Avant de commencer l'installation

Préparation de vos serveurs et du réseau

Système d’exploitation

Assurez-vous que tous les serveurs disposent d'une installation propre d'un système d'exploitation Microsoft Windows et de la mettre à jour en appliquant toutes les mises à jour les plus récentes de Windows.

Pour de plus amples informations sur la configuration système des divers éléments de votre système, allez sur le site Web de Milestone (https://www.milestonesys.com/systemrequirements/).

Microsoft^® .NET Framework

Vérifiez que Microsoft .NET Framework 4.8 ou ultérieur est installé sur tous les serveurs.

Réseau

Assignation d'adresses IP statiques ou réservations DHCP sur tous les composants et caméras du système. Pour vous assurer de disposer d'une bande passante suffisante sur votre réseau, vous devez comprendre comment et quand le système consomme de la bande passante. La charge principale de votre réseau est composée de trois éléments :

• Flux vidéo des caméras
• Clients affichant la vidéo
• Archivage des vidéos enregistrées

Le serveur d'enregistrement récupère les flux vidéo à partir des caméras, ce qui constitue une charge constante sur le réseau. Les clients affichant la vidéo consomment la bande passante du réseau. Si aucune modification n'est apportée au contenu des vues des clients, la charge est constante. Les changements de contenus des vues, les recherches de vidéos ou la lecture font varier la charge.

L'archivage de vidéos enregistrées représente une fonctionnalité facultative qui permet au système de déplacer les enregistrements vers un emplacement de stockage sur le réseau si l'espace du système de stockage interne de l'ordinateur est insuffisant. Il s'agit d'une tâche programmée que vous devez définir. Généralement, vous archivez les vidéos vers un disque réseau, ce qui entraîne une variation programmée de la charge sur le réseau.

Votre réseau doit disposer de suffisamment de bande passante en réserve pour prendre en charge ces pics de trafic. Ceci améliore la réactivité du système et, de façon plus générale, l'expérience des utilisateurs.

Préparer Active Directory

Si vous souhaitez ajouter des utilisateurs à votre système par le biais du service Active Directory, vous devez disposer d'un serveur équipé d'Active Directory et agissant comme contrôleur de domaine disponible sur votre réseau.

Pour une gestion plus facile des utilisateurs et des groupes, Milestone recommande d'avoir Microsoft Active Directory^® d'installé et de configuré avant d'installer votre système XProtect. Si vous ajoutez le serveur de gestion à Active Directory après l'installation de votre système, vous devrez réinstaller le serveur de gestion et remplacer des utilisateurs par de nouveaux utilisateurs Windows définis dans Active Directory.

Les utilisateurs basiques ne sont pas pris en charge dans les systèmes Milestone Federated Architecture, donc si vous pensez utiliser Milestone Federated Architecture, vous devez ajouter les utilisateurs en tant qu'utilisateurs de Windows via le service Active Directory. Si vous n'installez pas Active Directory, suivez les étapes dans Installation pour les groupes de travail lors de l'installation.

Méthode d'installation

Dans le cadre de l'assistant d'installation, vous devez décider quelle méthode d'installation utiliser. Vous devriez baser votre sélection sur les besoins de votre institution, mais il est très probable que vous ayez déjà décidé de la méthode à adopter au moment de l'achat du système.

Options	Description
Ordinateur unique	Installe l'ensemble des composants liés au serveur et au client, ainsi que le SQL Server sur l'ordinateur actuel. Une fois terminée l'installation, vous obtenez la possibilité de configurer votre système par le biais d'un assistant. Si vous acceptez de continuer, le serveur d'enregistrement analyse le réseau pour trouver des périphériques et vous pouvez sélectionner quels périphériques à ajouter à votre système. Le numéro maximal de périphériques pouvant être ajoutés dans l'assistant de configuration dépend de votre licence de base. Les caméras sont également préconfigurées dans des vues et un rôle d’opérateur est créé par défaut. Après l'installation, XProtect Smart Client s'ouvre et vous pouvez utiliser le système.
Personnalisé	Le serveur de gestion est toujours sélectionné dans la liste de composants du système et il est toujours installé, mais vous pouvez choisir librement les éléments à installer sur l’ordinateur actuel, parmi les autres composants du serveur et du client. Par défaut, la case du serveur d'enregistrement est décochée dans la liste de composants, mais vous pouvez modifier cette configuration. Vous pouvez installer les composants non sélectionnés sur d'autres ordinateurs par la suite.

Installation sur un seul ordinateur

Composants typiques d'un système :

1. Active Directory
2. Périphériques
3. Serveur avec SQL Server
4. Serveur d'événements
5. Serveur de journaux
6. XProtect Smart Client
7. Management Client
8. Serveur de gestion
9. Serveur d'enregistrement
10. Serveur d'enregistrement de redondance
11. XProtect Mobile serveur
12. XProtect Web Client
13. XProtect Mobile client
14. XProtect Smart Client avec XProtect Smart Wall

Installation personnalisée - exemple des composants du système distribués

Décider d'une édition de SQL Server

Microsoft® SQL Server® Express est une édition gratuite de SQL Server et est facile à installer et prête à l'utilisation en comparaison des autres éditions de SQL Server. Lors de l'installation d'un Ordinateur unique, Microsoft SQL Server Express est installé à moins que SQL Server ne soit déjà installé sur l'ordinateur.

L'installation de XProtect VMS inclut la version 2019 de Microsoft SQL Server Express. Certains systèmes d'exploitation de Windows ne sont pas compatibles avec cette édition de SQL Server. Avant d'installer XProtect VMS, assurez-vous que votre système d'exploitation prend en charge SQL Server 2019. Si votre système d'exploitation ne prend pas en charge cette édition de SQL Server, installez une édition compatible de SQL Server avant de commencer l'installation de XProtect VMS. Pour plus d'informations sur les éditions de SQL Server prises en charge, voir https://www.milestonesys.com/systemrequirements/.

Pour de très grands systèmes ou des systèmes avec beaucoup de transactions provenant et vers les bases de données SQL, Milestone vous recommande d'utiliser l'édition Microsoft® SQL Server® Standard ou Microsoft® SQL Server® Enterprise de SQL Server sur un ordinateur dédié sur le réseau et sur un disque dur dédié qui n'est pas utilisé à d'autres fins. L'installation de SQL Server sur ses propres périphériques améliore la performance de l'intégralité du système.

Sélectionner un compte de service

Dans le cadre de l'installation, il vous est demandé préciser un compte pour exécuter les services de Milestone sur cet ordinateur. Les services fonctionnent toujours sur ce compte, quel que soit l’utilisateur connecté. Assurez-vous que le compte dispose de tous les droits d’utilisateur adéquats, par exemple, les droits nécessaires permettant d’exécuter les tâches, le bon réseau et l’accès aux fichiers, ainsi que l’accès aux répertoires partagés sur le réseau.

Vous pouvez sélectionner un compte prédéfini ou un compte utilisateur. Basez votre décision sur l’environnement sur lequel vous souhaitez installer votre système :

Environnement de domaine

Dans un domaine de domaine :

• Milestone recommande l’utilisation du compte Network Service (service réseau) intégré

  Il est plus facile à utiliser même si vous devez élargir le système sur plusieurs ordinateurs.

• Vous pouvez aussi utiliser des comptes utilisateur de domaine, bien qu’ils puissent être plus difficiles à configurer

Environnement de groupe de travail

Dans un environnement de groupe de travail, Milestone recommande l'utilisation d'un compte d'utilisateur local disposant de tous les droits nécessaires. Ceci est souvent le compte administrateur.

Si vous avez installé vos composants système sur plusieurs ordinateurs, le compte utilisateur sélectionné doit être configuré sur tous les ordinateurs de vos installations avec les mêmes nom d’utilisateur, mot de passe et droits d’accès.

Authentification Kerberos (explications)

Kerberos est un protocole d’authentification réseau basé sur tickets. Il est conçu pour fournir une forte authentification pour les applications client/serveur ou serveur/serveur.

Utilisez l’authentification Kerberos comme alternative protocole d’authentification Microsoft NT LAN (NTLM) plus ancien.

L’authentification Kerberos exige une authentification mutuelle, en d’autres termes le client s’authentifie auprès du service et le service s’authentifie auprès du client. Vous pouvez ainsi vous authentifier de manière plus sécurisée entre les XProtect clients et XProtect les serveurs sans exposer votre mot de passe.

Pour rendre possible l’authentification mutuelle dans votre XProtect VMS vous devez inscrire les Service Principal Names (SPN) dans Active Directory. Un SPN est un alias qui identifie de manière unique une entité telle qu’un service de serveur XProtect. Chaque service utilisant l’authentification mutuelle doit avoir un SPN inscrit pour que les clients puissent identifier le service sur le réseau. Sans SPN correctement enregistrés, l’authentification mutuelle est impossible.

Le tableau ci-dessous présente les différents services Milestone ainsi que les numéros de port correspondants que vous devez inscrire :

Service	Numéro de port
Management Server - IIS	80 - Configurable
Management Server - Interne	8080
Recording Server - Data Collector	7609
Failover Server	8990
Event Server	22331
LPR Server	22334

Le nombre de services que vous devez inscrire dans le répertoire actif dépend de votre installation actuelle. Data Collector s'installe de manière automatique lorsque vous installez le service Management Server, Recording Server, Event Server ou Failover Server.

Vous devez enregistrer deux SPN pour que l'utilisateur puisse exécuter ce service : un avec le nom d'hôte et l'autre avec le nom du domaine complet.

Si vous exploitez le service sous un compte de service d’utilisateur réseau, vous devez inscrire les deux SPN pour chaque ordinateur exploitant ce service.

Il s’agit de la convention de nomination SPN Milestone :

VideoOS/[Nom d’hôte DNS]:[Port]
VideoOS/[Nom de domaine entièrement qualifié]:[Port]

Voici un exemple de SPN pour le service Recording Server fonctionnant sur un ordinateur avec les détails ci-dessous :

Nom d’hôte : Record-Server1
Domaine : Surveillance.com

SPN à enregistrer :

VideoOS/Record-Server1:7609
VideoOS/Record-Server1.Surveillance.com:7609

Exclusions scan antivirus (explications)

Comme avec tout autre logiciel de base de données, si un programme antivirus est installé sur un ordinateur exécutant le logiciel XProtect, il est important d'exclure certains types de fichiers et emplacements, ainsi que trafic du réseau. Sans appliquer ces exceptions, la détection de virus utilise une quantité considérable de ressources système. De plus, le processus de numérisation peut verrouiller temporairement des fichiers, ce qui peut engendrer une interruption du processus d'enregistrement et même la corruption des bases de données.

Lorsque vous avez besoin d'effectuer une analyse antivirus, n'analysez pas les dossiers du Serveur d'enregistrement contenant les bases de données d'enregistrement (par défaut C:\mediadatabase\, ainsi que tous les sous-dossiers). Évitez également d'effectuer une analyse antivirus sur les dossiers de stockage d'archives.

Créer les exclusions supplémentaires suivantes :

• Types de fichiers : .blk, .idx, .pic
• Dossiers et sous-dossiers :
  • C:\Program Files\Milestone ou C:\Program Files (x86)\Milestone
  • C:\ProgramData\Milestone\IDP\Logs
  • C:\ProgramData\Milestone\KeyManagement\Logs
  • C:\ProgramData\Milestone\MIPSDK
  • C:\ProgramData\Milestone\XProtect Data Collector Server\Logs
  • C:\ProgramData\Milestone\XProtect Event Server\Logs
  • C:\ProgramData\Milestone\XProtect Log Server
  • C:\ProgramData\Milestone\XProtect Management Server\Logs
  • C:\ProgramData\Milestone\XProtect Mobile Server\Logs
  • C:\ProgramData\Milestone\XProtect Recording Server\Logs
  • C:\ProgramData\Milestone\XProtect Report Web Server\Logs
• Exclure l'analyse en réseau sur les ports TCP suivants :

  Produit	Ports TCP
  XProtect VMS	80, 8080, 7563, 25, 21, 9000
  XProtect Mobile	8081

  ou

• Exclure l'analyse en réseau des processus suivants :

  Produit	Processus
  XProtect VMS	VideoOS.Recorder.Service.exe, VideoOS.Server.Service.exe, VideoOS. Administration.exe
  XProtect Mobile	VideoOS.MobileServer.Service.exe

Votre entreprise emploie peut-être des directives strictes concernant les analyses antivirus, mais il est important d'exclure les dossiers et les fichiers mentionnés de l'analyse antivirus.

Comment configurer XProtect VMS pour qu'il s'exécute au mode FIPS 140-2 ?

Pour exécuter XProtect VMS en mode FIPS 140-2, vous devez :

• Exécuter le système d'exploitation de Windows en mode FIPS 140-2. Voir le site de Microsoft pour plus d'informations sur l'activation du mode FIPS.
• Vous assurer que les intégrations autonomes tierces peuvent s'exécuter dans un système d'exploitation Windows où est activé le mode FIPS.
• Vous connecter aux périphériques tout en garantissant que leur exécution est conforme aux normes FIPS 140-2
• Vous assurer que les données des bases de données multimédia sont cryptées avec un cryptage conforme aux normes FIPS 140-2

  Pour ce faire, exécutez l'outil de mise à niveau de la base de données médias. Pour de plus amples informations sur comment configurer votre XProtect VMS pour qu'il s'exécute conformément au mode FIPS 140-2, voir la section de conformité aux normes FIPS 140-2 dans le guide de durcissement.

Avant d'installer XProtect VMS sur un système où est activé le mode FIPS

Vous pouvez effectuer les nouvelles installations de XProtect VMS sur des ordinateurs où est activé le mode FIPS, mais vous ne pouvez pas mettre à niveau XProtect VMS si le mode FIPS est activé sur le système d'exploitation Windows.

Lorsque vous effectuez la mise à niveau, avant de procéder à l'installation, veuillez désactiver la politique de sécurité du mode FIPS sur Windows sur tous les composants faisant partie du VMS, y compris l'ordinateur qui héberge le serveur SQL.

Le programme d'installation XProtect VMS vérifie la politique de sécurité du mode FIPS et empêche le démarrage de l'installation si le mode FIPS est activé.

Mais si vous effectuez la mise à niveau depuis la version XProtect VMS 2020 R3 ou une version ultérieure, vous n'avez pas besoin de désactiver le mode FIPS.

Vous pouvez réactiver la police de sécurité du mode FIPS sur Windows sur tous les ordinateurs de votre VMS après avoir installé les composants de XProtect VMS sur tous les ordinateurs et avoir préparé le système au mode FIPS.

Pour de plus amples informations sur comment configurer votre XProtect VMS pour qu'il s'exécute conformément au mode FIPS 140-2, voir la section de conformité aux normes FIPS 140-2 dans le guide de durcissement.

Enregistrer le code de licence du logiciel

Avant de procéder à l'installation, vous devez disposer du nom et de l'emplacement du fichier de licence logicielle que vous avez reçu de la part de Milestone.

Vous pouvez installer une version gratuite de XProtect Essential+. Cette version vous offre des possibilités limitées de XProtect VMS pour un nombre limité de caméras. Vous devez disposer d'une connection Internet pour installer XProtect Essential+.

Le code de licence du logiciel (SLC) est imprimé sur la confirmation de commande et le nom du fichier de licence logicielle est lié à votre SLC.

Milestone vous recommande d’enregistrer votre SLC sur notre site Internet (https://online.milestonesys.com/) avant l'installation. Votre revendeur a peut-être déjà effectué cette action.

Pilotes de périphériques (explications)

Votre système utilise les pilotes de périphériques vidéo pour contrôler et communiquer avec les périphériques de type caméra connectés à un serveur d'enregistrement. Vous devez installer les pilotes de périphériques sur chaque serveur d'enregistrement de votre système.

À partir de la version 2018 R1, les pilotes de périphériques sont répartis en deux device packs : le device pack classique équipé des pilotes plus récents et un périphérique d'ancienne génération doté de pilotes plus anciens.

Le device pack classique est installé automatiquement au moment où vous installez le serveur d'enregistrement. Par la suite, vous pouvez mettre à jour les pilotes en téléchargeant et en installant une version plus récente des pilotes de périphériques. Milestone lance régulièrement de nouvelles versions des pilotes de périphériques et les rend disponibles sur la page de téléchargement (https://www.milestonesys.com/downloads/) sur notre site Internet comme pilotes de périphériques. Lorsque vous mettez à jour un pilote de périphériques, vous pouvez installer la dernière version en plus de toute version que vous avez déjà installée.

L’ancien Device Pack ne peut être installé que si un device pack classique est installé dans le système. Les pilotes relevant de l’ancien Device Pack sont installés automatiquement si une version précédente est déjà installée sur votre système. Ils sont disponibles au téléchargement manuel et à l'installation sur la page de téléchargement du logiciel (https://www.milestonesys.com/downloads/).

Arrêtez le service Recording Server avant de procéder à l’installation, sinon vous devrez redémarrer l’ordinateur.

Nous vous recommandons de toujours utiliser la dernière version des pilotes de périphériques pour garantir des performances optimales.

Conditions préalables de l'installation hors ligne

Si vous installez le système sur un serveur hors ligne, vous aurez besoin des éléments suivants :

• Le fichier Milestone XProtect VMS Products 2021 R1 System Installer.exe
• Le fichier de licence logicielle (SLC) de votre système XProtect
• Support d'installation OS incluant la version .NET requise (https://www.milestonesys.com/systemrequirements/)