Vor dem Start der Installation

Milestone empfiehlt Ihnen, die im nächsten Abschnitt beschriebenen Voraussetzungen zu lesen, bevor Sie die tatsächliche Installation beginnen.

Server und Netzwerk vorbereiten

Betriebssystem

Achten Sie darauf, dass auf allen Servern eine saubere Installation eines Microsoft Windows-Betriebssystems installiert ist und das Betriebssystem mit den neuesten Windows-Updates aktualisiert wurde.

Weitere Informationen zu den Systemanforderungen der verschiedenen Komponenten Ihres Systems finden Sie auf der Milestone-Website (https://www.milestonesys.com/systemrequirements/).

Microsoft® .NET Framework

Prüfen Sie, ob Microsoft .NET Framework 4.7 oder höher auf allen Servern installiert ist.

Netzwerk

Weisen Sie statische IP-Adressen zu oder nehmen Sie DHCP-Reservierungen an allen Systemkomponenten und Kameras vor. Sie müssen verstehen, wie und wann das System Bandbreite verbraucht, um sicherzustellen, dass im Netzwerk ausreichend Bandbreite zur Verfügung steht. Die Hauptlast in Ihrem Netzwerk besteht aus drei Elementen:

  • Kamera-Videostreams
  • Clients zeigen Video an
  • Archivierung von aufgezeichneten Videos

Der Aufzeichnungsserver ruft Videostreams von den Kameras ab, eine konstante Last im Netzwerk nach sich zieht. Clients, die Video anzeigen, verbrauchen Netzwerkbandbreite. Wenn im Inhalt der Client-Ansichten keine Änderungen auftreten, ist die Last konstant. Änderungen im Ansichtsinhalt, Videosuche oder Wiedergabe lassen die Last dynamisch werden.

Die Archivierung von aufgezeichnetem Video ist eine optionale Funktion, die es dem System ermöglicht Aufzeichnungen in einen Netzwerkspeicher zu verschieben, wenn nicht genug Speicherplatz im internen Speicher des Computers vorhanden ist. Dies ist ein geplanter Auftrag, den Sie definieren müssen. Üblicherweise archivieren Sie in einem Netzlaufwerk, wodurch er zu einer geplanten dynamischen Last im Netzwerk wird.

Ihr Netzwerk muss über Bandbreiten-Spielraum verfügen, um diese Spitzen im Datenverkehr zu bewältigen. Damit werden die Reaktionsfähigkeit des Systems und die allgemeine Benutzererfahrung optimiert.

Active Directory vorbereiten

Wenn Sie Benutzer über den Active Directory-Dienst hinzufügen möchten, muss in Ihrem Netzwerk ein Server vorhanden sein, auf dem Active Directory installiert ist und der als Domänen-Controller fungiert.

Zur einfachen Verwaltung von Benutzern und Gruppen empfiehlt Milestone Ihnen, Microsoft Active Directory® zu installieren und zu konfigurieren, bevor Sie Ihr XProtect-System installieren. Wenn Sie den Management-Server nach der Installation Ihres Systems zum Active Directory hinzufügen, müssen Sie den Management-Server neu installieren und die Benutzer durch die im Active Directory neu definierten Windows-Benutzer ersetzen.

Basisbenutzer werden in Milestone Federated Architecture-Systemen nicht unterstützt. Wenn Sie also beabsichtigen, Milestone Federated Architecture zu verwenden, müssen Sie Benutzer als Windows-Benutzer über den Dienst Active Directory hinzufügen. Wenn Sie Active Directory nicht installieren, befolgen Sie die Schritte in Installation für Arbeitsgruppen, wenn Sie eine Installation ausführen.

Installationsmethode

Im Installationsassistenten müssen Sie festlegen, welche Installationsmethode Sie verwenden. Sie müssen Ihre Auswahl auf den Anforderungen Ihrer Organisation basieren, aber wahrscheinlich haben Sie die Methode bereits gewählt, als Sie das System kauften.

Optionen

Beschreibung
Einzelcomputer

Installiert alle Server- und Clientkomponenten sowie SQL Server auf dem aktuellen Computer.

Nach Abschluss der Installation haben Sie die Möglichkeit, das System mithilfe eines Assistenten zu konfigurieren. Wenn Sie der Fortsetzung zustimmen, durchsucht der Aufzeichnungsserver Ihr Netzwerk nach Hardware, und Sie können auswählen, welche Hardwaregeräte Sie zu Ihrem System hinzufügen möchten. Die maximale Anzahl von Hardwaregeräten, die im Konfigurationsassistenten hinzugefügt werden können, hängt von Ihrer Basislizenz ab. Die Kameraansichten sind außerdem in Ansichten vorkonfiguriert, und eine Standard-Anwenderrolle wird erstellt. Nach der Installation öffnet sich XProtect Smart Client, und das System ist einsatzbereit.
Benutzerdefiniert

Der Managementserver wird immer von der Liste der Systemkomponenten ausgewählt und wird stets installiert; Sie können jedoch frei auswählen, was auf dem aktuellen Computer zusätzlich zu den übrigen Server- und Client-Komponenten noch installiert werden soll.

Standardmäßig ist der Aufzeichnungsserver auf der Liste der Komponenten nicht ausgewählt, dies können Sie jedoch ändern. Sie können die nicht ausgewählten Komponenten anschließend auf anderen Computern installieren.

Einzelne Computer-Installation

Normalerweise besteht ein System aus folgenden Systemkomponenten:

  1. Active Directory
  2. Geräte
  3. Server mit SQL Server
  4. Ereignisserver
  5. Protokollserver
  6. XProtect Smart Client
  7. Management Client
  8. Managementserver
  9. Aufzeichnungsserver
  10. Failover-Aufzeichnungsserver
  11. XProtect Mobile-Server
  12. XProtect Web Client
  13. XProtect Mobile Client
  14. XProtect Smart Client mit XProtect Smart Wall

Benutzerdefinierte Installation - Beispiel für verteilte Systemkomponenten

Entscheiden Sie sich für eine Version von SQL Server

Microsoft® SQL Server® Express ist eine kostenlose Version von SQL Server, die verglichen mit anderen Versionen von SQL Server leicht zu installieren und für den Gebrauch vorzubereiten ist. Während der Installation auf einem Einzelnen Computer wird Microsoft SQL Server Express installiert, es sei denn, SQL Server ist auf dem betreffenden Computer bereits installiert.

Die XProtect VMS Installation beinhaltet Microsoft SQL Server Express Version 2019. Nicht alle Windows-Betriebssysteme unterstützen diese Version von SQL Server. Bevor Sie XProtect VMS installieren, überprüfen Sie, ob Ihr Betriebssystem SQL Server 2019 unterstützt. Sollte Ihr Betriebssystem diese Version von SQL Server nicht unterstützen, installieren Sie eine unterstützte Version von SQL Server, bevor sie mit der XProtect VMS-Installation beginnen. Weitere Angaben zu den unterstützten Ausgaben von SQL Server siehe https://www.milestonesys.com/systemrequirements/ .

Für sehr große Systeme, oder für Systeme mit vielen Transaktionen zu und von den SQL-Datenbanken, empfiehlt Milestone Ihnen, eine Microsoft® SQL Server® Standard oder Microsoft® SQL Server® Enterprise-Ausgabe von SQL Server auf einem eigenen Computer im Netzwerk und auf einem bestimmten Festplattenlaufwerk zu verwenden, das für keine anderen Zwecke verwendet wird. Die Installation von SQL Server auf einem eigenen Laufwerk verbessert die Leistung des gesamten Systems.

Dienstkonto auswählen

Sie werden im Rahmen der Installation aufgefordert, ein Konto anzugeben, um die Milestone-Dienste auf diesem Computer auszuführen. Die Dienste werden immer in diesem Konto ausgeführt, unabhängig davon, welcher Benutzer angemeldet ist. Achten Sie darauf, dass das Konto über alle erforderlichen Benutzerrechte verfügt, beispielsweise die entsprechenden Rechte zum Ausführen von Aufgaben, ausreichender Netzwerk- und Dateizugriff und Zugriff auf die im Netzwerk freigegebenen Ordner.

Sie können zwischen einem vorab definierten Konto und einem Benutzerkonto wählen. Treffen Sie Ihre Entscheidung basierend auf der Umgebung, in der Sie Ihr System installieren möchten:

Domänenumgebung

In einer Domänenumgebung:

  • Milestone empfiehlt, dass Sie das eingebaute Netzwerkkonto verwenden

    Es ist einfacher zu verwenden, auch wenn Sie das System auf mehrere Computer erweitern müssen.

  • Sie können auch Domänenbenutzerkonten verwenden, aber sie sind möglicherweise schwerer zu konfigurieren

Arbeitsgruppenumgebung

In einer Arbeitsgruppenumgebung empfiehlt Milestone, dass Sie ein lokales Benutzerkonto verwenden, das über alle erforderlichen Rechte verfügt. Hierbei handelt es sich häufig um das Administratorkonto.

Wenn sich die Installationen über mehrere Computer erstrecken, muss das ausgewählte Benutzerkonto auf allen Computern in Ihren Installationen mit identischem Benutzernamen, Kennwort und Zugriffsrechten konfiguriert werden.

Kerberos Authentifizierung (Erklärung)

Kerbero ist ein auf Tickets basierendes Netzwerkauthentifizierungsprotokoll. Es wurde als eine starke Authentifizierung für Client/Server oder Server/Server Anwendungen entwickelt.

Nutzen Sie die Kerberos-Authentifizierung als Alternative zum älteren Microsoft NT LAN-Authentifizierungsprotokoll (NTLM).

Eine Kerbero-Authentifizierung erfordert eine gegenseitige Authentifizierung, bei der der Client den Dienst und der Dienst wiederum den Client authentifiziert. Auf diese Weise können Sie eine sicherere Authentifizierung von XProtect-Clients zu XProtect-Servern sicherstellen, ohne Ihr Passwort preiszugeben.

Sie müssen die Service Principal Names (SPN) im Active Directory registrieren, um eine gegenseitige Authentifizierung in Ihrem XProtect VMS zu ermöglichen. Ein SPN ist ein Pseudonym, das auf eine Entität, wie einen XProtect-Serverdienst eindeutig identifiziert. Jeder Dienst, der gegenseitige Authentifizierung verwendet, muss einen registrierten SPN besitzen, damit Clients den Dienst im Netzwerk identifizieren können. Eine gegenseitige Authentifizierung ist ohne ordnungsgemäße registrierte SPN nicht möglich.

Die nachfolgende Tabelle listet die verschiedenen Milestone-Dienste mit den korrespondierenden Portnummern auf, die für eine Registrierung benötigt werden:

Dienst

Portnummer
Managementserver – IIS

80 - Konfigurierbar
Managementserver – Intern

8080
Aufzeichnungsserver - Data Collector

7609
Failover Server

8990
Ereignisserver

22331
LPR Server

22334

Die Anzahl der Dienste, die Sie im Active Directory ihrer gegenwärtigen Installation registrieren müssen. Data Collector wird bei der Installation des Managementserver, Aufzeichnungsserver, Ereignisserver oder Failover Server Dienstes automatisch installiert.

Sie müssen für den Benutzer, der den Dienst ausführt, zwei SPNs registrieren: einen mit dem Hostnamen und einen mit dem voll qualifizierten Domainnamen.

Wenn Sie den Dienst unter einem Netzwerkdienstkonto ausführen, müssen Sie die zwei SPN für jeden Computer registrieren, die den Dienst ausführen.

Dies ist das Milestone SPN-Benennungsschema:

VideoOS/[DNS Host Name]:[Port]
VideoOS/[vollständig qualifizierten Domainamen]:[Port]

Hier ein Beispiel für SPNs für den Aufzeichnungsserver-Dienst, der auf einem Computer mit den folgenden Spezifikationen ausgeführt wird:

Hostname: Record-Server1
Domäne: Surveillance.com

Zu registrierende SPNs:

VideoOS/Record-Server1:7609
VideoOS/Record-Server1.Surveillance.com:7609

Virus scanning exclusions (Erläuterung)

Wenn ein Antivirus-Programm wie im Fall anderer Datenbanksoftware auf einem Computer installiert wird, auf dem XProtect-Software ausgeführt wird, ist es wichtig, dass sie spezifische Dateitypen und Ordner und bestimmte Arten von Netzwerkverkehr ausschließen. Wenn Sie diese Ausnahme nicht einrichten, werden Virenscans einen erheblichen Anteil der Systemressourcen beanspruchen. Darüber hinaus kann der Scanprozess vorübergehend Dateien sperren, was zu einer Unterbrechung im Aufzeichnungsprozess oder sogar einer Beschädigung der Datenbanken führen würde.

Wenn Sie den Virenscan ausführen müssen, scannen Sie keine Aufzeichnungsserver-Verzeichnisse, die Aufzeichnungsdatenbanken enthalten (standardmäßig C:\mediadatabase\, sowie alle Unterordner). Vermeiden Sie auch den Virenscan in Archivspeicher-Verzeichnissen.

Erstellen Sie die folgenden zusätzlichen Ausschlüsse:

  • Dateitypen: .blk, .idx, .pic
  • Ordner und Unterordner:
    • C:\Program Files\Milestone oder C:\Program Files (x86)\Milestone
    • C:\ProgramData\Milestone\MIPSDK
    • C:\Programdaten\Milestone\XProtect Mobile Server\Logs
    • C:\Programmdaten\Milestone\XProtect Data Collector Server\Logs
    • C:\ProgramData\Milestone\XProtect Event Server\Logs
    • C:\Programmdaten\Milestone\XProtect Log Server
    • C:\Programmdaten\Milestone\XProtect Management Server\Logs
    • C:\Programmdaten\Milestone\XProtect Recording Server\Logs
    • C:\Programmdaten\Milestone\XProtect Report Web Server\Logs
  • Netzwerkscans an den folgenden TCP-Ports ausschließen:

    Produkt

    TCP-Ports

    XProtect VMS

    80, 8080, 7563, 25, 21, 9000

    XProtect Mobile

    8081

    oder

  • Netzwerkscans der folgenden Prozesse ausschließen:

    Produkt

    Prozesse

    XProtect VMS

    VideoOS.Recorder.Service.exe, VideoOS.Server.Service.exe, VideoOS. Administration.exe

    XProtect Mobile

    VideoOS.MobileServer.Service.exe

Ihre Organisation hat möglicherweise strenge Richtlinien in Bezug auf Virenscans, es ist jedoch wichtig, dass die oben aufgeführten Ordner und Dateien von Virenscans ausgenommen werden.

Wie ist XProtect VMS so zu konfigurieren, dass es im FIPS 140-2-konformen Modus läuft?

Um XProtect VMS in einem FIPS 140-2-Betriebsmodus auszuführen, müssen Sie:

  • Das Windows-Betriebssystem in einem FIPS 140-2-genehmigten Betriebsmodus ausführen. Siehe die Microsoft-Internetseite zu Informationen dazu, wie FIPS aktiviert wird.
  • Achten Sie darauf, dass eigenständige Dritt-Integrationen auf einem FIPS-fähigen Windows-Betriebssystem laufen können
  • Stellen Sie Verbindungen zu Geräten so her, dass ein FIPS 140-2-konformer Betriebsmodus gewährleistet ist
  • Achten Sie darauf, dass Daten in Mediendatenbanken mithilfe von FIPS 140-2-konformen Chiffren verschlüsselt werden

    Dies erfolgt durch Ausführung des Upgrade-Tools für Mediendatenbanken. Detaillierte Informationen dazu, wie Sie Ihren XProtect VMS so konfigurieren, dass er im FIPS 140-2-konformen Modus läuft, s. den Abschnitt FIPS 140-2-Compliance im Leitfaden zur Sicherheitsoptimierung.

Bevor Sie XProtect VMS auf einem FIPS-fähigen System installieren

Während neue Installation von XProtect VMS auf Computern erfolgen können, die FIPS-fähig sind, können Sie kein Upgrade von XProtect VMS durchführen, wenn FIPS auf dem Windows-Betriebssystem aktiviert ist.

Wenn Sie ein Upgrade vornehmen, deaktivieren Sie vor der Installation die Windows-FIPS-Sicherheitsrichtlinie auf allen Computern, die zum VMS gehören, einschließlich des Computers, auf dem der SQL-Server gehosted wird.

Das Installationsprogramm für XProtect VMS prüft die FIPS-Sicherheitsrichtlinie und verhindert die Installation, wenn FIPS aktiviert ist.

Wenn Sie allerdings ein Upgrade von XProtect VMS Version 2020 R3 oder später vornehmen, brauchen Sie FIPS nicht zu deaktivieren.

Wenn Sie die Komponenten von XProtect VMS auf allen Computern installiert und das System für FIPS vorbereitet haben, können Sie die FIPS-Sicherheitsrichtlinie auf Windows auf allen Computern in Ihrem VMS aktivieren.

Detaillierte Informationen dazu, wie Sie Ihren XProtect VMS so konfigurieren, dass er im FIPS 140-2-konformen Modus läuft, s. den Abschnitt FIPS 140-2-Compliance im Leitfaden zur Sicherheitsoptimierung.

Softwarelizenzcode registrieren

Vor der Installation müssen Sie über den Namen und den Speicherort der Softwarelizenzdatei verfügen, die Sie von Milestone erhalten haben.

Sie können eine kostenlose Version von XProtect Essential+ installieren. Diese Version bietet eingeschränkte Funktionen von XProtect VMS für eine begrenzte Zahl von Kameras. Zum Installieren von XProtect Essential+ benötigen Sie eine Internetverbindung.

Der Softwarelizenzcode (SLC) ist auf Ihrer Bestellbestätigung gedruckt und die Softwarelizenzdatei ist nach Ihrer SLC benannt.

Milestone empfiehlt, dass Sie Ihren SLC vor der Installation auf unserer Website (https://online.milestonesys.com/) registrieren. Ihr Händler hat dies gegebenenfalls bereits für Sie erledigt.

Gerätetreiber (Erklärung)

Ihr System verwendet Videogerätetreiber, um die mit einem Aufzeichnungsserver verbundenen Kameras zu steuern und mit ihnen zu kommunizieren. Die Gerätetreiber müssen auf jeden Aufzeichnungsserver Ihres System installiert werden.

Ab der Ausgabe 2018 R1 sind die Gerätetreiber in zwei Gerätepacks aufgeteilt: das reguläre Gerätepaket mit neueren Treibern und ein Stamm-Gerätepaket mit älteren Treibern.

Das reguläre Gerätepaket wird automatisch installiert, wenn Sie den Aufzeichnungsserver installieren. Später können Sie die Treiber aktualisieren, indem Sie eine neuere Version des Gerätepakets herunterladen und installieren. Milestone veröffentlicht regelmäßig neue Versionen von Gerätetreibern und stellt diese als Treiberpaket auf der Download-Seite (https://www.milestonesys.com/downloads/) unserer Webseite zur Verfügung. Bei der Aktualisierung eines Gerätepakets können Sie die neueste Version über jede zuvor installierte Version installieren.

Das Stammgerätepaket kann nur installiert werden, wenn ein reguläres Gerätepaket im System installiert ist. Die Treiber aus dem Stammgerätepaket werden automatisch installiert, wenn eine vorige Version bereits auf Ihrem System installiert ist. Es steht zur Verfügung zum manuellen Herunterladen und Installieren auf der Software-Download-Seite (https://www.milestonesys.com/downloads/).

Stoppen Sie den Aufzeichnungsserver-Dienst vor der Installation, andernfalls müssen Sie den Computer neu starten.

Damit eine optimale Leistung garantiert ist, sollten Sie immer die neuesten Gerätetreiber verwenden.

Anforderungen für Offline-Installationen

Wenn Sie das System auf einem Server installieren, der offline ist, benötigen Sie Folgendes:

  • Die Milestone XProtect VMS-Produkte 2020 R3 System Installer.exe-Datei
  • Die Softwarelizenzdatei (SLC) für Ihr XProtect-System
  • Ein Medium zur Installation eines Betriebssystems, einschließlich der erforderlichen .NET-Version (https://www.milestonesys.com/systemrequirements/)