Guía de instalación de Microsoft BHOLD Suite

Microsoft® BHOLD Suite es una colección de aplicaciones que, cuando se usa con Microsoft Identity Manager 2016 SP2 (MIM), agrega una administración de roles eficaz y atestación a MIM. Microsoft BHOLD Suite SP1 consta de los siguientes módulos:

• BHOLD Core
• Conector de administración de acceso
• Informes de BHOLD
• Atestación de BHOLD

No se recomienda BHOLD para nuevas implementaciones. Microsoft Entra ID ahora proporciona revisiones de acceso, que reemplazan las características de campaña de atestación de BHOLD y la administración de derechos, que reemplaza las características de asignación de acceso.

Lo que trata este documento

En este documento se explica cómo planear la implementación de BHOLD para satisfacer sus necesidades empresariales e instalar cada módulo de BHOLD. Para cada módulo, los requisitos de hardware, infraestructura y software pertinentes, la configuración de red de preinstalación, la información necesaria durante la instalación y los pasos posteriores a la instalación, si los hay, se detallan.

Conocimientos previos

En este documento se da por supuesto que tiene conocimientos básicos sobre cómo instalar software en equipos servidor. También supone que tiene conocimientos básicos de Active Directory® Domain Services, Forefront o Microsoft Identity Manager (FIM) y software de base de datos de Microsoft SQL Server 2012. Una descripción de cómo configurar y configurar tecnologías dependientes como AD DS y FIM está fuera del ámbito de esta documentación. Para obtener información sobre las funciones que realizan los módulos de Microsoft BHOLD, consulte la guía de conceptos del conjunto de aplicaciones de Microsoft BHOLD.

Audiencia

Este documento está destinado a planificadores de TI, arquitectos de sistemas, responsables de la toma de decisiones tecnológicas, consultores, planificadores de infraestructura y personal de TI que planean implementar Microsoft BHOLD Suite.

Consideraciones sobre la infraestructura de BHOLD

La mayoría de las veces, BHOLD y FIM se usan en un entorno de infraestructura grande. Puede adaptar su arquitectura de BHOLD y FIM para satisfacer sus necesidades empresariales concretas. En las secciones siguientes se proporcionan algunas posibles soluciones arquitectónicas. Esta información general no es una lista completa de todas las opciones posibles, pero sugiere maneras de implementar BHOLD en la red.

En esta sección se describen los temas siguientes:

• Arquitectura de servidor único
• Arquitectura de servidor dual
• Arquitectura de dos niveles
• Recomendaciones de SQL Server

Arquitectura de servidor único

Para la implementación en pequeñas organizaciones o con fines de desarrollo, puede instalar BHOLD y FIM en el mismo servidor que SQL Server y AD DS, como se muestra en la ilustración siguiente.

Cuando BHOLD Suite SP1 y el portal de FIM se instalan juntos en un solo servidor, debe crear distintos alias de host (registros CNAME o A) en DNS para BHOLD y para FIM. Esto permite crear SPNs independientes para los servicios BHOLD y FIM. Para obtener más información, consulte Instalación de BHOLD Core. Para obtener instrucciones sobre cómo instalar FIM en una configuración de servidor único, consulte Common Configuration for Getting Started Guides in the Microsoft TechNet Library.

Arquitectura de servidor dual

La instalación de BHOLD Core y FIM en servidores independientes proporciona un mayor rendimiento y flexibilidad para las organizaciones de tamaño medio que no requieren una implementación más compleja, como la proporcionada por arquitecturas de varios niveles. En la ilustración siguiente se muestran BHOLD y FIM instalados en sus propios servidores; El servidor FIM también ejecuta SQL Server para proporcionar servicios de base de datos a BHOLD y FIM. El servicio de sincronización de FIM que se ejecuta en el servidor FIM sincroniza los cambios entre las bases de datos FIM y BHOLD.

Arquitectura de dos niveles

En la mayoría de los entornos, especialmente aquellos en los que el rendimiento es importante, debe ejecutar BHOLD Suite SP1, FIM y SQL Server en servidores independientes (arquitectura de dos niveles). Con una arquitectura de dos niveles, los recursos de memoria y CPU se dedican a cada nivel. En la ilustración siguiente se muestra una posible manera de configurar una arquitectura de dos niveles. El servicio de sincronización de FIM que se ejecuta en el servidor FIM sincroniza los cambios entre las bases de datos FIM y BHOLD.

Recomendaciones de SQL Server

Si va a implementar BHOLD en una organización grande, se recomienda encarecidamente seguir estas directrices para configurar la base de datos de Microsoft SQL Server:

• Implemente SQL Server en un servidor independiente de cualquier servicio FIM o BHOLD.
• Aísle el archivo de registro del archivo de datos en el nivel de disco físico.
• Si usa RAID para proporcionar redundancia de almacenamiento, use el nivel RAID 10 (1+0). No use el nivel RAID 5.
• Asegúrese de configurar las opciones correctas al usar más de 2 GB de memoria física para el servidor que ejecuta SQL Server.

Para obtener más información sobre las mejores prácticas de SQL Server, consulte Las 10 mejores prácticas de almacenamiento en la librería de Microsoft TechNet.

Actualización de la lista de certificados de confianza

Windows se puede configurar para validar las cadenas de certificados antes de iniciar un servicio. En estos sistemas, un servicio no puede iniciarse si el código ejecutable del servicio se firmó con un certificado que no está en la lista de certificados de confianza (TCL) del servidor. El software Microsoft BHOLD Suite SP1 está firmado con una cadena de certificados de firma de código que se origina en el certificado de la entidad de certificación raíz de Microsoft de 2010. Windows se puede configurar para recuperar certificados raíz de Microsoft a través de una conexión a Internet. Sin embargo, en un sistema desconectado, Windows Server incluye solo los certificados que estaban presentes en el programa raíz a la vez antes de que Windows se publicara. En versiones de Windows Server anteriores a Windows Server 2010, estos certificados no incluirán el certificado raíz necesario para validar la cadena de certificados de firma de código de BHOLD Suite SP1. Si tiene previsto instalar uno o varios módulos de Microsoft BHOLD Suite SP1 en un sistema que podría no tener un TCL de up-to-date, debe descargar e instalar el paquete de actualización raíz o usar la directiva de grupo para instalar el paquete de actualización raíz, antes de instalar un módulo BHOLD Suite SP1. Para obtener más información, consulte Miembros del programa de certificados raíz de Windows.

Paso necesario para instalar BHOLD Suite SP1 en Windows Server 2012/2016

Si instala BHOLD Suite SP1 en Windows Server 2012 o 2016, las páginas web de BHOLD no estarán disponibles hasta que modifique el archivo applicationHost.config ubicado en C:\Windows\System32\inetsrv\config. En la sección <globalModules>, agregue preCondition="bitness64 a la entrada que comienza <add name="SPNativeRequestModule" para que se lea así:

<add name="SPNativeRequestModule" image="C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\15\isapi\spnativerequestmodule.dll" preCondition="bitness64"/>

Después de editar y guardar el archivo, ejecute el comando iisreset para restablecer el servidor IIS.

Actualización de BHOLD Suite

No se puede actualizar una instalación existente de BHOLD Suite. En su lugar, debe desinstalar una instalación existente de BHOLD Suite para poder actualizar los módulos de BHOLD. Si tiene un modelo de rol de BHOLD existente, puede actualizar la base de datos de BHOLD y usarla al instalar el módulo BHOLD Core actualizado. Para obtener más información, consulte Reemplazo de BHOLD Suite con BHOLD Suite SP1.

Pasos siguientes

• Referencia para desarrolladores de BHOLD
• Historial de versiones de BHOLD