Не удалось установить связь dcom с компьютером

Обновлено: 06.07.2024

Здравствуйте, что то непонятное за ночь произошло с компами. Есть домен на windows server 2008r2, около 150 компов на разных операционных системах. Многие юзеры просто блокируют комп и уходят.
Когда уходили вчера вечером было все нормально, а когда пришли утром начались странности. У тех у кого был открыт outlook, соединение разорвалось и аутлук потребовал заново ввести учетные данные. Если перезапустить Outlook то все работает штатно. Но хочется все таки разобраться что произошло. Только вот где искать проблему? Попробовал прошерстить логи своего компа. Там такое от источника CProCtrl:

Ошибка проверки контрольной суммы. Файл: C:\WINDOWS\system32\wininet.dll. Причиной ошибки может быть обновление операционной системы или некорректная установка КриптоПро CSP. Обновите контрольные суммы с помощью кнопки "Пересчитать хэши" в панели КриптоПро CSP на вкладке "Дополнительно" или пересчитайте контрольную сумму библиотеки в реестре, запустив с правами администратора: start cpverify -addreg -file "C:\WINDOWS\system32\wininet.dll"
------------
Ошибка проверки контрольной суммы. Файл: C:\WINDOWS\system32\crypt32.dll. Причиной ошибки может быть обновление операционной системы или некорректная установка КриптоПро CSP. Обновите контрольные суммы с помощью кнопки "Пересчитать хэши" в панели КриптоПро CSP на вкладке "Дополнительно" или пересчитайте контрольную сумму библиотеки в реестре, запустив с правами администратора: start cpverify -addreg -file "C:\WINDOWS\system32\crypt32.dll"
---------------
Ошибка проверки контрольной суммы. Файл: C:\WINDOWS\SysWOW64\kerberos.dll. Причиной ошибки может быть обновление операционной системы или некорректная установка КриптоПро CSP. Обновите контрольные суммы с помощью кнопки "Пересчитать хэши" в панели КриптоПро CSP на вкладке "Дополнительно" или пересчитайте контрольную сумму библиотеки в реестре, запустив с правами администратора: start cpverify -addreg -file "C:\WINDOWS\SysWOW64\kerberos.dll" Обработчик правил сообщил о сбое попытки активации корпоративной лицензии.
Причина:0xC004F074
AppId: 0ff1ce15-a989-479d-af46-f275c6370663, SkuId: 6bf301c1-b94a-43e9-ba31-d494598c47fb
Триггер: TimerEvent

Не удается найти описание для идентификатора события 0 из источника gupdate. Вызывающий данное событие компонент не установлен на этом локальном компьютере или поврежден. Установите или восстановите компонент на локальном компьютере.

Если событие возникло на другом компьютере, возможно, потребуется сохранить отображаемые сведения вместе с событием.

Проблема пересекается с Windows, поэтому задам вопрос здесь.

Windows Server 2008 SP1.
MS SQL Server Management Studio

Попытка коннекта к удаленной базе

Результат: очень меделнный коннект. Очень медленно выполняются запросы.

В EventMonitor следующая ошибка: Не удалось установить связь DCOM с компьютером "ServerName" через один из настроенных протоколов.

Пинг до сервера 5мс. Не знаю что делать. Все нереально тормозит.

судя по системе MS SQL 2005, разрешена ли работа по протоколам TCP/IP?

Проверил настройки для MSSQL и оставил доступным только TCPIP.
Все равно ничег оне изменилось.

Однако немного подробностей:
Windows Server 2008 x64 SP1
Поднять VPN
MSSQL студио должно коннектиться к удаленному серверу внутри VPN

При коннекте к удаленной базе обнаруживаю большое кол-во попыток коннектов от MSSQL к DNS провайдера (сеть внешняя, не VPN)

скорее всего у вас проблемы с впн. Пните админа, пусть нормально канал поднимет. Проверьте канал на пересылку пакетов весом более 64 kb

вотрезультата с машины на которой все рботает

C:\Documents and Settings>ping -l 65500 172.16.6.155

Pinging 172.16.6.155 with 65500 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 172.16.6.155:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

C:\Documents and Settings\aspirant>

вот результата с машины которая не работает и тормозят запросы
C:\Users\Администратор>ping -l 65500 -t 172.16.6.155

Обмен пакетами с 172.16.6.155 по с 65500 байтами данных:
Ответ от 172.16.6.155: число байт=65500 время=144мс TTL=127
Ответ от 172.16.6.155: число байт=65500 время=132мс TTL=127
Ответ от 172.16.6.155: число байт=65500 время=126мс TTL=127
Ответ от 172.16.6.155: число байт=65500 время=126мс TTL=127
Ответ от 172.16.6.155: число байт=65500 время=126мс TTL=127
Ответ от 172.16.6.155: число байт=65500 время=128мс TTL=127
Ответ от 172.16.6.155: число байт=65500 время=129мс TTL=127
Превышен интервал ожидания для запроса.
Ответ от 172.16.6.155: число байт=65500 время=142мс TTL=127
Ответ от 172.16.6.155: число байт=65500 время=130мс TTL=127
Ответ от 172.16.6.155: число байт=65500 время=129мс TTL=127
Ответ от 172.16.6.155: число байт=65500 время=138мс TTL=127
Ответ от 172.16.6.155: число байт=65500 время=139мс TTL=127
Превышен интервал ожидания для запроса.
Ответ от 172.16.6.155: число байт=65500 время=140мс TTL=127
Превышен интервал ожидания для запроса.
Ответ от 172.16.6.155: число байт=65500 время=130мс TTL=127
Ответ от 172.16.6.155: число байт=65500 время=129мс TTL=127
Ответ от 172.16.6.155: число байт=65500 время=127мс TTL=127
Ответ от 172.16.6.155: число байт=65500 время=130мс TTL=127
Ответ от 172.16.6.155: число байт=65500 время=135мс TTL=127
Ответ от 172.16.6.155: число байт=65500 время=129мс TTL=127
Ответ от 172.16.6.155: число байт=65500 время=130мс TTL=127
Ответ от 172.16.6.155: число байт=65500 время=129мс TTL=127
Ответ от 172.16.6.155: число байт=65500 время=138мс TTL=127

Статистика Ping для 172.16.6.155:
Пакетов: отправлено = 25, получено = 22, потеряно = 3
(12% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 126мсек, Максимальное = 144 мсек, Среднее = 132 мсек
Control-C
^C
C:\Users\Администратор>

C:\Documents and Settings>ping -l 65500 172.16.6.155

Pinging 172.16.6.155 with 65500 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 172.16.6.155:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
:(
Вообще то это сложно назвать "все рботает"

Трассировка маршрута к ServerName [172.16.6.155]
с максимальным числом прыжков 30:

1 28 ms 10 ms 7 ms 10.0.0.50
2 4 ms 4 ms 7 ms ServerName [172.16.6.155]

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 213.247.232.249 213.247.232.250 266
84.47.147.102 255.255.255.255 213.247.232.249 213.247.232.250 11
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
172.16.0.0 255.255.0.0 10.0.0.50 172.16.6.235 10000
172.16.6.235 255.255.255.255 On-link 172.16.6.235 10255
213.247.232.248 255.255.255.248 On-link 213.247.232.250 266
213.247.232.250 255.255.255.255 On-link 213.247.232.250 266
213.247.232.255 255.255.255.255 On-link 213.247.232.250 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 213.247.232.250 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 213.247.232.250 266
255.255.255.255 255.255.255.255 On-link 172.16.6.235 10255
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 213.247.232.249 По умолчанию
===========================================================================

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
Метрика Сетевой адрес Шлюз
15 1110 ::/0 2002:c058:6301::c058:6301
1 306 ::1/128 On-link
13 18 2001::/32 On-link
13 266 2001:0:d5c7:a2d6:4b7:d25:2a08:1705/128
On-link
15 1010 2002::/16 On-link
15 266 2002:d5f7:e8fa::d5f7:e8fa/128
On-link
13 266 fe80::/64 On-link
13 266 fe80::4b7:d25:2a08:1705/128
On-link
1 306 ff00::/8 On-link
13 266 ff00::/8 On-link
===========================================================================
Постоянные маршруты:
Отсутствует

Пропишите route для своего впн.

C:\Users\Администратор>
C:\Users\Администратор>
C:\Users\Администратор>route -p add 172.16.6.155 mask 255.255.255.255 10.0.0.50 metric 1 if 12
ОК

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 213.247.232.249 213.247.232.250 266
84.47.147.102 255.255.255.255 213.247.232.249 213.247.232.250 11
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
172.16.0.0 255.255.0.0 10.0.0.50 172.16.6.235 10000
172.16.6.155 255.255.255.255 10.0.0.50 172.16.6.235 10000
172.16.6.235 255.255.255.255 On-link 172.16.6.235 10255
213.247.232.248 255.255.255.248 On-link 213.247.232.250 266
213.247.232.250 255.255.255.255 On-link 213.247.232.250 266
213.247.232.255 255.255.255.255 On-link 213.247.232.250 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 213.247.232.250 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 213.247.232.250 266
255.255.255.255 255.255.255.255 On-link 172.16.6.235 10255
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 213.247.232.249 По умолчанию
172.16.6.155 255.255.255.255 10.0.0.50 1
===========================================================================

C:\Users\Администратор>nslookup 172.16.6.155
DNS request timed out.
timeout was 2 seconds.
Server: UnKnown
Address: 172.16.6.7

DNS request timed out.
timeout was 2 seconds.
*** Request to UnKnown timed-out

В чем заключается настройка DCOM OPC? Для корректной работы OPC серверов по сети, необходимо настроить сетевые параметры и параметры безопасности DCOM.

Настройка DCOM для компьютера

Первым шагом к настройке DCOM OPC всегда является добавление пользователя для работы с OPC. Если у вас пользователь настроен, то приступим к настройке сети и параметров безопасности.

В данном разделе нужно настроить свойства DCOM по умолчанию на сервере, чтобы «все работало». Приступим.

1. Запустим окно настройки DCOM

Настройка параметров DCOM выполняется с помощью служебной команды «dcomcnfg». Для запуска «dcomcnfg» нажмите на клавиатуре Win+R, чтобы открыть окно запуска программ из командной строки.

Откроется окно Службы компонентов, в котором нужно будет раскрыть список Службы компонентов, а затем и список Компьютеры, где мы увидим еще один вложенный список Мой компьютер, на который нужно нажать правой кнопкой мыши и выбрать пункт меню Свойства.

2. Настройка свойств компьютера для DCOM

В появившемся окне свойств выбираем вкладку Свойства по умолчанию и устанавливаем следующие настройки:

Галка Разрешить использование DCOM на этом компьютере — без нее DCOM работать не будет.
В Уровень проверки подлинности по умолчанию выбираем Подключиться.
В Уровень олицетворения по умолчанию выбираем Определить.

После жмем кнопку OK. Система может предупредить о том, что будут изменены свойства DCOM — соглашайтесь. Окно Службы компонентов не закрывайте, оно нам еще понадобится.

Те же настройки необходимо провести и на клиенте за исключением пунктов 3.2 и 3.3 — они не повлияют на работу, но и не повредят. Самое главное, чтобы DCOM был разрешен.

Настройка безопасности DCOM

Переходим на вкладку Безопасность и устанавливаем умолчания на права доступа и на запуск и активацию.

Кликните по кнопке №1. В появившемся диалоговом окне:

Кликните на кнопке «Добавить»;
Добавьте группу пользователей "Пользователи DCOM
Установите для нее права доступа;
Сохраните изменения, кликнув по кнопке «OK».

Повторите действия в диалоговом окне «Разрешение на запуск и активацию» которое появляется при клике на кнопке №2 «Изменить умолчания».

На вкладке Набор протоколов должен быть только один протокол, как на скриншоте

Настройка DCOM для OPC Enum

Настройка OPC Enum по умолчанию

Если вы настроили умолчания для компьютера, то чаще всего эта настройка не нужна. Нужно только убедиться, что все настройки выставлены так, как надо.

Настройка OPC Enum вручную

Но иногда почему-то настройки по умолчанию не работают. Тогда настраиваем DCOM для OPC Enum вручную.

Служба OpcEnum отвечает за отображение OPC-серверов. Если ее настроить некорректно, то при браузинге серверов, вы не увидите ничего, кроме ошибок. Эту службу нужно настроить на сервере.

В окне Служба компонентов должно уже быть открыто дерево до Настройка DCOM. Нужно выбрать этот элемент в левой части окна, и после этого в правой найти OpcEnum, кликнуть на него правой кнопкой мышки и выбрать пункт меню Свойства.

Вкладка Общие

Откроется окно свойств, и во вкладке Общие в списке Уровень проверки подлинности выбрать Подключиться.

Вкладка Размещение

Во вкладке Размещение должен быть выбран пункт Запустить приложение на данном компьютере. Остальные галки должны быть сняты.

Вкладка Безопасность

Далее переходим к вкладке Безопасность, где будем раздавать права на удаленный запуск, доступ и изменение настроек OpcEnum.

Во всех трех случаях выбираем пункт Настроить, т.е. у нас должны быть активны три кнопки Изменить.

Начнем с Разрешение на запуск и активацию. Нам нужно добавить нашу группу с необходимыми разрешениями, поэтому кликаем на кнопку Добавить.
Вписываем (или ищем) Пользователи DCOM, жмем OK — группа должна добавиться.
Итак, группа в списке, теперь надо проставить галки под словом Разрешить. Ставим все галки, но, теоретически, для того, чтобы служба работала по сети нам нужно лишь Удаленный запуск и Удаленная активация. После проставления галок жмем OK.
Открываем следующее окно — Права доступа. Точно так же добавляем нашу группу и разрешаем ей все, либо только Удаленный доступ, жмем OK.

Открываем окошко Разрешение на изменение настроек.

В этом окне точно так же добавляем группу и разрешаем ей Полный доступ и Read — они ставятся одновременно и снимаются так же. Жмем OK .

Вкладка Удостоверение

Переходим ко вкладке Удостоверение окна свойств OpcEnum.

Для службы OpcEnum возможно два варианта запуска:

Системная учетная запись (только службы) — OPC-сервер будет запущен под системной учетной записью независимо от входа в систему. Данный вариант нам подходит, и его советуют как более предпочтительный.
Указанный пользователь — при данной настройке OPC-сервер будет запущен от имени указанного нами пользователя в одном экземпляре, независимо от того, под какой учетной записью совершен вход. В данном случае мы сами указываем пользователя.

Определившись нажимаем OK и переходим к перезапуску службы OpcEnum. Это можно сделать из того же окна: слева выбираем Службы (локальные), справа в списке ищем OpcEnum, выбираем и перезапускаем нажатием на появившуюся ссылку.

Смотрите еще: 5 способов копирования файлов и папок в Windows 7

Дожидаемся перезапуска службы и переходим к клиенту.
На клиенте запускаем OPC-клиент и пытаемся искать OPC-сервера на компьютере OPC-сервера.

Но при попытке достучаться до тэгов прилетает отказ. Этого следовало ожидать, ведь мы еще не настраивали наш OPC сервер.

Настройка DCOM для OPC сервера

Мы вплотную подобрались к настройке ПО, которое будет выдавать нам теги на клиенте. Настройка не сильно отличается от процедуры, описанной в предыдущем разделе.

В Настройка DCOM ищем необходимый OPC-сервер, тыкаем правой кнопкой мыши и выбираем свойства.
На вкладке Общие выбираем Уровень проверки подлинностиПодключиться.
На вкладке Размещение должен быть выбран только пункт Запустить приложение на данном компьютере.
На вкладке Безопасность группе Пользователи DCOM даем права на удаленный запуск, доступ и изменение настроек как и в случае с OpcEnum
На вкладке Удостоверение у нас есть 4 варианта:
- Текущий пользователь — в этом случае OPC-сервер будет запускаться от имени вошедшего в систему пользователя. Можно использовать данный вариант, но необходимо на сервере авторизовываться под учетной записью opc, что может быть не всегда удобно. Но тем не менее можно выбрать этот вариант при условии, что сервер всегда будет запущен под учеткой opc.
- Запускающий пользователь — при авторизации пользователя будет запущен экземпляр OPC-сервера. Если к серверу будет подключено два клиента, то будет запущено два OPC-сервера. В одном случае это будет отжирать ресурсы, в другом — все кроме первого клиенты не будут видеть данных.
- Указанный пользователь — как и в случае с OpcEnum, этот вариант предпочтительный потому, что при такой настройке будет запущен один экземпляр под необходимой учетной записью. Можно выбрать этот вариант и ввести логин и пароль предварительно созданного пользователя.
- Системная учетная запись (только службы)
После выбора одного из вариантов и нажатия на кнопку OK, нужно перезапустить OPC-сервер, если он запущен.
Теперь переходим к компьютеру, на котором запущен OPC-клиент и пытаемся искать OPC-сервер на удаленном сервере. Вы должны увидеть список OPC-серверов без каких-либо проблем, как и в предыдущем разделе.
Но после манипуляций описанных в этом разделе мы должны иметь возможность создать группу в клиенте, увидеть теги и их значения.

Для корректной работы OPC серверов необходимо настроить сетевые параметры и параметры безопасности DCOM.

Настройка OpcEnum не требуется, поскольку данная служба автоматически настраивается при установке "OPC Core Components".

Пример настройки параметров приведен для тестового OPC сервера "Те st OPC Server". Настройка параметров DCOM выполняется с помощью служебной команды "dcomcnfg".

Для запуска "dcomcnfg" нажмите на клавиатуре Win+ R, чтобы открыть окно запуска программ из командной строки.

Рис. 20 Запуск службы компонентов

4.1 Настройка параметров по умолчанию

Рис. 21 Свойства

Рис. 22 Безопасность COM

Кликните по кнопке №1 (рис. 22). В появившемся диалоговом окне (рис.23):

Кликните на кнопке "Добавить";
Добавьте группу пользователей "Пользователи DCOM", выполнив действия, аналогичные показанным на рисунках 7 – 9;
Установите для нее права доступа;
Сохраните изменения, кликнув по кнопке "OK".

Рис. 23 Настройка прав доступа

Повторите действия в диалоговом окне "Разрешение на запуск и активацию" (рис.24), которое появляется при клике на кнопке №2 "Изменить умолчания" (рис.22).

Рис. 24 Настройка разрешений на запуск

На закладке "Набор протоколов" (рис.25) удалите все протоколы, кроме TCP/ IP и нажмите "OK" для того чтобы сохранить изменения в диалоговом окне "Свойства: Мой компьютер".

Рис. 25 Настройка разрешений на запуск

4.2 Настройка параметров для OPC сервера

Рис. 26 Настройка DCOM для OPC сервера

Поскольку все параметры были настроены для всего компьютера, то необходимо убедиться, что OPC сервер использует параметры по умолчанию.

Рис. 27 Общие свойства OPC сервера

Рис. 28 Свойства безопасности

Рис. 29 Конечные узлы

Рис. 30 Удостоверение

На закладке "Удостоверение" необходимо указать имя пользователя, который был создан ранее, от имени которого будет запускаться OPC сервер.

Замечание 1. Перед изменением настроек OPC сервера необходимо убедиться, что он не запушен и отсутствует в списке активных процессов. Или перезапустить OPC сервер после изменения настроек.

Замечание 2. Для некоторых OPC серверов необходимо, чтобы они были запущены хотя бы один раз с правами администратора, для того чтобы зарегистрироваться в системе и инициализировать параметры OPC сервера. Только после такой инициализации они будут доступны для обнаружения через OpcEnum и подключения.

4.3 Настройка доступа к OPC серверам "Для всех"

Внимание! Разрешение доступа для всех может снизить уровень безопасности компьютера.

Иногда требуется разрешить доступ к OPC серверу для всех, включая анонимных пользователей. Например, когда компьютер с сервером не включен в домен, а к серверу будут подключаться множество клиентов.

Компьютер с сервером может быть не включен в домен;
Не требуется создавать пользователей на компьютере с OPC сервером;
Пользователи могут запускать OPC клиент от своего имени.

Угроза безопасности компьютера за счет разрешения удаленного доступа к DCOM для всех.

Если вы хотите дать доступ к OPC серверу для всех, то необходимо настроить индивидуальные права доступа для выбранного OPC сервера.

Откройте настройки DCOM для OPC сервера, как показано в разделе 4.2 и модифицируйте их согласно рис.31 – рис.34. Остальные опции должны соответствовать параметрам, указанным в разделе 4.2.

Рис. 31 Общие свойства

Рис. 32 Свойства безопасности

Рис. 33 Разрешения на запуск и активацию

Рис. 34 Права доступа

Необходимо настроить локальную политику безопасности. Для этого необходимо открыть консоль управления "Локальная политика безопасности". Консоль можно запустить, выполнив "Пуск" - "Администрирование" - "Локальная политика безопасности". Необходимо перейти в раздел "Локальные политики: Параметры безопасности". И установить состояние правила "" в состояние "Включено" (рис. 35).

Рис. 35 Свойства политики безопасности

Если после изменения политики безопасности, как показано на рис. 35, OPC клиенты не могут получать список OPC серверов и подключаться к ним, то необходимо настроить и сохранить дополнительные свойства политики безопасности (рис. 36-37).

Читайте также: