Microsoft BHOLD Suite 安裝指南

Microsoft® BHOLD Suite 是一種應用程式集合,與 Microsoft Identity Manager 2016 SP2 (MIM) 搭配使用時,會將有效的角色管理和證明新增至 MIM。 Microsoft BHOLD Suite SP1 包含下列模組:

  • BHOLD 核心
  • 存取管理連接器
  • BHOLD 報告
  • BHOLD 證明

注意

適用于: Microsoft Identity Manager 2016 SP2 或更新版本。 BHOLD 模型產生器、BHOLD 分析和 BHOLD FIM 整合模組將從 BHOLD 中移除,因為這些模組相依于 Microsoft Silverlight,將于2021年10月12日 結束支援

針對新的部署,不建議使用 BHOLD。 Azure AD 現在提供存取權檢閱 (取代 BHOLD 證明活動功能),以及權利管理 (取代存取權指派功能)。

本文件內容涵蓋

本文件說明如何依據您的業務需求規劃 BHOLD 部署,並安裝每個 BHOLD 模組。 其中也會針對每個模組、相關硬體、基礎結構與軟體需求,詳細說明預先安裝的網路設定、安裝期間所需的資訊及安裝後步驟 (如果有的話)。

必要知識

本文件假設您具備如何在伺服器電腦上安裝軟體的基本知識, 它也假設您已具備 Active Directory®網域服務、Forefront 或 Microsoft Identity Manager (FIM) 和 Microsoft SQL Server 2012 資料庫軟體的基本知識。 AD DS 和 FIM 等相依技術的設定方法描述不在本文的說明範圍內。 如需 Microsoft BHOLD 模組執行的函式資訊,請參閱 Microsoft BHOLD Suite Concepts Guide (Microsoft BHOLD Suite 概念指南)。

適用對象

本文件適用於計劃要部署 Microsoft BHOLD Suite 的 IT 規劃人員、系統架構設計人員、技術決策者、顧問、基礎結構規劃人員和 IT 工作人員。

BHOLD 基礎結構考量

通常,FIM 與 BHOLD 主要用於大型基礎結構環境中。 您可以調整 BHOLD 和 FIM 架構,以符合特定商務需求。 下列各節提供一些可能的架構解決方案。 本概觀旨在提供您可以在網路中部署 BHOLD 的方法建議,而非所有可能選項的完整清單。

本節包含下列主題:

  • 單一伺服器架構
  • 雙重伺服器架構
  • 雙層式架構
  • SQL Server 建議

單一伺服器架構

針對小型組織的部署,或基於開發用途,您可以將 BHOLD 和 FIM 安裝在 SQL Server 和 AD DS 所在的相同伺服器上,如下圖所示。

單一伺服器架構

在單一伺服器上同時安裝 BHOLD Suite SP1 和 FIM 入口網站時,您必須在 DNS 中為 FIM 和 BHOLD 建立不同的主機別名 (CNAME 或 A 記錄)。 這可讓您針對 BHOLD 和 FIM 服務建立個別的服務主要名稱 (SPN)。 如需詳細資訊,請參閱 BHOLD Core Installation (安裝 BHOLD 核心)。 如需在單一伺服器設定中安裝 FIM 的指引,請參閱 Microsoft TechNet Library 中的 Common Configuration for Getting Started Guides (使用者入門指南的一般設定)。

雙重伺服器架構

如果您在個別伺服器上安裝 BHOLD 核心和 FIM,即可如多層架構一般,提供中型組織所需的更高效能和彈性,而不需要更複雜的部署。 下圖顯示安裝在個別伺服器上的 BHOLD 和 FIM;FIM 伺服器同時也執行 SQL Server,以提供資料庫服務給 BHOLD 和 FIM。 FIM 伺服器會執行 FIM 同步處理服務,以同步處理 FIM 與 BHOLD 資料庫之間的變更。

雙層式架構

在大多數環境 (尤其是效能非常重要的環境) 中,您應該在不同的伺服器上執行 BHOLD Suite SP1、FIM 和 SQL Server (雙層式架構)。 使用雙層式架構時,每一層都有專用的記憶體和 CPU 資源。 下圖顯示設定雙層式架構的其中一種可能方法。 FIM 伺服器會執行 FIM 同步處理服務,以同步處理 FIM 與 BHOLD 資料庫之間的變更。

雙層式架構

SQL Server 建議

如果您要在大型組織中部署 BHOLD,強烈建議您遵循下列指導方針來設定 Microsoft SQL Server 資料庫:

  • 將 SQL Server 部署在不同於任何 FIM 或 BHOLD 服務的伺服器上。
  • 將來自資料檔案的記錄檔隔離在實體磁碟層級。
  • 如果您使用 RAID 來提供儲存體備援,請使用 RAID 層級 10 (1 + 0)。 請勿使用 RAID 層級 5。
  • 針對執行 SQL Server 的伺服器使用 2 GB 以上的實體記憶體時,請務必設定正確的設定。

如需 SQL Server 最佳做法的詳細資訊,請參閱 Microsoft TechNet Library 中的 Storage Top 10 Best Practices (儲存空間前 10 大最佳做法)。

信任的憑證清單更新

您可將 Windows 設定為在啟動服務之前驗證憑證鏈結。 在這類系統中,如果服務的可執行程式碼之簽署憑證不在伺服器的受信任憑證清單 (TCL) 中,即無法啟動服務。 Microsoft BHOLD Suite SP1 軟體是透過程式碼簽署憑證鏈結來簽署程式碼,該鏈結源自 Microsoft 根憑證授權單位 2010 的憑證。 您可將 Windows 設定為透過網際網路連接,從 Microsoft 擷取根憑證。 不過,如果是已中斷連線的系統,Windows Server 就只會包含在 Windows 發行之前根計劃中即已具備的憑證。 若為 Windows Server 2010 之前的 Windows Server 版本,這些憑證將不含驗證 BHOLD Suite SP1 程式碼簽署憑證鏈結所需的根憑證。 如果系統的 TCL 可能不是最新的,但您想要在該系統上安裝一或多個 Microsoft BHOLD Suite SP1 模組,則必須下載並安裝根更新套件,或使用群組原則安裝根更新套件,然後安裝 BHOLD Suite SP1 模組。 如需詳細資訊,請參閱 Windows 根憑證程式成員

在 Windows Server 2012/2016 上安裝 BHOLD Suite SP1 所需的步驟

IIS 安裝 BHOLD

如果您在 Windows Server 2012 或 2016 上安裝 BHOLD Suite SP1,則必須先修改位於 C:\Windows\System32\inetsrv\config 中的 applicationHost.config 檔案,才能使用 BHOLD 網頁。 在 <globalModules> 區段中,將 preCondition="bitness64 新增至 <add name="SPNativeRequestModule" 開頭的項目,使其內容如下:

<add name="SPNativeRequestModule" image="C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\15\isapi\spnativerequestmodule.dll" preCondition="bitness64"/>

編輯和儲存檔案之後,執行 iisreset 命令以重設 IIS 伺服器。

升級 BHOLD Suite

您無法升級現有的 BHOLD Suite 安裝。 相反地,您必須先解除安裝現有的 BHOLD Suite 安裝,才能更新 BHOLD 模組。 如果您具備現有的 BHOLD 角色模型,則可以升級 BHOLD 資料庫,並在安裝更新的 BHOLD 核心模組時,使用這個資料庫。 如需詳細資訊,請參閱 Replacing BHOLD Suite with BHOLD Suite SP1 (將 BHOLD Suite 取代為 BHOLD Suite SP1)。

下一步