Instale em um grupo

Antes de instalar em um cluster, consulte Servidores de gerenciamento múltiplos (clustering) (explicado) e Requisitos de clustering.

Descrições e ilustrações podem diferir do que você vê na sua tela.

Instalar o servidor de gerenciamento:

1. Instalar o servidor de gerenciamento e todos os seus subcomponentes no primeiro servidor no grupo.

   O servidor de gerenciamento deve ser instalado com um usuário específico e não como um serviço da rede. Isso exige que você use a opção de instalação Personalizada. Além disso, o usuário específico deve ter acesso à unidade de rede compartilhada e, preferencialmente, uma senha sem expiração.

Configurar o serviço Management Server como serviço genérico no grupo de emergência:

1. No último servidor no qual você instalou o servidor de gerenciamento, vá para Iniciar > Ferramentas Administrativas, abra Gerenciamento de Cluster de Failover do Windows. Na janela Gerenciador do Cluster de Failover, expanda o seu grupo, clique com o botão direito em Funções e selecione Configurar função.

   

2. Na página Assistente de alta disponibilidade > Antes de começar, clique em Avançar.
3. Na página Selecionar função, selecione Serviço genérico e clique em Avançar.
4. Na página Selecionar serviço, selecione o serviço Milestone XProtect Management Server e clique em Avançar.
5. Na página Ponto de acesso do cliente, especifique o nome (nome do host do grupo) que os clientes usarão ao acessar o serviço. O nome do host deve ser diferente do nome do grupo. Clique em Avançar.
6. Na página Selecionar armazenamento, clique em Avançar, pois nenhum armazenamento é necessário para o serviço.
7. Na página Replicar configurações do registro, clique em Avançar, pois nenhuma configuração do registro deve ser replicada.
8. Na página Confirmação, clique em Avançar depois de verificar se o serviço de grupo está configurado de acordo com seus requisitos.
9. Na página Configurar alta disponibilidade, clique em Avançar.
10. Na página Resumo, clique em Concluir para completar a configuração do servidor de gerenciamento como um serviço genérico no cluster de failover.
11. Clique com o botão direito do mouse na função que você acabou de criar e clique em Adicionar recurso > Script genérico. Selecione Milestone XProtect Event Server para adicionar o serviço Milestone XProtect Event Server como um recurso ao serviço Milestone XProtect Management Server Cluster.

    

12. Repita a etapa 11 e adicione todos os serviços necessários no cluster, por exemplo, o Log Server. O Milestone XProtect Event Server e o Data Collector server devem ser adicionados como serviços para alcançar uma implantação ideal. Além disso, o Milestone XProtect Event Server deve ser definido como um serviço dependente do servidor de gerenciamento, para que o servidor de eventos pare quando o servidor de gerenciamento for interrompido.
13. Todos os serviços adicionados são exibidos no painel inferior da janela.

    

Atualizar URL do cluster:

Ao fazer alterações na configuração do Gerenciador do Cluster de Failover da Microsoft, pause o controle e monitoramento do serviço para que o Server Configurator possa fazer as alterações e iniciar e/ou parar o serviço Management Server. Se você mudar o tipo de inicialização do serviço de cluster de emergência para manual, isso não deve resultar em conflitos com o Server Configurator.

Nos computadores Management Server:

1. Inicie o Server Configurator em cada um dos computadores que possuem um servidor de gerenciamento instalado.
2. Ir para a página de Registro.
3. Clique no símbolo de lápis () para tornar o endereço do servidor de gerenciamento editável.
4. Altere o endereço do servidor de gerenciamento para a URL do grupo, por exemplo http://MeuGrupo.
5. Clique em Registrar.

Em computadores que possuem componentes que usam o Management Server (por exemplo, Recording Server, Mobile Server, Event Server, API Gateway):

1. Inicie o Server Configurator em cada um dos computadores.
2. Ir para a página de Registro.
3. Altere o endereço do servidor de gerenciamento para a URL do grupo, por exemplo http://MeuGrupo.
4. Clique em Registrar.

Use um certificado para um IDP externo em um ambiente de cluster

Ao instalar XProtect em um ambiente de servidor único, os dados de configuração do IDP externo são protegidos usando a API de proteção de dados (DPAPI). Se você configurar o servidor de gerenciamento em um cluster, os dados de configuração do IDP externo deverão ser protegidos com um certificado para garantir o failover do nó fluente.

Para obter mais informações sobre como gerar um certificado, consulte O guia Milestone sobre certificados.

Você deve importar o certificado para o armazenamento de certificados pessoal e torná-lo confiável no computador.

Para configurar a proteção de dados, você deve adicionar a impressão digital do certificado à configuração do Identity Provider.

1. Importe o certificado para o armazenamento de certificados pessoal e certifique-se de que:

   • o certificado é válido

   • a conta Identity Provider app pool (IDP) tem permissões para a chave privada do certificado.
     

   Para obter mais informações sobre como verificar se a conta tem permissões para a chave privada do certificado, consulte O guia Milestone sobre certificados.

2. Localize o arquivo appsettings.json no caminho de instalação do Identity Provider ([Install path]\Milestone\XProtect Management Server\IIS\Identity Provider).

3. Defina a impressão digital do certificado na seção:

"DataProtectionSettings": {
  "ProtectKeysWithCertificate": {
    "Thumbprint": "" 
  }

},

4. Repita a etapa 3 em todos os nós do servidor de gerenciamento.

5. Imponha um failover de nó para garantir que a configuração do certificado esteja correta.

6. Faça login novamente usando a estação de gerenciamento e aplique a configuração do provedor externo. Se a configuração já foi aplicada, insira novamente o segredo do cliente a partir de um IDP externo na estação de gerenciamento.

Solucionar erros quando a configuração de um IDP externo for protegida com um certificado

Certificado inválido/expirado

Se o certificado de impressão digital configurado representar um certificado que não é confiável ou expirou, o Identity Provider não pode ser iniciado. O registro Identity Provider (C:\ProgramData\Milestone\Identity Provider\Logs\Idp.log) indicará claramente se o certificado é inválido.

Solução:

Certifique-se de que o certificado seja válido e confiável no computador.

Permissões ausentes para certificados de chaves privadas

O Identity Provider não pode proteger dados sem permissões para as chaves privadas. Se o Identity Provider não tem a permissão, a seguinte mensagem de erro é registrada no arquivo de registros do Identity Provider (C:\ProgramData\Milestone\Identity Provider\Logs\Idp.log):

ERROR- An exception occurred while processing the key element ‘<key id=”[installation specific]” version=”1” />’. Internal.Cryptography.CryptoThrowHelper+WindowsCryptographicException: Keyset does not exist

Solução:

Certifique-se de que a conta Identity Provider app pool (IDP) tem permissões para as chaves privadas do certificado.

Verifique as permissões para uma chave privada de certificado:

1. Selecione Iniciar na barra de tarefas do Windows e abra a ferramenta Gerenciar certificados de computador (certlm.msc).

2. Navegue até o armazenamento de certificados pessoais e localize o certificado usado para a criptografia.

3. Clique com o botão direito do mouse no certificado e selecione Todas as tarefas > Gerenciar chaves privadas.

4. Em Permissões para, certifique-se de que a conta Identity Provider app pool (IDP) tenha permissões de leitura.