Przewodnik instalacji pakietu Microsoft BHOLD Suite

Pakiet Microsoft® BHOLD Suite to zbiór aplikacji, które w przypadku korzystania z programu Microsoft Identity Manager 2016 SP2 (MIM) dodają efektywne zarządzanie rolami i MIM. Pakiet Microsoft BHOLD Suite SP1 składa się z następujących modułów:

  • BHOLD Core
  • Łącznik zarządzania dostępem
  • Raportowanie BHOLD
  • Zaświadczenia BHOLD

Uwaga

Dotyczy: Microsoft Identity Manager 2016 SP2 lub nowszy. Moduły BHOLD Model Generator, BHOLD Analytics i BHOLD FIM Integration zostaną usunięte z pakietu BHOLD, ponieważ te moduły są zależne od programu Microsoft Silverlight, który zakończy się 12 października 2021 r.

Pakietu BHOLD nie zaleca się w przypadku nowych wdrożeń. Usługa Azure AD udostępnia teraz przeglądydostępu, które zastępują funkcje kampanii zaświadczeń BHOLD i zarządzanie uprawnieniami, które zastępują funkcje przypisywania dostępu.

Co obejmuje ten dokument

W tym dokumencie wyjaśniono, jak zaplanować wdrożenie pakietu BHOLD w celu spełnienia potrzeb biznesowych i zainstalować każdy moduł pakietu BHOLD. W przypadku każdego modułu o szczegółowe informacje dotyczące odpowiedniego sprzętu, infrastruktury i oprogramowania, konfiguracji sieci preinstalacji, informacji wymaganych podczas instalacji oraz kroków poinstalacyjnych, jeśli istnieją.

Wiedza na temat wymagań wstępnych

W tym dokumencie założono, że masz podstawową wiedzę na temat sposobu instalowania oprogramowania na komputerach serwera. Przyjęto również założenie, że masz podstawową wiedzę na temat usług Active Directory® Domain Services, Forefront lub Microsoft Identity Manager (FIM) oraz oprogramowania bazy danych Microsoft SQL Server 2012. Opis sposobu konfigurowania zależnych technologii, takich jak AD DS i FIM, znajduje się poza zakresem tej dokumentacji. Informacje o funkcjach, które moduły pakietu Microsoft BHOLD wykonują, można znaleźć w przewodniku po pojęciach dotyczących pakietu Microsoft BHOLD.

Grupy odbiorców

Ten dokument jest przeznaczony dla planisty IT, architektów systemów, osób decyzyjnych technologii, konsultantów, planistek infrastruktury i pracowników działu IT, którzy planują wdrożenie pakietu Microsoft BHOLD Suite.

Zagadnienia dotyczące infrastruktury BHOLD

Najczęściej BHOLD i FIM są używane w dużym środowisku infrastruktury. Możesz dostosować architekturę BHOLD i FIM do konkretnych potrzeb biznesowych. Poniższe sekcje zawierają niektóre możliwe rozwiązania architektoniczne. To omówienie nie jest pełną listą wszystkich możliwych opcji, ale sugeruje sposoby wdrażania funkcji BHOLD w sieci.

W tej sekcji omówiono następujące tematy:

  • Architektura pojedynczego serwera
  • Architektura podwójnego serwera
  • Architektura dwuwarstwowa
  • Zalecenia dotyczące programu SQL Server

Architektura pojedynczego serwera

W przypadku wdrażania w małych organizacjach lub w celach deweloperskich można zainstalować pakiet BHOLD i program FIM na tym samym serwerze co program SQL Server i AD DS, jak pokazano na poniższej ilustracji.

Architektura pojedynczego serwera

Gdy pakiet BHOLD Suite SP1 i portal programu FIM są zainstalowane razem na jednym serwerze, należy utworzyć różne aliasy hostów (rekordy CNAME lub A) w systemie DNS dla pakietu BHOLD i dla programu FIM. Umożliwia to tworzenie oddzielnych nazw głównych usług (SPN) dla usług BHOLD i FIM. Aby uzyskać więcej informacji, zobacz Instalacja pakietu BHOLD Core. Aby uzyskać wskazówki dotyczące instalowania programu FIM w konfiguracji na jednym serwerze, zobacz Common Configuration for Wprowadzenie Guides (Wspólna konfiguracja przewodników usługi Wprowadzenie) w bibliotece Microsoft TechNet.

Architektura podwójnego serwera

Instalowanie pakietu BHOLD Core i programu FIM na oddzielnych serwerach zapewnia większą wydajność i elastyczność dla średnich organizacji, które nie wymagają bardziej złożonego wdrożenia, takiego jak zapewniane przez architektury wielowarstwowe. Na poniższej ilustracji przedstawiono BHOLD i FIM zainstalowanych na ich własnych serwerach; Serwer PROGRAMU FIM jest również uruchomiony w SQL Server w celu świadczenia usług baz danych p chmurze BHOLD i FIM. Usługa FIM Synchronization Service uruchomiona na serwerze programu FIM synchronizuje zmiany między bazami danych programu FIM i BHOLD.

Architektura dwuwarstwowa

W większości środowisk, szczególnie tych, w których wydajność jest ważna, należy uruchomić pakiet BHOLD Suite SP1, program FIM i SQL Server na oddzielnych serwerach (architektura dwuwarstwowa). W przypadku architektury dwuwarstwowej zasoby pamięci i procesora CPU są dedykowane dla każdej warstwy. Na poniższej ilustracji przedstawiono jeden z możliwych sposobów konfigurowania architektury dwuwarstwowej. Usługa FIM Synchronization Service uruchomiona na serwerze programu FIM synchronizuje zmiany między bazami danych programu FIM i BHOLD.

architektura dwuwarstwowa

Zalecenia dotyczące programu SQL Server

W przypadku wdrażania rozwiązania BHOLD w dużej organizacji zdecydowanie zaleca się stosowanie się do tych wytycznych dotyczących konfigurowania Microsoft SQL Server danych:

  • Wdrażanie SQL Server na serwerze innym niż usługi FIM lub BHOLD.
  • Odizoluj plik dziennika od pliku danych na poziomie dysku fizycznego.
  • Jeśli do zapewnienia nadmiarowości magazynu używasz macierzy RAID, użyj macierzy RAID poziomu 10 (1+0). Nie należy używać raid poziom 5.
  • Pamiętaj, aby skonfigurować poprawne ustawienia w przypadku używania więcej niż 2 GB pamięci fizycznej dla serwera z systemem SQL Server.

Aby uzyskać więcej informacji SQL Server najlepszych rozwiązań, zobacz Storage Top 10 Best Practices in the Microsoft TechNet Library (10 najlepszych rozwiązań w bibliotece Microsoft TechNet).

Aktualizacja listy zaufanych certyfikatów

Windows można skonfigurować do weryfikowania łańcuchów certyfikatów przed uruchomieniem usługi. W takich systemach nie można uruchomić usługi, jeśli kod wykonywalny usługi został podpisany przy użyciu certyfikatu, który nie znajduje się na liście zaufanych certyfikatów (TCL) serwera. Oprogramowanie Microsoft BHOLD Suite SP1 jest kodem podpisanym przy użyciu łańcucha certyfikatów podpisywania kodu, który pochodzi z certyfikatu głównego urzędu certyfikacji firmy Microsoft 2010. Windows można skonfigurować do pobierania certyfikatów głównych od firmy Microsoft za pośrednictwem połączenia internetowego. Jednak w systemie bez połączenia program Windows Server obejmuje tylko te certyfikaty, które były obecne w programie głównym w czasie przed Windows wersji. W wersjach programu Windows Server wcześniejszych niż Windows Server 2010 te certyfikaty nie będą zawierać certyfikatu głównego potrzebnego do sprawdzania poprawności łańcucha certyfikatów podpisywania kodu pakietu BHOLD Suite SP1. Jeśli zamierzasz zainstalować co najmniej jeden moduł pakietu Microsoft BHOLD Suite SP1 w systemie, który może nie mieć aktualnej listy TCL, przed zainstalowaniem modułu pakietu BHOLD Suite SP1 musisz pobrać i zainstalować pakiet aktualizacji głównej lub użyć programu zasady grupy do zainstalowania pakietu aktualizacji głównej. Aby uzyskać więcej informacji, zobacz Windows programu certyfikatów głównych.

Instalowanie pakietu BHOLD Suite SP1 w Windows Server 2012/2016 wymaganego kroku

Instalowanie pakietu BHOLD usług IIS

W przypadku zainstalowania pakietu BHOLD Suite SP1 w wersji Windows Server 2012 lub 2016 strony sieci Web pakietu BHOLD nie będą dostępne do momentu zmodyfikowania applicationHost.config w programie C:\Windows\System32\inetsrv\config . W sekcji dodaj do wpisu , który rozpoczyna się, tak aby <globalModules> preCondition="bitness64 <add name="SPNativeRequestModule" odczytywał w następujący sposób:

<add name="SPNativeRequestModule" image="C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\15\isapi\spnativerequestmodule.dll" preCondition="bitness64"/>

Po edytowaniu i zapisaniu pliku uruchom polecenie iisreset, aby zresetować serwer usług IIS.

Uaktualnianie pakietu BHOLD

Nie można uaktualnić istniejącej instalacji pakietu BHOLD Suite. Zamiast tego przed aktualizacją modułów pakietu BHOLD należy odinstalować istniejącą instalację pakietu BHOLD. Jeśli masz istniejący model roli pakietu BHOLD, możesz uaktualnić bazę danych pakietu BHOLD i używać jej podczas instalowania zaktualizowanego modułu BHOLD Core. Aby uzyskać więcej informacji, zobacz Zastępowanie pakietu BHOLD Suite pakietem BHOLD Suite SP1.

Następne kroki