クラスタへのインストール

クラスタをインストールする前に、「複数のマネジメントサーバー(クラスタリング)(説明付き)」および「クラスタリングの要件」を参照してください。

ここでの説明と図は、実際に画面上に表示されるものとは異なる場合があります。

マネジメントサーバーのインストール:

  1. マネジメントサーバーと、そのすべてのサブコンポーネントをクラスタ内の最初のサーバーにインストールします。

    マネジメントサーバーはネットワークサービスとしてではなく、指定ユーザーと併せてインストールする必要があります。これには、[カスタム]インストールオプションを使用する必要があります。また、指定ユーザーには共有ネットワークドライブへのアクセスと、可能であれば無期限のパスワードを割り当てる必要があります。

Management Serverサービスを、フェールオーバークラスタ内の汎用サービスとして構成します:

この例は、Microsoft Windowsサーバー2012に適用されます。他のWindowsバージョンではプロセスが異なる可能性があります。

  1. マネジメントサーバーをインストールした最後のサーバーで[スタート] > [管理ツール]に移動し、Windowsのフェールオーバークラスタ管理を開きます。[フェールオーバークラスター管理]ウィンドウでクラスターを展開し、[サービスとアプリケーション]を右クリックして[サービスまたはアプリケーションとして設定]を選択します。

    Failover Cluster Management window in Microsoft Windows Server 2012.

  2. [高可用性]ダイアログボックスで[次へ]をクリックします。
  3. [汎用サービス] を選択して[次へ]をクリックします。
  4. ダイアログボックスの3ページ目では何も指定せずに、[次へ]をクリックします。
  5. Milestone XProtect Management Server サービスを選択し、[次へ]をクリックします。サービスへのアクセス時にクライアントによって使用される名前(クラスタのホスト名)を指定し、[次へ]をクリックします。
  6. サービスにストレージは不要なため、[次へ]をクリックします。レジストリ設定を複製せずに、[次へ]をクリックします。クラスタサービスが適宜に設定されていることを確認してから、[次へ]をクリックします。これで、マネジメントサーバーがフェールオーバークラスタ内の汎用サービスとして設定されます。終了をクリックします。
  7. クラスタの設定では、イベントサーバーとData Collectorはマネジメントサーバーの依存サービスとして設定する必要があるため、マネジメントサーバーが停止するとイベントサーバーも停止します。
  8. Milestone XProtect Event Server サービスをリソースとしてMilestone XProtect Management Server Clusterサービスに追加するには、クラスタサービスを右クリックして[リソースの追加] > [4 - 汎用サービス]を選択してから、Milestone XProtect Event Serverを選択します。

クラスターURLのアップデート:

構成を変更する場合は、Microsoftフェールオーバークラスターマネージャーで、サービスのコントロールとモニタリングを一時停止し、Server Configuratorが変更を行ってManagement Serverサービスを起動/停止できるようにします。フェールオーバークラスターサービスのセットアップタイプを手動に変更しても、Server Configuratorとは矛盾しないはずです。

Management Serverコンピュータで以下を実行します。

  1. マネジメントサーバーがインストールされている各コンピュータでServer Configuratorを起動します。
  2. [登録]ページに移動します。
  3. 鉛筆()の記号をクリックして、マネジメントサーバーのアドレスを編集可能にします。
  4. マネジメントサーバーアドレスをクラスターのURLに変更します(例:http://MyCluster)。
  5. [登録]をクリックします。

Management ServerRecording ServerMobile ServerEvent ServerAPI Gatewayなど)を使用するコンポーネントを備えたコンピューターの場合:

  1. 各コンピュータでServer Configuratorを起動します。
  2. [登録]ページに移動します。
  3. マネジメントサーバーアドレスをクラスターのURLに変更します(例:http://MyCluster)。
  4. [登録]をクリックします。

クラスタ環境でexternal IDPの証明書を使用

単一サーバー環境にXProtectをインストールすると、external IDPの設定データがデータ保護API(DPAPI)で保護されます。クラスタでマネジメントサーバーを設定する場合、頻繁なノードのフェールオーバーを徹底するため、証明書でexternal IDPの設定データを保護する必要があります。

証明書を生成する方法に関する詳細については、証明書に関するMilestoneガイドを参照してください。

証明書を個人の証明書ストアにインポートし、コンピュータで証明書を信頼済みに設定する必要があります。

データ保護を設定するには、Identity Providerの設定に証明書の拇印を追加する必要があります。

  1. 証明書を個人の証明書ストアにインポートし、次の点を確認します:

    • 証明書が無効です

    • Identity Provider app pool (IDP)アカウントには、証明書の秘密キーへのアクセス権限があります。

    アカウントに証明書の秘密キーへのアクセス権限があるかどうかを確認する方法に関する詳細は、「証明書に関するMilestoneガイド」を参照してください。

  2. Identity Providerのインストールパス(“[Install path]\Milestone\XProtectManagement Server\IIS\Identity Provider”)にappsettings.jsonを配置します。

  3. 対象セクションで証明書の拇印を設定します - 対象セクション:

    4. "DataProtectionSettings": {
    "ProtectKeysWithCertificate": {
    "Thumbprint": ""
    }
    },

  1. マネジメントサーバーのすべてのノードでステップ3を繰り返します。

  2. ノードフェールオーバーを実施して、認証設定が正しいことを確認します。

  3. 管理クライアントを使用して再度ログインし、外部プロバイダー構成を適用します。構成が適用済みの場合は、管理クライアントの外部IDPからクライアントシークレットを再入力する必要があります。

外部IDPの設定が証明書で保護されている場合のトラブルシューティングエラー

無効な証明書/期限切れの証明書

拇印を設定した証明書が信頼できない場合や期限が切れている場合、Identity Providerは起動できません。証明書が無効の場合、Identity Providerのログ(C:\ProgramData\Milestone\Identity Provider\Logs\Idp.log)で明確に示されます。

解決策:

証明書が有効かつコンピュータで信頼済みであることを確認してください。

証明書の秘密キーへのアクセス権限が不足しています

秘密キーへのアクセス権限がない場合、Identity Providerはデータを保護できません。Identity Providerに権限がない場合、次のエラーメッセージがIdentity Providerのログファイルに書き込まれます。(C:\ProgramData\Milestone\Identity Provider\Logs\Idp.log):

エラー - キー要素 ‘<key id=”[installation specific]” version=”1” />’を処理中に例外が発生しました。Internal.Cryptography.CryptoThrowHelper+WindowsCryptographicException: キーセットが存在しません

解決策:

Identity Provider app pool (IDP)アカウントに証明書の秘密キーへのアクセス権限があることを確認してください。

証明書の秘密キーへのアクセス権限の確認:

  1. Windowsのタスクバーで、[スタート] を選択し、コンピュータの証明書管理ツール(certlm.msc)を開きます。

  2. 個人の証明書ストアにアクセスし、暗号化に使用する証明書を探します。

  3. 証明書を右クリックして、[すべてのタスク] > [秘密キーを管理] を選択します。

  4. [権限設定] でIdentity Provider app pool (IDP)のアカウントに読み取り権限があることを確認してください。