения политики безопасности, как показано на рис. 35, OPC клиенты не могут получать список OPC серверов и подключаться к ним, то необходимо настроить и сохранить дополнительные свойства политики безопасности (рис. 36-37).
Рис. 36 DCOM: ограничения на доступ
Процесс добавление группы пользователь подробно показан в разделе 2.2.
Источник
Название заметки лишь описывает сообщение о ошибке, а
ниже находиться перечень нюансов, которые затрагивают как выше ошибку, так и
некоторые другие.
- И так, первоначально, в настройках удаленного сервера
должно быть разрешено удаленное управление

- Далее на удаленной стороне открыть порт 5985 как на роутере, так и в брандмауэре,
входящем подключении. - А также на удаленном сервере нужно включить в брандмауэре
уже готовые правила входящих подключений:
Доступ к сети COM+ (DCOM — входящий трафик)Удаленное управление журналом событий (именованные каналы
— входящий)Удаленное управление журналом событий (RPC)Удаленное управление журналом событий (RPC-EPMAP)
- Далее, на сервера с которого нужно подключаться нужно
выполнить в cmd команду
winrm set winrm/config/client
@{TrustedHosts=»*»}
это нужно сделать, потому что будет ошибка при
подключении удаленного сервера в Диспетчере серверов о том, что типа
«Ошибка
gurt-jabber: не удалось обновить конфигурацию. Ошибка: Не удалось получить
метаданные с сервера из-за следующей ошибки: Клиенту WinRM не удается
обработать запрос. Если применяемая схема проверки подлинности отличается от
Kerberos или компьютер клиента не входит в домен, необходимо использовать
транспорт HTTPS или добавить компьютер назначения к значениям параметра
конфигурации TrustedHosts. Чтобы настроить TrustedHosts, используйте winrm.cmd.
Обратите внимание, что в списке TrustedHosts могут находиться компьютеры, не
прошедшие проверку подлинности. Чтобы получить дополнительные сведения об этом,
выполните следующую команду: winrm help config. 23.10.2015 10:15:56»
- *Еще есть нюанс, который точно не проверенный, это то, что
на обоих серверах, пользователь Администратор должен иметь одинаковый пароль.
После данных манипуляций я получил
И все же, как написал я в начале, мы то добавили удаленный
сервер в диспетчер серверов, но нам еще предстоит открытия множество портов как
на роутере, так и готовых правилах брандмауэра что бы, например, иметь доступ к
оснастке Управления компьютером удаленного сервера или же открыть Диспетчер
устройств удаленного сервера, но это уже отдельная история + рекомендую в
брандмауэре использовать Фильтры для группировки групп связанных с той или иной
службой.
Прежде чем получить доступ к Вашему WMI-хосту или OPC-серверу, запущенному на ПК с Microsoft Windows, следует убедиться, что распределённая объектная модель компонентов (Distributed COM (DCOM)) настроена должным образом на данном ПК. Следуйте контрольному перечню этапов, чтобы правильно выполнить настройку.
1. Запуск необходимых сервисов
Пожалуйста, убедитесь, что сервисы Server и RemoteRegistry запущены на ПК с COM-сервером.
2. Настройка прав доступа
Чтобы избежать ошибочной ситуации, когда Доступ отклонён, лучше подключиться к COM-серверу под идентификатором зарегистрированного в настоящий момент пользователя. Если разрешение прав доступа уровня «администратора» получить сложно, можно создать локального пользователя в группе «Пользователи».
2a. настройка доступа к DCOM
Перейдите в Панель Управления (Control Panel)> Администрирование (Administrative Tools) > Локальная политика безопасности (Local Security Policy) > Настройки безопасности (Security Settings) > Локальная политика ( Local Policies) > Опции безопасности (Security Options):
- Дважды щёлкните мышью по DCOM: Политика ограничения прав доступа к ПК (Machine Access Restrictions policy), кликните Редактировать безопасность (click Edit Security), добавьте пользователя, созданного ранее, (или авторизовавшегося в настоящий момент пользователя), разрешите «Удаленный доступ».
- Дважды щёлкните мышью по DCOM: Политика ограничений для запуска ПК (Machine Launch Restrictions policy), щёлкните Редактировать безопасность (Edit Security), добавьте пользователя, созданного ранее, (или авторизовавшегося в настоящий момент пользователя), разрешите «Локальный запуск», «Удаленный запуск», «Локальная активация, «Удалённая активация».
- Дважды щёлкните по элементу Доступ по сети (Network access): Модель защиты и совместного пользования для политики локальных учетных записей (Sharing and security model for local accounts policy), выберите элемент Классическая модель (Classic) — пользователь авторизуется под своим именем.
2B. настройка безопасности COM
Перейдите в панель управления (Control Panel) > Администрирование (Administrative Tools) > Служебные компоненты (Component Services) > Компьютеры (Computers) > щёлкните правой кнопкой мыши по элементу Мой компьютер (My Computer) > щёлкните по элементе Свойства (Properties) > вкладка Параметры по умолчанию (Default Settings):
- проверьте «Активировать распределённую COM на этом компьютере»
- установите уровень авторизации для подключения по умолчанию
- установите Уровень имперсонализации для идентификации по умолчанию
Перейдите в панель управления (Control Panel) > Администрирование (Administrative Tools) > Служебные компоненты (Component Services) > Компьютеры (Computers) > щёлкните правой кнопкой мыши по элементу Мой Компьютер (My Computer) > щёлкните Свойства (Properties) > щёлкните по вкладке Безопасность COM (COM Security):
- А разделе Права доступа (Access Permissions), щёлкните Редактировать по умолчанию (Edit Default) > добавьте пользователя, созданного ранее, (или авторизовавшегося в данный момент пользователя), разрешите «Удаленный доступ («Remote Access«)
- В разделе Права доступа к запуску и активации ( Launch and Activation Permissions) > щёлкните Редактировать по умолчанию (Edit Default) > добавьте пользователя, созданного ранее (или авторизовавшегося в данный момент пользователя), разрешите «Локальный запуск» (Local Launch), «Удаленный запуск» (Remote Launch), «Локальная активация» (Local Activation), «Удалённая активация» (Remote Activation).
![]() |
Что касается раздела Служебные компоненты (Component Services), Вы можете перейти к определённому компоненту и дать разрешение оттуда, а не из элемента «Мой компьютер» (My Computer), что является общим разрешением (blanket grant) |
3. Настройка Windows Firewall
Иногда Windows Firewall будет действовать некорректно, если его неверно настроить, поэтому, пожалуйста, убедитесь, что Вы настроили его для протокола DCOM или отключили его. Следует также убедиться, что должная настройка firewall позволит предотвратить неполадки приложений DCOM Windows.
4. Отключение UAC
Когда Управление доступом пользователя (User Access Control (UAC)) активно, у учетной записи администратора есть два токена безопасности, обычный токен пользователя и административный токен (который активируется лишь, когда Вы пройдёте процедуру UAC). К сожалению, удалённые запросы, которые поступают по сети, дают администратору обычный токен пользователя, и поскольку нет возможности обрабатывать процедуру UAC удалённо, токен нельзя повысить до токена уровня администратора.
Т.о., UAC следует отключить, чтобы разрешить удаленный доступ к DCOM.
5. Установка последних обновлений
Пожалуйста, убедитесь, что Ваш ПК с Windows (где развёрнут COM-сервер) имеет все пакеты обновления Microsoft. Многие проблемы возникают из-за неправильной конфигурации ПК.
Примечания для особых версий Windows
Если перечисленные инструкции не помогли, обратитесь к примечаниям для особых версий Windows, расположенных ниже.
Настройка DCOM на Windows 2000
1. Кликните Старт (Start), Запустить (Run), а затем наберите DCOMCNFG.
2. Кликните Свойства по умолчанию (Default Properties). Выберите Активировать Распределённую COM на этом компьютере. Установите Уровень авторизации для подключения по умолчанию (вариант None тоже подходит). Установите уровень Имперсонализации для идентификации по умолчанию (вариант Impersonate тоже подходит).
3. Кликните по элементу Безопасность по умолчанию.
4. Под элементом Права доступа по умолчанию (Default Access Permissions) кликните Редактировать (Edit Default). Добавьте SYSTEM и INTERACTIVE. Пользователь, чьи учётные данные будут использоваться для доступа к COM-приложению, должны быть тоже включены в этот список. Существует много способов, как это сделать. Вы можете добавить специального пользователя или просто добавить группу, к которой принадлежит пользователь. Возможные значения включают:
— ДоменИмя пользователя (специальный пользователь)
— ДоменАдминистраторы (Все администраторы на специальном домене)
— Все (Все пользователи)
5. Под элементом Права доступа к запуску по умолчанию (Default Launch Permissions) кликните Редактировать по умолчанию (Edit Default). Убедитесь, что Права доступа к запуску имеют те же значения, что и Права доступа по умолчанию (Default Access Permissions).
6. Кликните Протоколы по умолчанию (Default Protocols). Убедитесь, что ориентированный на подключение TCP/IP перечисляется в начале.
7. Теперь Вы должны настроить приложение COM, к которому необходимо получить доступ. Кликните на приложении, а затем кликните правой кнопкой мыши по приложению, которое необходимо настроить. Выберите Свойства. Если Ваше приложение является библиотекой, следует сначала создать для замены EXE, используя инструментарий SetDllHost. После создания EXE, его имя появится в списке приложений. Выберите Свойства для него и продолжите действия.
8. Кликните Общее (General). Установите Уровень авторизации по умолчанию.
9. Кликните Расположение (Location). Выберите Запустить приложение на этом компьютере (Run application on this computer).
10. Кликните по элементу Безопасность (Security). Выберите Использовать права доступа по умолчанию (Use default access permissions) и используйте Права доступа для запуска по умолчанию ( default launch permissions).
11. Кликните по элементу Идентичность (Identity). Выберите Запускающего пользователя (launching user). Этот параметр задает учётную запись, которая будет использоваться для запуска COM после того, как она запущено программой клиента. Запускающий пользователь — это учетная пользовательская запись процесса клиента, который запустил сервер, и это рекомендуемая настройка. В зависимости от приложения COM, к которому необходимо подключиться, Вам, возможно, потребуется изменить его на:
— интерактивного пользователя (interactive user) — пользователь, который в настоящий момент авторизован на ПК, размещающем приложение COM.
— данного пользователя — определите пользовательскую учётную запись, которая всегда будет использоваться для запуска приложения COM, независимо от того, к какому из приложений подключается пользователь.
12. Щёлкните по элементу Endpoints. Выберите протоколы по умолчанию (Default System Protocols).
13. Если Вы всё ещё получаете сообщение об ошибке Доступ не разрешён (Access Denied) или Нет прав доступа (Permission Denied) после настройки параметров Вашей DCOM, попробуйте перезапустить ПК, чтобы позволить новым параметрам вступить в силу.
Настройка DCOM на Windows XP и Windows Server 2003
1. Если компьютер принадлежит не домену, а рабочей группе, следует убедиться, что он не использует простое совместное использование файлов. Откройте Windows Explorer или дважды кликните по элементу Мой компьютер (My Computer), кликните по элементу Инструментарий, а затем перейдите к элементу Опции папки (Folder Options), кликните Просмотр (click) и отмените выбор Использовать простое совместное использование файлов (Use simple file sharing) (рекомендовано) в Дополнительных параметрах (Advanced settings).
2. Кликните Старт (Start), кликните Программы (Programs), кликните Администрирование (Administrative Tools,) кликните Сервисы компонента (Component Services).
3. Разверните Сервисы компонента (Component Services), разверните компьютеры (Computers) и правой кнопкой мыши щёлкните по элементу Мой компьютер (My Computer). Выберите свойства.
4. Кликните Свойства по умолчанию (Default Properties). Выберите Активировать распределённую COM на этом компьютере. Установите Уровень авторизации для подключения по умолчанию (None тоже подходит). Установите Уровень имперсонализации для идентификации по умолчанию (Impersonate тоже подходит).
5. Кликните Безопасность COM по умолчанию (Default COM Security).
6. Под элементом Права доступа по умолчанию (Default Access Permissions) кликните по Редактировать по умолчанию (Edit Default). Добавьте SYSTEM, INTERACTIVE или NETWORK. Пользователь, чьи учётные данные будут использоваться для доступа к приложению COM, должны быть также включены в этот список. Существует много способов, как это сделать. Вы можете добавить специального пользователя или просто добавить группу, к которой принадлежит пользователь. Возможные значения включают:
— ДоменИмя пользователя (специальный пользователь)
— ДоменАдминистраторы (Все администраторы на специальном домене)
— Все (Все пользователи)
7. Под элементом Права доступа к запуску по умолчанию (Default Launch Permissions) кликните Редактировать по умолчанию (Edit Default). Убедитесь, что Права доступа к запуску имеют те же значению, что и Права доступа по умолчанию (Default Access Permissions).
8. Кликните Протоколы по умолчанию (Default Protocols). Убедитесь, что ориентированный на подключение TCP/IP перечисляется в начале.
9. Теперь Вы должны настроить приложение COM, к которому необходимо получить доступ. Кликните по приложению, а затем кликните правой кнопкой мыши по приложению, которое необходимо настроить. Выберите Свойства. Если Ваше приложение является библиотекой, следует сначала создать для замены EXE, используя инструментарий SetDllHost. После создания EXE, его имя появится в списке приложений. Выберите Свойства для него и продолжите действия.
10. Кликните Общее (General). Установите Уровень авторизации по умолчанию.
11. Кликните Расположение (Location). Выберите Запустить приложение на этом компьютере (Run application on this computer).
12. Кликните по элементу Безопасность (Security). Установите Использовать права доступа к запуску по умолчанию (Set Launch Permissions to Use Default). Установите права доступа по умолчанию (Access Permissions to Use Default). Установите права доступа к настройкам по умолчанию (Configuration Permissions to Use Default).
13. Кликните по элементу Идентичность (Identity). Выберите запускающего пользователя (launching user). Эта настройка задает учётную запись, которая будет использоваться для запуска приложения COM после того, как оно запущено программой клиента. Запускающий пользователь — это пользовательская учетная запись, которая запускает сервер, это рекомендуемая настройка. В зависимости от приложения COM, к которому необходимо подключиться, может потребоваться изменить его на:
— интерактивного пользователя — пользователь, который в текущий момент авторизован на ПК, размещающем приложение COM.
— этот пользователь — задать пользовательскую учётную запись, которая будет всегда использоваться для запуска приложения COM, независимо от того, какой пользователь имеет к ней доступ.
14. Щёлкните по элементу Endpoints. Выберите протоколы по умолчанию (Default System Protocols).
15. Если Вы все ещё получаете сообщение об ошибке Доступ не разрешён (Access Denied) или Нет прав доступа (Permission Denied) после настройки параметров Вашей DCOM, попробуйте перезапустить ПК, чтобы позволить вступить в силу новым параметрам.
настройка DCOM на Windows XP SP2
Microsoft добавил некоторые опции оптимизации безопасности DCOM в XP Service Pack 2. Помимо выше упомянутых параметров настройки для Windows XP DCOM, Вам потребуется выполнить следующие этапы:
1. Если компьютер принадлежит не к домену, а рабочей группе, убедитесь, что он не использует простое совместное использование файлов. Откройте Windows Explorer или дважды кликните по элементу Мой компьютер (My Computer), кликните по элементу Инструментарий, а затем перейдите к элементу Опции папки (Folder Options), кликните Просмотр и отмените выбор Использовать простое совместное использование файлов (Use simple file sharing) (рекомендовано) в Дополнительных параметрах (Advanced settings).
2.Кликните Старт (Start), кликните Программы (Programs), кликните Администрирование (Administrative Tools), кликните Сервисы компонента (Component Services).
3. Разверните Сервисы компонента (Component Services), разверните компьютеры (Computers) и правой кнопкой мыши щёлкните по элементу Мой компьютер (My Computer). Выберите свойства.
4. Кликните Безопасность COM по умолчанию (Default COM Security).
5. Под элементом Права доступа по умолчанию (Default Access Permissions) кликните Редактировать по умолчанию (Edit Default). Убедитесь, что SYSTEM, INTERACTIVE, NETWORK и пользователь, чьи учётные данные будут использоваться для доступа к приложению COM, все имеют права Локального и Удаленного доступа.
6. Под элементом Права доступа по умолчанию (Default Access Permissions) кликните Редактировать ограничения (Edit Limits). Service Pack 2 включает в себя следующие значения по умолчанию: ANONYMOUS LOGON (Локальный доступ) и Все (Локальные и удаленный доступ). Убедитесь, что эти значения перечислены, а затем добавьте пользователя, чьи учётные данные будут использоваться для доступа к приложению COM. Разрешите этому пользователю иметь локального и удаленного доступа (Local and Remote Access permissions).
7. Под элементом Права доступа к запуску по умолчанию (Default Launch Permissions) кликните Редактировать по умолчанию (Edit Default). Убедитесь, что SYSTEM, INTERACTIVE, NETWORK и пользователь, чьи учётные данные будут использоваться для доступа к приложению COM, имеют права локального и удаленного доступа, а также права локальной и удалённой активации.
8. Под элементом Права доступа к запуску по умолчанию (Default Launch Permissions) кликните Редактировать ограничения (Edit Limits). Service Pack 2 включает в себя следующие значения по умолчанию: MACHINEAdministrators (Локальный и удаленный запуск, локальная и удалённая активация) и Все (Локальный запуск и локальная активация). Убедитесь, что эти значения перечислены, а затем добавьте пользователя, чьи учётные данные будет использоваться для доступа к приложению COM. Разрешите этому пользователю иметь права доступа к локальному и удалённому запуску (Local and Remote Launch permissions), а также разрешения локальной и удалённой активации (Local and Remote Activation permissions).
9. Service Pack 2 включает в себя встроенный Windows Firewall. Если firewall включён, вам придётся позволить приложению COM подключиться по сети к Вашему ПК. Вы можете это сделать, открыв Windows Firewall и добавив Ваше приложение COM в список программ, расположенных во вкладке Исключения (Exceptions). Если выбрано Отображать уведомление, когда Windows Firewall блокирует программу, тогда система вам подскажет разблокировать приложение COM, когда AggreGate Server подключается к Вашему DCOM-серверу в первый раз. Выберите Разблокировать (Unblock), когда система предлагает так поступить.
10. Если все ещё всплывает сообщение об ошибке Доступ не разрешён (access denied) или Нет прав доступа (permission denied) после настройки параметров DCOM, попробуйте перезапустить Ваш ПК, чтобы изменения вступили в силу.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
На момент написания данной статьи Hyper-V Server 2016 является предпоследней версией гипервизора, однако в Hyper-V Server 2019 были обнаружены ошибки и релиз был отозван, в настоящий момент он недоступен для скачивания. А с учетом здоровой консервативности, версию 2016 можно смело рассматривать как основной гипервизор для современных внедрений, актуальность которого будет сохраняться еще как минимум в течении года — полутора, пока в новой версии найдут и исправят все ошибки, а также отшлифуют огрехи.
Получить Hyper-V Server 2016 можно на официальном сайте, для скачивания вам потребуется учетная запись Microsoft, либо будет необходимо заполнить небольшую анкету. При этом мы настоятельно не рекомендуем скачивать установочный образ из иных, непроверенных источников.
Установка и первоначальная настройка Hyper-V Server
Мы не будем подробно останавливаться на процессе установки — он ничем не отличается от установки других продуктов Microsoft и не должен вызвать каких-либо сложностей.
При первой загрузке вы попадете в интерфейс командной строки, в которой вам предложат изменить пароль Администратора, будьте внимательны, в русской системе по умолчанию активирована русская раскладка.
После чего нас встретит уже знакомый с версии Hyper-V Server 2012 текстовый интерфейс конфигурации сервера.
Если вы случайно закрыли это окно, то повторно его можно вызвать командой:
sconfig
Если же вы закрыли все окна и оказались перед пустым экраном, то нажмите Ctrl+Shift+Esc, данное сочетание клавиш работает в том числе и в RDP-сессии и вызывает диспетчер задач, с помощью которого вы можете запустить командную строку или утилиту конфигурации.
Далее идем практически по порядку. Но первым шагом следует изменить имя сервера на что-нибудь более информативное и удобное, в нашем случае это будет HV-CORE-2016. Затем, при необходимости, изменяем рабочую группу или присоединяем сервер к домену. Также рекомендуется добавить локального администратора, чтобы не использовать встроенную учетную запись.
Если вы хотите, чтобы ваш сервер отвечал на пинги, то следует явно разрешить такое поведение в пункте 4) Настройка удаленного управления, которое также должно быть включено.
Следующий пункт — Параметры центра обновления Windows имеют по умолчанию настройку Только скачивание, это означает, что установку обновлений вам надо будет запускать вручную. Если ваши виртуальные машины не предполагают режима работы 24/7 есть смысл рассмотреть вариант настройки Автоматически, тем более новая система обновлений предусматривает получение накопительного пакета один раз в месяц.
Затем включаем удаленный рабочий стол (пункт 7) и настраиваем сетевые параметры (пункт . Отдельным пунктом нас ожидает телеметрия (куда же без нее), полностью отключить ее невозможно, поэтому устанавливаем минимальный уровень — Безопасность.
После того, как вы настроили сеть дальнейшую работу с сервером удобнее производить по RDP, как минимум это позволить вам просто скопировать некоторые длинные команды. Но перед тем, как двигаться дальше следует скачать и установить доступные обновления (пункт 6).
В этом выпуске разработчики учли свои ошибки (в версии 2012 требовалось указывать совсем иные буквы, нежели было написано) и все параметры соответствуют указанным на экране, также, во избежание разночтений, используются только буквы латинского алфавита. Обновлений немного, всего три пакета, однако накопительный пакет старый — май 2018. Поэтому после установки обновлений их поиск следует повторить.
Действительно, теперь нам стал доступен последний накопительный пакет. Данный пример очень хорошо иллюстрирует все достоинства новой модели обновления. Чтобы привести в актуальное состояние систему, выпущенную более 2,5 лет назад, нам потребовалось всего четыре пакета обновления и менее часа времени.
Для полноценного удаленного управления данным сервером нужно включить соответствующие правила брандмауэра, для этого выйдем в командную строку и запустим оболочку PowerShell:
powershell
Цвет окна при этом останется черным, но в начале приглашения командной строки появятся буквы PS. Затем последовательно выполним следующие команды:
Enable-NetFireWallRule -DisplayName "Инструментарий управления Windows (DCOM - входящий трафик)"
Enable-NetFireWallRule -DisplayGroup "Удаленное управление журналом событий"
Enable-NetFireWallRule -DisplayGroup "Удаленное управление Windows"
Enable-NetFireWallRule -DisplayGroup "Удаленное управление томами"
Enable-NetFireWallRule -DisplayGroup "Удаленное управление брандмауэром Windows"
Enable-NetFireWallRule -DisplayGroup "Удаленное управление назначенными задачами"
для англоязычного выпуска Hyper-V эти команды будут выглядеть следующим образом:
Enable-NetFireWallRule -DisplayName "Windows Management Instrumentation (DCOM-In)"
Enable-NetFireWallRule -DisplayGroup "Remote Event Log Management"
Enable-NetFireWallRule -DisplayGroup "Remote Service Management"
Enable-NetFireWallRule -DisplayGroup "Remote Volume Management"
Enable-NetFireWallRule -DisplayGroup "Windows Firewall Remote Management"
Enable-NetFireWallRule -DisplayGroup "Remote Scheduled Tasks Management"
На этом настройку сервера можно считать законченной, и мы перейдем к настройке клиентского ПК.
Настройка клиента для работы с Hyper-V Server
Для работы с Hyper-V Server 2016 вам потребуется ПК с операционной системой Windows 10 версий Pro или Enteprise х64, иные редакции или 32-х разрядные версии не подойдут, так как в них нет возможности установить диспетчер Hyper-V.
Прежде всего проверим, что сервер доступен по своему сетевому имени, в доменной сети ему должна соответствовать A-запись на DNS-сервере, в одноранговой сети такую запись потребуется создать вручную на локальном DNS, либо добавить нужную запись в файл hosts клиентской машины, в нашем случае она выглядит следующим образом:
192.168.16.146 HV-CORE-2016
Если учетная запись под которой вы работаете на клиентском ПК отличается от учетных данных администратора Hyper-V, а это практически всегда так, даже если вы работаете в доменной сети (мы надеемся, что вы не используете в повседневной деятельности учетку Администратора домена), то следует явно указать учетные данные для соединений с сервером командой:
cmdkey /add:HV-CORE-2016 /user:Администратор /pass:MyPa$$word
В особых пояснениях данная команда не нуждается, мы указали сетевой узел и учетные данные для подключения к нему. Если вы будете подключаться к нескольким серверам, то необходимо выполнить данное действие для каждого из них.
Теперь запустим консоль PowerShell от имени Администратора и выполним следующую команду:
winrm quickconfig
Утвердительно отвечаем на все вопросы, при этом будет настроен автоматический запуск службы WinRM и созданы разрешающие правила в брандмауэре.
После чего добавим наш сервер в доверенные узлы:
Set-Item WSMan:localhostClientTrustedHosts -Value "HV-CORE-2016"
Если серверов несколько — добавляем в доверенные каждый из них.
Теперь через командную строку или команду Выполнить (Win + R) запустим оснастку dcomcnfg, в ней разверните дерево Службы компонентов — Компьютеры — Мой компьютер. После чего по щелчку правой кнопки мыши выберите Свойства и перейдите на закладку Безопасность COM — Права доступа — Изменить ограничения и в открывшемся окне установите для пользователя АНОНИМНЫЙ ВХОД права Удаленный доступ.
Теперь попробуем подключиться к удаленному серверу. Запустите оснастку Управление компьютером и щелкнув правой кнопкой на верхнем уровне выберите Подключиться к другому компьютеру.

Управлять заданиями планировщика, дисками, службами:
Единственной недоступной оснасткой останется Диспетчер устройств, при желании его можно включить, но особого смысла в этом нет, так как он будет доступен только на чтение.
Теперь установим Диспетчер Hyper-V, для этого откроем оснастку Программы и компоненты и перейдем во Включение или отключение компонентов Windows. В открывшемся окне найдем пункт Hyper-V и отметим для установки Средства управления Hyper-V.
После чего запустим установленную оснастку и подключимся к серверу Hyper-V. В первую очередь обеспечим связь наших виртуальных машин с внешним миром, для этого перейдем в Диспетчер виртуальных коммутаторов и создадим новый коммутатор с типом Внешний и укажем для него ту сетевую карту, которая смотрит в локальную сеть. Более подробно о настройке сети в Hyper-V вы можете прочитать здесь.
Для того, чтобы установить ОС на виртуальную машину нам потребуется передать на сервер Hyper-V установочный образ, это можно легко сделать через подключение к стандартным общим ресурсам, например, набрав в адресной строке проводника:
HV-CORE-2016C$
мы попадем на диск C сервера.
Мы не будем подробно рассматривать процесс создания новой виртуальной машины, но обратим внимание на некоторые моменты. Прежде всего Снимки они же Контрольные точки, это удобно для целей настройки и тестирования, но не следует использовать их в продакшене, поэтому использование снимков у рабочих виртуальных машин следует отключить (можно оставить на период настройки, но обязательно выключить перед вводом в эксплуатацию).
Также обязательно настройте поведение виртуальной машины при перезагрузке сервера. Для этого в пунктах Автоматическое действие при запуске и Автоматическое действие при завершении укажите желаемое поведение. Обратите внимание, что при выборе пункта Сохранять состояние виртуальной машины следует проверить поведение прикладного ПО в этом режиме, так как не все приложения корректно ведут себя при выходе виртуальной машины из этого режима.
Для примера мы создали новую виртуалку и без каких-либо проблем установили туда свежую Ubuntu 19.04.
Как видим, работа с Hyper-V Server 2016 не доставляет никаких сложностей, достаточно лишь один раз выполнить ряд действий по настройке сервера и клиента, в чем вам поможет данная статья.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Hyper V Server Free, установка и первоначальная настройка.
В сегодняшней статье я хочу рассказать об установке и настройке бесплатного гипервизора первого уровня(bare-metal) Hyper V Server от Microsoft.
Hyper-V Server является бесплатным продуктом от компании Microsoft и представляет из себя платформу виртуализации, устанавливаемую непосредственно на «железо»(не путать с ролью Hyper-V, которую можно установить на Windows). Скачать его можно на сайте https://www.microsoft.com/en-us/evalcenter/evaluate-hyper-v-server-2019
Не буду распространяться о достоинствах и недостатках, скажу только, что в отличие от бесплатного гипервизора ESXi, имеющего много ограничений в сравнении с платными версиями, Hyper-V Server имеет ограничение, выражающееся в отсутствии графического интерфейса и некоторые сложности в настройке. Хотя, вряд ли это можно считать существенными недостатками, ведь для управления серверами Hyper-V есть достаточно средств, в том числе и бесплатные от самой Microsoft.
Думаю, достаточно прелюдий, давайте приступим к установке.
Установка Hyper-V Server.
Установка Hyper-V Server ничем не отличается от установки Windows с графическим интерфейсом, как и установка Server Core, поэтому описывать ее еще раз я не буду.
Скажу только, что после установки вы не увидите привычный графический интерфейс. Вместо этого, будут доступны интерфейс командной строки, Powershell и утилита настройки сервера sconfig.
Итак, после установки, вам предложат сменить пароль для учетной записи Администратора, и снова, как и при установке Server Core откроется мастер настройки сервера sconfig.
К этому мастеру вы всегда можете вернуться, набрав в командной строке sconfig. Если вы закрыли все окна, открыть консоль Powershell или CMD можно из диспетчера задач, запустив его нажатием Ctrl+Shift+Esc, в меню «Файл» выбрать «Создать новую задачу» и, в открывшемся окне ввести название программы, которую хотите запустить( например powershell, cmd или notepad).
Но, вернемся к настройке. В меню sconfig все понятно, там можно сменить имя компьютера, добавить его в домен или рабочую группу, изменить сетевые настройки и т.д. Просто введите нужный пункт меню и нажмите Enter.
Я изменю имя сервера, создам еще одну учетку с правами администратора, разрешу удаленное управление(в том числе ping), удаленный доступ по RDP и настрою статический IP-адрес. Также, рекомендую скачать и установить доступные обновления. И создайте соответствующую запись на вашем ДНС-сервере или пропишите соответствие имени и IP-адреса сервера в файле hosts на машине, с которой будете управлять гипервизором.
После этого, можно подключиться к серверу по RDP. Но, подключившись к удаленному рабочему столу, мы увидим те же самые CMD и Powershell.
Для более удобного управления сервером у Microsoft есть бесплатный инструмент Windows Admin Center. Узнать о нем подробнее и скачать его можно по ссылке: https://docs.microsoft.com/ru-ru/windows-server/manage/windows-admin-center/understand/windows-admin-center
Также, управлять сервером можно с помощью Диспетчера серверов, входящего в «комплектацию» серверных операционных систем Windows Server, либо в пакет для удаленного администрирования RSAT.
Так вот, сейчас, при попытке добавить наш сервер для управления в Windows Admin Center, мы получим ошибку:
Для ее устранения нужно на клиентском компьютере, с которого производится управление сервером выполнить команду:
|
Set-Item WSMan:localhostClientTrustedHosts -Value «hvserver1» -Concatenate |
Она добавит сервер с именем «hvserver1» в список доверенных хостов на вашем клиентском компьютере. Ключ -Concatenate означает, что список нужно дополнить, а не перезаписать содержащиеся там записи.
Настройка правил файрволла на сервере:
Настройка файрволла для русскоязычной ОС:
|
Enable-NetFireWallRule -DisplayName «Инструментарий управления Windows (DCOM — входящий трафик)» Enable-NetFireWallRule -DisplayGroup «Удаленное управление журналом событий» Enable-NetFireWallRule -DisplayGroup «Удаленное управление Windows» Enable-NetFireWallRule -DisplayGroup «Удаленное управление томами» Enable-NetFireWallRule -DisplayGroup «Удаленное управление брандмауэром Windows» Enable-NetFireWallRule -DisplayGroup «Удаленное управление назначенными задачами» |
Настройка файрволла для англоязычной ОС:
|
Enable-NetFireWallRule -DisplayName «Windows Management Instrumentation (DCOM-In)» Enable-NetFireWallRule -DisplayGroup «Remote Event Log Management» Enable-NetFireWallRule -DisplayGroup «Remote Service Management» Enable-NetFireWallRule -DisplayGroup «Remote Volume Management» Enable-NetFireWallRule -DisplayGroup «Windows Firewall Remote Management» Enable-NetFireWallRule -DisplayGroup «Remote Scheduled Tasks Management» |
Разрешить удаленное управление дисками можно и так:
|
Enable-NetFirewallRule -name RVM-RPCSS-In-TCP,RVM-VDSLDR-In-TCP,RVM-VDS-In-TCP |
Отключить файрвол полностью можно командой:
|
Set-NetFirewallProfile -Profile Domain, Public, Private -Enabled False |
Разрешим удаленное управление:
и передачу учетных данных:
|
Enable-WSManCredSSP -Role server |
Будет создано правило файрвола для прослушивателя WinRM. Внимание, этот пункт завершится с ошибкой если любая из сетевых карточек имеет тип сети «публичная». Если у вас при настройке вышла такая ошибка, измените профиль этой сети командлетом Set-NetConnectionProfile и после этого запустите Enable-PSRemoting снова. Если вам нужна сетевая карточка с профилем «Публичная сеть» запустите Enable-PSRemoting с параметром -SkipNetworkProfileCheck в этом случае будут созданы правила файрвола, разрешающие доступ из общедоступных сетей в той же локальной подсети. Подробнее про PSRemoting можно прочитать здесь: https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.core/enable-psremoting?view=powershell-6
Проверить прослушивается ли порт WinRM можно командой:
также, может быть полезной команда:
|
winrm e winrm/config/listener |
Если подключение к Hyper V Server производится с компьютера, находящегося в другой локальной сети, и сервер является членом домена, проверьте разрешено ли политиками удаленное управление из этой сети. В политиках этот параметр находится по пути Конфигурация компьютера->Административные шаблоны->Компоненты Windows->Удаленное управление Windows->Служба удаленного управления Windows. Параметр Разрешить удаленное администрирование сервера средствами WinRM.
На клиентском компьютере можно выполнить команду, добавляющую учетные данные для подключения к серверу(если используются разные учетные данные).
|
cmdkey /add:HVSERVER1 /user:Администратор /pass:MyPa$$word |
и разрешим передачу учетных данных:
|
Enable-WSManCredSSP -Role client -DelegateComputer «hvserver1» |
Также, возможно, потребуется сделать следующее:
Через командную строку или команду Выполнить (Win + R) запустите оснастку dcomcnfg, в ней разверните дерево Службы компонентов — Компьютеры — Мой компьютер. После чего по щелчку правой кнопки мыши выберите Свойства и перейдите на закладку Безопасность COM — Права доступа — Изменить ограничения и в открывшемся окне установите для пользователя АНОНИМНЫЙ ВХОД права Удаленный доступ.
После этого можно будет подключиться к серверу с помощью Windows Admin Center и добавить сервер в Диспетчер серверов.
Настройка сети.
Настройку сети можно произвести из Windows Admin Center и в Диспетчере серверов. Правда, доступны не все настройки. Но тут на помощь всегда может прийти Powershell.
Например, настройку объединения сетевых карт можно сделать в Диспетчере серверов или в Powershell:
|
New-NetLbfoTeam -Name NicTeam -TeamMembers Ethernet0,Ethernet1 -TeamingMode SwitchIndependent -LoadBalancingAlgorithm Dynamic |
Изменить режим работы объединенного интерфейса можно при помощи командлета Set-NetLbfoTeam
|
Set-NetLbfoTeam -Name «NicTeam» -TeamingMode LACP |
Создать виртуальный коммутатор на основе созданного объединенного интерфейса:
|
New-VMSwitch -Name VMSwitch1 -NetAdapterName «NicTeam» -AllowManagementOS $true -Confirm:$false |
Настроить на нем IP-адрес:
|
New-NetIPAddress -InterfaceAlias «vEthernet (VMSwitch1)» -IPAddress 192.168.1.40 -PrefixLength 24 -DefaultGateway 192.168.1.1 |
Настроить днс-серверы:
|
Set-DnsClientServerAddress -InterfaceAlias «vEthernet (VMSwitch1)» -ServerAddresses 192.168.1.1,192.168.1.2 |
Вот еще несколько команд, которые могут пригодиться при настройке сети:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 |
Get-NetLbfoTeam Set-NetLbfoTeam -Name «NicTeam» -TeamingMode Lacp Remove-NetLbfoTeamNic -Team «Team-name» -VlanID «VLAN» Get-NetAdapter Rename-NetAdapter -Name «OldName» -NewName «NicTeam» Get-NetIPConfiguration Set-NetIPAddress -InterfaceAlias «vEthernet (VMSwitch1)» -IPAddress 192.168.1.70 -PrefixLength 24 Set-VMNetworkAdapterVlan -ManagementOS -Access -VlanId 100 Get-VM | Get-VMNetworkAdapter | Disconnect-VMNetworkAdapter Get-VMSwitch | Remove-VMSwitch -Force |
Ну и наконец управлять виртуальными машинами можно с помощью стандартной оснастки Hyper-V, которая доступна в составе компонентов Windows, если не ошибаюсь, с 8 версии(естественно, не Home редакции).
Для управления Hyper V Server, запустите оснастку Hyper-V и выберите «Подключиться к серверу».
В открывшемся окне выберите «Другой компьютер» и укажите имя Hyper-V Server. Если вы указали ранее учетные данные для управления сервером командой cmdkey, то просто нажмите ОК. Если нет, то выберите «Подключиться как другой пользователь» и укажите имя пользователя и пароль.
После подключения, вы сможете управлять виртуальными машинами и параметрами Hyper-V.
Хост с Hyper-V Server также может быть добавлен в Virtual Machine Manager.
Настройка DCOM для Windows 10
Содержание
- 1 ВВЕДЕНИЕ
- 2 ПЕРЕД НАСТРОЙКОЙ
- 3 НАСТРОЙКА DCOM
- 3.1 На обоих ПК
- 3.2 Настройка ПК с ОРС-сервером.
- 3.3 Настройка ПК со Scada
ВВЕДЕНИЕ
Внимание!
В настоящее время рекомендуем использовать для настройки статью DCOM Дополнительная настройка 2021
Внимание! Данное руководство подходит для настройки ПК.
Для Пульта-ПК нашего производства — не подходит, возможно появление «черного экрана»!
Данное руководство рекомендуется применять в случае необходимости организовать подключение программы АСУД.SCADA к Tekon ОРС-серверу, находящихся на разных ПК.
Приведенные рекомендации более точны, с точки зрения безоапасности, чем предыдыщая версия DCOM Дополнительная настройка.
ПЕРЕД НАСТРОЙКОЙ
Прежде чем приступать настройке необходимо учесть несколько следующих факторов:
1) На обоих компьютерах должен быть установлен оригинальный образ операционной системы Windows 10 Профессиональная (или Корпоративная).
Если на одном из ПК будет установлена ОС Windows версии Home — установка будет невозможна.
Замечание относительно брендированных версий ОС. К примеру, может попасться ноутбук с предустановленной Windows. И в свойствах его операционной системы мы увидим иконку торговой марки производителя (HP, Acer, Dell и т.д.). На рисунке, приведённом ниже, показано, где это можно увидеть.
С настройкой такой версии ОС Windows возможны проблемы (мы сталкивались с этим в процессе эксплуатации систем).
Окно свойств оригинального образа выглядят так:
2) На обоих компьютерах должны быть настроены идентичные (т. е. имеющая одинаковые имя пользователя и пароль) учетные записи.
Процесс настройки пользователей будет подробно рассмотрен далее.
НАСТРОЙКА DCOM
Далее можно приступать к настройке DCOM. Её можно разбить на два этапа:
- Настройка ПК с ОРС-сервером
- Настройка ПК со Scada
На обоих ПК
Для начала на обоих ПК необходимо настроить следующее:
Пуск — Панель управления — Брандмауэр Защитника Windows – Дополнительные параметры — Правила для входящих подключений.
Включаем два правила: «Наблюдение за виртуальной машиной (эхо-запрос — ICMPv4 — входящий трафик)» и «Наблюдение за виртуальной машиной (DCOM — входящий трафик)».
Проверить работоспособность правил, а так же корректность сетевого соединения можно следующими командами cmd с обоих сторон:
* ping <ip клиента или сервера > (должны «посыпаться» ответы) * telnet <ip клиента или сервера> 135 (после ввода должен появиться черный экран мигающим белым курсором в левом верхнем углу)
Следует иметь в виду, что клиент telnet по умолчанию выключен. Включить его можно(рекомендуется сделать это временно, только для проверки) так: Пуск — Панель управления — Программы и компоненты — Включение и отключение компонентов Windows. В открывшемся окне ставим галочку Telnet Client.
Настройка ПК с ОРС-сервером.
Зайти в Брандмауэр Защитника Windows — Дополнительные параметры — Правила для входящих подключений. Добавить два правила:
- Добавить правило: Для программы — «%SystemDrive%1TekonASUD ScadaOPC Serveropcsrv.exe», Разрешить подключение, Имя — Tekon OPC Server.
- Добавить правило: Для программы — «%SystemRoot%SysWOW64OpcEnum.exe», Разрешить подключение, Имя — Tekon OPC Enum.
Далее Пуск — Управление компьютером.
Далее Локальные пользователи и группы — Пользователи.
Создаем двух новых пользователей:
- tekon.server.1
- tekon.scada.1
пароль назначаем 0000 (или другой на ваше усмотрение) каждому, галочки ставим, как показано ниже:
Пользователя tekon.scada.1 добавляем в группы Пользователи DCOM.
Таким же образом добавляем пользователя в группу Администраторы.
Далее:
Панель управления → Администрирование -> Локальная политика безопасности →Параметры безопасности — Локальные политики — Назначение прав пользователя — Вход в качестве службы.
Добавляем туда пользователя:
- tekon.server.1
В том же окнеЖ Запретить локальный вход — добавляем пользователей
- tekon.server.1
- tekon.scada.1
В этом же окне Отказать в доступе к этому компьютеру из сети — добавляем пользователя
- tekon.server.1
Далее
Панель управления — Администрирование — Службы — Tekon OPC Server – Свойства — Вход в систему.
Ставим галочку — С учетной записью
- имя пользователя tekon.server.1
- пароль 0000.
После применения настроек необходимо перезапустить службу topcsever (Tekon OPC Server).
Далее заходим в Пуск — Панель управления — Службы компонентов — Компьютеры — Мой компьютер — Свойства — Свойства по умолчанию. Уровень проверки подлинности по умолчанию: Подключиться,Уровень олицетворения по умолчанию: Определить.
Далее, в этом же окне Службы компонентов — Компьютеры — Мой компьютер — Настройка DCOM – OPC Enum — Свойства. Во вкладке Общие сделать: Уровень проверки подлинности: По умолчанию. Во вкладке Безопасность в каждом Разрешении добавить группу Пользователи DCOM и дать ей полные права.
Теперь во вкладке Настройка DCOM ищем Tekon OPC Data Access Server (version 3.4). Открываем Свойства и делаем аналогично OPC Enum, как описано пунктом ранее. Общие сделать: Уровень проверки подлинности: По умолчанию. Во вкладке Безопасность в каждом Разрешении добавить группу Пользователи DCOM и дать ей полные права.
Настройка ПК со Scada
Заходим в Брандмауэр Защитника Windows — Дополнительные параметры — Правила для входящих подключений. Добавляем правило:Для программы — «%SystemDrive%1TekonASUD ScadaSCADAscada.exe», Разрешить подключение, Имя — Tekon Scada.
Далее Пуск -> Управление компьютером -> Локальные пользователи и группы — Пользователи. Добавляем нового пользователя:
- tekon.server.1, пароль 0000 (или другой если вы меняли его при настройке ОРС-сервера)
В свойствах этого пользователя удаляем группу Пользователи и добавляем группу Пользователи DCOM.
Далее запрещаем пользователю tekon.server.1 локальный вход. Панель урпавления -> Администрирование -> Локальная политика безопасности — Параметры безопасности -> Локальные политики -> Назначение прав доступа -> Запретить локальный вход.
Добавить пользователя: tekon.server.1
В программе Scada при регистрации орс — сервера указывать
- имя учетной записи — tekon.scada.1
- пароль — 0000
-
Question
-
На одном из серверов 2012R2 начались проблемы с доступом по сети.
Началось всё с того, что я потерял возможность подключатся оснасткой Hyper-V запущенной от пользователя с правами администратора. И теперь обратил внимание что и по WMI я не могу к серверу подключатся — пишут отказано в доступе.
Службы которые должны быть запущены — запущены. Ни каких изменений вроде не производилось. Как мне продиагностировать ошибку? Мне кажется это всё связанно…
All replies
-
В каких логах искать? В сети есть ещё один сервер тоже с 2012R2 и там всё нормально. Проблема уже несколько месяцев, не могу точно сказать про обновления. Проблемный сервер работает в режиме облегчённой оболочки…
но изначально всё было нормально. Антивирус не стоит. Брандмауэр на всех серверах настроен одинаково… -
Запустил журнал на сервере, ошибки при доступе к журналу, хотя всё показывает:
Имя журнала: Security Источник: Microsoft-Windows-Security-Auditing Дата: 07.11.2016 13:22:56 Код события: 4656 Категория задачи:Файловая система Уровень: Сведения Ключевые слова:Аудит отказа Пользователь: Н/Д Компьютер: srv-virtual4.palixa.ricbank.com Описание: Запрошен дескриптор объекта. Субъект: ИД безопасности: PALIXAmalevich admin Имя учетной записи: malevich admin Домен учетной записи: PALIXA ИД входа: 0x5622DA19 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:WindowsSystem32compmgmt.msc Код дескриптора: 0x0 Атрибуты ресурса: - Сведения о процессе: ИД процесса: 0x1fc0 Имя процесса: C:WindowsSystem32mmc.exe Сведения о запросе на доступ: Код транзакции: {00000000-0000-0000-0000-000000000000} Операции доступа: READ_CONTROL SYNCHRONIZE Запись данных (или добавление файла) Добавление данных (или добавление подкаталогов, или создание копии канала) WriteEA ReadAttributes WriteAttributes Причины доступа: READ_CONTROL: Кем выдано: D:(A;;0x1200a9;;;BA) SYNCHRONIZE: Кем выдано: D:(A;;0x1200a9;;;BA) Запись данных (или добавление файла): Не предоставлено Добавление данных (или добавление подкаталогов, или создание копии канала): Не предоставлено WriteEA: Не предоставлено ReadAttributes: Предоставлено элементом управления доступом в родительской папке D:(A;;0x1301bf;;;BA) WriteAttributes: Не предоставлено Маска доступа: 0x120196 Привилегии, используемые для проверки доступа: - Число ограниченных ИД безопасности: 0 Xml события: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> <EventID>4656</EventID> <Version>1</Version> <Level>0</Level> <Task>12800</Task> <Opcode>0</Opcode> <Keywords>0x8010000000000000</Keywords> <TimeCreated SystemTime="2016-11-07T10:22:56.428240300Z" /> <EventRecordID>2862095</EventRecordID> <Correlation /> <Execution ProcessID="976" ThreadID="960" /> <Channel>Security</Channel> <Computer>srv-virtual4.palixa.ricbank.com</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S-1-5-21-853709256-2082333563-539477523-5281</Data> <Data Name="SubjectUserName">malevich admin</Data> <Data Name="SubjectDomainName">PALIXA</Data> <Data Name="SubjectLogonId">0x5622da19</Data> <Data Name="ObjectServer">Security</Data> <Data Name="ObjectType">File</Data> <Data Name="ObjectName">C:WindowsSystem32compmgmt.msc</Data> <Data Name="HandleId">0x0</Data> <Data Name="TransactionId">{00000000-0000-0000-0000-000000000000}</Data> <Data Name="AccessList">%%1538 %%1541 %%4417 %%4418 %%4420 %%4423 %%4424 </Data> <Data Name="AccessReason">%%1538: %%1801 D:(A;;0x1200a9;;;BA) %%1541: %%1801 D:(A;;0x1200a9;;;BA) %%4417: %%1805 %%4418: %%1805 %%4420: %%1805 %%4423: %%1811 D:(A;;0x1301bf;;;BA) %%4424: %%1805 </Data> <Data Name="AccessMask">0x120196</Data> <Data Name="PrivilegeList">-</Data> <Data Name="RestrictedSidCount">0</Data> <Data Name="ProcessId">0x1fc0</Data> <Data Name="ProcessName">C:WindowsSystem32mmc.exe</Data> <Data Name="ResourceAttributes">-</Data> </EventData> </Event>Имя журнала: Security Источник: Microsoft-Windows-Security-Auditing Дата: 07.11.2016 13:22:56 Код события: 4656 Категория задачи:Файловая система Уровень: Сведения Ключевые слова:Аудит отказа Пользователь: Н/Д Компьютер: srv-virtual4.palixa.ricbank.com Описание: Запрошен дескриптор объекта. Субъект: ИД безопасности: PALIXAmalevich admin Имя учетной записи: malevich admin Домен учетной записи: PALIXA ИД входа: 0x5622DA19 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:WindowsSystem32compmgmt.msc Код дескриптора: 0x0 Атрибуты ресурса: - Сведения о процессе: ИД процесса: 0x1fc0 Имя процесса: C:WindowsSystem32mmc.exe Сведения о запросе на доступ: Код транзакции: {00000000-0000-0000-0000-000000000000} Операции доступа: READ_CONTROL SYNCHRONIZE Запись данных (или добавление файла) Добавление данных (или добавление подкаталогов, или создание копии канала) WriteEA ReadAttributes WriteAttributes Причины доступа: READ_CONTROL: Кем выдано: D:(A;;0x1200a9;;;BA) SYNCHRONIZE: Кем выдано: D:(A;;0x1200a9;;;BA) Запись данных (или добавление файла): Не предоставлено Добавление данных (или добавление подкаталогов, или создание копии канала): Не предоставлено WriteEA: Не предоставлено ReadAttributes: Предоставлено элементом управления доступом в родительской папке D:(A;;0x1301bf;;;BA) WriteAttributes: Не предоставлено Маска доступа: 0x120196 Привилегии, используемые для проверки доступа: - Число ограниченных ИД безопасности: 0 Xml события: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> <EventID>4656</EventID> <Version>1</Version> <Level>0</Level> <Task>12800</Task> <Opcode>0</Opcode> <Keywords>0x8010000000000000</Keywords> <TimeCreated SystemTime="2016-11-07T10:22:56.428240300Z" /> <EventRecordID>2862096</EventRecordID> <Correlation /> <Execution ProcessID="976" ThreadID="960" /> <Channel>Security</Channel> <Computer>srv-virtual4.palixa.ricbank.com</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S-1-5-21-853709256-2082333563-539477523-5281</Data> <Data Name="SubjectUserName">malevich admin</Data> <Data Name="SubjectDomainName">PALIXA</Data> <Data Name="SubjectLogonId">0x5622da19</Data> <Data Name="ObjectServer">Security</Data> <Data Name="ObjectType">File</Data> <Data Name="ObjectName">C:WindowsSystem32compmgmt.msc</Data> <Data Name="HandleId">0x0</Data> <Data Name="TransactionId">{00000000-0000-0000-0000-000000000000}</Data> <Data Name="AccessList">%%1538 %%1541 %%4417 %%4418 %%4420 %%4423 %%4424 </Data> <Data Name="AccessReason">%%1538: %%1801 D:(A;;0x1200a9;;;BA) %%1541: %%1801 D:(A;;0x1200a9;;;BA) %%4417: %%1805 %%4418: %%1805 %%4420: %%1805 %%4423: %%1811 D:(A;;0x1301bf;;;BA) %%4424: %%1805 </Data> <Data Name="AccessMask">0x120196</Data> <Data Name="PrivilegeList">-</Data> <Data Name="RestrictedSidCount">0</Data> <Data Name="ProcessId">0x1fc0</Data> <Data Name="ProcessName">C:WindowsSystem32mmc.exe</Data> <Data Name="ResourceAttributes">-</Data> </EventData> </Event>Имя журнала: Security Источник: Microsoft-Windows-Security-Auditing Дата: 07.11.2016 13:26:22 Код события: 4656 Категория задачи:Файловая система Уровень: Сведения Ключевые слова:Аудит отказа Пользователь: Н/Д Компьютер: srv-virtual4.palixa.ricbank.com Описание: Запрошен дескриптор объекта. Субъект: ИД безопасности: PALIXAmalevich admin Имя учетной записи: malevich admin Домен учетной записи: PALIXA ИД входа: 0x5622DA19 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:ProgramDataMicrosoftEvent ViewerViewsServerRolesVirtualization.Events.xml Код дескриптора: 0x0 Атрибуты ресурса: - Сведения о процессе: ИД процесса: 0x18f4 Имя процесса: C:WindowsSystem32mmc.exe Сведения о запросе на доступ: Код транзакции: {00000000-0000-0000-0000-000000000000} Операции доступа: READ_CONTROL SYNCHRONIZE Запись данных (или добавление файла) Добавление данных (или добавление подкаталогов, или создание копии канала) WriteEA ReadAttributes WriteAttributes Причины доступа: READ_CONTROL: Кем выдано: D:(A;;0x1200a9;;;BA) SYNCHRONIZE: Кем выдано: D:(A;;0x1200a9;;;BA) Запись данных (или добавление файла): Не предоставлено Добавление данных (или добавление подкаталогов, или создание копии канала): Не предоставлено WriteEA: Не предоставлено ReadAttributes: Предоставлено элементом управления доступом в родительской папке D:(A;;0x1301bf;;;BA) WriteAttributes: Не предоставлено Маска доступа: 0x120196 Привилегии, используемые для проверки доступа: - Число ограниченных ИД безопасности: 0 Xml события: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> <EventID>4656</EventID> <Version>1</Version> <Level>0</Level> <Task>12800</Task> <Opcode>0</Opcode> <Keywords>0x8010000000000000</Keywords> <TimeCreated SystemTime="2016-11-07T10:26:22.183791700Z" /> <EventRecordID>2862099</EventRecordID> <Correlation /> <Execution ProcessID="976" ThreadID="960" /> <Channel>Security</Channel> <Computer>srv-virtual4.palixa.ricbank.com</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S-1-5-21-853709256-2082333563-539477523-5281</Data> <Data Name="SubjectUserName">malevich admin</Data> <Data Name="SubjectDomainName">PALIXA</Data> <Data Name="SubjectLogonId">0x5622da19</Data> <Data Name="ObjectServer">Security</Data> <Data Name="ObjectType">File</Data> <Data Name="ObjectName">C:ProgramDataMicrosoftEvent ViewerViewsServerRolesVirtualization.Events.xml</Data> <Data Name="HandleId">0x0</Data> <Data Name="TransactionId">{00000000-0000-0000-0000-000000000000}</Data> <Data Name="AccessList">%%1538 %%1541 %%4417 %%4418 %%4420 %%4423 %%4424 </Data> <Data Name="AccessReason">%%1538: %%1801 D:(A;;0x1200a9;;;BA) %%1541: %%1801 D:(A;;0x1200a9;;;BA) %%4417: %%1805 %%4418: %%1805 %%4420: %%1805 %%4423: %%1811 D:(A;;0x1301bf;;;BA) %%4424: %%1805 </Data> <Data Name="AccessMask">0x120196</Data> <Data Name="PrivilegeList">-</Data> <Data Name="RestrictedSidCount">0</Data> <Data Name="ProcessId">0x18f4</Data> <Data Name="ProcessName">C:WindowsSystem32mmc.exe</Data> <Data Name="ResourceAttributes">-</Data> </EventData> </Event>Имя журнала: Security Источник: Microsoft-Windows-Security-Auditing Дата: 07.11.2016 13:26:22 Код события: 4656 Категория задачи:Файловая система Уровень: Сведения Ключевые слова:Аудит отказа Пользователь: Н/Д Компьютер: srv-virtual4.palixa.ricbank.com Описание: Запрошен дескриптор объекта. Субъект: ИД безопасности: PALIXAmalevich admin Имя учетной записи: malevich admin Домен учетной записи: PALIXA ИД входа: 0x5622DA19 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:ProgramDataMicrosoftEvent ViewerViewsServerRolesRemoteDesktop.Events.xml Код дескриптора: 0x0 Атрибуты ресурса: - Сведения о процессе: ИД процесса: 0x18f4 Имя процесса: C:WindowsSystem32mmc.exe Сведения о запросе на доступ: Код транзакции: {00000000-0000-0000-0000-000000000000} Операции доступа: READ_CONTROL SYNCHRONIZE Запись данных (или добавление файла) Добавление данных (или добавление подкаталогов, или создание копии канала) WriteEA ReadAttributes WriteAttributes Причины доступа: READ_CONTROL: Кем выдано: D:(A;;0x1200a9;;;BA) SYNCHRONIZE: Кем выдано: D:(A;;0x1200a9;;;BA) Запись данных (или добавление файла): Не предоставлено Добавление данных (или добавление подкаталогов, или создание копии канала): Не предоставлено WriteEA: Не предоставлено ReadAttributes: Предоставлено элементом управления доступом в родительской папке D:(A;;0x1301bf;;;BA) WriteAttributes: Не предоставлено Маска доступа: 0x120196 Привилегии, используемые для проверки доступа: - Число ограниченных ИД безопасности: 0 Xml события: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> <EventID>4656</EventID> <Version>1</Version> <Level>0</Level> <Task>12800</Task> <Opcode>0</Opcode> <Keywords>0x8010000000000000</Keywords> <TimeCreated SystemTime="2016-11-07T10:26:22.183791700Z" /> <EventRecordID>2862100</EventRecordID> <Correlation /> <Execution ProcessID="976" ThreadID="960" /> <Channel>Security</Channel> <Computer>srv-virtual4.palixa.ricbank.com</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S-1-5-21-853709256-2082333563-539477523-5281</Data> <Data Name="SubjectUserName">malevich admin</Data> <Data Name="SubjectDomainName">PALIXA</Data> <Data Name="SubjectLogonId">0x5622da19</Data> <Data Name="ObjectServer">Security</Data> <Data Name="ObjectType">File</Data> <Data Name="ObjectName">C:ProgramDataMicrosoftEvent ViewerViewsServerRolesRemoteDesktop.Events.xml</Data> <Data Name="HandleId">0x0</Data> <Data Name="TransactionId">{00000000-0000-0000-0000-000000000000}</Data> <Data Name="AccessList">%%1538 %%1541 %%4417 %%4418 %%4420 %%4423 %%4424 </Data> <Data Name="AccessReason">%%1538: %%1801 D:(A;;0x1200a9;;;BA) %%1541: %%1801 D:(A;;0x1200a9;;;BA) %%4417: %%1805 %%4418: %%1805 %%4420: %%1805 %%4423: %%1811 D:(A;;0x1301bf;;;BA) %%4424: %%1805 </Data> <Data Name="AccessMask">0x120196</Data> <Data Name="PrivilegeList">-</Data> <Data Name="RestrictedSidCount">0</Data> <Data Name="ProcessId">0x18f4</Data> <Data Name="ProcessName">C:WindowsSystem32mmc.exe</Data> <Data Name="ResourceAttributes">-</Data> </EventData> </Event>Вот WMI
С моего компьютера:
Имя журнала: Microsoft-Windows-WMI-Activity/Operational Источник: Microsoft-Windows-WMI-Activity Дата: 07.11.2016 11:02:44 Код события: 5858 Категория задачи:Отсутствует Уровень: Ошибка Ключевые слова: Пользователь: СИСТЕМА Компьютер: wks088.palixa.ricbank.com Описание: Id = {E0B47739-E1D5-49D8-8982-7EF0C1A908B9}; ClientMachine = WKS088; User = PALIXAmalevich pavel; ClientProcessId = 14048; Component = Unknown; Operation = Start IWbemServices::GetObject - rootcimv2 : .ROOTcimv2:Win32_Service.Name="vmms"; ResultCode = 0x80041002; PossibleCause = Unknown Xml события: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-WMI-Activity" Guid="{1418EF04-B0B4-4623-BF7E-D74AB47BBDAA}" /> <EventID>5858</EventID> <Version>0</Version> <Level>2</Level> <Task>0</Task> <Opcode>0</Opcode> <Keywords>0x4000000000000000</Keywords> <TimeCreated SystemTime="2016-11-07T08:02:44.943140100Z" /> <EventRecordID>2861</EventRecordID> <Correlation /> <Execution ProcessID="1368" ThreadID="7572" /> <Channel>Microsoft-Windows-WMI-Activity/Operational</Channel> <Computer>wks088.palixa.ricbank.com</Computer> <Security UserID="S-1-5-18" /> </System> <UserData> <Operation_ClientFailure xmlns="http://manifests.microsoft.com/win/2006/windows/WMI"> <Id>{E0B47739-E1D5-49D8-8982-7EF0C1A908B9}</Id> <ClientMachine>WKS088</ClientMachine> <User>PALIXAmalevich pavel</User> <ClientProcessId>14048</ClientProcessId> <Component>Unknown</Component> <Operation>Start IWbemServices::GetObject - rootcimv2 : .ROOTcimv2:Win32_Service.Name="vmms"</Operation> <ResultCode>0x80041002</ResultCode> <PossibleCause>Unknown</PossibleCause> </Operation_ClientFailure> </UserData> </Event>На сервере ошибок в журнале WMI-Activity при попытке подключения нет.
-
Попробовать рекомендации из статьи:
https://blogs.technet.microsoft.com/askperf/2014/08/08/wmi-repository-corruption-or-not/
На проблемном сервере:
Winmgmt /verifyrepository , если INCONSISTENT , то выполнить: Winmgmt /salvagerepository Restart-Service Winmgmt -Force
Если не промогло:
net stop winmgmt /y Winmgmt /resetrepositoy
-
Edited by
Monday, November 7, 2016 11:09 AM
-
Edited by
-
C:Usersmalevich admin>Winmgmt /verifyrepository
База данных WMI согласована -
С удаленного компьютера в PowerShell(Run As Administrator):
Get-WmiObject Win32_OperatingSystem -Comp srv-virtual4.palixa.ricbank.com
и локально с srv-virtual4.palixa.ricbank.com под тем-же пользователем:
whoami /groups Get-WmiObject Win32_OperatingSystem
-
Edited by
Kazun
Monday, November 7, 2016 11:21 AM
-
Edited by
-
Удалённо:
PS C:WINDOWSsystem32> Get-WmiObject Win32_OperatingSystem -Comp srv-virtual4.palixa.ricbank.com Get-WmiObject : Отказано в доступе. (Исключение из HRESULT: 0x80070005 (E_ACCESSDENIED)) строка:1 знак:1 + Get-WmiObject Win32_OperatingSystem -Comp srv-virtual4.palixa.ricbank ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : NotSpecified: (:) [Get-WmiObject], UnauthorizedAccessException + FullyQualifiedErrorId : System.UnauthorizedAccessException,Microsoft.PowerShell.Commands.GetWmiObjectCommandНа сервере:
(C) Корпорация Майкрософт (Microsoft Corporation), 2014. Все права защищены. PS C:Usersmalevich admin> Get-WmiObject Win32_OperatingSystem -Comp srv-virtua l4.palixa.ricbank.com SystemDirectory : C:Windowssystem32 Organization : BuildNumber : 9600 RegisteredUser : Пользователь Windows SerialNumber : 00253-40120-82476-AA166 Version : 6.3.9600
-
Если удаленно добавить и попробовать вместо рабочей станции, другой сервер для запроса:
Get-WmiObject Win32_OperatingSystem -Comp srv-virtual4.palixa.ricbank.com -Credential ""
На wks088.palixa.ricbank.com работает команда:
Get-WmiObject Win32_OperatingSystem
Где вывод с удаленного сервера с учеткой админа:
whoami /groups
-
Edited by
Kazun
Monday, November 7, 2016 12:35 PM
-
Edited by
-
Первое не понял?
2.
PS C:WINDOWSsystem32> Get-WmiObject Win32_OperatingSystem SystemDirectory : C:WINDOWSsystem32 Organization : BuildNumber : 14393 RegisteredUser : root SerialNumber : 00330-80000-00000-AA464 Version : 10.0.14393
3.
Сведения о группах ----------------- Группа Тип SID Атрибуты ========================================================= ======================= ============================================ =============================================================================== PALIXAАдминистраторы домена Группа S-1-5-21-853709256-2082333563-539477523-512 Обязательная группа, Включены по умолчанию, Включенная группа Все Хорошо известная группа S-1-1-0 Обязательная группа, Включены по умолчанию, Включенная группа BUILTINАдминистраторы Псевдоним S-1-5-32-544 Обязательная группа, Включены по умолчанию, Включенная группа, Владелец группы BUILTINАдминистраторы Hyper-V Псевдоним S-1-5-32-578 Обязательная группа, Включены по умолчанию, Включенная группа BUILTINПользователи удаленного управления Псевдоним S-1-5-32-580 Обязательная группа, Включены по умолчанию, Включенная группа BUILTINПользователи Псевдоним S-1-5-32-545 Обязательная группа, Включены по умолчанию, Включенная группа NT AUTHORITYREMOTE INTERACTIVE LOGON Хорошо известная группа S-1-5-14 Обязательная группа, Включены по умолчанию, Включенная группа NT AUTHORITYИНТЕРАКТИВНЫЕ Хорошо известная группа S-1-5-4 Обязательная группа, Включены по умолчанию, Включенная группа NT AUTHORITYПрошедшие проверку Хорошо известная группа S-1-5-11 Обязательная группа, Включены по умолчанию, Включенная группа NT AUTHORITYДанная организация Хорошо известная группа S-1-5-15 Обязательная группа, Включены по умолчанию, Включенная группа ЛОКАЛЬНЫЕ Хорошо известная группа S-1-2-0 Обязательная группа, Включены по умолчанию, Включенная группа PALIXAУдалённые помощники Группа S-1-5-21-853709256-2082333563-539477523-5182 Обязательная группа, Включены по умолчанию, Включенная группа PALIXAБез сертификата Группа S-1-5-21-853709256-2082333563-539477523-5153 Обязательная группа, Включены по умолчанию, Включенная группа PALIXAMikrotik Admins Группа S-1-5-21-853709256-2082333563-539477523-5266 Обязательная группа, Включены по умолчанию, Включенная группа PALIXAWD-Fileserver Группа S-1-5-21-853709256-2082333563-539477523-5163 Обязательная группа, Включены по умолчанию, Включенная группа PALIXAКБР Администраторы Группа S-1-5-21-853709256-2082333563-539477523-7107 Обязательная группа, Включены по умолчанию, Включенная группа PALIXASQL Администраторы Группа S-1-5-21-853709256-2082333563-539477523-5206 Обязательная группа, Включены по умолчанию, Включенная группа PALIXAit Группа S-1-5-21-853709256-2082333563-539477523-2186 Обязательная группа, Включены по умолчанию, Включенная группа PALIXAКБР Администраторы ИБ Группа S-1-5-21-853709256-2082333563-539477523-7108 Обязательная группа, Включены по умолчанию, Включенная группа PALIXAPublic Folder Management Группа S-1-5-21-853709256-2082333563-539477523-4107 Обязательная группа, Включены по умолчанию, Включенная группа PALIXAHelp Desk Группа S-1-5-21-853709256-2082333563-539477523-4111 Обязательная группа, Включены по умолчанию, Включенная группа PALIXADiscovery Management Группа S-1-5-21-853709256-2082333563-539477523-4113 Обязательная группа, Включены по умолчанию, Включенная группа PALIXAАдминистраторы схемы Группа S-1-5-21-853709256-2082333563-539477523-518 Обязательная группа, Включены по умолчанию, Включенная группа PALIXAImport Export Admins Группа S-1-5-21-853709256-2082333563-539477523-5253 Обязательная группа, Включены по умолчанию, Включенная группа PALIXAKse Security Officers Группа S-1-5-21-853709256-2082333563-539477523-5310 Обязательная группа, Включены по умолчанию, Включенная группа PALIXAServer Management Группа S-1-5-21-853709256-2082333563-539477523-4114 Обязательная группа, Включены по умолчанию, Включенная группа PALIXAАдминистраторы предприятия Группа S-1-5-21-853709256-2082333563-539477523-519 Обязательная группа, Включены по умолчанию, Включенная группа PALIXARecipient Management Группа S-1-5-21-853709256-2082333563-539477523-4108 Обязательная группа, Включены по умолчанию, Включенная группа PALIXAUM Management Группа S-1-5-21-853709256-2082333563-539477523-4110 Обязательная группа, Включены по умолчанию, Включенная группа PALIXARecords Management Группа S-1-5-21-853709256-2082333563-539477523-4112 Обязательная группа, Включены по умолчанию, Включенная группа PALIXAgrdata Группа S-1-5-21-853709256-2082333563-539477523-2374 Обязательная группа, Включены по умолчанию, Включенная группа PALIXAKse Administrators Группа S-1-5-21-853709256-2082333563-539477523-5309 Обязательная группа, Включены по умолчанию, Включенная группа PALIXAHygiene Management Группа S-1-5-21-853709256-2082333563-539477523-4116 Обязательная группа, Включены по умолчанию, Включенная группа PALIXAOrganization Management Группа S-1-5-21-853709256-2082333563-539477523-4106 Обязательная группа, Включены по умолчанию, Включенная группа Подтвержденное центром проверки подлинности удостоверение Хорошо известная группа S-1-18-1 Обязательная группа, Включены по умолчанию, Включенная группа PALIXAГруппа с запрещением репликации паролей RODC Псевдоним S-1-5-21-853709256-2082333563-539477523-572 Обязательная группа, Включены по умолчанию, Включенная группа, Локальная группа Обязательная меткаВысокий обязательный уровень Метка S-1-16-12288
-
C wks088.palixa.ricbank.com:
Get-WmiObject Win32_OperatingSystem -Comp srv-virtual4.palixa.ricbank.com -Credential ""
Взять другую станцию/сервер:
Get-WmiObject Win32_OperatingSystem -Comp srv-virtual4.palixa.ricbank.com -Credential ""
-
Запросило логин и пароль, ввёл и взял…
PS C:WINDOWSsystem32> Get-WmiObject Win32_OperatingSystem -Comp srv-virtual3.palixa.ricbank.com -Credential "" SystemDirectory : C:Windowssystem32 Organization : BuildNumber : 9600 RegisteredUser : Пользователь Windows SerialNumber : 00252-60122-53514-AA283 Version : 6.3.9600 PS C:WINDOWSsystem32>
-
Я имел ввиду, зайти на srv-virtual3.palixa.ricbank.com и выполнить:
Get-WmiObject Win32_OperatingSystem -Comp srv-virtual4.palixa.ricbank.com
или
Get-WmiObject Win32_OperatingSystem -Comp srv-virtual4.palixa.ricbank.com -Credential ""
-
PS>Get-WmiObject Win32_OperatingSystem -Comp srv-virtual4.palixa.ricbank.com Get-WmiObject : Отказано в доступе. (Исключение из HRESULT: 0x80070005 (E_ACCESSDENIED)) строка:1 знак:1 + Get-WmiObject Win32_OperatingSystem -Comp srv-virtual4.palixa.ricbank.com + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : NotSpecified: (:) [Get-WmiObject], UnauthorizedAccessException + FullyQualifiedErrorId : System.UnauthorizedAccessException,Microsoft.PowerShell.Commands.GetWmiObjectCommandPS C:Windowssystem32> Get-WmiObject Win32_OperatingSystem -Comp srv-virtual4.palixa.ricbank.com -Credential "" Get-WmiObject : Отказано в доступе. (Исключение из HRESULT: 0x80070005 (E_ACCESSDENIED)) строка:1 знак:1 + Get-WmiObject Win32_OperatingSystem -Comp srv-virtual4.palixa.ricbank.com -Crede ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : NotSpecified: (:) [Get-WmiObject], UnauthorizedAccessException + FullyQualifiedErrorId : System.UnauthorizedAccessException,Microsoft.PowerShell.Commands.GetWmiObjectCommand -
Скачать утилиту на https://www.microsoft.com/en-us/download/details.aspx?id=7684 на srv-virtual4 , выполнить в консоли с Run As Administator:
CSCRIPT С:WMIDIAGWMIDiag.vbs
-
Опана… случайно не из за этого не работает?:
41807 16:50:23 (0) ** Windows Firewall 'Windows Management Instrumentation (WMI)' group rule: ............................................. DISABLED.
https://yadi.sk/d/-MYvisotyDfi6
-
Edited by
Fafofu
Monday, November 7, 2016 1:56 PM
-
Edited by
-
Firewall — включить.
И проверить в DCOMCNFG.EXE назначение прав группе Администраторы:
https://social.technet.microsoft.com/Forums/office/en-US/4f33837b-1cb1-4648-85b1-3ba87cbfe93e/wmi-remote-access-denied?forum=winserverManagement
Dcomcnfg -> Expand Component Service -> Computers -> My computer -> COM Security Tab
Dcomcnfg -> Expand Component Service -> Computers -> My computer -> «DCOM Config» -> Windows Management and Instruments -
В DCOMCNFG.EXE всё уже проверял, там все права есть.
А как называется правило в русской винде брандмауэера?
-
Edited by
Fafofu
Tuesday, November 8, 2016 6:38 AM
-
Edited by
-
Для начала эти:
Инструментарий управления Windows (DCOM - входящий трафик) Инструментарий управления Windows (WMI - входящий трафик) Клиенты управления Hyper-V - WMI (DCOM-вход.) Клиенты управления Hyper-V - WMI (TCP-вход.) Клиенты управления Hyper-V - WMI (асинх.-вход.)
-
Вот правила текущие: https://yadi.sk/i/hSfZ3aa6yFiam
virtual3 и virtual4 лежат в дереве домена в одном объекте. т.е. к ним применяются одинаковые политики…
Короче всё ещё доступ запрещён.
-
Я обнаружил, что у меня отсутствует файл appinfo.dll
-
Можно сделать проверку: Sfc /scannow
-
Скопировать с рабочей системы:
C:WindowsSystem32ru-RUappinfo.dll.mui
C:WindowsSystem32appinfo.dll -
Готово. Текст отобразился… с WMI всё ещё воюю…. а и DPM тоже не смог подключится, хотя даже агент установлен… Что за чертовщина твориться…
-
Папки ru-ru отличаются по размеру на серверах… на виртуал 4 она меньше…
-
Явно какая-то проблема с тем как сервер определяет безопасность… Вот ошибка при открытии «Управление компьютером»
Имя журнала: Security Источник: Microsoft-Windows-Security-Auditing Дата: 09.11.2016 12:33:31 Код события: 4656 Категория задачи:Файловая система Уровень: Сведения Ключевые слова:Аудит отказа Пользователь: Н/Д Компьютер: srv-virtual4.palixa.ricbank.com Описание: Запрошен дескриптор объекта. Субъект: ИД безопасности: PALIXAmalevich admin Имя учетной записи: malevich admin Домен учетной записи: PALIXA ИД входа: 0x49E32D9 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:WindowsSystem32compmgmt.msc Код дескриптора: 0x0 Атрибуты ресурса: - Сведения о процессе: ИД процесса: 0x23a0 Имя процесса: C:WindowsSystem32mmc.exe Сведения о запросе на доступ: Код транзакции: {00000000-0000-0000-0000-000000000000} Операции доступа: READ_CONTROL SYNCHRONIZE Запись данных (или добавление файла) Добавление данных (или добавление подкаталогов, или создание копии канала) WriteEA ReadAttributes WriteAttributes Причины доступа: READ_CONTROL: Кем выдано: D:(A;;0x1200a9;;;BA) SYNCHRONIZE: Кем выдано: D:(A;;0x1200a9;;;BA) Запись данных (или добавление файла): Не предоставлено Добавление данных (или добавление подкаталогов, или создание копии канала): Не предоставлено WriteEA: Не предоставлено ReadAttributes: Предоставлено элементом управления доступом в родительской папке D:(A;;0x1301bf;;;BA) WriteAttributes: Не предоставлено Маска доступа: 0x120196 Привилегии, используемые для проверки доступа: - Число ограниченных ИД безопасности: 0 Xml события: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> <EventID>4656</EventID> <Version>1</Version> <Level>0</Level> <Task>12800</Task> <Opcode>0</Opcode> <Keywords>0x8010000000000000</Keywords> <TimeCreated SystemTime="2016-11-09T09:33:31.679589700Z" /> <EventRecordID>2968571</EventRecordID> <Correlation /> <Execution ProcessID="984" ThreadID="200" /> <Channel>Security</Channel> <Computer>srv-virtual4.palixa.ricbank.com</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S-1-5-21-853709256-2082333563-539477523-5281</Data> <Data Name="SubjectUserName">malevich admin</Data> <Data Name="SubjectDomainName">PALIXA</Data> <Data Name="SubjectLogonId">0x49e32d9</Data> <Data Name="ObjectServer">Security</Data> <Data Name="ObjectType">File</Data> <Data Name="ObjectName">C:WindowsSystem32compmgmt.msc</Data> <Data Name="HandleId">0x0</Data> <Data Name="TransactionId">{00000000-0000-0000-0000-000000000000}</Data> <Data Name="AccessList">%%1538 %%1541 %%4417 %%4418 %%4420 %%4423 %%4424 </Data> <Data Name="AccessReason">%%1538: %%1801 D:(A;;0x1200a9;;;BA) %%1541: %%1801 D:(A;;0x1200a9;;;BA) %%4417: %%1805 %%4418: %%1805 %%4420: %%1805 %%4423: %%1811 D:(A;;0x1301bf;;;BA) %%4424: %%1805 </Data> <Data Name="AccessMask">0x120196</Data> <Data Name="PrivilegeList">-</Data> <Data Name="RestrictedSidCount">0</Data> <Data Name="ProcessId">0x23a0</Data> <Data Name="ProcessName">C:WindowsSystem32mmc.exe</Data> <Data Name="ResourceAttributes">-</Data> </EventData> </Event>НО! При этом «Управление компьютером» открывается и всё там доступно!
-
Проблема распространяется! Я перерегистрировал все «dll» в папке «system32» и теперь перестало пускать по «RDP», при подключении пишет, что компьютер не доступен!
В логах пояилась ошибка «WMI» 201
-
Вы же не читали что я писал выше да? Я там тонну логов скинул, зачем спрашивается. Антивирус удаляли уже. Крипто провайдеры — нет. Завтра напишу. Сервер нужно перезагрузить.
-
RDP заработало. При проверки целостности базы ошибок нет…
C:Windowssystem32>winmgmt /verifyrepository База данных WMI согласована C:Windowssystem32>Winmgmt /salvagerepository База данных WMI согласована
Но по WMI всё равно не могу подключится. Ещё и обновления пишут ошибку:
Тема: Simple-Scada + Windows 10 + CX-Server OPC не запускается OPC сервер (Прочитано 3166 раз)
Добрый день!
Два года назад делал идентичный проект: Simple-Scada + Windows 10 + CX-Server OPC + ПЛК Omron. Все работало и работает. В этом году несколько проектов такого же плана, но возникла проблема: при запуске проекта на Simple-Scada сервере, на вкладке OPC-серверы появляется требуемый OPC сервер, но его состояние отображается как неактивный. И сам CX-Servrer OPC не запускается…
Если запустить CX-Server OPC вручную, то сервер скады подхватывает соединение и начинает тянуть с него данные.
Предполагаю, что дело в WIndows 10. Может была похожая проблема? Как с ней бороться? Ведь при обращении к OPC серверу из приложения, он должен стартовать самостоятельно…

Здравствуйте.
Вы устанавливали компоненты OPC Core Components? Скачать можно здесь (после установки перезагрузите компьютер).
« Изменён: 20 Сентября 2018, 09:42:37 от Simple-Scada »

Скачал, установил… не помогло…
Вот еще одно наблюдение, может поможет: в редакторе — редакторе переменных нажимаю кнопку OPC DA, справа в списке появляется мой сервер OMRON.OpenDataServer.1, но при попытке его открыть сразу выдается ошибка:
Ошибка при попытке подключения к
OPC-серверу
«OMRON.OpenDataServer.1» для чтения списка тегов
« Изменён: 20 Сентября 2018, 10:01:16 от Izergill »

Если Вы установили 64-битную версию, то удалите её и попробуйте скачать и установить версию x86, затем перезагрузить компьютер.
« Изменён: 20 Сентября 2018, 10:04:29 от Simple-Scada »

Даже если у меня 64-разрядная система?

Да. 64-битную версию удалите.

Удалил 64-битную, перезагрузился, установил х86, перезагрузил, но опять не помоголо

Попробуйте запустить ОРС-сервер и скаду от имени администратора, у меня была такая же проблема с InSAT MasterOPC + Windows 10.

Дело в том, что если я запущу OPC сервер даже не от имени Администратора, все будет работать.
Но, он должен сам запускаться, когда скада запрашивает у него данные…
А он этого не делает.

Дело в том, что если я запущу OPC сервер даже не от имени Администратора, все будет работать.
Но, он должен сам запускаться, когда скада запрашивает у него данные…
А он этого не делает.
Насколько я понял у вас в редакторе переменных тоже нет доступа к этому ОРС, значит и при запуске скады не будет он стартовать. Когда соединится в редакторе, тогда и заработает

Izergill, скачали CX-Server v1.22 на компьютер с Windows 10 x64 + OPC Core Components x86 (именно эти компоненты нужны, т.к. OPC-сервер и скада являются 32-битными). Выполнили установку сервера от имени администратора. После установки перезагрузили компьютер. После этого сервер успешно запускается скадой и с него успешно считываются теги. Может быть у Вас есть какие-то ограничения в правах. Попробуйте выполнить установку от администратора, либо запустить сам редактор скады от имени администратора.

На моем ноутбуке помог только возврат WIn10 в исходное состояние и установка по алгоритму в предыдущем посте. Спасибо за помощь!

Содержание
- DCOM Дополнительная настройка 2021
- Содержание
- Введение
- Настройка ПК с ОРС-сервером
- Настройка DCOM на уровне компьютера
- Настройка пользователей Server и Scada.
- Пользователь Server
- Пользователь Scada
- Права DCOM компонентам OpcEnum и Tekon OPC Server
- Настройка OpcEnum
- Настройка Tekon OPC Server
- Настройка брандмауэра Windows
- Замечание относительно версий АСУД.SCADA до 2.7.3
- Настройка ПК со Scada
- Настройка пользователей и предоставление прав
- Настройка Брандмауэра Windows
- Регистрация Tekon ОРС-сервера в АСУД.SCADA
- ASUD Scada и ОРС-сервер установлены на одном ПК
- ASUD Scada и ОРС-сервер установлены на разных ПК
- DCOM ошибки и их решения
- Настройка DCOM для OPC на Windows 7
- Общий план работ
- Введение
- Проверка OPC локально
- Отключение брандмауэра
- Настройка пользователей
- Настройка DCOM
- Настройка OpcEnum для работы через DCOM
- Настройка целевого OPC-сервера для работы через DCOM
Содержание
Введение
Данное руководство рекомендуется применять в случае, когда требуется организовать подключение программы АСУД.SCADA к Tekon ОРС-серверу, находящихся на разных ПК.
Статья подходит для ПК с операционной системой
- Windows 8 «Профессиональная» или «Корпоративная»
- Windows 10 «Профессиональная» или «Корпоративная»
Инструкция так же подходит для пульта АСУД-248-ПК с ОС
- Windows 8 Embedded,
- Windows 10 Embedded.
Инструкция может применяться ко всем версиям АСУД.SCADA
(при настройке подключения в АСУД.SCADA версий до 2.7.2 включительно, следует обратить внимание на замечание в разделе конфигурирования ОРС-сервера).
Настройка ПК с ОРС-сервером
Настройка DCOM на уровне компьютера
- Нажимаем Win+R или «Пуск-меню — Выполнить».
- В строке пишем dcomcnfg и нажимаем «Enter».
- В открывшемся окне ищем вкладку «Службы компонентов — Компьютеры — Мой компьютер».
- Нажимаем правой кнопкой мыши на «Мой компьютер» и нажимаем «Свойства».
«Свойства по умолчанию». Выставляем, как показано на рисунке
В разделе «Разрешение на запуск и активацию» нажать «Изменить ограничения».
Добавить группу «Distrebuted COM Users» или «Пользователи DCOM». И дать ей полные права.
Настройка пользователей Server и Scada.
Пользователь Server
1. Открываем «Управление компьютером», Открываем вкладку «Служебные программы — Локальные пользователи и группы — Пользователи». Добавляем пользователя Server.
2. Галочки расставляем, как на рисунке. Пароль — 0000 (или свой).
3. Добавляем пользователя «Server» в группу «Администраторы». Остальные группы у пользователя удаляем.
5. Открываем вкладку «Локальные политики — Назначение прав пользователя».
6. Добавляем пользователя Server в следующие политики : «Запретить локальный вход» и «Отказать в доступе к этому компьютеру из сети».
Пользователь Scada
- Открываем «Локальные пользователи и группы»
- Добавляем пользователя Scada, галочки и пароль — аналогично,как пользователю Server.
- Добавляем его в группу «Пользователи DCOM», отальные группы удаляем.
- В локальной политике безопасности запрещаем этому пользователю локальный вход.
Права DCOM компонентам OpcEnum и Tekon OPC Server
Настройка OpcEnum
- Открываем dcomcnfg.
- Открываем вкладку «Службы компонентов — Компьютеры — Мой компьютер — Настройка DCOM».
- В выпадающем списке, либо в окне с права ищем компонент «OpcEnum».
- Нажимаем на него правой кнопкой мыши и выбираем «Свойства».
- Во вкладке «Общие» параметр «Проверка подлинности» — выставляем » По умочанию».
Настройка Tekon OPC Server
- Ищем в окне компонентов Tekon OPC Data Access Server (version 3.4)
- Наживаем правой кнопкой мыши — «Свойства»
Настройка брандмауэра Windows
- Добавить правило во входящих подключениях для 135 ТСР порта.
- Добавить правило во входящих подключениях для приложения «%SystemRoot%SysWOW64OpcEnum.exe» (или «%SystemRoot%System32OpcEnum.exe» , если у Вас 32-х разрядная ОС) .
- Добавить правило во входящих подключениях для приложения «%SystemDrive%1TekonASUD ScadaOPC Serveropcsrv.exe».
- Добавить правило в исходящих подключениях для приложения «%SystemDrive%1TekonASUD ScadaOPC Serveropcsrv.exe».
- Здесь же включить два правила «Наблюдение за виртуальной машиной (эхо-запрос — ICMPv4 — входящий трафик)» и «Наблюдение за виртуальной машиной (DCOM — входящий трафик)».
Замечание относительно версий АСУД.SCADA до 2.7.3
При настройке АСУД Scada версии до версии 2.7.2 включительно, на ПК с OPC-сервером дополнительно к указанным действиям должен быть создан:
- пользователь, учетные данные которого (логин и пароль) совпадают с учетными данными пользователя запускающего АСУД Scada на ПК со SCADA
- пользователь, который был указан при регистрации подключения SCADA к ОРС-серверу.
Обычно, на Пультах-ПК — это пользователи:
Настройка ПК со Scada
Настройка пользователей и предоставление прав
- Создаем пользователя Server, задаем ему пароль и добавляем в группу Пользователи DCOM. Остальные группы у пользователя удаляем.
Настройка Брандмауэра Windows
- Добавить правило входящих подключений для 135 ТСР порта.
- Добавить правило исходящих подключений для приложения %SystemDrive%1TekonASUD ScadaSCADAscada.exe.
Регистрация Tekon ОРС-сервера в АСУД.SCADA
ASUD Scada и ОРС-сервер установлены на одном ПК
Если программа SCADA и орс-сервер уcтановлены на одном ПК, то можно не использвать дополнительные настройки DCOM.
При регистрации OPC-сервера в SCADA можно использовать текущего пользователя, как показано на ресунке:
ASUD Scada и ОРС-сервер установлены на разных ПК
Если конфигурация более сложная, например Scada и ОРС-сервер установлены на разных ПК, то рекомендуется настраивать ПК, как описано выше в пунктах 2 и 3.
При регистрации ОРС-сервера в SCADA следует использовать учетные данные пользователя scada, созданного на ПК с сервером:
В данном разделе описаны типовые ошибки, причины их возникновния и способы их решения.
Источник
Поразбиравшись какое-то время как правильно настроить передачу OPC-тегов по сети Ethernet я понял, что подобная настройка не совсем сложная, но слегка мудреная для тех, кто не связывался с настройкой Windows. Решил преподнести данный материал в своем блоге.
Это вторая версия статьи. Первая версия писалась в спешке и не отражала полной настройки системы. В этом материале исправлены ошибки прошлого. В любом случае, пишите комментарии, задавайте вопросы 🙂
Общий план работ
Чтобы настройка не была головной болью, нужно соблюдать определенную последовательность действий.
- Введение — вода всякая 🙂
- Проверка OPC локально — OPC-клиент на сервере должен без проблем получать данные с локального OPC-сервера.
- Отключение брандмауэра — по-началу это упрощает настройку, пока еще нет четкого понимания что нужно разрешать.
- Настройка пользователей — связка логин/пароль должна быть одинаковой на обоих компьютерах.
- Настройка DCOM — общие настройки, обеспечивающие работоспособность DCOM на компьютерах.
- Настройка OpcEnum для работы через DCOM — служба, которая отображает OPC-сервера компьютера на котором она запущена.
- Настройка целевого OPC-сервера для работы через DCOM — в моем случае это CoDeSysOPCDA
- Включение брандмауэра и создание правил — с отключенным брандмауэром жить не комфортно! Здесь же и проверим как данные летают
Введение
У меня есть отдельные требования для настройки:
- доступ к OPC-серверу будет осуществляться по логину и паролю
- доступ будет осуществляться только к тому OPC-серверу, который мы укажем
Вариант где все для всех разрешено описывать не буду.
- Условный сервер (так и будем его далее называть) – этот компьютер связывается с контроллером. В моем случае это виртуальная машина с Windows 7 Professional SP1 с последними обновлениями и CoDeSys 3.4. Виртуалка имеет имя W7-DCOM-1.
- В качестве контроллера выступает софтовый PLC от CoDeSys.
- Условный клиент – компьютер с OPC DA клиентом — в моем случае это еще одна виртуалка с Windows 7 Professional SP1 с последними обновлениями, в качестве OPC-клиента я выбрал продукт от kassl.de. Виртуалка имеет имя W7-DCOM-2.
- Обе виртуалки находятся в рабочей группе, домен отсутствует, связь между ними есть.
Проверка OPC локально
Для проверки я запустил OPC-клиент, подключился к предварительно настроенному OPC-серверу на сервере. После того как есть 100%-ая уверенность в работоспособности OPC-сервера локально можно приступать к настройке DCOM.
Отключение брандмауэра
Наша цель — настроить OPC через DCOM, а по-началу брандмауэр может в этом помешать. Поэтому сперва с отключенной защитой мы настраиваем наше ПО и убеждаемся, что все настроено и работает, а в конце подключаем защиту. Так проще искать ошибки в процессе.
Настройка пользователей
На обоих компьютерах должны быть пользователи с одинаковыми логинами и паролями, причем пароль должен быть не пустым. В домене можно использовать одну учетную запись. Для теста я выбрал логин opc и пароль opc — конечно же, не рекомендую использовать такую простую связку в продакшне 🙂
Итак, переходим к настройке пользователей. Текстовую последовательность я снабдил скриншотами, которые помогут проще ориентироваться в тексте. Конечно же, опытный пользователь может создать/настроить юзера так как ему будет угодно, тем не менее я предлагаю такой вариант.
- Запускаем компонент управления учетными записями пользователей control userpasswords2.
- В окне нажимаем кнопку Добавить для добавления нового пользователя в систему.
- В следующем окне задаем логин opc (поле Пользователь), и имя с описанием по желанию и жмем кнопку Далее.
- Задаем пароль opc и подтверждение, жмем Далее.
- Далее выбираем группу Администратор (или другую, которая позволит запускать OPC-сервер) и жмем кнопку Готово.
- Пользователь создан и появляется в списке Пользователи этого компьютера«. Для включения автологина, нужно выделить юзера в этом списке и снять галку Требовать ввод имени пользователя и пароля. Решать вам, нужен автологин или нет.Затем нужно сделать две вещи. Добавить юзера в группу Пользователи DCOM (таким образом всю настройку мы сможем выполнять для группы, а не для конкретного пользователя — это может быть полезно в будущем при смене пароля для opc или изменении пользователя) и настроить запрет смены пароля юзером (это на всякий случай). Для этого переходим на вкладку Дополнительно. В секции Дополнительное управление пользователями нажимаем кнопки Дополнительно (уж простите Майкрософт за тавтологию …).
- В появившемся окне слева выбираем Группы и дабл-клик на группу Пользователи DCOM.
- В открывшемся окне есть кнопка Добавить, которая запускает диалог добавление юзера в группу.
- В поле для ввода пишем логин opc и жмем кнопку OK, если все хорошо, то окно закроется …
- … а в следующем окне в списке Члены группы появится наш opc. Теперь можно закрыть окно.
- Далее слева выбираем пункт Пользователи и дважды кликнем на нашего opc, в появившемся окне ставим галки Запретить смену пароля пользователем и Срок действия не ограничен, подтверждаем кнопкой OK и закрываем окно настройки пользователей и групп.
- Также подтверждаем настройки кнопкой OK в оставшемся окне. Но окно не закроется, а выскочит просьба ввести логин и пароль пользователя для автологина. Введем данные нашего юзера и подтвердим кнопкой OK.
Внимание! Эти действия необходимо провести как на сервере, так и на клиенте.
Настройка DCOM
В данном разделе нужно настроить свойства DCOM по умолчанию на сервере, чтобы «все работало». Приступим.
- Запустим окно настройки DCOM командой dcomcnfg .
- Откроется окно Службы компонентов, в котором нужно будет раскрыть список Службы компонентов, а затем и список Компьютеры, где мы увидим еще один вложенный список Мой компьютер, на который нужно нажать правой кнопкой мыши и выбрать пункт меню Свойства.
- В появившемся окне свойств выбираем вкладку Свойства по умолчанию и устанавливаем следующие настройки:
- Галка Разрешить использование DCOM на этом компьютере — без нее DCOM работать не будет.
- В Уровень проверки подлинности по умолчанию выбираем Подключиться.
- В Уровень олицетворения по умолчанию выбираем Определить.
- После жмем кнопку OK. Система может предупредить о том, что будут изменены свойства DCOM — соглашайтесь. Окно Службы компонентов не закрывайте, оно нам еще понадобится.
Те же настройки необходимо провести и на клиенте за исключением пунктов 3.2 и 3.3 — они не повлияют на работу, но и не повредят. Самое главное, чтобы DCOM был разрешен.
Настройка OpcEnum для работы через DCOM
Служба OpcEnum отвечает за отображение OPC-серверов. Если ее настроить некорректно, то при браузинге серверов, вы не увидите ничего, кроме ошибок. Эту службу нужно настроить на сервере.
- В окне Служба компонентов должно уже быть открыто дерево до Настройка DCOM. Нужно выбрать этот элемент в левой части окна, и после этого в правой найти OpcEnum, кликнуть на него правой кнопкой мышки и выбрать пункт меню Свойства.
- Откроется окно свойств, и во вкладке Общие в списке Уровень проверки подлинности выбрать Подключиться.
- Во вкладке Размещение должен быть выбран пункт Запустить приложение на данном компьютере. Остальные галки должны быть сняты.
- Далее переходим к вкладке безопасность, где будем раздавать права на удаленный запуск, доступ и изменение настроек OpcEnum. Во всех трех случаях выбираем пункт Настроить, т.е. у нас должны быть активны три кнопки Изменить.
- Начнем с Разрешение на запуск и активацию. Нам нужно добавить нашу группу с необходимыми разрешениями, поэтому кликаем на кнопку Добавить.
- Вписываем (или ищем) Пользователи DCOM, жмем OK — группа должна добавиться.
- Итак, группа в списке, теперь надо проставить галки под словом Разрешить. (На скриншоте) Я поставил все галки, но для того чтобы служба работала по сети нам нужно лишь Удаленный запуск и Удаленная активация. После проставления галок жмем OK и открываем следующее окно — Права доступа.
- Точно так же добавляем нашу группу и разрешаем ей все, либо только Удаленный доступ, жмем OK и открываем окошко Разрешение на изменение настроек.
- В этом окне точно так же добавляем группу и разрешаем ей Полный доступ и Read — они ставятся одновременно и снимаются так же. Жмем OK и переходим ко вкладке Удостоверение окна свойств OpcEnum.
- Для службы OpcEnum возможно два варианта запуска:
- Системная учетная запись (только службы) — OPC-сервер будет запущен под системной учетной записью независимо от входа в систему. Данный вариант нам подходит и его советуют как более предпочтительный.
- Указанный пользователь — при данной настройке OPC-сервер будет запущен от имени указанного нами пользователя в одном экземпляре, в независимости от того под какой учетной записью совершен вход. Этот вариант нравится мне больше, т.к. я люблю определенность, ведь в данном случае я сам указываю пользователя.
- Определившись нажимаем OK и переходим к перезапуску службы OpcEnum. Это можно сделать из того же окна: слева выбираем Службы (локальные), справа в списке ищем OpcEnum, выбираем и перезапускаем нажатием на появившуюся ссылку.
- Дожидаемся перезапуска службы и переходим к клиенту.
- На клиенте запускаем OPC-клиент и пытаемся искать OPC-сервера, используя IP-адрес нашего сервера. Как видно на скриншоте — OPC-сервер найден.
- Но при попытке достучаться до тэгов прилетает отказ. Этого следовало ожидать, ведь мы еще не настраивали наш CoDeSysOPCDA.
Настройка целевого OPC-сервера для работы через DCOM
Итак, мы вплотную подобрались к настройке ПО, которое будет выдавать нам теги на клиенте. Настройка не сильно отличается от процедуры, описанной в предыдущем разделе.
- В Настройка DCOM ищем необходимый OPC-сервер (в данном случае — CoDeSysOPCDA), тыкаем правой кнопкой мыши и выбираем свойства.
- На вкладке Общие выбираем Уровень проверки подлинностиПодключиться.
- На вкладке Размещение должен быть выбран только пункт Запустить приложение на данном компьютере.
- На вкладке Безопасность группе Пользователи DCOM даем права на удаленный запуск, доступ и изменение настроек как и в случае с OpcEnum (ниже будут скриншоты).
- На вкладке Удостоверение у нас есть 4 варианта:
- Текущий пользователь — в этом случае OPC-сервер будет запускаться от имени вошедшего в систему пользователя. Можно использовать данный вариант, но необходимо на сервере авторизовываться под учетной записью opc, что может быть не всегда удобно. Но тем не менее можно выбрать этот вариант при условии, что сервер всегда будет запущен под учеткой opc.
- Запускающий пользователь — при авторизации пользователя будет запущен экземпляр OPC-сервера. Если к серверу будет подключено два клиента, то будет запущено два OPC-сервера. В одном случае это будет отжирать ресурсы, в другом — все кроме первого клиенты не будут видеть данных.
- Указанный пользователь — как и в случае с OpcEnum этот вариант предпочтительный потому, что при такой настройке будет запущен один экземпляр под необходимой учетной записью. Я выбираю этот вариант и ввожу логин и пароль предварительно созданного пользователя.
- Системная учетная запись (только службы) — для CoDeSysOPCDA этот вариант недоступен, поэтому не рассматриваем.
- После выбора одного из вариантов и нажатия на кнопку OK, нужно перезапустить OPC-сервер, если он запущен. В случае с CoDeSysOPCDA я вырубаю процесс сервера.
- Теперь переходим к компьютеру, на котором запущен OPC-клиент и пытаемся искать OPC-сервак на удаленном сервере. Стоит заметить, что мы должны увидеть список OPC-серверов без каких-либо проблем, как и в предыдущем разделе.
- Но после манипуляций описанных в этом разделе мы должны иметь возможность создать группу в клиенте, увидеть теги и их значения. Что мы и видим на последнем скриншоте, в галерее ниже.
Источник






























































































