Instalar en un clúster

Antes de realizar la instalación en un clúster, consulte Múltiples servidores de gestión (clustering) (explicación) y Requisitos para el clustering.

Las descripciones e ilustraciones pueden diferir de lo que se ve en la pantalla.

Instalar el servidor de gestión:

  1. Instale el servidor de gestión y todos sus subcomponentes en el primer servidor del clúster.

    El servidor de gestión debe instalarse con un usuario específico y no como un servicio de red. Para ello es necesario utilizar la opción de instalación Personalizada. Además, el usuario específico debe tener acceso a la unidad de red compartida y, preferiblemente, una contraseña que no caduque.

Configure el servicio Management Server como un servicio genérico en el cluster de failover:

  1. En el último servidor en el que haya instalado el servidor de gestión, vaya a Inicio > Herramientas administrativas, abra la Gestión de clústeres de failover de Windows. En la ventana de Administrador de clústeres de conmutación por error, expanda su clúster, haga clic con el botón derecho en Cometidos y seleccione Configurar un cometido.

    Failover Cluster Management form.

  2. En la página Asistente de alta disponibilidad > página Antes de comenzar, haga clic en Siguiente.
  3. En la página Seleccionar cometido, seleccione Servicio genérico y haga clic en Siguiente.
  4. En la página Seleccionar servicio, seleccione el servicio Milestone XProtect Management Server y haga clic en Siguiente.
  5. En la página Punto de acceso del cliente especifique el nombre (nombre de host del clúster) que los clientes utilizan cuando acceden al servicio. El nombre de host debe ser diferente del nombre del clúster. Haga clic en Siguiente.
  6. En la página Seleccionar almacenamiento, haga clic en Siguiente, ya que no se requiere almacenamiento para el servicio.
  7. En la página Replicar configuración del registro, haga clic en Siguiente, ya que no se debe replicar ningún ajuste del registro.
  8. En la página Confirmación, haga clic en Siguiente después de haber verificado que el servicio de clúster está configurado de acuerdo con sus requisitos.
  9. En la página Configurar alta disponibilidad, haga clic en Siguiente.
  10. En la página Resumen, haga clic en Finalizar para completar la configuración del servidor de gestión como un servicio genérico en el clúster de conmutación por error.
  11. Haga clic con el botón derecho en el cometido que acaba de crear y haga clic en Agregar recurso > Secuencia de comandos genérica. Seleccione Milestone XProtect Event Server para agregar el servicio Milestone XProtect Event Server como recurso al servicio Milestone XProtect Management Server Cluster.

    Add services to the newly created role.

  12. Repita el paso 11 y añada todos los servicios necesarios en el clúster, por ejemplo, el Log Server. El Milestone XProtect Event Server y el Data Collector server deben añadirse como servicios para lograr una implementación óptima. Asimismo, el Milestone XProtect Event Server debe configurarse como un servicio dependiente del servidor de gestión, para asegurarse de que el servidor de eventos se detenga también cuando se detiene el servidor de gestión.
  13. Todos los servicios añadidos se muestran en el panel inferior de la ventana.

    List of added services.

Actualizar el clúster URL:

Al realizar cambios en la configuración en el Gestor de clústeres de failover de Microsoft, pause el control y monitorice el servicio para que Server Configurator pueda hacer cambios e iniciar y/o parar el servicio de Management Server. Si cambia el tipo de inicio del servicio de clúster de failover, no debe provocar ningún conflicto con el Server Configurator.

En los ordenadores de Management Server:

  1. Inicie Server Configurator en cada uno de los ordenadores que tienen un servidor de gestión instalado.
  2. Vaya a la página Registro.
  3. Haga clic en el símbolo del lápiz () para que la dirección del servidor de gestión sea editable.
  4. Cambie la dirección del servidor de gestión a la URL del clúster, por ejemplo http://MyCluster.
  5. Haga clic en Registrar.

En ordenadores que tienen componentes que utilizan el Management Server (por ejemplo, Recording Server, Mobile Server, Event Server, API Gateway):

  1. Inicie Server Configurator en cada uno de los ordenadores.
  2. Vaya a la página Registro.
  3. Cambie la dirección del servidor de gestión a la URL del clúster, por ejemplo http://MyCluster.
  4. Haga clic en Registrar.

Utilizar un certificado para un IDP externo en un entorno de clúster

Cuando instala XProtect en un entorno de un solo servidor, el IDP externo de datos de configuración se protege mediante la API de protección de datos (DPAPI). Si configura el servidor de gestión en un clúster, el IDP externo de datos de configuración debe estar protegido con un certificado para garantizar una conmutación por error de nodos fluida.

Para obtener más información sobre cómo generar un certificado, consulte La guía Milestone sobre certificados.

Debe importar el certificado al almacén de certificados personales y hacer que el certificado sea de confianza en el ordenador.

Para configurar la protección de datos debe añadir la huella del certificado a la configuración Identity Provider.

  1. Importar el certificado al almacén de certificados personales y asegurarse de que:

    • el certificado es válido

    • la cuenta Identity Provider app pool (IDP) tiene permisos para la clave privada del certificado.

    Para más información sobre cómo verificar si la cuenta tiene permisos para la clave privada del certificado, consulte La guía Milestone sobre certificados.

  2. Ubicar el archivo appsettings.json en la ruta de instalación del Identity Provider (“[Ruta de instalación]\Milestone\XProtect Management Server\IIS\Identity Provider”).

  3. Establecer la huella del certificado en la sección:

    4. "DataProtectionSettings": {
    "ProtectKeysWithCertificate": {
    "Thumbprint": ""
    }
    },

  1. Repetir el paso 3 en todos los nodos del servidor de gestión.

  2. Aplique un failover de nodo para garantizar que la configuración del certificado es correcta.

  3. Vuelva a iniciar sesión utilizando el cliente de gestión y aplique la configuración del proveedor externo. Si la configuración ya se ha aplicado, debe volver a introducir el secreto del cliente desde el IDP externo en el cliente de gestión.

Solución de errores cuando una configuración de IDP externo está protegida con un certificado

Certificado inválido/certificado caducado

Si el certificado de huella digital configurado representa un certificado que no es de confianza o ha caducado, el Identity Provider no puede iniciarse. El registro Identity Provider (C:\ProgramData\Milestone\Identity Provider\Logs\Idp.log) indicará claramente si el certificado no es válido.

Solución:

Asegúrese de que el certificado es válido y de confianza en el ordenador.

Falta de permisos para las claves privadas de los certificados

El Identity Provider no puede proteger los datos sin permisos para las claves privadas. Si el Identity Provider no tiene el permiso, se escribe el siguiente mensaje de error en el archivo de registro del Identity Provider (C:\ProgramData\Milestone\Identity Provider\Logs\Idp.log):

ERROR: se ha producido una excepción al procesar el elemento clave ‘<key id=”[específico de la instalación]” version=”1” />’. Internal.Cryptography.CryptoThrowHelper+WindowsCryptographicException: El juego de llaves no existe

Solución:

Asegúrese de que la cuenta Identity Provider app pool (IDP) tiene permisos para las claves privadas del certificado.

Compruebe los permisos de una clave privada de certificado:

  1. Seleccione Iniciar en la barra de tareas de Windows y abra la herramienta Gestionar certificados del equipo (certlm.msc).

  2. Navegue hasta el almacén de certificados personales y encuentre el certificado que se utiliza para el cifrado.

  3. Haga clic con el botón derecho en el certificado y seleccione Todas las tareas > Gestionar claves privadas.

  4. En Permisos para, asegúrese de que la cuenta de Identity Provider app pool (IDP) tiene permisos de lectura.