クラスタへのインストール
クラスタをインストールする前に、複数のマネジメントサーバー(クラスタリング)(説明付き)およびクラスタリングの要件を参照してください。
ここでの説明と図は、実際に画面上に表示されるものとは異なる場合があります。
マネジメントサーバーのインストール
- マネジメントサーバーと、そのすべてのサブコンポーネントをクラスタ内の最初のサーバーにインストールします。
特定のユーザーには、ネットワークサービスとしてではなく、マネジメントサーバーをインストールする必要があります。これには、カスタムインストールオプションを使用する必要があります。また、特定のユーザーには共有ネットワークドライブへのアクセスと、可能であれば無期限のパスワードを割り当てる必要があります。
Management Serverサービスを、フェールオーバークラスタ内の汎用サービスとして設定します。
- マネジメントサーバーをインストールした最後のサーバーでスタート > 管理ツールに移動し、Windowsのフェールオーバークラスタ管理を開きます。フェールオーバークラスタマネージャウィンドウでクラスタを展開し、役割を右クリックしてから、役割を設定を選択します。
- 高可用性ウィザード > 開始前にページで、次へをクリックします。
- 役割を選択ページで汎用サービスを選択し、次へをクリックします。
- サービスを選択ページでMilestone XProtect Management Serverサービスを選択し、次へをクリックします。
- クライアントのアクセスポイントページで、クライアントがサービスにアクセスする時に使用する名前(クラスタのホスト名)を指定します。ホスト名は、クラスタ名と異なるものでなければなりません。次へをクリックします。
- ストレージを選択ページでは、このサービスにストレージは必要ないため、次へをクリックします。
- レジストリ設定を複製ページでは、レジストリ設定を複製する必要はないため、次へをクリックします。
- 確認ページでは、クラスタサービスが要件に従って設定されていることを確認したら次へをクリックします。
- 高可用性を設定ページで、次へをクリックします。
- サマリーページで、終了をクリックして、フェールオーバークラスタの汎用サービスとしてマネジメントサーバーの設定を完了します。
- 作成した役割を右クリックし、リソースを追加 > 汎用スクリプトをクリックします。Milestone XProtect Event Serverを選択して、Milestone XProtect Event ServerサービスをリソースとしてMilestone XProtect Management Server Clusterサービスに追加します。
- ステップ11を繰り返して、 Log Serverなど、クラスタに必要なすべてのサービスを追加します。Milestone XProtect Event ServerとData Collector serverの両方をサービスとして追加して、最適な展開を実現する必要があります。さらに、マネジメントサーバーが停止すると必ずイベントサーバーも停止するよう、マネジメントサーバーに依存するサービスとしてMilestone XProtect Event Serverを設定する必要があります。
- 追加されたすべてのサービスは、ウィンドウの下部ペインに表示されます。
クラスタURLのアップデート
構成を変更する場合は、Microsoftフェールオーバークラスターマネージャーで、サービスのコントロールとモニタリングを一時停止し、Server Configuratorが変更を行ってManagement Serverサービスを起動/停止できるようにします。フェールオーバークラスターサービスのセットアップタイプを手動に変更しても、Server Configuratorとは矛盾しないはずです。
Management Serverコンピュータで以下を実行します。
- マネジメントサーバーがインストールされている各コンピュータでServer Configuratorを起動します。
- [登録]ページに移動します。
- 鉛筆(
)の記号をクリックして、マネジメントサーバーのアドレスを編集可能にします。 - マネジメントサーバーアドレスをクラスターのURLに変更します(例:http://MyCluster)。
- [登録]をクリックします。
Management Server(Recording Server、Mobile Server、Event Server
- 各コンピュータでServer Configuratorを起動します。
- [登録]ページに移動します。
- マネジメントサーバーアドレスをクラスターのURLに変更します(例:http://MyCluster)。
- [登録]をクリックします。
クラスタ環境で外部IDPに証明書を使用する
単一サーバー環境にXProtectをインストールすると、外部IDPの設定データがデータ保護API(DPAPI)で保護されます。クラスタでマネジメントサーバーを設定する場合、スムーズなノードのフェールオーバーを徹底するため、証明書で外部IDPの設定データを保護する必要があります。
証明書を生成する詳細な方法については、証明書に関するMilestoneガイドを参照してください。
証明書を個人の証明書ストアにインポートし、コンピュータで証明書を信頼済みに設定する必要があります。
データ保護を設定するには、Identity Providerの設定に証明書のサムプリントを追加する必要があります。
-
証明書を個人の証明書ストアにインポートし、以下を確認します。
-
証明書が有効になっている
-
Identity Provider app pool (IDP)アカウントに、証明書のプライベートキーへのアクセス権限がある
アカウントに証明書のプライベートキーへのアクセス権限があるかどうかを確認する詳細な方法については、「証明書に関するMilestoneガイド」を参照してください。
-
-
Identity Provider のインストールパス([Install path]\Milestone\XProtect Management Server\IIS\Identity Provider)でappsettings.jsonファイルを見つけます。
-
対象セクションで証明書のサムプリントを設定します。
"DataProtectionSettings": { "ProtectKeysWithCertificate": { "Thumbprint": "" } },
-
マネジメントサーバーのすべてのノードでステップ3を繰り返します。
-
ノードでフェールオーバーを強制実行して、証明書の設定が正しいことを確認します。
-
Management Clientを使用して再度ログインし、外部プロバイダ設定を適用します。設定を適用済みの場合は、管理クライアントの外部IDPからクライアントシークレットを再入力する必要があります。
外部IDPの設定が証明書で保護されている場合のエラーのトラブルシューティング
無効な証明書/期限切れの証明書
サムプリントを設定した証明書が信頼できない場合や期限が切れている場合、Identity Providerは開始されません。証明書が無効の場合、Identity Providerのログ(C:\ProgramData\Milestone\Identity Provider\Logs\Idp.log)で明確に示されます。
解決策:
証明書が有効かつコンピュータで信頼済みであることを確認します。
証明書のプライベートキーへのアクセス権限がない場合
プライベートキーへのアクセス権限がない場合、Identity Providerはデータを保護できません。Identity Providerに権限がない場合、次のエラーメッセージがIdentity Provider(C:\ProgramData\Milestone\Identity Provider\Logs\Idp.log)のログファイルに書き込まれます。
ERROR- An exception occurred while processing the key element ‘<key id=”[installation specific]” version=”1” />’. Internal.Cryptography.CryptoThrowHelper+WindowsCryptographicException: Keyset does not exist
解決策:
Identity Provider app pool (IDP)アカウントに証明書のプライベートキーへのアクセス権限があることを確認します。
証明書のプライベートキーへのアクセス権限を確認する方法
-
Windowsのタスクバーで、スタートを選択し、コンピュータの証明書管理ツール(certlm.msc)を開きます。
-
個人の証明書ストアにアクセスし、暗号化に使用する証明書を探します。
-
証明書を右クリックし、すべてのタスク > プライベートキーを管理を選択します。
-
権限設定でIdentity Provider app pool (IDP)のアカウントに読み取り権限があることを確認します。
