www.logitek.es I Carretera Sant Cugat, 63, Edificio B 1ª Planta 08191 – Rubí (Barcelona) I Tel.:902 10 32 83
1
Guía de comunicación remota por OPC DA con KEPServerEX
Tech Support
Marzo de 2018
Revisión4
Descripción General
Este documento tiene la intención de proveer información sobre una configuración segura del
DCOM entre un servidor OPC DA y un cliente OPC DA funcionando en OS Microsoft Windows XP
o superior.
No existe una configuración única del DCOM para el correcto funcionamiento de la comunicación
remota vía OPC DA. Siguiendo esta nota técnica y cumpliendo todos los pasos, se ha comprobado
con varias versiones de Windows que funciona correctamente.
Introducción
El DCOM (Distributed Component Object Model) es una extensión de Component Object Model
(COM) que permite a los componentes COM, comunicar entre diferentes objetos en diferentes
ordenadores. El DCOM usa Remote Procedure Call (RPC) para generar paquetes estándar que son
capaces de compartir a través de la red, que a su vez permite al COM comunicar más allá de los
límites de la máquina local.
Para realizar con éxito la comunicación vía OPC deberemos de seguir los siguientes pasos.
Usuarios
Para asegurar que la conexión OPC es segura, hay que crear usuarios y grupos de usuarios que
serán exclusivos para este uso. Se pueden añadir manualmente desde un usuario que tenga las
credenciales necesarias.
www.logitek.es I Carretera Sant Cugat, 63, Edificio B 1ª Planta 08191 – Rubí (Barcelona) I Tel.:902 10 32 83
2
Los usuarios deben de estar creados en todas las máquinas que vayan a comunicar por OPC DA y
deben tener permisos de administrador. Las máquinas entre las cuales se va a comunicar, deben
de estar en dominio.
Para el correcto funcionamiento se debe de utilizar el mismo usuario en ambas máquinas, es decir,
la sesión iniciada en las máquinas debe de ser con el mismo usuario. Este usuario también debe
de estar en dominio y tendrá la misma contraseña en ambas máquinas. La contraseña no debe de
ser un espacio en blanco.
Server Runtime
Antes de configurar el DCOM del ordenador, se tienen que tener en cuenta tanto el nivel de
seguridad como el modo de proceso del Runtime del KEPServerEX. El modo de proceso debe
elegirse antes de configurar el DCOM, ya que este se restablece cuando se cambia el modo de
proceso.
1. Seguridad de la conexión OPC
Para proveer el máximo nivel de seguridad, el DCOM tiene que estar habilitado en el Runtime.
Esta opción, la cual está habilitada de forma predeterminada, asegura que los ajustes del DCOM
y la autentificación de usuarios se realicen.
a. Hacer click derecho en el icono de KEPServerEX Administrador y seleccionar Settings.
b. Seleccionar la pestaña de Runtime options.
c. Habilitar Use DCOM configuration settings.
www.logitek.es I Carretera Sant Cugat, 63, Edificio B 1ª Planta 08191 – Rubí (Barcelona) I Tel.:902 10 32 83
3
d. Seleccionar Aplicar y Aceptar.
2. Modo del proceso
El Runtime del servidor tiene la posibilidad de funcionar como servicio o de forma interactiva.
De forma predeterminada, el Runtime se instala como servicio.
Cuando se necesite una conexión remota OPC, seleccionando el modo System Service
producirá resultados más predecibles. El Runtime será iniciado cuando el sistema inicie y no
necesitará ninguna intervención de usuario.
Usar el Runtime en modo interactivo, requiere configuración adicional del DCOM. La forma más
simple de autentificar la conexión y prevenir esta configuración adicional es tener una cuenta
DCOM privilegiada registrada en el sistema operativo de Windows del cliente y del servidor.
Por lo tanto, se debe configurar el modo como Service y posteriormente se configurará el DCOM.
a. Seleccionar la pestaña de Runtime Process.
b. Seleccionar el modo System Service.
www.logitek.es I Carretera Sant Cugat, 63, Edificio B 1ª Planta 08191 – Rubí (Barcelona) I Tel.:902 10 32 83
4
Configuración DCOM
El ordenador que corre como servidor OPC tiene que realizar cambios en la aplicación, en este caso
el KEPServerEX V6 y en los niveles de sistema para ajustar el DCOM correctamente.
1. Configuración de la aplicación:
a. Acceder a Servicios de componentes. Inicio y escribir DCOMCNFG.EXE
www.logitek.es I Carretera Sant Cugat, 63, Edificio B 1ª Planta 08191 – Rubí (Barcelona) I Tel.:902 10 32 83
5
b. Servicios de componentes -> Equipos -> Mi PC
c. Hacer click derecho y seleccionar propiedades.
d. Ir a Default Properties, habilitar el DCOM en este PC. En Default Authentification level:
Connect. En Default Impersonation level: Identify.
www.logitek.es I Carretera Sant Cugat, 63, Edificio B 1ª Planta 08191 – Rubí (Barcelona) I Tel.:902 10 32 83
6
e. En COM Security:
f. Editar los Access Permissions. Añadir los siguientes usuarios y darle permisos de acceso
remoto y local: Everyone, Self, System, Network, Administrators, Guests, Interactive y
Anonymous Logon.
www.logitek.es I Carretera Sant Cugat, 63, Edificio B 1ª Planta 08191 – Rubí (Barcelona) I Tel.:902 10 32 83
7
g. Editar los Launch and Activation Permissions. Añadir los siguientes usuarios y darle
permisos de acceso remoto y local: Everyone, System, Network, Administrators, Guests,
Interactive y Anonymous Logon.
2. Configuración de la aplicación:
www.logitek.es I Carretera Sant Cugat, 63, Edificio B 1ª Planta 08191 – Rubí (Barcelona) I Tel.:902 10 32 83
8
a. Acceder a Servicios de componentes. Inicio y escribir DCOMCNFG.EXE
b. Servicios de componentes -> Equipos -> Mi PC -> Configuración DCOM
c. Buscar el servidor OPC que se va a usar. En este caso, el KEPServerEX 6.1.
d. Hacer click derecho y seleccionar propiedades.
www.logitek.es I Carretera Sant Cugat, 63, Edificio B 1ª Planta 08191 – Rubí (Barcelona) I Tel.:902 10 32 83
9
e. Abrir la pestaña de General. Entonces, verificar que el Nivel de autentificación está
puesto en predeterminado.
www.logitek.es I Carretera Sant Cugat, 63, Edificio B 1ª Planta 08191 – Rubí (Barcelona) I Tel.:902 10 32 83
10
f. Abrir la pestaña de Ubicación. Entonces, verificar que solo está habilitado Ejecutar la
aplicación en este equipo.
www.logitek.es I Carretera Sant Cugat, 63, Edificio B 1ª Planta 08191 – Rubí (Barcelona) I Tel.:902 10 32 83
11
g. Abrir la pestaña de Security.
www.logitek.es I Carretera Sant Cugat, 63, Edificio B 1ª Planta 08191 – Rubí (Barcelona) I Tel.:902 10 32 83
12
h. Editar los Configuration Permissions. Añadir los siguientes usuarios y darle permisos de
acceso remoto y local: Everyone, All application Packages, creator owner, Restricted,
System, Network, Usuario con el cual se ha iniciado sesión Administrators, Interactive y
Anonymous Logon. Y habilitar todos los permisos.
3. Configuración del OPC Enum:
Para configurar el OPC Enum hay que seguir los mismos pasos que en la configuración del
KEPServerEX V6.
En el caso de KEPServerEX, se puede omitir configurar el OPC Enum ya que éste solo sirve
para realizar una búsqueda de otros servidores OPC y se puede apuntar directamente a un
equipo usando su ProgID y su IP.
www.logitek.es I Carretera Sant Cugat, 63, Edificio B 1ª Planta 08191 – Rubí (Barcelona) I Tel.:902 10 32 83
13
Firewalls y antivirus
Para garantizar el correcto funcionamiento de las comunicaciones se debe desactivar
completamente cualquier firewall y antivirus tanto en el ordenador que haga de servidor como en
el del cliente.
El acceso rápido a la configuración del firewall de Windows se puede hacer escribiendo
”firewall.cpl” en Inicio.
Se deben desactivar todos los firewalls.
www.logitek.es I Carretera Sant Cugat, 63, Edificio B 1ª Planta 08191 – Rubí (Barcelona) I Tel.:902 10 32 83
14
Local Security Policies
Cuando los ordenadores que están implicados en la conexión remota, son parte de un grupo, es
necesario editar las Directivas de seguridad local. Esto puede plantear un riesgo de seguridad y
debería realizarse solo si es absolutamente necesario. En la mayoría de los casos, el ordenador
servidor requerirá cambios de modelo de autentificación mientras que el ordenador que hace de
cliente necesita tener acceso para buscar los servidores.
Para acceder a Directivas de seguridad local:
• Panel de control → Herramientras administrativas → Directivas de seguridad local
• En inicio escribir “secpol.msc”
A continuación, accede a Directivas locales →Opciones de seguridad
1. Acceso a redes: Modelo de seguridad y uso compartido para cuentas locales
Este ajuste determina cómo los usuarios locales serán autentificados. Cuando la configuración
esté en Clásico, los accesos remotos usarán el mismo nivel de acceso que esté activo en la
cuenta local. Si está habilitado Solo invitados, los accesos a red usaran el mismo nivel de acceso
que esté habilitado en la cuenta de invitados.
Modelo de seguridad y uso compartido para cuentas locales habilita la opción de Clásico en el
servidor. Un código de error (HR=80070005) será devuelto cuando intente agregar objetos si es
necesario.
2. Configuración My Computer
3. Acceso a redes: Permitir la aplicación de los permisos Todos a los usuarios anónimos
Este ajuste determina el permiso adicional que conceden a los accesos de usuarios anónimos.
Cuando la opción está desactivada, los permisos concedidos para el usuario de seguridad Todos
no se aplica para los usuarios anónimos. Si la opción está habilitada, los usuarios anónimos
tendrán los mismos permisos que el grupo de Todos.
Acceso a redes: Permitir la aplicación de los permisos Todos a los usuarios anónimos solo se
debe habilitar en el equipo que haga de cliente.
www.logitek.es I Carretera Sant Cugat, 63, Edificio B 1ª Planta 08191 – Rubí (Barcelona) I Tel.:902 10 32 83
15
KEPServerEX 6 OPC DA Client
Antes de realizar la configuración hay que comprobar que los equipos tienen visibilidad haciendo
un ping.
La prueba realizada consiste en tener dos máquinas, con el mismo usuario logado, con permisos
de administrador. Las dos máquinas y el usuario pertenecen al mismo dominio.
En una de las máquinas hay un driver simulador de KEPServerEX que actuará como servidor y en
la otra máquina, se configurará un driver Client OPC DA.
Los siguientes pasos los debe de seguir el ordenador que funciona como cliente:
1. Añadir un nuevo canal y seleccionar el driver OPC DA Client.
2. Dejar todos los parámetros por defecto de los campos de Write optimizations, Advanced y
connection.
www.logitek.es I Carretera Sant Cugat, 63, Edificio B 1ª Planta 08191 – Rubí (Barcelona) I Tel.:902 10 32 83
16
3. En la pestaña de OPC server hay dos opciones. Si se ha configurado correctamente el
OPCEnum encontrará equipo remoto que hace de servidor.
En el caso que no se haya configurado el OPCEnum correctamente es posible que no
aparezca el equipo que hace de servidor.
En tal caso hay que apuntar directamente a la IP del servidor indicándole también le Prog
ID.
Nota: Ser capaz de encontrar el servidor con el OPCEnum o apuntar directamente con la IP
no significa que el DCOM se haya configurado correctamente.
4. Añadir un device, y dejar todos los parámetros por defecto de todos los campos.
5. Si en el campo Import ítems está deshabilitado significa que no detecta el KEPServerEX del
equipo remoto. Si está habilitado, importar los tags del KEPServerEX remoto.
www.logitek.es I Carretera Sant Cugat, 63, Edificio B 1ª Planta 08191 – Rubí (Barcelona) I Tel.:902 10 32 83
17
6. Para comprobar que hay buena comunicación y el DCOM se ha configurado correctamente,
abrir el Quick Client. Si la quality es Good y al modificar los valores en el cliente se modifican en
el servidor, significará que se ha configurado correctamente el DCOM y se está realizando la
comunicación vía OPC DA. En el caso que los tags aparezcan en quality Bad habría que revisar
la configuración del DCOM.