Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft® BHOLD Suite ist eine Sammlung von Anwendungen, die bei Verwendung mit Microsoft Identity Manager 2016 SP2 (MIM) effektive Rollenverwaltung und Bescheinigung zu MIM hinzufügen. Microsoft BHOLD Suite SP1 besteht aus den folgenden Modulen:
- BHOLD Core
- Access Management Connector
- BHOLD Reporting
- BHOLD-Nachweis
Hinweis
Gilt für: Microsoft Identity Manager 2016 SP2 oder höher. Die Module BHOLD Model Generator, BHOLD Analytics und BHOLD FIM Integration werden aus BHOLD entfernt, da diese Module eine Abhängigkeit von Microsoft Silverlight haben, die das Ende des Supports am 12. Oktober 2021 erreichen wird.
BHOLD wird für neue Bereitstellungen nicht empfohlen. Microsoft Entra ID bietet jetzt Zugriffsüberprüfungen, die die Features der BHOLD-Bestätigungskampagne und die Berechtigungsverwaltung ersetzen, wodurch die Zugriffszuweisungsfunktionen ersetzt werden.
Inhalt dieses Dokuments
In diesem Dokument wird erläutert, wie Sie Ihre BHOLD-Bereitstellung planen, um Ihre Geschäftlichen Anforderungen zu erfüllen und jedes BHOLD-Modul zu installieren. Für jedes Modul sind relevante Hardware-, Infrastruktur- und Softwareanforderungen, Konfiguration des Preinstallationsnetzwerks, informationen, die während des Setups erforderlich sind, und die Schritte nach der Installation, falls vorhanden, detailliert beschrieben.
Vorausgesetztes Wissen
In diesem Dokument wird davon ausgegangen, dass Sie grundlegende Kenntnisse darüber haben, wie Sie Software auf Servercomputern installieren. Außerdem wird davon ausgegangen, dass Sie grundlegende Kenntnisse über Active Directory Domain® Services, Forefront oder Microsoft Identity Manager (FIM) und Microsoft SQL Server 2012-Datenbanksoftware haben. Eine Beschreibung, wie abhängige Technologien wie AD DS und FIM eingerichtet und konfiguriert werden, liegt außerhalb dieses Dokumentationsbereichs. Informationen zu den Funktionen, die die Microsoft BHOLD-Module ausführen, finden Sie im Leitfaden zu Microsoft BHOLD-Suite-Konzepten.
Publikum
Dieses Dokument richtet sich an IT-Planer, Systemarchitekten, Technologieentscheidungsträger, Berater, Infrastrukturplaner und IT-Mitarbeiter, die microsoft BHOLD Suite bereitstellen möchten.
Überlegungen zur BHOLD-Infrastruktur
Meistens werden BHOLD und FIM in einer großen Infrastrukturumgebung verwendet. Sie können Ihre BHOLD- und FIM-Architektur an Ihre speziellen Geschäftsanforderungen anpassen. In den folgenden Abschnitten finden Sie einige mögliche Architekturlösungen. Diese Übersicht ist keine umfassende Liste aller möglichen Optionen, schlägt jedoch möglichkeiten zur Bereitstellung von BHOLD in Ihrem Netzwerk vor.
In diesem Abschnitt werden die folgenden Themen behandelt:
- Architektur mit einem einzelnen Server
- Dualserverarchitektur
- Zweistufige Architektur
- SQL Server Empfehlungen
Architektur mit einem einzelnen Server
Für die Bereitstellung in kleinen Organisationen oder für Entwicklungszwecke können Sie BHOLD und FIM auf demselben Server wie SQL Server und AD DS installieren, wie in der folgenden Abbildung dargestellt.
Wenn BHOLD Suite SP1 und das FIM-Portal auf einem einzelnen Server installiert sind, müssen Sie unterschiedliche Hostaliasen (CNAME oder A-Einträge) in DNS für BHOLD und für FIM erstellen. Dadurch können separate Dienstprinzipalnamen (SPNs) für die BHOLD- und FIM-Dienste erstellt werden. Weitere Informationen können Sie im Abschnitt BHOLD Core Installation finden. Anleitungen zum Installieren von FIM in einer Konfiguration mit einem einzelnen Server finden Sie in den Leitfäden für die ersten Schritte in der Microsoft TechNet-Bibliothek.
Dualserverarchitektur
Die Installation von BHOLD Core und FIM auf separaten Servern bietet mehr Leistung und Flexibilität für mittelgroße Organisationen, die keine komplexeren Bereitstellungen benötigen, wie sie von mehrstufigen Architekturen bereitgestellt werden. Die folgende Abbildung zeigt BHOLD und FIM, die auf ihren eigenen Servern installiert sind; Der FIM-Server führt auch SQL Server aus, um Datenbankdienste für BHOLD und FIM bereitzustellen. Der auf dem FIM-Server ausgeführte FIM-Synchronisierungsdienst synchronisiert Änderungen zwischen den FIM- und BHOLD-Datenbanken.
Zweistufige Architektur
In den meisten Umgebungen, insbesondere in umgebungen, in denen die Leistung wichtig ist, sollten Sie die BHOLD Suite SP1, FIM und SQL Server auf separaten Servern (zweistufige Architektur) ausführen. Bei einer zweistufigen Architektur sind Arbeitsspeicher- und CPU-Ressourcen für jede Ebene reserviert. Die folgende Abbildung zeigt eine mögliche Möglichkeit zum Konfigurieren einer zweistufigen Architektur. Der auf dem FIM-Server ausgeführte FIM-Synchronisierungsdienst synchronisiert Änderungen zwischen den FIM- und BHOLD-Datenbanken.
SQL Server Empfehlungen
Wenn Sie BHOLD in einer großen Organisation bereitstellen, wird dringend empfohlen, die folgenden Richtlinien zum Einrichten der Microsoft SQL Server-Datenbank zu befolgen:
- Stellen Sie SQL Server auf einem server getrennt von allen FIM- oder BHOLD-Diensten bereit.
- Isolieren Sie die Protokolldatei von der Datendatei auf physischer Datenträgerebene.
- Wenn Sie RAID verwenden, um Speicherredundanz bereitzustellen, verwenden Sie RAID-Ebene 10 (1+0). Verwenden Sie keine RAID-Ebene 5.
- Stellen Sie sicher, dass Sie die richtigen Einstellungen konfigurieren, wenn Sie mehr als 2 GB physischen Arbeitsspeicher für den Server verwenden, auf dem SQL Server ausgeführt wird.
Weitere Informationen zu den SQL Server Best Practices finden Sie unter Top 10 bewährte Vorgehensweisen für Speicher in der Microsoft TechNet-Bibliothek.
Aktualisierung der Liste der vertrauenswürdigen Zertifikate
Windows kann so konfiguriert werden, dass Zertifikatketten vor dem Starten eines Diensts überprüft werden. Auf solchen Systemen kann ein Dienst nicht gestartet werden, wenn der ausführbare Code des Diensts mit einem Zertifikat signiert wurde, das sich nicht in der Liste der vertrauenswürdigen Zertifikate (TCL) des Servers befindet. Die Microsoft BHOLD Suite SP1-Software ist mittels einer Codesignaturzertifikatkette signiert, die von dem Microsoft Root Certificate Authority 2010-Zertifikat abgeleitet ist. Windows kann so konfiguriert werden, dass Stammzertifikate von Microsoft über eine Internetverbindung abgerufen werden. Auf einem getrennten System enthält Windows Server jedoch nur die Zertifikate, die gleichzeitig vor der Veröffentlichung von Windows im Stammprogramm vorhanden waren. In Versionen von Windows Server vor Windows Server 2010 enthalten diese Zertifikate nicht das Stammzertifikat, das für die Überprüfung der BHOLD Suite SP1-Codesignaturzertifikatkette erforderlich ist. Wenn Sie beabsichtigen, ein oder mehrere Microsoft BHOLD Suite SP1-Module auf einem System zu installieren, das möglicherweise nicht über eine up-to-date TCL verfügt, müssen Sie das Stammupdatepaket herunterladen und installieren oder gruppenrichtlinien verwenden, um das Stammupdatepaket zu installieren, bevor Sie ein BHOLD Suite SP1-Modul installieren. Weitere Informationen finden Sie unter Mitgliedern des Windows-Stammzertifikatprogramms.
Installieren von BHOLD Suite SP1 unter Windows Server 2012/2016 Erforderlicher Schritt
Wenn Sie BHOLD Suite SP1 auf Windows Server 2012 oder 2016 installieren, sind die BHOLD-Webseiten erst verfügbar, wenn Sie die Datei applicationHost.config ändern, die sich in C:\Windows\System32\inetsrv\config befindet. Im <globalModules> Abschnitt fügen Sie preCondition="bitness64 zu dem Eintrag hinzu, der mit <add name="SPNativeRequestModule" beginnt, damit er wie folgt aussieht:
<add name="SPNativeRequestModule" image="C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\15\isapi\spnativerequestmodule.dll" preCondition="bitness64"/>
Führen Sie nach dem Bearbeiten und Speichern der Datei den Iisreset-Befehl aus, um den IIS-Server zurückzusetzen.
Upgrade von BHOLD Suite
Sie können keine vorhandene BHOLD Suite-Installation aktualisieren. Stattdessen müssen Sie eine vorhandene BHOLD Suite-Installation deinstallieren, bevor Sie BHOLD-Module aktualisieren können. Wenn Sie über ein vorhandenes BHOLD-Rollenmodell verfügen, können Sie die BHOLD-Datenbank aktualisieren und verwenden, wenn Sie das aktualisierte BHOLD Core-Modul installieren. Weitere Informationen finden Sie unter Ersetzen von BHOLD Suite durch BHOLD Suite SP1.