Guia de instalação da Microsoft BHOLD Suite

Microsoft® BHOLD Suite é uma coleção de aplicações que, quando utilizadas com Microsoft Identity Manager SP2 de 2016 (MIM), adiciona uma gestão e noestação eficazes a MIM. O Microsoft BHOLD Suite SP1 é composto pelos seguintes módulos:

  • Núcleo BHOLD
  • Conector de Gestão de Acessos
  • Relatório bhold
  • Atestado BHOLD

Nota

Aplica-se a: Microsoft Identity Manager SP2 de 2016 ou posteriormente. Os módulos BHOLD Model Generator, BHOLD Analytics e BHOLD FIM Integration serão removidos da BHOLD, uma vez que estes módulos têm uma dependência da Microsoft Silverlight, que chegará ao final do suporte no dia 12 de outubro de 2021.

BHOLD não é recomendado para novas implementações. O Azure AD agora fornece revisões de acesso, que substitui as funcionalidades da campanha de atestação BHOLD, e a gestão de direitos, que substitui as funcionalidades de atribuição de acesso.

O que este documento cobre

Este documento explica como planear a sua implementação BHOLD para atender às necessidades do seu negócio e instalar cada módulo BHOLD. Para cada módulo, os requisitos relevantes de hardware, infraestrutura e software, configuração da rede de pré-instalação, informações necessárias durante a configuração e etapas de pós-instalação, se houver, são detalhadas.

Conhecimentos pré-necessários

Este documento pressupõe que tem uma compreensão básica de como instalar software em computadores de servidor. Assume ainda que tem conhecimentos básicos de Ative Directory® Domain Services, Microsoft Identity Manager (FIM) e Microsoft SQL Server software de base de dados de 2012. Uma descrição de como configurar e configurar tecnologias dependentes, como a AD DS e a FIM, está fora do âmbito desta documentação. Para obter informações sobre as funções que os módulos Microsoft BHOLD desempenham, consulte o guia de conceitos da suite Microsoft BHOLD.

Audiência

Este documento destina-se a planeadores de TI, arquitetos de sistemas, decisores tecnológicos, consultores, planeadores de infraestruturas e pessoal de TI que planeiam implantar a Microsoft BHOLD Suite.

Considerações de infraestrutura da BHOLD

Na maioria das vezes, o BHOLD e o FIM são utilizados num grande ambiente de infraestruturas. Pode adaptar a sua arquitetura BHOLD e FIM para atender às suas necessidades de negócio particulares. As seguintes secções fornecem algumas soluções arquitetónicas possíveis. Esta visão geral não é uma lista completa de todas as opções possíveis, mas sugere formas de implementar o BHOLD na sua rede.

Esta secção abrange os seguintes tópicos:

  • Arquitetura de servidor único
  • Arquitetura de servidor duplo
  • Arquitetura de dois níveis
  • Recomendações do SQL Server

Arquitetura de servidor único

Para implantação em pequenas organizações ou para fins de desenvolvimento, pode instalar o BHOLD e o FIM no mesmo servidor que SQL Server e DS AD, como mostra o seguinte número.

Arquitetura de servidor único

Quando o BHOLD Suite SP1 e o Portal FIM estiverem instalados juntos num único servidor, deve criar diferentes pseudónimos de anfitrião (CNAME ou registos A) em DNS para BHOLD e para FIM. Isto permite criar nomes principais de serviço separados (SPNs) para os serviços BHOLD e FIM. Para mais informações, consulte a Instalação do Núcleo BHOLD. Para obter orientações sobre a instalação do FIM numa configuração de um único servidor, consulte a Configuração Comum para Obter Guias Iniciados na Biblioteca Microsoft TechNet.

Arquitetura de servidor duplo

A instalação do BHOLD Core e do FIM em servidores separados proporciona um maior desempenho e flexibilidade para organizações de tamanho médio que não requerem uma implementação mais complexa, como a fornecida por arquiteturas multi-mais. A seguinte figura mostra BHOLD e FIM instalados nos seus próprios servidores; o servidor FIM também está a executar SQL Server para fornecer serviços de base de dados ao BHOLD e FIM. O Serviço de Sincronização FIM em execução no servidor FIM sincroniza as alterações entre as bases de dados FIM e BHOLD.

Arquitetura de dois níveis

Na maioria dos ambientes, especialmente aqueles onde o desempenho é importante, você deve executar o BHOLD Suite SP1, FIM e SQL Server em servidores separados (arquitetura de dois níveis). Com uma arquitetura de dois níveis, a memória e os recursos da CPU são dedicados a cada nível. A ilustração que se segue mostra uma maneira possível de configurar uma arquitetura de dois níveis. O Serviço de Sincronização FIM em execução no servidor FIM sincroniza as alterações entre as bases de dados FIM e BHOLD.

arquitetura de dois níveis

Recomendações do SQL Server

Se estiver a implementar o BHOLD numa grande organização, é altamente recomendável que siga estas diretrizes para a criação da base de dados Microsoft SQL Server:

  • Implementar SQL Server num servidor separado de quaisquer serviços FIM ou BHOLD.
  • Isolar o ficheiro de registo do ficheiro de dados ao nível do disco físico.
  • Se estiver a utilizar o RAID para fornecer redundância de armazenamento, utilize o raid nível 10 (1+0). Não utilize o nível RAID 5.
  • Certifique-se de que configura as definições corretas quando utilizar mais de 2 GB de memória física para o servidor em execução SQL Server.

Para obter mais informações sobre SQL Server melhores práticas, consulte Armazenamento Top 10 de Boas Práticas na Microsoft TechNet Library.

Atualização da lista de certificados fidedignos

Windows pode ser configurado para validar cadeias de certificados antes de iniciar um serviço. Nestes sistemas, um serviço não pode iniciar-se se o código executável do serviço tiver sido assinado com um certificado que não está na lista de certificados fidedignos (TCL) do servidor. O software Microsoft BHOLD Suite SP1 é assinado através de uma cadeia de certificados de assinatura de código que se origina com o certificado Microsoft Root Certificate Authority 2010. Windows podem ser configurados para obter certificados de raiz da Microsoft através de uma ligação à Internet. No entanto, num sistema desligado, Windows Server inclui apenas os certificados que estavam presentes no programa raiz numa altura antes de Windows ter sido lançado. Em lançamentos de Windows Servidor antes de Windows Server 2010, estes certificados não incluirão o certificado raiz necessário para validar a cadeia de certificados de assinatura de código BHOLD Suite SP1. Se pretender instalar um ou mais módulos Microsoft BHOLD Suite SP1 num sistema que possa não ter um TCL atualizado, tem de descarregar e instalar o pacote de atualização de raiz, ou utilizar a Política de Grupo para instalar o pacote de atualização de raiz, antes de instalar um módulo BHOLD Suite SP1. Para obter mais informações, consulte Windows membros do programa de certificados de raiz.

Instalação da Suíte BHOLD SP1 no Windows Server 2012/2016 Passo Obrigatório

IIS instalar BHOLD

Se instalar o BHOLD Suite SP1 em Windows Server 2012 ou 2016, as páginas web BHOLD não estarão disponíveis até modificar o ficheiro applicationHost.config localizado em C:\Windows\System32\inetsrv\config . Na <globalModules> secção, adicione preCondition="bitness64 à entrada que começa de modo a que se leia da seguinte <add name="SPNativeRequestModule" forma:

<add name="SPNativeRequestModule" image="C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\15\isapi\spnativerequestmodule.dll" preCondition="bitness64"/>

Depois de editar e guardar o ficheiro, executar o comando iisreset para reiniciar o servidor IIS.

Upgrade BHOLD Suite

Não é possível atualizar uma instalação BHOLD Suite existente. Em vez disso, tem de desinstalar uma instalação BHOLD Suite existente antes de poder atualizar os módulos BHOLD. Se tiver um modelo BHOLD existente, pode atualizar a base de dados BHOLD e usá-la quando instalar o módulo BHOLD Core atualizado. Para mais informações, consulte a Substituição da Suite BHOLD pela BHOLD Suite SP1.

Passos seguintes