DCOM配置

要进行DCOM安全配置，操作者通常必须拥有客户和服务器计算机的管理员权限。

 

（1） 用户的建立及配置

　　最简单的用户配置是在客户和服务器计算机上建立名称、密码都相同的用户（Administrator权
限不是必需的），并用此用户登录系统、运行OPC服务器程序。这种方式适用于系统调试期间，或对安全
要求不高的场合。

在有一定安全要求的系统中，可按如下方式配置：

　　在服务器计算机上建立一个用户，如OPCUser，可以是一般用户，服务器计算机在运行OPC服务
器时必须以这个用户登录。

　　在服务器计算机上建立一个用户组，如OPCClients。(客户端不需要用户切换的情况下可以不建立，

建这个组的目的是管理方便）

　　在OPC客户计算机中，建立OPCUser用户，口令也要与服务器上的一致，可以设为普通用户以保
证安全。（建这个用户的目的是保证服务器回调时的权限，如OnDataChange）

　　在客户和服务器计算机上都建立ClientA、ClientB等用户，且密码一致。

　　在服务器计算机上将ClientA、ClientB等用户都加入到OPCClients组中。客户计算机用这些用
户登录。

 

（2） OPC服务器计算机的DCOM设置

运行dcomcnfg，进行如下设置：

　　默认属性：

　　启用DCOM；

　　默认身份验证级别：连接

　　默认模拟级别：标识

 

　　默认安全机制：

　　默认访问权限：

　　至少要保证OPCClients组允许访问，也可放宽至Everyone；

　　默认启动权限：至少保证允许INTERACTIVE用户调用；

　　默认配置权限：一般情况下不需修改。

　　默认协议：保证面向连接的TCP/IP在最上。

 

OPC服务器配置：

　　常规：身份验证级别为默认值；

　　位置：在这台计算机上运行；

　　安全性：使用默认的访问和启动权限，配置权限不要修改；

　　身份标识：交互式用户。

　　终结点：不修改。

 

（3） 客户计算机的DCOM配置

　　为了保证OPC数据订阅等回调机制能正常运行，需要对客户计算机的DCOM权限进行配置。

默认属性、默认协议的配置和服务器端基本一致；

　　默认安全机制只需要修改默认访问权限。保证允许OPCUser访问。也可放宽至Everyone。

 

（4） 系统设置

　　防火墙：

　　对于安装了第三方防火墙软件的计算机，可尝试配置允许OPC客户及服务器程序通过，或直接停
止防火墙服务。

　　对于启用了操作系统（XP SP2、Server 2003等）自带防火墙的情况，可按OPC基金会提供的文
档《Using OPC via DCOM with XP SP2》中描述的进行配置，或直接关闭防火墙。

　　注意：客户、服务器计算机都要配置。

 

安全策略：（XP、Server 2003等）

　　“控制面板 -> 管理工具 -> 本地安全策略 -> 本地策略 -> 安全选项”中，

　　“网络访问:本地帐户的共享和安全模式”项设置为：

　　“经典 － 本地用户以自己的身份验证”

 

（5） 其它注意事项

　　连不通时首先检查网络是否正常；（比如在关闭了防火墙的情况下ping服务器计算机）

　　用户密码不要设置为空；

 

 

　　【注】 还有其它一些特殊情况，本文未提及，比如服务器为NT服务，服务器为进程内组件等，以后会陆
续补充。