tech support guía de comunicación remota...este documento tiene la intención de proveer...

www.logitek.es I Carretera Sant Cugat, 63, Edificio B 1ª Planta 08191 – Rubí (Barcelona) I Tel.:902 10 32 83

1

Guía de comunicación remota por OPC DA con KEPServerEX

Tech Support

[email protected]

Marzo de 2018

Revisión4

Descripción General

Este documento tiene la intención de proveer información sobre una configuración segura del

DCOM entre un servidor OPC DA y un cliente OPC DA funcionando en OS Microsoft Windows XP

o superior.

No existe una configuración única del DCOM para el correcto funcionamiento de la comunicación

remota vía OPC DA. Siguiendo esta nota técnica y cumpliendo todos los pasos, se ha comprobado

con varias versiones de Windows que funciona correctamente.

Introducción

El DCOM (Distributed Component Object Model) es una extensión de Component Object Model

(COM) que permite a los componentes COM, comunicar entre diferentes objetos en diferentes

ordenadores. El DCOM usa Remote Procedure Call (RPC) para generar paquetes estándar que son

capaces de compartir a través de la red, que a su vez permite al COM comunicar más allá de los

límites de la máquina local.

Para realizar con éxito la comunicación vía OPC deberemos de seguir los siguientes pasos.

Usuarios

Para asegurar que la conexión OPC es segura, hay que crear usuarios y grupos de usuarios que

serán exclusivos para este uso. Se pueden añadir manualmente desde un usuario que tenga las

credenciales necesarias.


2

Los usuarios deben de estar creados en todas las máquinas que vayan a comunicar por OPC DA y

deben tener permisos de administrador. Las máquinas entre las cuales se va a comunicar, deben

de estar en dominio.

Para el correcto funcionamiento se debe de utilizar el mismo usuario en ambas máquinas, es decir,

la sesión iniciada en las máquinas debe de ser con el mismo usuario. Este usuario también debe

de estar en dominio y tendrá la misma contraseña en ambas máquinas. La contraseña no debe de

ser un espacio en blanco.

Server Runtime

Antes de configurar el DCOM del ordenador, se tienen que tener en cuenta tanto el nivel de

seguridad como el modo de proceso del Runtime del KEPServerEX. El modo de proceso debe

elegirse antes de configurar el DCOM, ya que este se restablece cuando se cambia el modo de

proceso.

1. Seguridad de la conexión OPC

Para proveer el máximo nivel de seguridad, el DCOM tiene que estar habilitado en el Runtime.

Esta opción, la cual está habilitada de forma predeterminada, asegura que los ajustes del DCOM

y la autentificación de usuarios se realicen.

a. Hacer click derecho en el icono de KEPServerEX Administrador y seleccionar Settings.

b. Seleccionar la pestaña de Runtime options.

c. Habilitar Use DCOM configuration settings.


3

d. Seleccionar Aplicar y Aceptar.

2. Modo del proceso

El Runtime del servidor tiene la posibilidad de funcionar como servicio o de forma interactiva.

De forma predeterminada, el Runtime se instala como servicio.

Cuando se necesite una conexión remota OPC, seleccionando el modo System Service

producirá resultados más predecibles. El Runtime será iniciado cuando el sistema inicie y no

necesitará ninguna intervención de usuario.

Usar el Runtime en modo interactivo, requiere configuración adicional del DCOM. La forma más

simple de autentificar la conexión y prevenir esta configuración adicional es tener una cuenta

DCOM privilegiada registrada en el sistema operativo de Windows del cliente y del servidor.

Por lo tanto, se debe configurar el modo como Service y posteriormente se configurará el DCOM.

a. Seleccionar la pestaña de Runtime Process.

b. Seleccionar el modo System Service.


4

Configuración DCOM

El ordenador que corre como servidor OPC tiene que realizar cambios en la aplicación, en este caso

el KEPServerEX V6 y en los niveles de sistema para ajustar el DCOM correctamente.

1. Configuración de la aplicación:

a. Acceder a Servicios de componentes. Inicio y escribir DCOMCNFG.EXE


5

b. Servicios de componentes -> Equipos -> Mi PC

c. Hacer click derecho y seleccionar propiedades.

d. Ir a Default Properties, habilitar el DCOM en este PC. En Default Authentification level:

Connect. En Default Impersonation level: Identify.


6

e. En COM Security:

f. Editar los Access Permissions. Añadir los siguientes usuarios y darle permisos de acceso

remoto y local: Everyone, Self, System, Network, Administrators, Guests, Interactive y

Anonymous Logon.


7

g. Editar los Launch and Activation Permissions. Añadir los siguientes usuarios y darle

permisos de acceso remoto y local: Everyone, System, Network, Administrators, Guests,

Interactive y Anonymous Logon.

2. Configuración de la aplicación:


8

a. Acceder a Servicios de componentes. Inicio y escribir DCOMCNFG.EXE

b. Servicios de componentes -> Equipos -> Mi PC -> Configuración DCOM

c. Buscar el servidor OPC que se va a usar. En este caso, el KEPServerEX 6.1.

d. Hacer click derecho y seleccionar propiedades.


9

e. Abrir la pestaña de General. Entonces, verificar que el Nivel de autentificación está

puesto en predeterminado.


10

f. Abrir la pestaña de Ubicación. Entonces, verificar que solo está habilitado Ejecutar la

aplicación en este equipo.


11

g. Abrir la pestaña de Security.


12

h. Editar los Configuration Permissions. Añadir los siguientes usuarios y darle permisos de

acceso remoto y local: Everyone, All application Packages, creator owner, Restricted,

System, Network, Usuario con el cual se ha iniciado sesión Administrators, Interactive y

Anonymous Logon. Y habilitar todos los permisos.

3. Configuración del OPC Enum:

Para configurar el OPC Enum hay que seguir los mismos pasos que en la configuración del

KEPServerEX V6.

En el caso de KEPServerEX, se puede omitir configurar el OPC Enum ya que éste solo sirve

para realizar una búsqueda de otros servidores OPC y se puede apuntar directamente a un

equipo usando su ProgID y su IP.


13

Firewalls y antivirus

Para garantizar el correcto funcionamiento de las comunicaciones se debe desactivar

completamente cualquier firewall y antivirus tanto en el ordenador que haga de servidor como en

el del cliente.

El acceso rápido a la configuración del firewall de Windows se puede hacer escribiendo

”firewall.cpl” en Inicio.

Se deben desactivar todos los firewalls.


14

Local Security Policies

Cuando los ordenadores que están implicados en la conexión remota, son parte de un grupo, es

necesario editar las Directivas de seguridad local. Esto puede plantear un riesgo de seguridad y

debería realizarse solo si es absolutamente necesario. En la mayoría de los casos, el ordenador

servidor requerirá cambios de modelo de autentificación mientras que el ordenador que hace de

cliente necesita tener acceso para buscar los servidores.

Para acceder a Directivas de seguridad local:

• Panel de control → Herramientras administrativas → Directivas de seguridad local

• En inicio escribir “secpol.msc”

A continuación, accede a Directivas locales →Opciones de seguridad

1. Acceso a redes: Modelo de seguridad y uso compartido para cuentas locales

Este ajuste determina cómo los usuarios locales serán autentificados. Cuando la configuración

esté en Clásico, los accesos remotos usarán el mismo nivel de acceso que esté activo en la

cuenta local. Si está habilitado Solo invitados, los accesos a red usaran el mismo nivel de acceso

que esté habilitado en la cuenta de invitados.

Modelo de seguridad y uso compartido para cuentas locales habilita la opción de Clásico en el

servidor. Un código de error (HR=80070005) será devuelto cuando intente agregar objetos si es

necesario.

2. Configuración My Computer

3. Acceso a redes: Permitir la aplicación de los permisos Todos a los usuarios anónimos

Este ajuste determina el permiso adicional que conceden a los accesos de usuarios anónimos.

Cuando la opción está desactivada, los permisos concedidos para el usuario de seguridad Todos

no se aplica para los usuarios anónimos. Si la opción está habilitada, los usuarios anónimos

tendrán los mismos permisos que el grupo de Todos.

Acceso a redes: Permitir la aplicación de los permisos Todos a los usuarios anónimos solo se

debe habilitar en el equipo que haga de cliente.


15

KEPServerEX 6 OPC DA Client

Antes de realizar la configuración hay que comprobar que los equipos tienen visibilidad haciendo

un ping.

La prueba realizada consiste en tener dos máquinas, con el mismo usuario logado, con permisos

de administrador. Las dos máquinas y el usuario pertenecen al mismo dominio.

En una de las máquinas hay un driver simulador de KEPServerEX que actuará como servidor y en

la otra máquina, se configurará un driver Client OPC DA.

Los siguientes pasos los debe de seguir el ordenador que funciona como cliente:

1. Añadir un nuevo canal y seleccionar el driver OPC DA Client.

2. Dejar todos los parámetros por defecto de los campos de Write optimizations, Advanced y

connection.


16

3. En la pestaña de OPC server hay dos opciones. Si se ha configurado correctamente el

OPCEnum encontrará equipo remoto que hace de servidor.

En el caso que no se haya configurado el OPCEnum correctamente es posible que no

aparezca el equipo que hace de servidor.

En tal caso hay que apuntar directamente a la IP del servidor indicándole también le Prog

ID.

Nota: Ser capaz de encontrar el servidor con el OPCEnum o apuntar directamente con la IP

no significa que el DCOM se haya configurado correctamente.

4. Añadir un device, y dejar todos los parámetros por defecto de todos los campos.

5. Si en el campo Import ítems está deshabilitado significa que no detecta el KEPServerEX del

equipo remoto. Si está habilitado, importar los tags del KEPServerEX remoto.


17

6. Para comprobar que hay buena comunicación y el DCOM se ha configurado correctamente,

abrir el Quick Client. Si la quality es Good y al modificar los valores en el cliente se modifican en

el servidor, significará que se ha configurado correctamente el DCOM y se está realizando la

comunicación vía OPC DA. En el caso que los tags aparezcan en quality Bad habría que revisar

la configuración del DCOM.

tech support guía de comunicación remota...este documento tiene la intención de proveer...

Documents