클러스터 내 설치
클러스터에 설치하기 전 다중 관리 서버 정보(클러스터링)(설명됨) 및 클러스터링 요구 사항를 참조하십시오.
화면에서 보는 것과 설명 및 일러스트레이션이 다를 수도 있습니다.
관리 서버 설치:
- 클러스터 내 첫 서버상의 관리 서버 및 모든 하위 구성 요소를 설치합니다.
관리 서버는 반드시 네트워크 서비스 가 아닌 지정 사용자를 통해 설치해야 합니다. 이를 위해서 사용자 정의 설치 옵션을 사용해야 합니다. 또한 지정 사용자는 반드시 공유 네트워크 드라이브 및 되도록이면 유효기간이 없는 암호에 접근할 수 있어야 합니다.
장애 조치 클러스터 내 일반 서비스로 Management Server 서비스 구성하기:
이 예시는 Microsoft Windows Server 2012에 적용됩니다. 다른 Windows 버전에는 프로세스가 다를 수 있습니다.
- 관리 서버를 설치한 마지막 서버상에서 시작 > 관리도구 로 이동 후, Windows의 장애 조치 클러스터 관리 를 엽니다. 장애 조치 클러스터 관리 창에서 클러스터를 확장하고 서비스 및 애플리케이션 을 우클릭한 후, 서비스 또는 애플리케이션 구성 을 선택합니다.
- 높은 사용 가능성 대화 상자에서 다음 을 클릭합니다.
- 일반 서비스 를 선택한 후 다음 을 클릭합니다.
- 대화 상자의 세 번째 페이지에서 아무 것도 지정하지 말고 다음 을 클릭합니다.
- Milestone XProtect Management Server 서비스를 선택한 후 다음 을 클릭합니다. 서비스에 접속할 때 클라이언트가 사용하는 이름(해당 클러스터의 호스트 이름)을 지정하고 다음 을 클릭합니다.
- 해당 서비스에 대해 저장소는 필요하지 않습니다. 다음 을 클릭합니다. 어떤 레지스트리 설정도 복제되어서는 안됩니다. 다음 을 클릭합니다. 클러스터 서비스가 필요에 따라 구성되었는지 확인한 후 다음 을 클릭합니다. 이제 관리 서버는 장애 조치 클러스터 내 일반 서비스로서 구성되었습니다. 마침 을 클릭합니다.
- 클러스터 설정에서 이벤트 서버 및 Data Collector는 관리 서버의 종속 서비스로 설정되어야 관리 서버가 중단되었을 때 이벤트 서버가 중단되지 않습니다.
- Milestone XProtect Event Server 서비스를 Milestone XProtect Management Server Cluster 서비스에 대한 리소스로 추가하려면, 클러스터 서비스를 우클릭하고 리소스 추가 > 4 - 일반 서비스 를 클릭한 후 Milestone XProtect Event Server 을(를) 선택합니다.
클러스터 URL 업데이트:
구성 변경 시, Microsoft 장애 조치 클러스터 관리자에서, 서비스 제어 및 모니터링을 중단하여 Server Configurator 이(가) 변경 후 Management Server 서비스를 시작 및/또는 중지할 수 있게 해줍니다. 장애 조치 클러스터 서비스 시작 유형을 수동으로 변경한 경우, Server Configurator 와(과) 아무런 충돌이 일어나지 않게 됩니다.
Management Server 컴퓨터에서:
- 관리 서버사 설치된 각 컴퓨터에서 Server Configurator 을(를) 시작합니다.
- 등록 페이지로 이동합니다.
- 연필(
) 기호를 클릭하여 관리 서버 주소를 편집할 수 있도록 합니다. - 관리 서버 주소를 클러스터 URL로 변경합니다(예: http://MyCluster ).
- 등록 을 클릭합니다.
Management Server 을(를) 사용하는 구성 요소가 포함된 컴퓨터에서(예: Recording Server, Mobile Server, Event Server, API Gateway):
- 각 컴퓨터에서 Server Configurator 을(를) 시작합니다.
- 등록 페이지로 이동합니다.
- 관리 서버 주소를 클러스터 URL로 변경합니다(예: http://MyCluster ).
- 등록 을 클릭합니다.
클러스터 환경에서 external IDP 을(를) 위한 인증서 사용
단일 서버 환경에서 XProtect 을(를) 설치 시, external IDP 구성 데이터는 데이터 보호 API(DPAPI)로 보호됩니다. 클러스터에 관리 서버를 설정하는 경우, 원활하게 노드 장애 조치를 하려면 external IDP 구성 데이터를 인증서로 보호해야 합니다.
인증서 생성에 관한 자세한 정보는 인증서에 관한 Milestone 지침 을(를) 참조하십시오.
인증서를 개인 인증서 보관함에 가져오기한 후 컴퓨터가 해당 인증서를 신뢰하도록 해야 합니다.
데이터 보호를 설정하려면 Identity Provider 구성에 인증서 지문을 추가해야 합니다.
-
인증서를 개인 인증서 보관함에 가져오기한 후 다음 사항을 확인합니다.
-
인증서가 유효한지 여부
-
Identity Provider app pool (IDP) 계정이 인증서 개인 키에 대한 권한을 보유했는지 여부
해당 계정이 인증서 개인 키에 대한 권한을 가졌는지에 대한 여부를 확인하기 위한 자세한 정보는 인증서에 관한 Milestone 지침 을(를) 참조하십시오.
-
-
Identity Provider 의 설치 경로(“[Install path]\Milestone\XProtectManagement Server\IIS\Identity Provider”)에서 appsettings.json 파일을 찾습니다.
-
다음 섹션에서 인증서 지문을 설정합니다.
-
"DataProtectionSettings": {
"ProtectKeysWithCertificate": {
"Thumbprint": ""
}
},
-
모든 관리 서버 노드에서 3단계를 반복합니다.
-
강제로 장애 조치 서버를 종료하여 클러스터에서 새로운 장애 조치 노드로 변경합니다.
시스템이 프로덕션 준비가 되기 전에 노드 장애 조치를 강제로 실행하여 인증서 설정이 올바로 되었는지 확인해야 합니다.
external IDP 이(가) 클러스터 및 인증서 설정 전에 구성된 경우, external IDP 의 클라이언트 암호를 관리 클라이언트에 재입력해야 합니다. 이 작업은 external IDP 사용자가 완료할 수 없습니다.
external IDP 구성이 인증서로 보호되는 상황에서 문제 해결
유효하지 않은 인증서/유효 기간이 만료된 인증서
구성된 지문 인증서가 신뢰되지 않거나 유효 기간이 만료된 인증서를 나타내는 경우, Identity Provider 을(를) 시작할 수 없습니다. Identity Provider 로그(C:\ProgramData\Milestone\Identity Provider\Logs\Idp.log)는 인증서의 유효성 여부를 분명하게 보여줍니다.
해결책:
인증서가 컴퓨터에서 유효하며 신뢰받은 것인지 확인하십시오.
인증서 개인 키에 대한 권한 없음
Identity Provider 은(는) 개인 키에 대한 권한 없이 데이터를 보호할 수 없습니다. Identity Provider 에 권한이 없는 경우, 다음의 오류 메시지가 Identity Provider 로그 파일(C:\ProgramData\Milestone\Identity Provider\Logs\Idp.log)에 기록됩니다.
오류- 핵심 요소 처리 중 예외가 발생했습니다 ‘<key id=”[installation specific]” version=”1” />’. Internal.Cryptography.CryptoThrowHelper+WindowsCryptographicException: 키 세트가 존재하지 않습니다
해결책:
Identity Provider app pool (IDP) 계정이 인증서 개인 키에 대한 권한을 보유했는지 여부를 확인합니다.
인증서 개인 키에 대한 권한을 다음과 같이 확인합니다.
-
Windows 작업 표시줄에서 시작 을 선택한 후 컴퓨터 인증서 도구 관리(certlm.msc)를 엽니다.
-
개인 인증서 보관함으로 이동한 후 암호화에 사용할 인증서를 찾습니다.
-
인증서 위에서 마우스 오른쪽 버튼을 클릭하고 모든 작업 > 개인 키 관리 를 선택합니다.
-
다음에 대한 권한 아래에서, Identity Provider app pool (IDP) 계정이 읽기 권한을 갖고 있는지 확인합니다.
