DCOM-Sicherheits- und Konfigurationshandbuch 2.4.4

OSIsoft, LLC 777 Davis St., Suite 250 San Leandro, CA 94577 USA Tel.: (01) 510-297-5800 Fax: (01) 510-357-8136 Web: http://www.osisoft.com DCOM-Sicherheits- und Konfigurationshandbuch4 © 2012–2016 OSIsoft, LLC. Alle Rechte vorbehalten. Diese Veröffentlichung darf ohne die ausdrückliche schriftliche Genehmigung von OSIsoft, LLC, in welcher Form oder mit welchen Mitteln auch immer, sei es auf mechanische Weise, durch Fotokopieren, durch eine Aufnahme oder anderweitig, weder ganz noch in Auszügen reproduziert, in einem abrufbaren System gespeichert oder übertragen werden. OSIsoft, das OSIsoft-Logo und der Logotyp, PI Analytics, PI ProcessBook, PI DataLink, ProcessPoint, PI Asset Framework (PI AF), IT Monitor, MCN Health Monitor, PI System, PI ActiveView, PI ACE, PI AlarmView, PI BatchView, PI Coresight, PI Data Services, PI Event Frames, PI Integrator for Business Analytics, PI Manual Logger, PI ProfileView, PI Web API, PI WebParts, ProTRAQ, RLINK, RtAnalytics, RtBaseline, RtPortal, RtPM, RtReports und RtWebParts sind Handelsmarken von OSIsoft, LLC. Alle anderen Handelsmarken oder Handelsnamen, die hierin verwendet werden, befinden sich im Eigentum der jeweiligen Besitzer. RECHTE DER US-REGIERUNG Die Nutzung, Vervielfältigung und Offenlegung durch die US-amerikanische Regierung unterliegt den Einschränkungen der Lizenzvereinbarung von OSIsoft, LLC. und gemäß DFARS 227.7202, DFARS 252.227-7013, FAR 12.212, FAR 52.227. OSIsoft, LLC. Version: Veröffentlichung: 19. Februar 2016

Inhaltsverzeichnis Einführung........................................................................................................... 1 DCOM-Konfigurationen für OPC.............................................................................3 Voraussetzungen...................................................................................................................................... 3 Konnektivität von OPC Server und Client.............................................................................................. 3 Erforderliche Konten.............................................................................................................................4 Virtuelle Dienstkonten.......................................................................................................................... 4 Sicherheitskonfiguration für die PI Schnittstelle für OPC DA................................................................. 5 Festlegen von Berechtigungen für Verzeichnisse, die ausführbare OPC-Dateien enthalten................... 5 Konfigurieren der Betriebssystemeinstellungen........................................................................................5 Konfigurieren von lokalen Sicherheitseinstellungen.............................................................................. 6 Konfigurieren von Windows-Firewalleinstellungen............................................................................... 6 Festlegen von Verschlüsselungsstufe und NTLM-Aushandlung............................................................. 7 Konfigurieren von DCOM-Einstellungen für den OPC Clientknoten.......................................................... 9 Konfigurieren von DCOM-Einstellungen für den OPC Serverknoten ....................................................... 10 Authentifizierung.................................................................................................................................... 11 Benutzerkontokonfigurationen für den OPC Server............................................................................ 12 Identitätswechsel................................................................................................................................ 13

Checkliste zur Verbesserung der OPC-Sicherheit....................................................15 Fehlerbehebung.................................................................................................. 17

Protokollieren von DCOM-Fehlern.......................................................................................................... 17 Aktivieren der Windows-Sicherheitsüberprüfung.................................................................................... 17 Häufige DCOM-Sicherheitsfehler............................................................................................................ 18 DCOM-Fehler nach Nummerncode......................................................................................................... 19

Technischer Support und weitere Ressourcen........................................................ 23

DCOM-Sicherheits- und Konfigurationshandbuch4

iii

Inhaltsverzeichnis

iv

DCOM-Sicherheits- und Konfigurationshandbuch4

Einführung In diesem Handbuch erfahren Sie, wie Sie die Einstellungen für DCOM (Distributed Component Object Model) von Microsoft für OSIsoft PI OPC-Produkte konfigurieren – mit besonderem Augenmerk auf Sicherheit. Die Empfehlungen in diesem Handbuch sind ein Beitrag zu einer allgemeinen und umfassenden Abwehrstrategie mit dem Ziel, Ihr Steuerungssystem vor Cyberangriffen zu schützen. Ihr OPC Server kann zwar durch Firewalls geschützt werden, in diesem Handbuch wird jedoch nicht auf Firewallstrategien eingegangen. Die Firewallkonfiguration ist aufgrund der dynamischen Portzuweisung von DCOM recht komplex und würde den Rahmen dieses Dokuments sprengen. Falls Sie DCOM für OSIsoft-fremde OPC-Produkte konfigurieren, halten Sie sich an die Empfehlungen und Richtlinien des entsprechenden Anbieters. PI OPC-Produkte umfassen Folgendes: • PI OPC DA/HDA Server • PI Schnittstelle für OPC DA • PI Schnittstelle für OPC HDA • PI Schnittstelle für OPC A&E • PI OPC Client Industrielle Steuerungssysteme sind häufig Teil einer kritischen Infrastruktur (beispielsweise für Strom, Gas und Wasser) und deshalb für Angreifer interessant. Cyberangriffe können aber auch intern durch Mitarbeiter verursacht werden, die zwar keine bösen Absichten haben, aber nicht ausreichend geschult sind oder nicht über geeignete Zugriffsberechtigungen verfügen. Unabhängig davon, ob das Steuerungssystem Teil einer kritischen Infrastruktur ist, empfiehlt es sich, die Angriffsfläche und Angriffsvektoren für Ihr Steuerungssystem zu verringern. Um Ihr Unternehmen vor Ausfällen und Datenverlusten zu schützen, benötigen Sie eine umfassende Cybersicherheitsstrategie: Installieren Sie Antivirensoftware, halten Sie Ihr System mit Patches und Updates auf dem neuesten Stand, schulen Sie Ihre Benutzer, und halten Sie sich an die Sicherheitsempfehlungen dieses Handbuchs und anderer Anbieter. Weitere Quellen finden Sie beispielsweise auf der Einführungswebsite in empfohlene Vorgehensweisen (http:// ics-cert.us-cert.gov/Introduction-Recommended-Practices) von US-CERT (United States Computer Emergency Readiness Team) und von ähnlichen Organisationen. Klassische OPC Server und Clientanwendungen basieren auf dem COM-/DCOMKommunikationsmodell von Microsoft. COM stellt eine Reihe von Schnittstellen bereit, über die Softwarekomponenten auf einem einzelnen Computer kommunizieren können. DCOM ermöglicht Softwarekomponenten die Kommunikation zwischen vernetzten Knoten: Ein Prozess auf einem Computer kann Code auf einem anderen Computer ausführen. Diese Technologie hat erhebliche Auswirkungen auf die Sicherheit. Berechtigungen müssen mit Bedacht gewährt werden, damit Client und Server miteinander kommunizieren können, ohne die Sicherheit der Hostcomputer zu gefährden. Welche Einstellungen im Detail benötigt werden, um DCOM für OPC zu konfigurieren, ist abhängig vom Betriebssystem, der Domänen- oder Arbeitsgruppenkonfiguration, der Firewallkonfiguration, der Netzwerkarchitektur und der von Ihnen bevorzugten Benutzerkontenstruktur. Dieses Handbuch enthält Empfehlungen für die gängigsten Konfigurationen.

DCOM-Sicherheits- und Konfigurationshandbuch4

1

Einführung Anmerkung: OSIsoft rät davon ab, in einer OPC-Konfiguration Windows 2000, Windows 2003, Windows NT oder Windows XP zu verwenden. Für diese Betriebssysteme hat Microsoft die Einstellung des Supports angekündigt: "Nicht unterstützte Produkte und Service Packs stellen ein erhebliches Sicherheitsrisiko für Ihren Computer dar. Daher empfiehlt Microsoft seinen Kunden, vor dem Ende des Supportzeitraums zum neuesten unterstützten Service Pack und/oder Produkt zu migrieren."

2

DCOM-Sicherheits- und Konfigurationshandbuch4

DCOM-Konfigurationen für OPC DCOM-Konfigurationen werden von der Systemarchitektur, dem Betriebssystem und dem Benutzerkonto bestimmt. In diesem Dokument werden Computer, auf denen eine PI System OPC-basierte Schnittstelle (DA, HDA, A&E) oder ein Clientprogramm ausgeführt wird, das sich einem PI OPC DA/HDA-Server verbindet, als „OPC Clients“ bezeichnet. Computer, auf denen ein PI OPC DA/HDA Server oder OPC Server von Drittanbietern ausgeführt werden, werden als „OPC Server“ bezeichnet.

In diesem Abschnitt • Voraussetzungen • Konfigurieren der Betriebssystemeinstellungen • Konfigurieren von DCOM-Einstellungen für den OPC Clientknoten • Konfigurieren von DCOM-Einstellungen für den OPC Serverknoten • Authentifizierung

Voraussetzungen Zum Konfigurieren von DCOM müssen Sie sich auf dem Computer mit einem Konto anmelden, das über lokale Administratorrechte verfügt. Die DCOM-Konfiguration hängt von der Bereitstellung des OPC Server und des OPC Clients ab: • Selber Computer (Empfohlen) Konfigurieren Sie DCOM, obwohl OPC Client- und Serverprogramme, die auf demselben Computer ausgeführt werden, nicht über DCOM kommunizieren. Deaktivieren Sie die Möglichkeit für Benutzer, DCOM zu konfigurieren. • Verschiedene Computer, selbe Windows-Domäne Gewähren Sie DCOM Berechtigungen für Domänenkonten. • Verschiedene Computer, keine gemeinsame Windows-Domäne Gewähren Sie DCOM auf den Server- und Clientcomputern Berechtigungen für dieselben lokalen Konten.

In diesem Abschnitt • Konnektivität von OPC Server und Client • Erforderliche Konten • Virtuelle Dienstkonten • Sicherheitskonfiguration für die PI Schnittstelle für OPC DA • Festlegen von Berechtigungen für Verzeichnisse, die ausführbare OPC-Dateien enthalten

Konnektivität von OPC Server und Client Wenn sich OPC Server und OPC Client auf verschiedenen Computern befinden, überprüfen Sie die Konnektivität, bevor Sie Ihre OPC Server- und OPC Client-Computers für DCOM konfigurieren:

DCOM-Sicherheits- und Konfigurationshandbuch4

3

DCOM-Konfigurationen für OPC • Stellen Sie sicher, dass der Server und der Client im Netzwerk eine Verbindung miteinander herstellen können und dass Port 135 geöffnet ist (Telnet verwenden). • Wenn Port 135 nicht geöffnet ist, überprüfen Sie, ob Probleme mit einer Firewall oder anderen Netzwerkbeschränkung vorliegen. Anmerkung: OPC-Vorgänge verwenden asynchrone Rückmeldungen. Während der Rückmeldung wird der OPC Client zum DCOM-Server, und der OPC Server wird zum DCOM-Client. Wenn ein Server eine Rückmeldung an einen Client durchführt, erstellt er eine neue Verbindung mit dem Client und sendet Methodenaufrufe über einen separaten TCP-Kanal. Die oben beschriebene dynamische Portzuordnung erfolgt auch auf der OPC Client-Seite. Diese dynamische Portzuordnung in diesem kurzlebigen Portbereich macht DCOM zu einem für die Firewall ungeeigneten Protokoll. Weitere Informationen finde Sie im OSIsoft Knowledge Base-Thema Konfigurieren von Ports für DCOM zur Verwendung mit der OPC-Schnittstelle. Hinweise zu NAT und Firewall. (https:// techsupport.osisoft.com/Troubleshooting/KB/2973OSI8)

Erforderliche Konten Zum Konfigurieren von DCOM müssen die passenden Konten für Ihre Konfiguration erstellt werden. Welche Konten erforderlich sind, hängt von Ihrer OPC Server- und OPC Clientverteilung ab: • Falls OPC Server und Client auf separaten Computern in der gleichen Windows-Domäne ausgeführt werden, verwenden Sie Domänenkonten mit geringstmöglichen Berechtigungen. • Falls OPC Server und Client auf separaten Computern in unterschiedlichen, nicht vertrauenswürdigen Windows-Domänen ausgeführt werden (oder keiner Domäne angehören), müssen auf beiden Computern identische lokale Konten (gleicher Benutzername und gleiches Kennwort) erstellt werden. Bei diesen Dienstkonten muss der Kennwortablauf deaktiviert sein. OSIsoft rät von diesem Ansatz ab, da er die Verwaltung mehrerer identischer lokaler Konten erfordert. OSIsoft empfiehlt die Erstellung von OPC-Administratorkonten mit umfangreichen Berechtigungen und die Erstellung von Benutzerkonten mit weniger Berechtigungen: • OPC-Administratorkonto: Konfigurieren Sie auf dem Domänencontroller ein privilegiertes OPC-Administratorkonto. Weisen Sie dieses Konto dem Benutzer zu, der den Zugriff auf OPC-Software und -Daten konfiguriert und steuert. Das Administratorkonto muss der Administratorengruppe angehören. Als Mitglied dieser Gruppe hat das Administratorkonto uneingeschränkten Zugriff auf den lokalen Computer. • OPC-Benutzerkonten: Erstellen Sie für Benutzer, die Zugriff auf OPC-Daten benötigen, aber nicht mit der Konfiguration der Software oder des Systems betraut sind, Konten mit den erforderlichen Mindestberechtigungen. Diese Benutzer können die OPC Client-Anwendung ausführen und eine Verbindung mit dem OPC Server herstellen. Falls Server- und Clientcomputer keine gemeinsame Domäne besitzen, erstellen Sie auf beiden Computern identische lokale Konten.

Virtuelle Dienstkonten Mit Windows Server 2008 R2 und Windows 7 wurde außerdem das virtuelle Dienstkonto eingeführt. Dieser Kontotyp ist als „NT Service\“ definiert und emuliert eine eindeutige Instanz des Netzwerkdienstkontos. Dieser Kontotyp muss nicht erstellt werden, und es ist keine Kennwortverwaltung erforderlich, sodass die Prüfung und Verfolgung erheblich vereinfacht ist. Auf dem lokalen Computer ist ein virtuelles Konto nicht privilegiert – es ist

4

DCOM-Sicherheits- und Konfigurationshandbuch4

DCOM-Konfigurationen für OPC lediglich ein Mitglied der lokalen Benutzergruppe. Wenn ein virtuelles Konto einer Domäne in einem Netzwerk angehört, übernimmt es die Identität des Computerkontos (DOMAIN \computer_name$); wenn es keiner Domäne angehört, ist es „Anonym“. Je nach Version des Windows-Betriebssystems kann Diensthärtung implementiert werden. Dazu wird entweder ein Windows-Konto mit geringfügigen Rechten in Verbindung mit einer dienstbasierten Sicherheits-ID (SID), ein virtuelles Konto oder eine Kombination aus beidem verwendet.

Sicherheitskonfiguration für die PI Schnittstelle für OPC DA Die meisten OPC Server unterstützen die OPC-Sicherheit nicht. Stellen sie sicher, dass Ihr OPC Server Sicherheit unterstützt, bevor Sie diese Option aktivieren. Wenn Ihr OPC Server erfordert, dass Clients OPC-Sicherheit verwenden, aktivieren Sie die OPC-Sicherheit, wählen „NT security“ oder „Private OPC security“, und geben Sie dann die Benutzer-ID und das Kennwort ein. Anmerkung: OSIsoft empfiehlt die Verwendung der NT-Sicherheit zur Verschlüsselung von BenutzerIDs und Kennwörtern. Bei Verwendung der privaten OPC-Sicherheit werden diese Informationen als Klartext gespeichert und übertragen. Informationen finden Sie unter Bewährte Methoden für die Sicherheit der PI Schnittstelle für OPC DA.

Festlegen von Berechtigungen für Verzeichnisse, die ausführbare OPCDateien enthalten Wenn die lokalen Benutzer nicht der Gruppe Users angehören, gewähren Sie Dateisystemen Zugriff auf OPC-Anwendungen und -Dienste:

Prozedur 1. Klicken Sie mit der rechten Maustaste auf den ausführbaren Ordner der OPC-Anwendung (nicht auf die ausführbare Datei selbst), und klicken Sie dann auf Eigenschaften. 2. Klicken Sie im Fenster Eigenschaften auf die Registerkarte Sicherheit und dann auf Bearbeiten. 3. Klicken Sie im Fenster Berechtigungen auf Hinzufügen, um Ihre OPC-Benutzer der Liste der Benutzer mit Berechtigung zum Starten und Ausführen der Anwendung hinzuzufügen. 4. Legen Sie für die folgenden Berechtigungen die Einstellung Zulassen fest: ◦ Lesen, Ausführen ◦ Ordnerinhalt anzeigen ◦ Lesen Anmerkung: Wenn Ihr OPC Server-Hersteller andere Berechtigungen erfordert oder empfiehlt, legen Sie diese fest.

Konfigurieren der Betriebssystemeinstellungen Jede Version von Windows weist eigene Standards für DCOM-Einstellungen auf, die sich bei einem Upgrade Ihres Betriebssystems ändern können. Stellen Sie gemäß der Beschreibung in diesem Handbuch und den Anweisungen Ihres OPC Server-Herstellers sicher, dass die Einstellungen auf Ihren OPC Server- und Client-Computern ordnungsgemäß konfiguriert sind.

DCOM-Sicherheits- und Konfigurationshandbuch4

5

DCOM-Konfigurationen für OPC Entfernen Sie beim Festlegen von Zugriffsberechtigungen keine der WindowsStandardbenutzer oder -gruppen (z. B. Administrator), da diese für ein ordnungsgemäßes Funktionieren von DCOM erforderlich sind. Führen Sie die folgenden Schritte aus, um den OPC Clientknoten (und den OPC Serverknoten bei entsprechender Anweisung durch den OPC Server-Hersteller) zu konfigurieren.

In diesem Abschnitt • Konfigurieren von lokalen Sicherheitseinstellungen • Konfigurieren von Windows-Firewalleinstellungen • Festlegen von Verschlüsselungsstufe und NTLM-Aushandlung

Konfigurieren von lokalen Sicherheitseinstellungen Sie müssen die Sicherheitseinstellungen konfigurieren, die sich auf die DCOMAuthentifizierung auswirken. Nachdem Sie diese Änderungen vorgenommen haben, erfordert Ihre Windows-Plattform möglicherweise einen Neustart, um Änderungen an der Gruppenmitgliedschaft zu übernehmen. Anmerkung: Anstatt die hier beschriebene Sicherheitseinstellung Sharing and security model for local access zu verwenden, können Sie die einfache Dateifreigabe mithilfe der Windows Explorer-Optionen deaktivieren. Beachten Sie jedoch, dass das lokale Gastkonto aktiviert bleibt und DCOM-Verbindungen nicht authentifiziert werden.

Prozedur 1. Klicken Sie auf Start > Systemsteuerung > Verwaltung > Lokale Sicherheitsrichtlinie. (Oder geben Sie zum Aufrufen der Systemsteuerung Lokale Sicherheitsrichtlinie „secpol.msc“ im Suchfeld des Startmenüs ein) 2. Klicken Sie unter Sicherheitseinstellungen auf Lokale Richtlinien > Sicherheitsoptionen. 3. Konfigurieren Sie folgende Einstellungen: ◦ Netzwerkzugriff Klicken Sie mit der rechten Maustaste auf Sharing and security model for local access und wählen Sie Classic – local users authenticate as themselves . Klicken Sie auf OK. ◦ Systemobjekte (nur Windows Server 2003) Standardbesitzer für Objekte, die von Mitgliedern der Gruppe Administratoren erstellt werden. Klicken Sie mit der rechten Maustaste auf die Gruppe Administratoren, und wählen Sie sie aus. 4. Speichern Sie Ihre Einstellungen, und schließen Sie das Fenster.

Konfigurieren von Windows-Firewalleinstellungen Wenn auf Ihren OPC-Computern die Windows-Firewall aktiviert ist, müssen Sie einigen Programmen das Passieren der Firewall gestatten.

Prozedur 1. Klicken Sie auf Start > Systemsteuerung und doppelklicken Sie dann auf Windows-Firewall. 2. Aktivieren Sie auf der Registerkarte Ausnahmen folgende Ausnahmen:

6

DCOM-Sicherheits- und Konfigurationshandbuch4

DCOM-Konfigurationen für OPC ◦ TCP-Port 135 (Klicken Sie auf Port hinzufügen...) ◦ opcenum.exe (Klicken Sie auf Programm hinzufügen...) ◦ Die ausführbare Datei Ihres OPC Servers (Klicken Sie auf Programm hinzufügen...) 3. Zum Einschränken der Quelle von eingehenden TCP-Verbindungen auf den OPC Clientknoten klicken Sie auf Bereich ändern, geben die IP-Adresse des OPC Clientknotens ein und klicken dann auf OK.

Festlegen der zu verwendenden DCOM-Ports Im Gegensatz zu den meisten anderen Internetanwendungen weist DCOM jedem ausführbaren Prozess, der DCOM-Objekte auf einem Computer verarbeitet, dynamisch einen TCP-Port zu. Um zu ermitteln, welche Ports verwendet werden, initiiert jeder OPC Client, der mit Objekten im Besitz des OPC Server kommunizieren möchte, immer eine Verbindung mit dem Dienststeuerungs-Manager des Remote-DCOM an TCP-Port 135. Nach dieser erstmaligen Verbindung informiert der Dienststeuerungs-Manager den Client darüber, welcher Port für die weitere Kommunikation genutzt werden soll. Der gewählte Port kann jeder Port innerhalb des kurzlebigen Portbereichs sein: • XP/Win2k3: 1024–4999 • Vista und höher: 49152–65535 Außerdem verwenden einige OPC-Vorgänge asynchrone Rückmeldungen. Während Rückmeldungen wird der OPC Client zum DCOM-Server, und der OPC Server wird zum DCOMClient. Wenn ein Server eine Rückmeldung an einen Client durchführt, erstellt er eine neue Verbindung mit dem Client und sendet Methodenaufrufe über einen separaten TCP-Kanal. Die oben beschriebene dynamische Portzuordnung erfolgt auch auf der OPC Client-Seite. Diese dynamische Portzuordnung in diesem kurzlebigen Portbereich macht DCOM zu einem für die Firewall ungeeigneten Protokoll.

Festlegen von Verschlüsselungsstufe und NTLM-Aushandlung Die lokalen, für den OPC Server oder die Schnittstelle verwendeten Konten werden unter Umständen nicht ordnungsgemäß authentifiziert, wenn eine Verbindung mit Windows Server 2008, Windows 7 oder einer höheren Version hergestellt wird. Windows Server 2008 und Windows 7 enthalten Änderungen zur Verbesserung der Sicherheit des NTLMAuthentifizierungsprotokolls, das von im Arbeitsgruppenmodus ausgeführten Servern und Clients verwendet wird. Standardmäßig sind diese Windows-Versionen so konfiguriert, dass sie nur mit anderen Computern kommunizieren, die ebenfalls die erweiterte NTLM-Sicherheit verwenden. Bei Verwendung lokaler Konten verhindert dies die Authentifizierung des OPC Clients beim OPC Server. Zur Gewährleistung der Interoperabilität müssen OPC Server- und Clientknoten mit übereinstimmenden NTLM-spezifischen Einstellungen konfiguriert werden. Die neuen Einstellungen werden von älteren Windows-Versionen mit aktuellen Service Packs unterstützt (zumindest bis Windows XP). Windows 2003 Service Pack 1 unterstützt diese Einstellung. Wenn Sie ermitteln möchten, ob dies unter Umständen ein Problem darstellt, führen Sie auf dem Schnittstellen-/Clientcomputer eine einfache Dateifreigabeanforderung für den Server aus (und umgekehrt):

DCOM-Sicherheits- und Konfigurationshandbuch4

7

DCOM-Konfigurationen für OPC

Prozedur 1. Klicken Sie im Startmenü auf Ausführen. 2. Geben Sie im Textfeld den Befehl \\computername ein, und drücken Sie die EINGABETASTE. ◦ Mit einem runas-Befehl wie dem folgenden können Sie den Windows-Explorer ausführen, falls Sie sich bei dem Computer nicht mit Ihren Anmeldeinformationen anmelden können: runas /user:domain\user "explorer/separate"

Ist der Vorgang erfolgreich, erscheint ein Fenster. Sollten Sie keinen Zugriff auf die Freigaben/Dateien des Computers haben, ist das Fenster leer. Andernfalls enthält es die verfügbaren Freigaben/Ordner/Dateien. Ist der Vorgang nicht erfolgreich, prüfen Sie im Bereich für die lokale Sicherheit die folgenden Richtlinien (sowohl auf dem OPC Server- als auch auf dem Schnittstellenknoten): ◦ „Netzwerksicherheit: LAN Manager-Authentifizierungsebene“. Die NTLMAuthentifizierungsstufe muss auf Folgendes festgelegt werden: „LM- und NTLMAntworten senden (NTLMv2-Sitzungssicherheit verwenden, wenn ausgehandelt)“ ◦ „Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Clients (einschließlich sicherer RPC-Clients)“. Muss auf „128-Bit-Verschlüsselung erfordern“ festgelegt werden. ◦ „Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Server (einschließlich sicherer RPC-Server)“. Muss auf „128-Bit-Verschlüsselung erfordern“ festgelegt werden. ◦ Beim Remotezugriff auf Server 2012-Systeme kann „\\"ServerName"\C$“ nicht mit lokalen Administratoranmeldeinformationen verwendet werden. Dieses Problem lässt sich wie folgt beheben: ◦ Bearbeiten Sie den Registrierungsschlüssel „HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion\Policies\System“, und legen Sie „LocalAccountTokenFilterPolicy“ auf „1“ fest. Sollte der Schlüssel nicht vorhanden sein, erstellen Sie ihn als 32-Bit-DWORD-Schlüssel. Bei den Einstellungen für die oben genannten Richtlinien handelt es sich um Optionen, mit denen sich in den meisten Fällen die Interoperabilität gewährleisten lässt. Manchmal ist es jedoch nicht möglich, die Konfiguration eines der Computer zu ändern. Die Einstellungen müssen auf dem Computer, auf dem die Richtlinien geändert werden können, so festgelegt werden, dass sie den Einstellungen des Computers entsprechen, auf dem sie nicht geändert werden können. Anmerkung: Die Einstellungsänderungen werden erst nach einem Systemneustart wirksam. Sollte der Neustart nicht das gewünschte Ergebnis bringen, führen Sie den folgenden Befehl aus, oder wenden Sie sich an den technischen Support: >gupdate/force/wait:0/ wait:value Warning: In bestimmten Fällen lässt sich das Problem durch diese Schritte nicht beheben. Verwenden Sie niemals nur NTLM2. Dies kann auf älteren Computern zu Problemen sowie zu Authentifizierungsfehlern führen.

8

DCOM-Sicherheits- und Konfigurationshandbuch4

DCOM-Konfigurationen für OPC

Konfigurieren von DCOM-Einstellungen für den OPC Clientknoten Auf Clientcomputern, die auf OPC Server zugreifen, müssen Sie DCOM aktivieren und angemessenen Kontozugriff gewähren. (Für die individuellen OPC Serverimplementierungen sind unter Umständen unterschiedliche Einstellungen erforderlich. Die erforderlichen Einstellungen können Sie beim Anbieter Ihres OPC Servers erfragen.) Gehen Sie zum Konfigurieren der erforderlichen Einstellungen wie folgt vor:

Prozedur 1. Führen Sie in einem Befehlsfenster den folgenden Befehl aus: dcomcnfg . Das Fenster Komponentendienste wird angezeigt. 2. Erweitern Sie Konsolenstamm > Komponentendienste > Computer, klicken Sie mit der rechten Maustaste auf Arbeitsplatz, und klicken Sie anschließend auf Eigenschaften. 3. Klicken Sie im Fenster Eigenschaften von Arbeitsplatz auf die Registerkarte Standardeigenschaften, und legen Sie die passenden Einstellungen fest: a. Aktivieren Sie das Kontrollkästchen DCOM (Distributed COM) auf diesem Computer aktivieren, wenn der OPC Client eine Verbindung mit einem OPC Server auf einem anderen Computer herstellen muss. DCOM kann deaktiviert werden, wenn Client und Server auf dem gleichen Computer ausgeführt werden. Die Deaktivierung von DCOM ist zwar bedenkenlos möglich, dadurch werden allerdings auch viele Remoteverwaltungsfunktionen deaktiviert. b. Legen Sie Standardauthentifizierungsebene auf Verbinden fest. c. Legen Sie Standardidentitätswechselebene auf Identifizieren fest. d. Falls es sich bei dem OPC-Benutzerkonto um ein lokales Konto handelt, klicken Sie auf die Registerkarte COM-Sicherheit, und fügen Sie das Konto wie folgt den passenden Zugriffssteuerungslisten (Access Control Lists, ACLs) hinzu: Fügen Sie unter Zugriffsberechtigungen den Benutzer (und den OPC-Administrator) den ACLs Limits und Standard hinzu. Konfigurieren Sie Zugriffsberechtigungen für die Standardbenutzer und -gruppen wie folgt: Berechtigungen

Benutzer

Einstellung

Zugriffstyp(en)

Limits

Jeder

Zulassen

Lokaler Zugriff und Remotezugriff

ANONYME ANMELDUNG

Zulassen

Lokaler Zugriff

SELBST

Zulassen

Lokaler Zugriff und Remotezugriff

SYSTEM

Zulassen

Lokaler Zugriff

Standard

4. Fügen Sie unter Start- und Aktivierungsberechtigungen den Benutzer den ACLs Limits und Standard hinzu. Konfigurieren Sie Start- und Aktivierungsberechtigungen für die Standardbenutzer und -gruppen wie folgt:

DCOM-Sicherheits- und Konfigurationshandbuch4

9

DCOM-Konfigurationen für OPC Berechtigungen

Benutzer

Einstellung

Zugriffstyp(en)

Limits

Benutzer, unter dem der OPC Server ausgeführt wird, oder „Administratoren“

Zulassen

Lokaler Start Remotestart Lokale Aktivierung Remoteaktivierung

Jeder

Zulassen

Lokaler Start Lokale Aktivierung

Standard

Benutzer, unter dem der OPC Server ausgeführt wird, oder „Administratoren“

Zulassen

INTERAKTIV

Zulassen

Lokaler Zugriff und Remotezugriff (oder Start und Aktivierung – abhängig vom verwendeten WindowsBetriebssystem) Lokaler Zugriff und Remotezugriff (oder Start und Aktivierung – abhängig vom verwendeten WindowsBetriebssystem)

SYSTEM

Zulassen

Lokaler Zugriff und Remotezugriff (oder Start und Aktivierung – abhängig vom verwendeten WindowsBetriebssystem)

Konfigurieren von DCOM-Einstellungen für den OPC Serverknoten Falls der Anbieter Ihres OPC Servers bestimmte DCOM-Einstellungen empfiehlt, sollten Sie sich an diese Empfehlungen halten. Wenn Sie einen OPC Server von OSIsoft verwenden oder keine speziellen Empfehlungen des Anbieters verfügbar sind, konfigurieren Sie die DCOMEinstellungen für den Benutzer, der den OPC Server ausführt, wie hier beschrieben. Anmerkung: Das Programm dcomcnfg zeigt unter der 64-Bit-Version von Microsoft Windows 7 und Microsoft Windows Server 2008 R2 standardmäßig keinen Eintrag für PI OSI DA Server oder PI OSI HDA Server an. Um sicherzustellen, dass diese Server aufgeführt werden, führen Sie den folgenden Befehl aus, um die 32-Bit-Version von dcomcnfg zu starten: MMC /32 %windir%\syswow64\comexp.msc

Prozedur 1. Starten Sie das Programm dcomcnfg und navigieren Sie zu Konsolenstamm > Komponentendienste > Computer > Arbeitsplatz > DCOM-Konfiguration. 2. Klicken Sie auf der rechten Seite in der Liste mit den Anwendungen mit der rechten Maustaste auf Ihren OPC Server, und wählen Sie Eigenschaften. Das Dialogfeld Eigenschaften wird angezeigt.

10

DCOM-Sicherheits- und Konfigurationshandbuch4

DCOM-Konfigurationen für OPC 3. Legen Sie auf der Registerkarte Allgemein die Option Authentifizierungsebene auf Folgendes fest: Default. 4. Aktivieren Sie auf der Registerkarte Speicherort das Kontrollkästchen Anwendung auf diesem Computer ausführen. 5. Legen Sie auf der Registerkarte Sicherheit folgende Berechtigungen fest: ◦ Start- und Aktivierungsberechtigungen: Standard verwenden ◦ Zugriffsberechtigungen: Standard verwenden ◦ Konfigurationsberechtigungen: Lesen zulassen (für OPC-Benutzer); Lesen zulassen und Vollzugriff zulassen (für OPC-Administratoren) 6. Fügen Sie der Protokollliste auf der Registerkarte Endpunkte die Protokollsequenz Verbindungsorientiertes TCP/IP hinzu. 7. Wählen Sie auf der Registerkarte Identität die Option Dieser Benutzer aus, und geben Sie den Benutzernamen und das Kennwort des erstellten OPC-Benutzers ein. 8. Klicken Sie auf OK, um Ihre Einstellungen zu speichern.

Authentifizierung Die Authentifizierung dient zum Bestätigen der Identität eines Benutzers (im Gegensatz zur Autorisierung, mit der gesteuert wird, zu welchen Aktionen der Benutzer berechtigt ist). Für die Authentifizierung verwendet das DCOM-Sicherheitsmodell den erweiterbaren Sicherheitsanbieter von Microsoft Windows. Bei innerhalb einer Arbeitsgruppe verwendeten, auf Microsoft Windows NT basierenden Betriebssystemen wird NTLMSSP (NT LAN Manager Security Support Provider) verwendet. Wenn OPC-Knoten einer Domäne angehören, verwendet Active Directory für Windows Server 2003/2008 das KerberosAuthentifizierungsprotokoll als Sicherheitsanbieter. DCOM unterstützt folgende Authentifizierungs- und Datenschutzstufen (aufsteigend nach Sicherheitsgrad): • Keine Keine Authentifizierung. ACHTUNG: Die Kommunikation ohne Authentifizierung (Authentifizierungsstufe None) sollte niemals verwendet werden, da ansonsten jeder Benutzer im Netzwerk ohne jegliche Authentifizierung oder Überprüfung auf den OPC Serverknoten zugreifen kann. • Verbinden Authentifiziert die Anmeldeinformationen nur beim Herstellen der Verbindung. • Aufruf Authentifiziert die Anmeldeinformationen zu Beginn jedes RPC-Aufrufs. • Paket Authentifiziert die Anmeldeinformationen und prüft, ob alle Daten empfangen wurden. • Paketintegrität (Empfohlen) Authentifiziert die Anmeldeinformationen und überprüft, ob die Daten bei der Übertragung manipuliert wurden. Vergewissern Sie sich, dass diese Authentifizierungsstufe die Leistung Ihrer Scan-Klassen nicht beeinträchtigt.

DCOM-Sicherheits- und Konfigurationshandbuch4

11

DCOM-Konfigurationen für OPC • Paketdatenschutz Authentifiziert die Anmeldeinformationen und verschlüsselt das Paket (einschließlich der Daten und der Identität und Signatur des Absenders). Authentifizierungsstufen, die mit dem Programm dcomcnfg konfiguriert werden, haben Vorrang vor der Authentifizierungsstufe aus den systemweiten Einstellungen. Die effektive Authentifizierungsstufe für die Kommunikation zwischen OPC Client und OPC Server ist die höchste Mindeststufe. Wenn der OPC Server also beispielsweise mit Packet Integrity und der OPC Client mit None konfiguriert ist, wird Packet Integrity verwendet.

In diesem Abschnitt • Benutzerkontokonfigurationen für den OPC Server • Identitätswechsel

Benutzerkontokonfigurationen für den OPC Server Beim Konfigurieren des Kontos für die Ausführung des OPC Servers geben Sie das Konto in den ACLs und auf der dcomcnfg-Registerkarte Identity an. Wenn der OPC Server als Windows-Dienst ausgeführt wird, muss der Account, der auf der Registerkarte Identität derselbe sein, der auf der Registerkarte Anmelden im Fenster Diensteigenschaften angegeben ist. Zum Anzeigen des als OPC-Prozess ausgeführten Kontos aktivieren Sie die Registerkarte Prozesse des Windows Task-Managers.

In diesem Abschnitt • Interaktiv ausgeführte Programme • Überprüfen oder Ändern des Windows-Dienstkontos

Interaktiv ausgeführte Programme Einige Programme wie der PI OPC Client und die PI Schnittstelle für OPC DA werden interaktiv ausgeführt, indem Sie über die Befehlszeile gestartet werden. Diese Programme sind mit dem Benutzer verknüpft, der auf dem Computer angemeldet ist (außer bei Verwendung des Windows-Befehls „Ausführen als“ ). Wenn das Konto ein lokales Benutzerkonto ist, fehlen ihm standardmäßig die Berechtigungen zum Ausführen von Anwendungen, die von einem Administrator installiert wurden. Damit der lokale Benutzer von einem Administrator installierte Anwendungen ausführen kann, fügen Sie den Sicherheitseigenschaften des Ordners, der die ausführbare Datei der Anwendung enthält, das lokale Benutzerkonto hinzu und weisen ihm die Berechtigung Lesen und Ausführen zu.

Überprüfen oder Ändern des Windows-Dienstkontos Für Programme, die als Windows-Dienst ausgeführt werden, geben Sie das Benutzerkonto auf der Registerkarte Anmelden des Dienstes an. Das hier angegebene Benutzerkonto muss dasselbe sein, das für die Anwendung auf der Registerkarte Identity von dcomcnfg angegeben ist.

12

DCOM-Sicherheits- und Konfigurationshandbuch4

DCOM-Konfigurationen für OPC

Prozedur 1. Klicken Sie auf Start > Ausführen und geben Sie services.msc ein. 2. Klicken Sie mit der rechten Maustaste auf den Dienst, und wählen Sie die Option Eigenschaften. 3. Klicken Sie auf die Registerkarte Anmelden, und geben Sie das Benutzerkonto im Abschnitt Dieses Konto an.

Identitätswechsel Der Identitätswechsel ist ein Mechanismus, der einem DCOM-Server mithilfe der Anmeldeinformationen, die dem Client anstatt dem Server selbst zugeordnet sind, den Zugriff auf gesicherte Objekte ermöglicht. Der Identitätswechsel wird von OPC Servern in der Regel nicht unterstützt, außer von Servern, die die OPC-Sicherheitsspezifikation unterstützen. Wenn Ihr OPC Server diese Spezifikation unterstützt, informieren Sie sich in der Herstellerdokumentation über die erforderlichen Identitätswechseleinstellungen für die Client- und Servercomputer. Die DCOM-Autorisierung wird von den folgenden Identitätswechselebenen unterstützt: • Anonymous Der Server kann die Identität des Clients annehmen, die Identität des mit dem OPC Client verknüpften Benutzers wird jedoch vor dem OPC Server verborgen. • Identify (Empfohlen) Der OPC Server kann den mit dem OPC Client verknüpften Benutzer identifizieren und als dieser Benutzer Aktionen ausführen. • Impersonate Der OPC Server kann Aktionen als der mit dem OPC Client verknüpfte Benutzer durchführen, kann als dieser Benutzer jedoch nicht auf andere Computer zugreifen. • Delegate Der Benutzer, der den OPC Server ausführt, kann als der mit dem OPC Client verknüpfte Benutzer agieren und auch als dieser Benutzer auf andere Computer zugreifen.

DCOM-Sicherheits- und Konfigurationshandbuch4

13

DCOM-Konfigurationen für OPC

14

DCOM-Sicherheits- und Konfigurationshandbuch4

Checkliste zur Verbesserung der OPC-Sicherheit Eine ausführliche Erläuterung zur Verbesserung der OPC-Sicherheit finden Sie in einem Artikel des „Office of Electricity Delivery and Energy Reliability“ http://energy.gov/oe/downloads/ opc-security-whitepaper-3hardening-guidelines-opc-hosts (http://energy.gov/oe/downloads/ opc-security-whitepaper-3hardening-guidelines-opc-hosts). Allgemeine Richtlinien zur Optimierung der OPC-Sicherheit: • Deaktivieren Sie alle nicht benötigten Dienste, einschließlich OPCEnum, das für den normalen OPC-Schnittstellenbetrieb nicht erforderlich ist. • Deaktivieren Sie die Datei- und Druckerfreigabe • Wenn die OPC-Schnittstelle und der Server auf demselben Computer ausgeführt werden, deaktivieren Sie DCOM und den Remoteregistrierungszugriff. • Benutzerkonten: ◦ Definieren Sie eine OPC-Benutzergruppe mit geringen Rechten, und fügen Sie ihr nur Benutzer hinzu, die OPC-Zugriff benötigen. ◦ Definieren Sie eine OPC-Administratorgruppe mit umfangreichen Rechten, die auf bestimmte Computer beschränkt ist. ◦ Deaktivieren Sie Gastzugriff. ◦ Erfordern Sie sichere Kennwörter. ◦ Konfigurieren Sie die Firewall so, dass Datenverkehr auf vertrauenswürdige Computer beschränkt ist, und erstellen Sie basierend auf dieser Konfiguration eine Richtlinie. ◦ Schützen Sie die Windows-Registrierung (keine Administratorrechten für reguläre Benutzer, Deaktivieren der Registrierungsbearbeitung) • DCOM-Konfiguration: ◦ Setzen Sie die mindestens erforderliche Authentifizierungsstufe auf Paketintegrität (stellen Sie sicher, dass Mehraufwand die Leistung der Schnittstelle nicht behindert) ◦ Sicherheit ▪ Starten Sie das OPC-Administratorkonto nur, wenn der OPC Server als Windows-Dienst ausgeführt wird. ▪ Zugriff OPC-Administrator und OPC-Benutzerkonten ▪ Konfiguration OPC-Administrator: Vollzugriff OPC-Benutzer: Lesezugriff ◦ Identität: Mitglieder der opcuser-Gruppe ◦ DCOM-Transportprotokolle: auf TCP beschränken

DCOM-Sicherheits- und Konfigurationshandbuch4

15

Checkliste zur Verbesserung der OPC-Sicherheit

16

DCOM-Sicherheits- und Konfigurationshandbuch4

Fehlerbehebung In den folgenden Abschnitten werden hilfreiche Protokolle für die Fehlerbehandlung, häufige DCOM-Sicherheitsfehler und Fehler nach numerischem Code und Kategorie aufgelistet und erläutert

In diesem Abschnitt • Protokollieren von DCOM-Fehlern • Aktivieren der Windows-Sicherheitsüberprüfung • Häufige DCOM-Sicherheitsfehler • DCOM-Fehler nach Nummerncode

Protokollieren von DCOM-Fehlern PI-Protokollfehler Produkte von OSIsoft protokollieren DCOM-Sicherheitsfehler in der lokalen PIMeldungsprotokolldatei des OPC Clientknotens. Fehler können auch im WindowsSystemprotokoll enthalten sein. Diese Fehler können zur Behandlung allgemeiner DCOMFehler herangezogen werden. Verbindungsfehler (CoCreateInstanceEx) deuten auf Probleme beim Instanziieren des OPC Servers hin. Dies ist üblicherweise darauf zurückzuführen, dass der OPC Server das vom Client verwendete Konto nicht authentifizieren kann oder dass das Konto nicht zum Verwenden des Servers berechtigt ist. Benachrichtigungsfehler deuten auf den umgekehrten Fall hin: Der OPC Client kann das mit dem OPC Server verknüpfte Konto nicht authentifizieren, oder das Konto verfügt nicht über die erforderlichen Berechtigungen für die Verwendung des Schnittstellenknotens.

DCOM-Fehlerprotokollierung Definieren Sie zum Konfigurieren der DCOM-Fehlerprotokollierung von Windows mithilfe von REGEDIT die folgenden Registrierungswerte im Eintrag HKEY_LOCAL_COMPUTER \SOFTWARE\Microsoft\Ole, und legen Sie sie auf 1 fest: Registrierungsschlüssel

Beschreibung

ActivationFailureLoggingLevel

Protokolliert nicht erfolgreiche Start- und Aktivierungsanforderungen für Komponenten.

CallFailureLoggingLevel

Protokolliert nicht erfolgreiche Aufrufe von Komponenten, nachdem diese aktiviert wurden.

InvalidSecurityDescriptorLoggingLevel

Protokolliert ungültige Sicherheitsbeschreibungen für Start- und Zugriffsberechtigungen für Komponenten.

Diese Einstellungen werden erst nach einem Neustart der OPC Server- und Clientinstanzen wirksam. Nach der Aktivierung der Protokollierung werden DCOM-Sicherheitsfehler im Ereignisprotokoll von Windows protokolliert.

Aktivieren der Windows-Sicherheitsüberprüfung Sicherheitsüberprüfungen können bei der Diagnose von DCOM-Berechtigungsproblemen hilfreich sein. Sie müssen Windows-Sicherheit auf dem OPC Server und den Clientknoten aktivieren.

DCOM-Sicherheits- und Konfigurationshandbuch4

17

Fehlerbehebung Anmerkung: Richtlinien können auf der Domänenebene gesteuert werden, wenn der Computer einer Domäne angehört, und können u. U. nicht geändert werden.

Prozedur 1. Öffnen Sie die Systemsteuerung Lokale Sicherheitsrichtlinie. 2. Klicken Sie auf Lokale Richtlinien > Überwachungsrichtlinie. 3. Legen Sie die folgenden Richtlinien zum Überwachen von Fehlern fest: ◦ Anmeldeversuche überwachen ◦ Anmeldeereignisse überwachen ◦ Objektzugriffsversuche überwachen

Weitere Schritte Sie finden Sicherheitsüberwachungsprotokolle im Sicherheitsprotokoll der WindowsEreignisanzeige.

Häufige DCOM-Sicherheitsfehler Unbekannter Benutzer oder falsches Kennwort Das folgende Ereignis deutet auf einen Anmeldefehler aufgrund eines unbekannten Benutzernamens hin. Ein Anmeldefehler aufgrund eines unbekannten Kennworts ist identisch, der Fehlercode lautet jedoch „0xC000006A“. Event Type: Failure Audit Event Source: Security Event Category: Account Logon Event ID: 680 Date: 10/16/2012 Time: 5:20:48 PM User: NT AUTHORITY\SYSTEM Computer: OPCLANDDescription: Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon account: opcaccount Source Workstation: ONELOVE Error Code: 0xC0000064

Fehler bei der OPC Server-Aktivierung Dieses Ereignis zeigt einen Fehler beim Aktivieren des OPC Servers an. Der Servername ist im Protokoll nicht angegeben, kann jedoch durch das Durchsuchen der Registrierung nach der CLSID ermittelt werden. Event Type: Error Event Source: DCOM Event Category: None Event ID: 10016 Date: 10/16/2012 Time: 4:05:13 PM User: NT AUTHORITY\ANONYMOUS LOGON Computer: OPCLAND Description: The application-specific permission settings do not grant Remote Activation permission for the COM Server application with CLSID {13486D51-4821-11D2A494-3CB306C10000} to the user NT AUTHORITY\ANONYMOUS LOGON SID (S-1-5-7). This security permission can be modified using the Component Services administrative tool.

18

DCOM-Sicherheits- und Konfigurationshandbuch4

Fehlerbehebung

DCOM-Fehler nach Nummerncode Fehler

Beschreibung

0x80004002

No such interface supported. Dieser Fehler tritt auf, wenn der Client eine Verbindung mit dem Server herstellt. Er deutet darauf hin, dass der Client eine Serververbindung hergestellt hat, aber keinen Zeiger auf eine COM-Schnittstelle abrufen kann. Die OPC-Standards enthalten auch optionale Einrichtungen. Dieser Fehler wird zurückgegeben, wenn eine optionale COM-Schnittstelle nicht unterstützt wird. Oftmals tritt der Fehler jedoch bei Servern mit eigener Sicherheitsimplementierung auf. Hierfür gibt es folgende Gründe: • Einige OPC Server akzeptieren keine Verbindungen von Drittanbieter-OPC Clients und geben diesen Fehler zurück, wenn ein solcher Client versucht, den Server zu verwenden. • Das Konto, unter dem der Client ausgeführt wird, wurde von der Sicherheitsimplementierung des OPC Servers nicht autorisiert. • Die Lizenz für den OPC Server ist nicht ordnungsgemäß installiert. • Die Standardauthentifizierungsstufe für den Clientcomputer ist auf None festgelegt, oder auf dem OPC Servercomputer ist die einfache Dateifreigabe aktiviert, was eine anonyme Anmeldung zur Folge hat.

0x8000401a

The server process could not be started because the configured identity is incorrect. Dieser Verbindungsfehler deutet auf ein Problem mit den Identitätseinstellungen des OPC Servers hin: • Das für die Serveridentität angegebene Konto ist nicht vorhanden. • Das Kennwort des für die Serveridentität angegebenen Kontos ist nicht korrekt oder abgelaufen. • Der Server wurde mit einer Identität vom Typ Interactive user konfiguriert, bei der Konsole des Servercomputers ist jedoch kein Benutzer angemeldet. Prüfen Sie die angegebene Identität in der DCOM-Konfiguration für den Server. Vergewissern Sie sich, dass das Konto vorhanden ist, und überprüfen Sie das Kennwort. Die Verwendung von Interactive user als Serveridentität wird nicht empfohlen, da in diesem Fall ein Benutzer beim Computer angemeldet sein muss, damit vom Client eine Verbindung hergestellt wird.

0x80040111

ClassFactory cannot supply requested class. Dieser Verbindungsfehler deutet darauf hin, dass OPC nicht korrekt registriert ist oder der Server den vom Client angeforderten Verbindungstyp nicht akzeptiert. Die meisten OPC Server akzeptieren sowohl lokale Verbindungen als auch Remoteverbindungen, von manchen wird aber unter Umständen nur ein bestimmter Typ akzeptiert. OSIsoft OPC Clients verwenden eine lokale Verbindung, wenn kein Serverknotenname angegeben ist oder der Knotenname „localhost“ verwendet wird. Falls ein Server nur Remoteverbindungen akzeptiert, kann der Client durch Einschließen des Serverknotennamens in den Parameter /server auf dem OPC Serverknoten ausgeführt werden (Beispiel: / server=myopcserver::some.opcserver.1).

0x80040112

Class is not licensed for use. Kein DCOM-Sicherheitsproblem. Vergewissern Sie sich, dass die Lizenz für den OPC Server installiert ist.

0x80040154

Class not registered. Dieser Verbindungsfehler kann auftreten, wenn die Schnittstelle keine OPC Serverinformationen aus der Registrierung abrufen kann. In bestimmten Fällen entspricht dieses Problem der Beschreibung für den Fehler 80040111 (ClassFactory cannot supply requested class).

DCOM-Sicherheits- und Konfigurationshandbuch4

19

Fehlerbehebung Fehler

Beschreibung

0x80040202

Connection attempt failed. Unable to open the access token of the current thread. (incorrect error string) Dieser Fehler tritt auf, wenn der Client versucht, eine Gruppe zu benachrichtigen, und der OPC Server keine neue Verbindung mit der Schnittstelle herstellen kann. Er kann auf DCOM-Sicherheitsprobleme oder auf allgemeine Netzwerkprobleme zurückzuführen sein: • Sicherheit Mögliche Ursachen für Sicherheitsfehler: ◦ Die Client-ACL „Limits“ lässt keine Verbindung über das Konto zu, das als Identität des Servers verwendet wird. ◦ Die Authentifizierungsstufe des Servers ist auf „NONE“ festgelegt, und die ClientACL „Limits“ lässt keine Verbindung mit anonymer Anmeldung zu. ◦ Auf dem Servercomputer ist die einfache Dateifreigabe aktiviert. • Netzwerk Mögliche Ursachen für Netzwerkfehler: ◦ Eine Firewall hindert den Server daran, eine Verbindung mit dem Clientcomputer herzustellen. ◦ Eine Firewall zwischen Server und Client verwendet die Netzwerkadressenübersetzung (Network Address Translation, NAT). ◦ Der DNS-Server für das Netzwerk gibt für den Clientcomputer eine falsche IPAdresse zurück.

0x8007000e

Server out of memory. Falls es sich bei dem Server um einen PI OPC Server handelt, kann diese Fehlermeldung auf die gleichzeitige Ausführung mehrerer OPC-Prozesse zurückzuführen sein. So kann dieser Fehler beispielsweise auftreten, wenn gleichzeitig zwei PI OPC DA-Prozesse ODER zwei PI OPC HDA-Prozesse ausgeführt werden. Beenden Sie zur Behebung des Problems einen der doppelten Prozesse.

20

DCOM-Sicherheits- und Konfigurationshandbuch4

Fehlerbehebung Fehler

Beschreibung

0x80070005

General access denied error. Der am weitesten verbreitete DCOM-Sicherheitsfehler. Das der OPC-Schnittstelle zugewiesene Benutzerkonto ist nicht zum Ausführen der angeforderten Aktion berechtigt, oder das Konto kann vom Server nicht authentifiziert werden. Fehler vom Typ Access denied können in folgenden Fällen auftreten: Der Client versucht, eine Verbindung mit dem Server herzustellen (CoCreateInstanceEx-Fehler), und das Konto, unter dem der Client ausgeführt wird, verfügt über keine Zugriffsberechtigung für den Server, oder der Client versucht, Gruppen zu benachrichtigen, und das dem Server zugeordnete Konto verfügt über keine Berechtigungen auf dem Clientcomputer. • Fehler bei der Verbindungsherstellung Mögliche Ursachen: ◦ Das Konto, unter dem der Client ausgeführt wird, verfügt nicht über die erforderlichen Berechtigungen zum Aktivieren oder Starten des OPC Servers. ◦ Das Clientkonto verfügt in der systemweiten Zugriffssteuerungsliste (Access Control List, ACL) namens Limits über keine Remotezugriffsberechtigung. ◦ Das Konto, unter dem der Client ausgeführt wird, kann vom Servercomputer nicht authentifiziert werden. ◦ Die Standardauthentifizierungsstufen für Server- und Clientcomputer sind auf NONE festgelegt, oder die einfache Dateifreigabe ist aktiviert, was eine anonyme Anmeldung zur Folge hat. Zur Behandlung von Verbindungsfehlern des Typs access denied müssen Sie ermitteln, ob es sich beim für die Verbindung verwendeten Konto um das gewünschte Konto handelt, und sich vergewissern, dass das Konto über die erforderlichen Berechtigungen verfügt. Prüfen Sie zunächst das Windows-Sicherheitsprotokoll auf dem Servercomputer. (Dazu muss die Sicherheitsüberprüfung aktiviert sein.) Anmeldefehler deuten auf Probleme mit dem Clientkonto hin (unbekannter Benutzer oder falsches Kennwort). Wurden keine Anmeldefehler erfasst, überprüfen Sie die Erfolgsüberwachungen auf Anmeldungen des Clientcomputers, und notieren Sie sich das Konto. Ist als Konto „ANONYMOUS LOGON“ angegeben, ist unter Umständen die effektive Authentifizierungsstufe auf „NONE“ festgelegt, oder auf dem Servercomputer ist die einfache Dateifreigabe aktiviert. Prüfen Sie als Nächstes das Windows-Systemprotokoll auf DCOM-Fehler. Ist das Clientkonto nicht in der standardmäßigen, serverspezifischen DCOMZugriffssteuerungsliste (ACL) enthalten, wird ein Fehler protokolliert. • Benachrichtigungszugriffsfehler Mögliche Ursachen: ◦ Das als Serveridentität verwendete Konto verfügt in der standardmäßigen DCOM-ACL des Systems nicht über die erforderlichen Berechtigungen. ◦ Das als Serveridentität verwendete Konto verfügt in der systemweiten Zugriffssteuerungsliste (ACL) „Limits“ nicht über die Berechtigung für Remotezugriff. ◦ Das als Serveridentität verwendete Konto kann vom Servercomputer nicht authentifiziert werden. ◦ Die Standardauthentifizierungsstufen für Server- und Clientcomputer sind auf NONE festgelegt, oder die einfache Dateifreigabe ist aktiviert, was eine anonyme Anmeldung zur Folge hat. Führen Sie zum Behandeln von Benachrichtigungszugriffsfehlern die gleichen Schritte aus wie bei Verbindungsfehlern, sehen Sie sich nun aber die Protokolle für den Clientcomputer an, und beachten Sie, dass in diesem Fall keine clientprozessspezifischen DCOM-Zugriffssteuerungslisten (ACLs), sondern nur die Standard-Zugriffssteuerungslisten (ACLs) des Systems zur Verfügung stehen.

DCOM-Sicherheits- und Konfigurationshandbuch4

21

Fehlerbehebung Fehler

Beschreibung

0x800700008

Not enough storage is available to process this command. Unzureichender Arbeitsspeicher.

0x8007007e

The specified module could not be found. Dieser Verbindungsfehler deutet auf ein Problem mit der Installation des OPC Servers hin: Die ausführbare Datei für den OPC Server kann nicht geladen werden.

0x800706ba

The RPC server is unavailable. Dieser Fehler kann verbindungs- oder benachrichtigungsbedingt sein. Er deutet darauf hin, dass keine Verbindung mit dem Remoteprozedurdienst (RPCSS) von Windows hergestellt werden kann – entweder, weil der Dienst nicht ausgeführt wird oder beeinträchtigt ist oder weil die Verbindungsherstellung durch eine Firewall verhindert wird. • Fehler bei der Verbindungsherstellung Problembehandlungsschritte: ◦ Vergewissern Sie sich in Windows unter Dienste, dass der Remoteprozedurdienst von Windows auf dem Servercomputer ausgeführt wird. (In neueren Windows-Versionen kann hierzu nicht die Taskliste verwendet werden, da der Dienst im Rahmen des Prozesses svchost.exe ausgeführt wird.) Ermitteln Sie, ob der Computer an Port 135 lauscht, indem Sie den folgenden Befehl ausführen: netstat –a . Falls RPCSS nicht ausgeführt wird, vergewissern Sie sich, dass DCOM auf dem Computer aktiviert ist, und starten Sie den Dienst ggf. neu. ◦ Sollten keine offenkundigen Probleme mit RPCSS vorliegen, ist wahrscheinlich der Zugriff auf Port 135 blockiert. Wenn auf dem Server die Windows-Firewall verwendet wird, fügen Sie den TCP-Port 135 der Ausnahmenliste der Firewall hinzu. • Benachrichtigungszugriffsfehler Die Schritte zum Behandeln von RPC-Serverfehlern bei Benachrichtigungsaufrufen sind die gleichen wie für die Behandlung von Fehlern bei der Verbindungsherstellung. Einziger Unterschied: Die Schritte werden nicht auf dem Server, sondern auf dem Clientcomputer ausgeführt.

0x80080005

Server execution failed. Allgemeiner Fehlercode, der bei der Verbindungsherstellung zurückgegeben wird, wenn sich der OPC Server nicht vor Ablauf des Zeitlimits bei DCOM registriert. Dieser unspezifische Fehler kann auftreten, wenn das als Identität für den OPC Server konfigurierte Konto keinen Dateisystemzugriff auf die ausführbare Datei des Servers hat. Prüfen Sie die Ereignisanzeige auf den folgenden Fehler: (EventID =10010, Type=Error): "Server [X] did not register with DCOM within the required timeout" Bearbeiten Sie die Berechtigungen für das Verzeichnis mit der ausführbaren Datei, um das als Serveridentität verwendete Konto wie weiter oben beschrieben mit sämtlichen Berechtigung auszustatten. Die korrekten Einstellungen können Sie beim Anbieter Ihres OPC Servers erfragen oder in der Dokumentation Ihres OPC Servers nachlesen.

22

DCOM-Sicherheits- und Konfigurationshandbuch4

Technischer Support und weitere Ressourcen Für technische Unterstützung wenden Sie sich an den technischen Support von OSIsoft unter +1 510-297-5828, oder rufen die Kontaktseite des technischen Supports von OSIsoft (https:// techsupport.osisoft.com/Contact-Us/) auf. Auf dieser Website werden auch die Kontaktmöglichkeiten für alle Kunden außerhalb der USA aufgeführt. Bitte geben Sie bei Kontaktaufnahme mit dem technischen Support von OSIsoft die folgenden Informationen an: • Produktname, Version und Build-Nummern • Details zur verwendeten Computerplattform (CPU-Typ, Betriebssystem und Versionsnummer) • Zeitpunkt des Auftreten des Problems • Protokolldateien zu diesem Zeitpunkt • Details zu allen Umgebungsänderungen vor dem Auftreten des Problems • Zusammenfassung des Problems inklusive relevanter Protokolldateien, die während des Zeitraums des Auftretens des Problems entstanden sind Treten Sie der OSIsoft-Benutzercommunity PI Square (https://pisquare.osisoft.com) bei, um anderen Benutzern der OSIsoft-Software Fragen zu stellen. Communitymitglieder können um Rat bitten und sich über das PI System austauschen. Der Bereich „PI Developers Club“ in PI Square bietet hilfreiche Ressourcen für die Programmierung und Integration von OSIsoftProdukten.

DCOM-Sicherheits- und Konfigurationshandbuch4

23

Technischer Support und weitere Ressourcen

24

DCOM-Sicherheits- und Konfigurationshandbuch4