Vor dem Start der Installation

Milestone empfiehlt Ihnen, die im nächsten Abschnitt beschriebenen Voraussetzungen zu lesen, bevor Sie die tatsächliche Installation beginnen.

Server und Netzwerk vorbereiten

Betriebssystem

Achten Sie darauf, dass auf allen Servern eine saubere Installation eines Microsoft Windows-Betriebssystems installiert ist und das Betriebssystem mit den neuesten Windows-Updates aktualisiert wurde.

Informationen zu den Systemanforderungen der verschiedenen Komponenten und Anwendungen Ihres Systems finden Sie auf der Milestone Website (https://www.milestonesys.com/systemrequirements/).

Microsoft® .NET Framework

Prüfen Sie, ob auf allen Servern Microsoft® .NET 4.7.2 Framework und Microsoft® .NET 6 Runtime installiert sind.

Netzwerk

Weisen Sie statische IP-Adressen zu oder nehmen Sie DHCP-Reservierungen an allen Systemkomponenten und Kameras vor. Sie müssen verstehen, wie und wann das System Bandbreite verbraucht, um sicherzustellen, dass im Netzwerk ausreichend Bandbreite zur Verfügung steht. Die Hauptlast in Ihrem Netzwerk besteht aus drei Elementen:

  • Kamera-Videostreams
  • Clients zeigen Video an
  • Archivierung von aufgezeichneten Videos

Der Aufzeichnungsserver ruft Videostreams von den Kameras ab, eine konstante Last im Netzwerk nach sich zieht. Clients, die Video anzeigen, verbrauchen Netzwerkbandbreite. Wenn im Inhalt der Client-Ansichten keine Änderungen auftreten, ist die Last konstant. Änderungen im Ansichtsinhalt, Videosuche oder Wiedergabe lassen die Last dynamisch werden.

Die Archivierung von aufgezeichnetem Video ist eine optionale Funktion, die es dem System ermöglicht Aufzeichnungen in einen Netzwerkspeicher zu verschieben, wenn nicht genug Speicherplatz im internen Speicher des Computers vorhanden ist. Dies ist ein geplanter Auftrag, den Sie definieren müssen. Üblicherweise archivieren Sie in einem Netzlaufwerk, wodurch er zu einer geplanten dynamischen Last im Netzwerk wird.

Ihr Netzwerk muss über Bandbreiten-Spielraum verfügen, um diese Spitzen im Datenverkehr zu bewältigen. Damit werden die Reaktionsfähigkeit des Systems und die allgemeine Benutzererfahrung optimiert.

Active Directory vorbereiten

Wenn Sie Benutzer über den Active Directory-Dienst hinzufügen möchten, muss in Ihrem Netzwerk ein Server vorhanden sein, auf dem Active Directory installiert ist und der als Domänen-Controller fungiert.

Für ein leichteres Benutzer- und Gruppenmanagement empfiehlt Milestone, dass Sie Microsoft Active Directory® bereits installiert und konfiguriert haben, bevor Sie Ihr XProtect-System installieren. Wenn Sie den Management-Server nach der Installation Ihres Systems zum Active Directory hinzufügen, müssen Sie den Management-Server neu installieren und die Benutzer durch die im Active Directory neu definierten Benutzer ersetzen.

Basisbenutzer werden in Milestone Federated Architecture-Systemen nicht unterstützt. Wenn Sie also beabsichtigen, Milestone Federated Architecture zu verwenden, müssen Sie Benutzer als Windows-Benutzer über den Dienst Active Directory hinzufügen. Wenn Sie Active Directory nicht installieren, folgen Sie bei der Installation bitte den in Installation für Arbeitsgruppen angegebenen Schritten.

Installationsmethode

Im Installationsassistenten müssen Sie festlegen, welche Installationsmethode Sie verwenden. Sie müssen Ihre Auswahl auf den Anforderungen Ihrer Organisation basieren, aber wahrscheinlich haben Sie die Methode bereits gewählt, als Sie das System kauften.

Optionen

Beschreibung

Einzelcomputer

Installiert alle Server- und Clientkomponenten sowie SQL Server auf dem aktuellen Computer.

Nach Abschluss der Installation haben Sie die Möglichkeit, das System mithilfe eines Assistenten zu konfigurieren. Wenn Sie der Fortsetzung zustimmen, durchsucht der Aufzeichnungsserver Ihr Netzwerk nach Hardware, und Sie können auswählen, welche Hardwaregeräte Sie zu Ihrem System hinzufügen möchten. Die maximale Anzahl von Hardwaregeräten, die im Konfigurationsassistenten hinzugefügt werden können, hängt von Ihrer Basislizenz ab. Die Kameraansichten sind außerdem in Ansichten vorkonfiguriert, und eine Standard-Anwenderrolle wird erstellt. Nach der Installation öffnet sich XProtect Smart Client, und das System ist einsatzbereit.

Benutzerdefiniert

Der Managementserver wird immer von der Liste der Systemkomponenten ausgewählt und wird stets installiert; Sie können jedoch frei auswählen, was auf dem aktuellen Computer zusätzlich zu den übrigen Server- und Client-Komponenten noch installiert werden soll.

Standardmäßig ist der Aufzeichnungsserver auf der Liste der Komponenten nicht ausgewählt, dies können Sie jedoch ändern. Sie können die nicht ausgewählten Komponenten anschließend auf anderen Computern installieren.

Einzelne Computer-Installation

Beispiel einer Einzelcomputer-Installation.

Normalerweise besteht ein System aus folgenden Systemkomponenten:

  1. Active Directory
  2. Geräte
  3. Server mit SQL Server
  4. Ereignisserver
  5. Log-Server
  6. XProtect Smart Client
  7. Management Client
  8. Managementserver
  9. Aufzeichnungsserver
  10. Failover-Aufzeichnungsserver
  11. XProtect Mobile-Server
  12. XProtect Web Client
  13. XProtect Mobile Client
  14. XProtect Smart Client mit XProtect Smart Wall

Benutzerdefinierte Installation - Beispiel für verteilte Systemkomponenten

Beispiel für eine benutzerdefinierte Installation mit verteilten Systemkomponenten.

Entscheiden Sie sich für eine Version von SQL Server

Microsoft® SQL Server® Express ist eine kostenlose Version von SQL Server, die verglichen mit anderen Versionen von SQL Server leicht zu installieren und für den Gebrauch vorzubereiten ist.

Der Installationsassistent installiert Microsoft SQL Server Express 2022, sofern SQL Server nicht bereits auf dem Computer vorhanden ist. Wenn Sie XProtect VMS als Upgrade installieren, behält der Assistent die vorherige SQL Server Installation bei.

Prüfen Sie https://www.milestonesys.com/systemrequirements/, um zu sehen, ob Ihr System die Anforderungen für die SQL Server-Ausgaben erfüllt.

Für sehr große Systeme, oder für Systeme mit vielen Transaktionen zu und von den SQL Server-Datenbanken, empfiehlt Milestone Ihnen, die Microsoft® SQL Server® Standard oder Microsoft® SQL Server® Enterprise-Ausgabe von SQL Server auf einem eigenen Computer im Netzwerk und auf einem bestimmten Festplattenlaufwerk zu verwenden, das für keine anderen Zwecke verwendet wird. Die Installation von SQL Server auf einem eigenen Laufwerk verbessert die Leistung des gesamten Systems.

Dienstkonto auswählen

Sie werden im Rahmen der Installation aufgefordert, ein Konto anzugeben, um die Milestone-Dienste auf diesem Computer auszuführen. Die Dienste werden immer in diesem Konto ausgeführt, unabhängig davon, welcher Benutzer angemeldet ist. Achten Sie darauf, dass das Konto über alle erforderlichen Benutzerrechte verfügt, z. B. über die richtigen Berechtigungen für die Ausführung von Aufgaben, den richtigen Netzwerk- und Dateizugriff und den Zugriff auf freigegebene Netzwerkordner.

Sie können zwischen einem vorab definierten Konto und einem Benutzerkonto wählen. Treffen Sie Ihre Entscheidung basierend auf der Umgebung, in der Sie Ihr System installieren möchten:

Domänenumgebung

In einer Domänenumgebung:

  • Milestone empfiehlt, dass Sie das eingebaute Netzwerkkonto verwenden

    Es ist einfacher zu verwenden, auch wenn Sie das System auf mehrere Computer erweitern müssen.

  • Sie können auch Domänenbenutzerkonten verwenden, aber sie sind möglicherweise schwerer zu konfigurieren

Arbeitsgruppenumgebung

In einer Arbeitsgruppenumgebung empfiehlt Ihnen Milestone, ein lokales Benutzerkonto zu verwenden, das über alle erforderlichen Berechtigungen verfügt. Hierbei handelt es sich häufig um das Administratorkonto.

Wenn Sie Ihre Systemkomponenten auf mehreren Computern installiert haben, muss das ausgewählte Benutzerkonto auf allen Computern Ihrer Installationen mit identischem Benutzernamen, Kennwort und Zugriffsberechtigungen konfiguriert werden.

Kerberos Authentifizierung (Erklärung)

Kerberos ist ein auf Tickets basierendes Netzwerkauthentifizierungsprotokoll. Es wurde als eine starke Authentifizierung für Client/Server oder Server/Server Anwendungen entwickelt.

Nutzen Sie die Kerberos-Authentifizierung als Alternative zum älteren Microsoft NT LAN-Authentifizierungsprotokoll (NTLM).

Eine Kerberos-Authentifizierung erfordert eine gegenseitige Authentifizierung, bei der der Client den Dienst und der Dienst wiederum den Client authentifiziert. Auf diese Weise können Sie eine sicherere Authentifizierung von XProtect-Clients zu XProtect-Servern sicherstellen, ohne Ihr Passwort preiszugeben.

Sie müssen die Service Principal Names (SPN) im Active Directory registrieren, um eine gegenseitige Authentifizierung in Ihrem XProtect VMS zu ermöglichen. Ein SPN ist ein Pseudonym, das auf eine Entität, wie einen XProtect-Serverdienst eindeutig identifiziert. Jeder Dienst, der gegenseitige Authentifizierung verwendet, muss einen registrierten SPN besitzen, damit Clients den Dienst im Netzwerk identifizieren können. Eine gegenseitige Authentifizierung ist ohne ordnungsgemäße registrierte SPN nicht möglich.

Die nachfolgende Tabelle listet die verschiedenen Milestone-Dienste mit den korrespondierenden Portnummern auf, die für eine Registrierung benötigt werden:

Dienst

Portnummer

Management Server – IIS

80 - Konfigurierbar

Management Server – Intern

8080

Recording Server – Data Collector

7609

Failover Server

8990

Event Server

22331

LPR Server

22334

Die Anzahl der Dienste, die Sie im Active Directory ihrer gegenwärtigen Installation registrieren müssen. Data Collector wird bei der Installation des Management Server, Recording Server, Event Server oder Failover Server Dienstes automatisch installiert.

Sie müssen für den Benutzer, der den Dienst ausführt, zwei SPNs registrieren: einen mit dem Hostnamen und einen mit dem voll qualifizierten Domainnamen.

Wenn Sie den Dienst unter einem Netzwerkdienstkonto ausführen, müssen Sie die zwei SPN für jeden Computer registrieren, die den Dienst ausführen.

Dies ist das Milestone SPN-Benennungsschema:

VideoOS/[DNS Host Name]:[Port]
VideoOS/[Fully qualified domain name]:[Port]

Hier ein Beispiel für SPNs für den Recording Server-Dienst, der auf einem Computer mit den folgenden Spezifikationen ausgeführt wird:

Hostname: Record-Server1
Domain: Surveillance.com

Zu registrierende SPNs:

VideoOS/Record-Server1:7609
VideoOS/Record-Server1.Surveillance.com:7609

Virus scanning exclusions (Erklärung)

Wenn ein Antivirus-Programm wie im Fall anderer Datenbanksoftware auf einem Computer installiert wird, auf dem XProtect-Software ausgeführt wird, ist es wichtig, dass sie spezifische Dateitypen und Ordner und bestimmte Arten von Netzwerkverkehr ausschließen. Wenn Sie diese Ausnahme nicht einrichten, werden Virenscans einen erheblichen Anteil der Systemressourcen beanspruchen. Darüber hinaus kann der Scanprozess vorübergehend Dateien sperren, was zu einer Unterbrechung im Aufzeichnungsprozess oder sogar einer Beschädigung der Datenbanken führen würde.

Wenn Sie den Virenscan ausführen müssen, scannen Sie keine Aufzeichnungsserver-Verzeichnisse, die Aufzeichnungsdatenbanken enthalten (standardmäßig C:\mediadatabase\, sowie alle Unterordner). Vermeiden Sie auch den Virenscan in Archivspeicher-Verzeichnissen.

Erstellen Sie die folgenden zusätzlichen Ausschlüsse:

  • Dateitypen: .blk, .idx, .pic
  • Ordner und Unterordner:
    • C:\Program Files\Milestone oder C:\Program Files (x86)\Milestone
    • C:\ProgramData\Milestone\IDP\Logs
    • C:\ProgramData\Milestone\KeyManagement\Logs
    • C:\ProgramData\Milestone\ MilestoneMIPSDK
    • C:\ProgramData\Milestone\XProtect Data Collector Server\Logs
    • C:\ProgramData\Milestone\XProtect Event Server\Logs
    • C:\ProgramData\Milestone\XProtect Log Server
    • C:\ProgramData\Milestone\XProtect Management Server\Logs
    • C:\ProgramData\Milestone\XProtect Mobile Server\Logs
    • C:\ProgramData\Milestone\XProtect Recording Server\Logs
    • C:\ProgramData\Milestone\XProtect Report Web Server\Logs
    • C:\ProgramData\Milestone\XProtect Recording Server\Secure\TablesDb
  • Netzwerkscans an den folgenden TCP-Ports ausschließen:

    Produkt

    TCP-Ports

    XProtect VMS

    80, 8080, 7563, 25, 21, 9000

    XProtect Mobile

    8081

    oder

  • Netzwerkscans der folgenden Prozesse ausschließen:

    Produkt

    Prozesse

    XProtect VMS

    VideoOS.Recorder.Service.exe, VideoOS.Server.Service.exe, VideoOS. Administration.exe

    XProtect Mobile

    VideoOS.MobileServer.Service.exe

Ihre Organisation hat möglicherweise strenge Richtlinien in Bezug auf Virenscans, es ist jedoch wichtig, dass die oben aufgeführten Ordner und Dateien von Virenscans ausgenommen werden.

Wie ist XProtect VMS so zu konfigurieren, dass es im FIPS 140-2-konformen Modus läuft?

Um XProtect VMS in einem FIPS 140-2-Betriebsmodus auszuführen, müssen Sie:

  • Das Windows-Betriebssystem in einem FIPS 140-2-genehmigten Betriebsmodus ausführen. Siehe die Microsoft-Internetseite zu Informationen dazu, wie FIPS aktiviert wird.
  • Achten Sie darauf, dass eigenständige Dritt-Integrationen auf einem FIPS-fähigen Windows-Betriebssystem laufen können
  • Stellen Sie Verbindungen zu Geräten so her, dass ein FIPS 140-2-konformer Betriebsmodus gewährleistet ist
  • Achten Sie darauf, dass Daten in Mediendatenbanken mithilfe von FIPS 140-2-konformen Chiffren verschlüsselt werden

    Dies erfolgt durch Ausführen des Upgrade-Tools für Mediendatenbanken. Detaillierte Informationen dazu, wie Sie Ihre XProtect VMS so konfigurieren, dass er im FIPS 140-2-konformen Modus läuft, s. den Abschnitt FIPS 140-2-Compliance im Leitfaden zur Sicherheitsoptimierung.

Bevor Sie XProtect auf einem FIPS-fähigen System installieren

Während neue Installation von XProtect VMS auf Computern erfolgen können, die FIPS-fähig sind, können Sie kein Upgrade von XProtect VMS durchführen, wenn FIPS auf dem Windows-Betriebssystem aktiviert ist.

Wenn Sie ein Upgrade vornehmen, deaktivieren Sie vor der Installation die Windows-FIPS-Sicherheitsrichtlinie auf allen Computern, die zum VMS gehören, einschließlich des Computers, auf dem SQL Server gehosted wird.

Das Installationsprogramm für XProtect VMS prüft die FIPS-Sicherheitsrichtlinie und verhindert die Installation, wenn FIPS aktiviert ist.

Wenn Sie allerdings ein Upgrade von XProtect VMS Version 2020 R3 oder später vornehmen, brauchen Sie FIPS nicht zu deaktivieren.

Wenn Sie die Komponenten von XProtect VMS auf allen Computern installiert und das System für FIPS vorbereitet haben, können Sie die FIPS-Sicherheitsrichtlinie auf Windows auf allen Computern in Ihrem VMS aktivieren.

Detaillierte Informationen dazu, wie Sie Ihre XProtect VMS so konfigurieren, dass er im FIPS 140-2-konformen Modus läuft, s. den Abschnitt FIPS 140-2-Compliance im Leitfaden zur Sicherheitsoptimierung.

Softwarelizenzcode registrieren

Vor der Installation müssen Sie über den Namen und den Speicherort der Softwarelizenzdatei verfügen, die Sie von Milestone erhalten haben.

Sie können eine kostenlose Version von XProtect Essential+ installieren. Diese Version bietet eingeschränkte Funktionen von XProtect für eine begrenzte Zahl von Kameras. Zum Installieren von XProtect Essential+ benötigen Sie eine Internetverbindung.

Der Softwarelizenzcode (SLC) ist auf Ihrer Bestellbestätigung gedruckt und die Softwarelizenzdatei ist nach Ihrer SLC benannt.

Milestone empfiehlt, dass Sie Ihren SLC vor der Installation auf unserer Website (https://online.milestonesys.com/) registrieren. Ihr Händler hat dies gegebenenfalls bereits für Sie erledigt.

Gerätetreiber (Erklärung)

Ihr System verwendet Videogerätetreiber, um die mit einem Aufzeichnungsserver verbundenen Kameras zu steuern und mit ihnen zu kommunizieren. Die Gerätetreiber müssen auf jeden Aufzeichnungsserver Ihres System installiert werden.

Ab der Ausgabe 2018 R1 sind die Gerätetreiber in zwei Gerätepacks aufgeteilt: das reguläre Gerätepaket mit neueren Treibern und ein Stamm-Gerätepaket mit älteren Treibern.

Das reguläre Gerätepaket wird automatisch installiert, wenn Sie den Aufzeichnungsserver installieren. Später können Sie Treiber aktualisieren, indem Sie eine neuere Version des Treiberpakets installieren. Milestone veröffentlicht neue Versionen der Gerätetreiber in regelmäßigen Abständen und macht sie auf der Download-Seite (https://www.milestonesys.com/downloads/) auf unserer Website als Treiberpakete verfügbar. Bei der Aktualisierung eines Gerätepakets können Sie die neueste Version über jede zuvor installierte Version installieren.

Das Stammgerätepaket kann nur installiert werden, wenn ein reguläres Gerätepaket im System installiert ist. Die Treiber aus dem Stammgerätepaket werden automatisch installiert, wenn eine vorige Version bereits auf Ihrem System installiert ist. Es steht auf der Software-Download-Seite (https://www.milestonesys.com/downloads/) zum manuellen Herunterladen und Installieren zur Verfügung.

Stoppen Sie den Recording Server-Dienst vor der Installation, andernfalls müssen Sie den Computer neu starten.

Damit eine optimale Leistung garantiert ist, sollten Sie immer die neuesten Gerätetreiber verwenden.

Anforderungen für Offline-Installationen

Wenn Sie das System auf einem Server installieren, der offline ist, benötigen Sie Folgendes:

  • Die Milestone XProtect VMS Products 2024 R2 System Installer.exe-Datei
  • Die Softwarelizenzdatei (SLC) für Ihr XProtect-System
  • Ein Medium zur Installation eines Betriebssystems, einschließlich der erforderlichen .NET-Version (https://www.milestonesys.com/systemrequirements/)