クラスタへのインストール
クラスタをインストールする前に、「複数のマネジメントサーバー(クラスタリング)(説明付き)」および「クラスタリングの要件」を参照してください。
ここでの説明と図は、実際に画面上に表示されるものとは異なる場合があります。
マネジメントサーバーのインストール:
- マネジメントサーバーと、そのすべてのサブコンポーネントをクラスタ内の最初のサーバーにインストールします。
マネジメントサーバーはネットワークサービスとしてではなく、指定ユーザーと併せてインストールする必要があります。これには、[カスタム]インストールオプションを使用する必要があります。また、指定ユーザーには共有ネットワークドライブへのアクセスと、可能であれば無期限のパスワードを割り当てる必要があります。
Management Serverサービスを、フェールオーバークラスタ内の汎用サービスとして構成します:
- マネジメントサーバーをインストールした最後のサーバーで[スタート] > [管理ツール]に移動し、Windowsのフェールオーバークラスタ管理を開きます。フェールオーバークラスタマネージャウィンドウでクラスタを展開し、役割を右クリックしてから、役割を設定するを選択します。
- 高可用性 ウィザード > 開始前に ページで、次へをクリックします。
- 役割を選択するページで汎用サービスを選択し、次へをクリックします。
- サービスを選択するページでMilestone XProtect Management Serverサービスを選択し、次へをクリックします。
- クライアントのアクセスポイントページで、クライアントがサービスにアクセスする時に使用する名前(クラスタのホスト名)を指定します。ホスト名は、クラスタの名前と異なるものでなければなりません。次へをクリックします。
- ストレージを選択するページでは、このサービスにストレージは必要ないため、次へをクリックします。
- レジストリ設定のレプリケートページでは、レジストリ設定を複製する必要はないため、次へをクリックします。
- 確認ページで、クラスタサービスが要件に従って設定されていることを確認したら次へをクリックします。
- 高可用性を設定するページで、次へをクリックします。
- サマリーページで、終了をクリックして、フェールオーバークラスタの汎用サービスとしてマネジメントサーバーの設定を完了します。
- 作成した役割を右クリックし、リソースを追加する>汎用スクリプトをクリックします。Milestone XProtect Event Serverを選択して、Milestone XProtect Event ServerサービスをリソースとしてMilestone XProtect Management Server Clusterサービスに追加します。
- ステップ 11 を繰り返して、 Log Serverなど、クラスタに必要なすべてのサービスを追加します。Milestone XProtect Event Server とData Collector serverの両方をサービスとして追加して、最適な導入を実現する必要があります。さらに、マネジメントサーバーが停止すると必ずイベントサーバーも停止するよう、マネジメントサーバーの依存サービスとしてMilestone XProtect Event Serverを設定する必要があります。
- 追加されたすべてのサービスは、ウィンドウの下部ペインに表示されます。
クラスターURLのアップデート:
構成を変更する場合は、Microsoftフェールオーバークラスターマネージャーで、サービスのコントロールとモニタリングを一時停止し、Server Configuratorが変更を行ってManagement Serverサービスを起動/停止できるようにします。フェールオーバークラスターサービスのセットアップタイプを手動に変更しても、Server Configuratorとは矛盾しないはずです。
Management Serverコンピュータで以下を実行します。
- マネジメントサーバーがインストールされている各コンピュータでServer Configuratorを起動します。
- [登録]ページに移動します。
- 鉛筆(
)の記号をクリックして、マネジメントサーバーのアドレスを編集可能にします。 - マネジメントサーバーアドレスをクラスターのURLに変更します(例:http://MyCluster)。
- [登録]をクリックします。
Management Server(Recording Server、Mobile Server、Event Server
- 各コンピュータでServer Configuratorを起動します。
- [登録]ページに移動します。
- マネジメントサーバーアドレスをクラスターのURLに変更します(例:http://MyCluster)。
- [登録]をクリックします。
クラスタ環境で外部IDPのために証明書を使用する
単一サーバー環境にXProtectをインストールすると、外部IDPの設定データがデータ保護API(DPAPI)で保護されます。クラスタでマネジメントサーバーを設定する場合、頻繁なノードのフェールオーバーを徹底するため、証明書で外部IDPの設定データを保護する必要があります。
証明書を生成する方法に関する詳細については、証明書に関するMilestoneガイドを参照してください。
証明書を個人の証明書ストアにインポートし、コンピュータで証明書を信頼済みに設定する必要があります。
データ保護を設定するには、Identity Providerの設定に証明書の拇印を追加する必要があります。
-
証明書を個人の証明書ストアにインポートし、次の点を確認します:
-
証明書が無効です
-
Identity Provider app pool (IDP)アカウントには、証明書の秘密キーへのアクセス権限があります。
アカウントに証明書の秘密キーへのアクセス権限があるかどうかを確認する方法に関する詳細は、「証明書に関するMilestoneガイド」を参照してください。
-
-
Identity Provider のインストールパス(“[Install path]\Milestone\XProtectManagement Server\IIS\Identity Provider”)でappsettings.json ファイルを見つけます。
-
対象セクションで証明書の拇印を設定します - 対象セクション:
-
"DataProtectionSettings": {
"ProtectKeysWithCertificate": {
"Thumbprint": ""
}
},
-
マネジメントサーバーのすべてのノードでステップ3を繰り返します。
-
ノードフェールオーバーを実施して、認証設定が正しいことを確認します。
-
管理クライアントを使用して再度ログインし、外部プロバイダー構成を適用します。構成が適用済みの場合は、管理クライアントの外部IDPからクライアントシークレットを再入力する必要があります。
外部IDPの設定が証明書で保護されている場合のトラブルシューティングエラー
無効な証明書/期限切れの証明書
拇印を設定した証明書が信頼できない場合や期限が切れている場合、Identity Providerは起動できません。証明書が無効の場合、Identity Providerのログ(C:\ProgramData\Milestone\Identity Provider\Logs\Idp.log)で明確に示されます。
解決策:
証明書が有効かつコンピュータで信頼済みであることを確認してください。
証明書の秘密キーへのアクセス権限が不足しています
秘密キーへのアクセス権限がない場合、Identity Providerはデータを保護できません。Identity Providerに権限がない場合、次のエラーメッセージがIdentity Providerのログファイルに書き込まれます。(C:\ProgramData\Milestone\Identity Provider\Logs\Idp.log):
エラー - キー要素 ‘<key id=”[installation specific]” version=”1” />’を処理中に例外が発生しました。Internal.Cryptography.CryptoThrowHelper+WindowsCryptographicException: キーセットが存在しません
解決策:
Identity Provider app pool (IDP)アカウントに証明書の秘密キーへのアクセス権限があることを確認してください。
証明書の秘密キーへのアクセス権限の確認:
-
Windowsのタスクバーで、[スタート] を選択し、コンピュータの証明書管理ツール(certlm.msc)を開きます。
-
個人の証明書ストアにアクセスし、暗号化に使用する証明書を探します。
-
証明書を右クリックして、[すべてのタスク] > [秘密キーを管理] を選択します。
-
[権限設定] でIdentity Provider app pool (IDP)のアカウントに読み取り権限があることを確認してください。
