16. Wonderware konference ČR/SR - 2010 Tipy & triky technické podpory Často kladené dotazy na Wonderware software Michal Tauchman, Tomáš Petříček, Jaroslav Jarka, Pavel Průša, Jiří Nikl
Obsah prezentace Zdroje informací pro technickou podporu Zdroje na Internetu Wonderware Developer Network Technické stránky Pantek (CS) Nosiče DVD v rámci zásilky Wonderware Customer First Program Podporované operační systémy Nové verze DAServerů Tipy pro nastavení PC a operačního systému
Obsah prezentace (pokrač.) Instalace Microsoft SQL Serveru Používání PC v doméně (Active Directory) Antivirová problematika ve výrobním prostředí Wonderware software a virtualizace Tipy pro jednotlivé Wonderware produkty InTouch Historian Historian Client Licencování
Tipy & triky technické podpory Zdroje informací pro technickou podporu Michal Tauchman
Zdroje informací pro technickou podporu Wonderware Developer Network wdn.wonderware.com
Wonderware Developer Network wdn.wonderware.com Přístup vyžaduje přihlášení
Vyhledávání v rozmanitých zdrojích informací Dříve známé jako znalostní databáze (Knowledge Base)
Kompatibilita Wonderware produktů s bezpečnostními opravami Microsoft Cíl: do 15 pracovních dní od vydání Microsoft opravy ji podporovat, případně uvést výjimky Oficiální dokumenty Wonderware věnované bezpečnosti a zabezpečení automat. systémů
Ovladače, aplikace, nástroje, opravy a nové verze ke stažení Od ledna 2010 jsou v sekci Software Downloads ke stažení ISO obrazy aktuálních verzí
Globální vyhledávání ve všech zdrojích technické podpory (včetně Solution Central) Technické dokumenty Tech Alerts, Tech Notes, dokumentace, Compatibility Matrix, diskusní fóra, Dokument k životnímu cyklu produktů Wonderware (Wonderware Product Support Lifecycle)
Zdroje informací pro technickou podporu Technické stránky Pantek (CS) www.pantek.cz
Sekce Podpora Námi vytvářený obsah Např. Aktuální verze produktů, Pantek download, Tipy a triky Odkazy na frekventované sekce wdn.wonderware.com Např. Download, Security Central, Solution Central, Tech Notes
Sekce Produkty Wonderware Software Kromě marketingových informací rovněž technický obsah v některých produktových sekcích Komunikace (I/O Servery) přehledy komunikačních možností se systémy Siemens, Allen-Bradley a Mitsubishi Wonderware Historian a Information Server koutky uživatelů
Zdroje informací pro technickou podporu Nosiče e DVD Zásilky v rámci podpory Wonderware Customer First Program (WCFP)
Méně nosičů, větší obsah Počínaje rokem 2010 jsou zásilky WCFP distribuovány s nosiči DVD s konsolidovaným obsahem, namísto stohu CD/DVD individuálních produktů Nosiče obsahují aktuální verze produktů k datu vydání a také běžné předchozí verze Aktuální produkty se všemi důležitými meziverzemi Starší produkty pouze ve finální verzi
Méně nosičů, větší obsah (pokrač.) Kromě kompletních instalací obsahují nosiče také samostatné opravy (Service Pack, Patch) Instalace produktů jsou ve formátech ZIP nebo ISO ZIP pro aktuální verze a samostatné opravy ISO pro kompletní instalace (aktuální verze i archiv) Z ISO obrazu lze přímo vytvořit instalační CD, nebo jej lze připojit jako další disk operačního systému Nástroj 7-Zip File Manager pro vybalení ISO do instalačních souborů je na DVD
Tipy & triky technické podpory Podporované operační systémy Tomáš Petříček
Aktuální verze hlavních produktů Wonderware System Platform Application Server Historian Server Information Server Historian Client InTouch DAServer Runtime Components 3.1 SP2 Patch1 10.0 4.0 10.0 SP1 10.1 SP2 Patch1 3.0 SP1
Podporované operační systémy Aktuální Windows XP Vista 2003 Server 2008 Server 7 verze produktů Application Server Historian Server 10/2010 10/2010 Historian Client Information Server InTouch 10/2010
Podporované operační systémy Tabulka kompatibility Compatibility Matrix http://wdn.wonderware.com
Podporované operační systémy příklad pro InTouch
Podporované operační systémy Soubor ReadMe pro každý produkt Je součástí každého instalačního balíčku Důležité informace v ReadMe Systémové požadavky (operační systém,.net) Hardwarové požadavky Postup instalace - odinstalace Nové vlastnosti Důležitá upozornění Omezení (Windows Vista restrictions apod.) Kompatibilita s jinými produkty
Podpora Windows 7 Bude řešena formou Service Pack není třeba upgrade licencí Service Pack 3 pro InTouch 10.1 Application Server 3.1 Service Pack 1 pro Historian Server 10.0 Podporována bude edice Windows 7 Professional 32-bit 64-bit v emulačním módu WoW (Windows on Windows)
Tipy & triky technické podpory Nové verze DAServerů Tomáš Petříček
Nové verze Wonderware DAServerů SIDirect 2.0 S7Simatic 2.0 ABCIP 4.1 SP1 ABTCP 2.0 MBTCP 2.0 FactorySuite Gateway 2.0
Hlavní nové vlastnosti všech nových DAServerů Podpora Windows 7 32-bit a 64-bit (WoW) Aktivace OPC spojení pouze v režimu Out-of-Proc Není třeba vypínat UAC Redundance zařízení možnost nadefinovat dva zástupné zdroje dat (dva topiky) Změna umístění konfiguračních souborů *.aacfg Windows XP a Windows Server 2003 Documents and Settings\All Users\Application Data\Wonderware\DAServer\... Windows Vista, Windows 7 a Windows Server 2008 ProgramData\Wonderware\DAServer\...
Novinky specifické pro DAServery pro PLC Siemens S7Simatic DAServer 2.0 Podporuje Siemens SimaticNet 7.1 Podporuje firmware 2.3.0 v PLC S7-300 Podporuje firmware 2.7.0 v PLC S7-400 Nepodporuje Windows 7 a 64-bitové edice operačních systémů Omezení Siemens SimaticNet software SIDirect DAServer 2.0 Podporuje firmware 2.6.x v PLC S7-300 Podporuje firmware 3.1.x v PLC S7-400
Tipy & triky technické podpory Tipy pro nastavení PC a operačního systému Jaroslav Jarka
HyperThreading HyperThreading nepoužívat Vhodné pro kancelářské použití Nevhodné pro běh aplikací s trvalou zátěží Falešný dojem nižšího zatížení procesoru Rozdělení zátěže mezi dva virtuální procesory nemusí být rovnoměrné HyperThreading se zakazuje v BIOSu
Data Execution Prevention (DEP) DEP standardní součást operačního systému Hlídá paměť PC, zabraňuje spuštění podezřelého kódu U programů využívajících více systémových zdrojů možnost falešného vyhodnocení nebezpečí, Vysoké zatížení CPU, výrazné zpomalení běhu programu Vypnutí Data Execution Prevention Windows XP / 2003 Server - soubor BOOT.INI Změnit parametr /noexecute=optin na /noexecute=alwaysoff Windows Vista / 7 / 2008 Server příkazová řádka: bcdedit.exe /set {current} nx AlwaysOff
Pořadí síťových rozhraní Důležité pro PC se dvěma a více síťovými rozhraními Pořadí určuje, přes kterou síť se bude primárně komunikovat, pokud se používá název PC InTouch InTouch InTouch InTouch Na prvním místě musí být síť pro komunikaci mezi GR, AOS, InTouch aplikacemi a Historian serverem RMC AOS 1 AOS 2 PLC Historian
Pořadí síťových rozhraní (pokrač.) Nastavuje se v konfiguraci sítě Primární síť lze nastavit také pomocí HOSTS souboru
Nastavení sítě Nepoužívat zjednodušené sdílení Windows XP Ve výchozím nastavení zapnuto Zrušit volbu Použít zjednodušené sdílení souborů (Use Simple file sharing) Windows 7 / Vista / Server 2008 Ve výchozím nastavení vypnuto Jiné označení Vypnout sdílení chráněné heslem (Turn off password protected sharing)
Nastavení sítě (pokrač.) Nepoužívat TOE (TCP offload engine) Typicky značkové serverové PC (DELL, HP), síťové karty Broadcom Způsobuje komunikační problémy především u Wonderware Application Serveru
Nastavení sítě (pokrač.) Pozor na sítě zařazené do typu umístění sítě Veřejné (Public) Windows Vista / Server 2008 / Windows 7 Vliv na Windows Firewall Ignorují se nastavené výjimky ve Windows Firewall Výjimky potom nefungují ani u sítí v kategorii Privátní Změna v síti nebo restart PC může způsobit novou identifikaci sítě Privátní síť se může změnit na Veřejnou (Public) Těmto změnám lze zabránit nastavením popsaném v Readme souborech pro InTouch a Wonderware Application Server (secpol.msc)
Nastavení národního prostředí Národní prostředí pro serverové Wonderware produkty Regional and Language settings (Místní a jazyková nastavení) nastavit na English (United States) Lokálně i systémově Po instalaci lze změnit lokální prostředí na české Nastavit desetinný oddělovač tečku. Nastavit oddělovač seznamu čárku,
Tipy & triky technické podpory Instalace Microsoft SQL Serveru Jaroslav Jarka
Instalace Microsoft SQL Serveru Postup instalace popsán v dokumentech Tech Note 484 Installing Microsoft SQL Server 2005 for Use with Wonderware Products Tech Note 682 Installing Microsoft SQL Server 2008 for Wonderware Historian v10.0 Na 64 bitový OS nutno instalovat 32 bitový SQL Server Zkontrolovat tzv. Server Collation: SQL_Latin1_General_CP1_CI_AS Nastaví se správně s národním prostředím English (United States)
Tipy & triky technické podpory Používání PC v doméně (Active Directory) Jaroslav Jarka
Používání PC v doméně (Active Directory) Správně nainstalovaný a nakonfigurovaný počítač po připojení do domény nemusí fungovat korektně Active Directory umožňuje administrátorům v celé organizační struktuře (doméně) Nastavovat bezpečnostní politiku Instalovat programy na mnoho počítačů atd. Vhodné pro kancelářské počítače Pro IT jednoduché a pohodlné pro správu Počítače v procesní síti však většinou vyžadují vyšší práva než kancelářské PC
Používání PC v doméně (Active Directory) pokrač. Active Directory může změnit nastavení operačního systému Registry Group Policy Security Policy Sdílení adresářů Práva uživatele atd. Doposud funkční PC může mít díky výše uvedeným změnám problémy s korektním vykonáváním Wonderware aplikace
Používání PC v doméně (Active Directory) pokrač. Řešení: Kontrola PC, resp. konfigurace profilu v Active Directory pro procesní počítače dle dokumentů Tech Note 461, 478 a 508 Nastavení operačního systému pro korektní funkčnost Wonderware Application Serveru Tech Note 461 Troubleshooting Industrial Application Server Bootstrap Communications Tech Note 478 Industrial Application Server Platform Deployment Checklist Tech Note 508 Troubleshooting Wonderware Application Server Processes
Tipy & triky technické podpory Antivirová problematika ve výrobním m prostředí Fakta, strategie, řešení Pavel Průša
Konflikt výroby a IT oddělení Vzniká, je-li správa procesní sítě přenechána IT IT nezná specifika aplikací a procesů procesní sítě Výroba není vyškolena v bezpečnostní problematice Na všechna PC musí být instalován antivirový program zpomaluje nám řídicí aplikace, vyčerpává zdroje a způsobuje pády software Oddělení IT Výrobce antiviru výrazné zpomalení systému neuvádí my ale máme jiný typ software, než pro který výrobce antivir testoval. Potřebujeme alespoň definovat výjimky z pravidel kontroly antivirového programu! Pravidla kontroly jsou schválena pro celou organizaci a konfigurace pravidel je centrální Výroba
Konflikt výroby a IT oddělení Výkonný server má v první řadě vykonávat řídicí úlohu a nikoli antivirový program. Běžná pravidla nastavení antiviru pro kancelářská PC na výkonných výrobních počítačích nevyhoví.
Viry, červy + jiná havěť = malware Malware Viry, červy, trojské koně, adware, spyware, rootkits Zpomalují stanice i síť, způsobují dysfunkce systému, otevírají zadní vrátka do systému, provádějí špionáž, poškozují systém a jinak škodí Mohou způsobit kolaps celé sítě i výroby Trocha historie 1970 1. samoreplikující se program na OS TENEX (šířil se na síti ARPANET - Creeper virus) 1986 1. PC virus Brain 2010 1. SCADA virus
Obětí malware jsou již i SCADA systémy
Jak se malware šíří? Internet (programy, skripty) E-mail (podvodné maily, přílohy) Přímý atak ze sítě USB disky CD a DVD s nakaženým obsahem Co z výše uvedeného by nemělo přicházet v úvahu na výkonném výrobním PC/serveru?
Strategie ochrany 1. Antiviry?! Nasazení na výrobní PC/servery není příliš vhodné Je nutné definovat výjimky z kontroly AV programu Antivir eliminuje pouze známou nákazu (běžně 40-95%) Malware není jediná hrozba! 2. Bezpečná síťová a informační architektura Oddělení procesní sítě od podnikové Ošetření vstupů do systému Brána do sítě, USB, CD mechaniky 3. Kombinace 1+2 Komplexní bezpečnostní plán
Činnosti antivirových programů Prohledávají souborový systém (až 100% CPU) Pravidelně, naplánovaně nebo na žádost IT bez ohledu na to, co právě řídicí systém vykonává! Provádějí on-line kontrolu aktivit systému Přístup procesů ke zdrojům (soubory, registr Windows, databáze) Kontrolují proces, související knihovny i daný zdroj => zpomalují I/O operace U řídicího software ale dochází k přístupu procesů ke zdrojům neustále! Zpomalují náběh systému a síťovou komunikaci
Co zpomaluje Vaše PC? Zejména antivirové programy Symantec Bez testovaného programu Náběh systému Doba provedení programu 23x delší Zdroj: http://www.thepcspy.com. Testování provedeno v roce 2007 FOR NEXT cykly, jednoduché operace (++, %) Otevření souboru, zápis a uzavření v cyklu FOR - NEXT
Zmírnění nepříznivého působení antiviru README.HTM = Výjimky z kontroly antivirovým software Seznam nemusí být kompletní, záleží na specifikách aplikace Např. pro klasické aplikace InTouch není uvedena složka s LGH, IDX Kontrolujte nárůst %CPU při zapnutém a vypnutém antiviru
Vytvořte si komplexní bezpečnostní plán Obchod, administrativa antivir HTTP, HTTPS Bezpečný přístup k výrobním datům DMZ Výroba Procesní síť zůstává fyzicky oddělena
Výkonné stanice na procesní síti Jsou odděleny od podnikové sítě Musí být zabezpečeny Zabezpečení Windows Zabezpečená aplikace InTouch Automatický náběh Filtr klávesnice, přihlášení Nekvalifikovaná obsluha nesmí mít přístup do OS a pracuje pod účtem uživatele (ne administrátora) Zabezpečené vstupy PC/serveru Uzamykatelná PC, uzamykatelné racky
AV problematika ve výrob. prostředí shrnutí Antivirový program není na výkonných stanicích žádoucí Zatěžuje systém, může způsobit výjimky a pády Sám o sobě není zárukou stoprocentní ochrany Brání nás pouze proti známému malware Správným nastavením lze jeho nežádoucí vliv omezit Komplexní bezpečnostní plán Správně zvolená architektura (oddělení procesní sítě) Ošetřené vstupy do procesní sítě Zabezpečené systémy a aplikace Správně nastavené antiviry na vhodných uzlech sítě
Další informační zdroje Wonderware Security Central http://www.wonderware.com/sites/wdn/pages/security Central Securing Industrial Control Systems Komplexní průvodce problematikou zabezpečení ICS Výpis testovaných a podporovaných oprav firmy Microsoft Malware Removal in ArchestrA Environment http://www.wonderware.com/support/mmi/comprehensive/kbcd/ html/t002098.htm Demonstruje mj. vliv známých antivirových programů (např. Symantec) na zatížení procesoru
Tipy & triky technické podpory Wonderware software a virtualizace Jiří Nikl
Množí se dotazy uživatelů Často kladené otázky Lze provozovat Wonderware software na virtuálním stroji? Jakou virtualizační platformu podporujete? Který software a v jaké verzi můžu virtualizovat? A co ochranné hardwarové klíče?
Co je virtualizace? Vytvoření virtuálních (zdánlivých) počítačů uvnitř skutečného počítače pomocí vhodného programového vybavení Umožňuje provoz více operačních systémů na jednom hardware Běh operačního systému na virtuálním hardware Pionýr v oblasti virtualizace firma IBM Počátek 60tých let 20. století, první virtualizace na sálových počítačích IBM
Výhody virtualizace Konsolidace serverů Snižování spotřeby energie Pohodlnější správa systému Výrazně lepší využití serverové infrastruktury Lepší využití hardwarových prostředků Rychlá reakce na problémy Flexibilní řízený přesun virtuálního počítače Rychlé nasazení nových serverů (minuty, nikoli dny)
Když je tak úžasná, užívá ji skutečně každý? Proč ale jen 17%? Prvotní vysoké náklady Integrace s fyzickou infrastrukturou Složitost správy Jediný bod selhání Podpora a licencování Výkon hardwaru Otázky bezpečnosti aj.
Počátek 21. století Výrazný nárůst výkonnosti PC nárůst nabídky virtualizačních řešení pro servery i desktopy Řada dodavatelů virtualizačních řešení VMWare VMWare vsphere, ESX Server, Workstation Microsoft Hyper V, Virtual PC ORACLE VirtualBox, VirtualIron Parallels Parallels Server, Parallels Desktop a další
Virtualizace a SCADA/HMI systémy Názorová nejednotnost Významná odlišnost obou světů řízení technologických procesů vs. tradičních informačních technologií Širší přijetí virtualizačních platforem systémy SCADA/HMI je jen otázkou času Přínosy Prodloužení životnosti starších SCADA produktů Testování opravných balíčků a záplat Testování nastavení bezpečnostních pravidel Simulace
Wonderware software a virtualizace A co na tento trend Wonderware?
Podpora virtualizace Roadmap Wonderware virtualizaci podporuje již od r. 2007 ZÁŘÍ 2007 Uvedení oficiální podpory virtualizace na platformě VMWare ESX Server 3.0 a první {hrdinové} tehdejší doby (nasazení WSP 3.0) LISTOPAD 2009 Oficiální Podpora VMWare ESX Server 4.0 a další nasazení (Historian 9.0, ActiveFactory 9.2) PODZIM 2010 Oficiální podpora Microsoft Hyper-V 2007 2009 2010 2011 1Q 2011 Očekávána podpora pokročilých technologií Microsoft Hyper-V Failover clustering High Availability Technologie VDI Implementace Disaster Recovery
Kde hledat informace? Webové stránky technické podpory (wdn.wonderware.com) Sekce Technical Support Sekce Self Support Library
Kde hledat informace? (pokrač.) Webové stránky technické podpory (wdn.wonderware.com) Sekce Technical Support Tech Note 499 a 656 Verze podporovaných produktů Doporučení ověřená praxí
Specifika nasazení WW Software Časová odchylka hostujícího a hostovaného OS Významné u časově řízených aplikací jako Historian Server, Application Server nebo InTouch Doporučení popsány v Tech Note č. 499 Udržovat zatížení procesoru pod 50 % Rezervovat virtuálnímu stroji CPU i paměť Vyvarovat se provozování časově náročných aplikací atd. Použití hardwarových ochranných klíčů Nutno řešit připojení příp. většího počtu ochranných klíčů (kombinací HW nebo softwarových prostředků od třetích stran)
Tipy & triky technické podpory Tipy pro jednotlivé Wonderware produkty Často kladené otázky k produktům InTouch, Wonderware Historian, Historian Client a k licencování
InTouch Otázka: Jak urychlit nabíhání WindowMakeru z IDE? Řešení: Spouštění WindowMakeru z IDE může trvat u větších aplikací delší dobu (desítky vteřin) Zobrazuje se hláška: Initializing ActiveX Controls Do souboru InTouch.ini přidat v sekci [InTouch] řádek: LoadAllActivexOnStartUp=0 ActiveX objekty se nebudou inicializovat při spouštění WindowMakeru, ale až při otevření okna s ActiveX objektem Výrazné urychlení spouštění WindowMakeru
Wonderware Historian Otázka: Po instalaci portálu WIS přestal Historian poskytovat data. Spuštěný dotaz vrací chybu: Cannot execute the query "SELECT tbl11001.datetime... Řešení: S největší pravděpodobností je chyba v definici názvu počítače Název počítače nesmí být HISTORIAN!!! Viz též stránky www.pantek.cz menu Produkty WW Software Wonderware Historian Koutek uživatelů produktu Wonderware Historian
Wonderware Historian Client Otázka: Jakým způsobem můžeme potlačit/zakázat aktivaci doplňků z produktu Historian Client (ActiveFactory) pro aplikace Excel a Word při jejich náběhu? Řešení: Doplňky Workbook (pro Excel) a Reports (pro Word) Postup deaktivace shodný pro obě verze klientských nástrojů (Active Factory 9.2 i Historian Client 10.0) Menší odlišnosti v závislosti Na verzi používaného Microsoft Office Na verzi používaného OS
Doplněk Workbook (pro Microsoft Excel) I. Microsoft Office 2003 Soubor odmazat Doplněk deaktivovat zrušením zaškrtnutí
Doplněk Workbook (pro Microsoft Excel) II. Microsoft Office 2007 Doplněk deaktivovat zrušením obou zaškrtnutí Soubory odmazat Přejít na správu doplňků
Doplněk Reports (pro Microsoft Word) Microsoft Office 2003 Microsoft Office 2007 Odmazání souborů deaktivuje doplněk
Licencování Otázka: Na licenčním CD se nachází několik souborů s licencemi. Který soubor a jak mám instalovat?
Licencování typy licenčních souborů WWSUITE.LIC InTouch, Aplikační server Komunikační servery ArchestrA.lic Historian 10.0 Information Server 4.0 Historian Client 10.0 (Per Device) ArchestrAServer.lic Historian Client (Per Named User, Per Named Device, Concurrent) WIS Client
Licencování instalace a správa licencí Archestra License Manager Umožňuje místní i vzdálenou správu všech typů licencí na libovolném počítači v síti Aplikace instalována automaticky během instalace libovolného z Wonderware produktů ArchestrA License Server (pouze pro produkty Wonderware Historian Client a Wonderware Information Server Client) Vyžadován při použití plovoucí (concurrent) licence nebo licence(í) na konkrétního uživatele nebo zařízení Aplikaci je nutné instalovat manuálně Instalaci naleznete na instalačním CD Wonderware Historian Client 10.0 nebo Wonderware Information Server 4.0 Podrobný popis instalace a konfigurace v Tech Note 485
Archestra License Manager Instalace a správa licencí Místně instalovaná licence (wwsuite.lic a/nebo ArchestrA.lic) Nevyžaduje ArchestrA licenční server Místně instalovaná licence (ArchestrAServer.lic) Vyžaduje ArchestrA licenční server Seznam dostupných ArchestrA licenčních serverů, definovaných ve vyhledávací cestě
ArchestrA License Server Ověřování platnosti licence vyžaduje definovat soubor konfiguračních voleb Definuje oprávněné uživatele/zařízení, jež mohou využívat software podléhající licencování ArchestrAServer.lic (Wonderware Historian Client a Wonderware Information Server Client) Textový soubor s názvem Wonderware.opt Uložen v instalačním adresáři licenčního serveru Editaci souboru lze provést Z prostředí aplikace Wonderware Archestra License Manager (doporučeno) Libovolným textovým editorem (např. Notepad)
Editace souboru wonderware.opt Licence Per Named Device pro 10 konkrétních uživatelů Provést postupnou hromadnou záměnu položek user001 user010 za konkrétní windows uživatele (např. jirka, petr atd.) POZOR jména uživatelů a názvy počítačů psát malými písmeny!!!
Licencování diagnostické nástroje Aplikace Macrovision LMTOOLS Případné řešení problémů s licenčním serverem ArchestrA License Server Nástroj pro správu licenčního serveru a případnou diagnostiku licenčního systému Aplikace se nachází v programové nabídce Wonderware/ArchestrA License Server
Aplikace LMTOOLS Zastavení/spuštění služby licenčního serveru Ověření běhu a funkčnosti licenčního serveru Diagnostika jednotlivých licencovaných vlastností Konfigurace cest a prohlížení protokolu událostí
Otázky (... a odpovědi) di)