在群集中安装

在群集中安装之前,请参阅 多台管理服务器(群集)(已解释)群集要求

说明和插图可能与您在屏幕上看到的有所不同。

安装管理服务器:

  1. 在群集中的第一台服务器上安装管理服务器及其所有子组件。

    管理服务器必须与特定用户一起安装,而不是作为网络服务安装。这要求您使用自定义安装选项。此外,特定用户必须能够访问共享的网络驱动器,并且最好有非过期密码。

Management Server 服务配置为故障转移群集中的通用服务:

此示例适用于 Microsoft Windows Server 2012。该过程可能因其他 Windows 版本而异。

  1. 在安装了管理服务器的最后一台服务器上,转到开始 > 管理工具,打开 Windows 的故障转移群集管理。在故障转移群集管理窗口中展开群集,右键单击服务和应用程序,然后选择配置服务或应用程序

    Failover Cluster Management window in Microsoft Windows Server 2012.

  2. 高可用性对话框中单击下一步
  3. 选择通用服务,然后单击下一步
  4. 不要在对话框的第三页上指定任何内容,然后单击下一步
  5. 选择 Milestone XProtect Management Server 服务,单击下一步。指定客户端在访问服务时使用的名称(群集的主机名),单击下一步
  6. 该服务不需要存储,单击下一步。不应复制任何注册表设置,单击下一步。验证是否已根据您的需要配置群集服务,单击下一步。管理服务器现已配置为故障转移群集中的通用服务。单击完成
  7. 在群集设置中,应将事件服务器和 Data Collector 设置为管理服务器的从属服务,以便事件服务器在管理服务器被停止运行后停止运行。
  8. 要将 Milestone XProtect Event Server 服务作为资源添加到 Milestone XProtect Management Server Cluster 服务,请右键单击群集服务,然后单击添加资源 > 4 - 通用服务 并选择 Milestone XProtect Event Server

更新群集 URL:

在进行配置更改时,在 Microsoft 故障转移群集管理器上,暂停对服务的控制和监视,以便 Server Configurator 可以进行更改并启动和/或停止 Management Server 服务。如果将故障转移群集服务启动类型更改为手动,则不应导致与 Server Configurator 的任何冲突。

Management Server 计算机上:

  1. 在安装了管理服务器的每个计算机上启动 Server Configurator
  2. 转到注册页面。
  3. 单击铅笔 () 符号以使管理服务器地址可编辑。
  4. 将管理服务器地址更改为群集的 URL,例如 http://MyCluster
  5. 单击注册

在具有使用 Management Server(例如 Recording ServerMobile ServerEvent Server, API Gateway)的组件的计算机上:

  1. 在每个计算机上启动 Server Configurator
  2. 转到注册页面。
  3. 将管理服务器地址更改为群集的 URL,例如 http://MyCluster
  4. 单击注册

为集群环境中的 external IDP 使用证书

在单服务器环境中安装 XProtect 后,会用数据保护 API (DPAPI) 保护 external IDP 配置数据。如果您在集群中设置管理服务器,必须用证书保护 external IDP 配置数据,以确保流畅的节点故障转移。

有关如何生成证书的详细信息,请参阅 Milestone 证书指南

必须将证书导入个人证书存储区,并使计算机信任证书。

若要设置数据保护,您必须添加证书的指纹到 Identity Provider 配置。

  1. 将证书导入个人证书存储区并确保

    • 证书是有效的

    • Identity Provider app pool (IDP) 帐户拥有证书私钥的权限。

    有关如何验证帐户是否拥有证书私钥的权限的详细信息,请参阅 Milestone 证书指南

  2. Identity Provider (“[Install path]\Milestone\XProtectManagement Server\IIS\Identity Provider”)安装路径中找到 appsettings.json 文件。

  3. 在该部分中设置证书指纹:

    4. "DataProtectionSettings": {
    "ProtectKeysWithCertificate": {
    "Thumbprint": “”
    }
    },

  1. 在所有管理服务器节点上重复步骤 3。

  2. 强制关闭故障转移节点,以切换到集群中新的故障转移节点。

在系统准备好进行生产之前,必须强制实施节点故障转移,以确保证书设置是正确的。

如果 external IDP 是在集群和证书设置之前配置的,必须在管理客户端中重新输入来自 external IDP 的客户端密钥。该任务无法由 external IDP 用户完成。

external IDP 配置受证书保护时,故障排除出错

证书无效/证书已过期

如果已配置的指纹证书为不受信任或已过期的证书,则 Identity Provider 无法开始。Identity Provider 日志 (C:\ProgramData\Milestone\Identity Provider\Logs\Idp.log) 将清楚表明证书是否无效。

解决方案:

确保证书是有效的,且在计算机上信任。

缺失证书私钥的权限

Identity Provider 无法在没有私钥权限的情况下保护数据。如果 Identity Provider 没有权限,则以下错误消息会写入 Identity Provider (C:\ProgramData\Milestone\Identity Provider\Logs\Idp.log) 的日志文件:

错误- 处理关键元素‘<key id=”[installation specific]” version=”1” />’时发生例外。Internal.Cryptography.CryptoThrowHelper+WindowsCryptographicException: 密钥集不存在

解决方案:

确保 Identity Provider app pool (IDP) 帐户拥有证书私钥的权限。

检查证书私钥的权限:

  1. 选择 Windows 任务栏上的开始并打开管理计算机证书工具 (certlm.msc)。

  2. 导航至个人证书存储区并找到用于加密的证书。

  3. 右键单击证书,并选择所有任务 > 管理私钥

  4. 权限下,确保 Identity Provider app pool (IDP) 帐户拥有读取权限。