VNC-Verbindung zu Siemens HMI überwachen

[freak1051]

Da kann ich jetzt noch nicht herauslesen ob es mit dem Tausch geklappt hat oder nicht.

Nope. Kurz einfacher Erklärt:

Maschine A mit Problemen hat MiniPC A verbaut.
Maschine B hat MiniPC B verbaut, welcher mein TestPC ist und nun 2 Monate fehlerfrei gelaufen ist.

nun hab ich Gekreutzt:

Maschine A hat MiniPC B
Maschine B hat MiniPC A.

Maschine B funktioniert weiterhin tadellos, Maschine A zickt weiter. same Problem

Bei der Erreichbarkeit gebe ich dir Recht. Bezüglich der Lösungen muss man aber wie schon erwähnt unterscheiden zwischen Büro und Anlage/Produkt. Bei ersterem muss die IT natürlich sicherstellen, dass der Mitarbeiter alle nötigen Ressourcen hat, so sie denn vom Chef genehmigt und im Budget sind. Bei letzterem wird es schwierig, weil der Büro-ITler in der Regel eher wenig Ahnung vom eigentlichen Produkt hat. Wir bauen zB Maschinen für Wellpappe bzw. bauen sie um, davon hat unsere Büro-IT keinen Plan. Da braucht man dann einen ITler, der an der Produktentwicklung beteiligt ist und eben für die Anlagen-Netzwerke verantwortlich ist. Vielleicht ist bei euch auch einfach genau das das Problem, ihr habt keinen Ansprechpartner, der beide Themenfelder versteht. Was meinst du zu wem meine SPS-Kollegen kommen, wenn sie konkrete Probleme bezüglich ihrer Arbeit haben? Zu mir, und ich bin dann derjenige, der zB für Freischaltungen in der Firewall sorgt oder eben das eine oder andere Update runterlädt oder runterladen lässt.

Drum sag ich, das ist sicherlich ein Organisationsproblem. Nur wird hier das Organisationsproblem zum problem des SPS´ler...

Weißt du auch warum? Als bei uns besagter Verkäufer den verseuchten USB-Stick nebst Ransomware angeschleppt hat, hat er natürlich Ärger bekommen. Und wer noch? Genau, die IT, weil sie das ja überhaupt erst zugelassen hat. Dass in einigen Firmen an den PCs/Laptops die USB-Ports gesperrt werden, ist keine Schikane, sondern schützt nicht nur das Netzwerk, sondern auch die IT selbst. Denn wenn das Firmennetz abschmiert, hat der IT-Admin ganz schnell einen Termin beim Boss.

Allerdings kann ich dich insofern verstehen als dass eine IT auch immer mit Augenmaß handeln muss. Das ist letztendlich immer situations- und/oder firmenbedingt. Unsere ITler sind immer bemüht, zu helfen, sind aber andererseits auch (verständlicherweise) genervt, wenn jeder mit seinem KleinKlein ankommt wie "Mein Icon auf dem Desktop ist weg". In meiner alten Firma wurde gerade das so akut, weil einige bestimmte Personen so dermaßen unfähig mit Computern waren, dass am Ende per Policy der Desktop gesperrt war, für alle.

Klar versteh ich. Würde ich sicherlich nicht anders machen. Ich weis aber auch nicht ob es technisch geht. Aber zumindest in ner SPS gibts da halt mehrere Userlevel. Und jeder ist klar definiert, wer was kann.
Und das würde glaube ich versuchen einzuführen. Dass die Icon-Tante eben nicht viel kann, und der Softie-PwerUser eben mehr. FunFact: eigentlich haben wir solch eine Hierarchie: EIGENTLICH sind Funkmäuse verboten, weil die IT keine Tickets will mit "des tut nicht mehr" weil der Akku leer ist, und der user es nicht kapiert.. WIR dürften welche haben

 

[Raijin]

nun hab ich Gekreutzt:

Maschine A hat MiniPC B
Maschine B hat MiniPC A.

Maschine B funktioniert weiterhin tadellos, Maschine A zickt weiter. same Problem

Das heißt also, dass sowohl MiniPC A als auch MiniPC B nur an Maschine A Probleme haben, aber nicht an Maschine B? Das deutet ja darauf hin, dass die Ursache doch standortabhängig ist.

Ich würde nun

• mit WireShark den Traffic auf dem MiniPC an Maschine A zwischen Panel und MiniPC mitschneiden (auf IPs filtern) und auf Ungereimtheiten prüfen
• die Infrastruktur an Maschine A überprüfen, Switches, Kabel, etc.

 

[freak1051]

• mit WireShark den Traffic auf dem MiniPC an Maschine A zwischen Panel und MiniPC mitschneiden (auf IPs filtern) und auf Ungereimtheiten prüfen

Okay, dann Teste ich das mal. Kann nur sein, dass ich dann etwas HIlfe brauche, das ding auszuwerten.

SOll ich alles aufzeichnen, oder soll ich tatsächlich nur die Kommunikation zwischen den beiden VNC partnern aufzeichnen? Ist es möglich dass irgendwas was nicht in der VNC-Kette ist, da rein spuckt?

DIe Hardware kommt (leider) als letztes. Wobei in der anlage nichts anderes verbaut ist als sonst. Und bei 2 Anlagen gleichen Produktionsdatum und beides mal den gelichen fehler schließe ich die Leitungen mal aus. Das wäre ein zu großer zufall, das die was haben, es kann nur systematisch dann sein

 

[Raijin]

SOll ich alles aufzeichnen, oder soll ich tatsächlich nur die Kommunikation zwischen den beiden VNC partnern aufzeichnen? Ist es möglich dass irgendwas was nicht in der VNC-Kette ist, da rein spuckt?

Wenn man WireShark ungefiltert aufzeichnen lässt, hat man nach einer Stunde Millionen von Paketen in der Liste, auch solche, die überhaupt nichts damit zu tun haben. WireShark steht und fällt daher mit dem angewendeten Filter. Man könnte ausschließlich den VNC-Verkehr aufzeichnen, aber dann gehen ggfs andere Dinge unter. Also zumindest mal mit einem reinen IP-Filter anfangen.

Und bei 2 Anlagen gleichen Produktionsdatum und beides mal den gelichen fehler schließe ich die Leitungen mal aus.

Hm.. Ich hatte dich in #21 so verstanden, dass nur Maschine A Probleme macht und Maschine B nicht. Oder gibt es noch eine fehlerhafte Maschine A2 und Maschine B ist nur die funktionierende Gegenprobe?

 

[freak1051]

@Raijin Nein wir haben aktuell 60 Maschinen auf der Fläche, wobei 2 dumm tun. Eine der Zwei ist stellvertretend für Maschine A ( wobei ich immer beide "Spacko-Maschinen" geteset habe mit selben ergebnis) und alle andere Maschinen stehen stellvertretend für Maschine B