Microsoft® BHOLD Suite는 Microsoft Identity Manager 2016 SP2(MIM)와 함께 사용할 때 MIM에 효과적인 역할 관리 및 증명을 추가하는 애플리케이션의 컬렉션입니다. Microsoft BHOLD Suite SP1은 다음 모듈로 구성됩니다.
- BHOLD Core
- 액세스 관리 커넥터
- BHOLD 리포팅
- BHOLD Attestation
비고
적용 대상: Microsoft Identity Manager 2016 SP2 이상 BHOLD 모델 생성기, BHOLD 분석 및 BHOLD FIM 통합 모듈은 BHOLD에서 제거됩니다. 이러한 모듈은 2021년 10월 12일에 지원 종료되는 Microsoft Silverlight에 종속되므로 BHOLD에서 제거됩니다.
새 배포에는 BHOLD를 사용하지 않는 것이 좋습니다. 이제 Microsoft Entra ID는 BHOLD 증명 캠페인 기능을 대체하는 액세스 검토와 액세스 할당 기능을 대체하는 권한 관리를 제공합니다.
이 문서에서 다루는 내용
이 문서에서는 비즈니스 요구 사항에 맞게 BHOLD 배포를 계획하고 각 BHOLD 모듈을 설치하는 방법을 설명합니다. 각 모듈에 대해 관련 하드웨어, 인프라 및 소프트웨어 요구 사항, 사전 설치 네트워크 구성, 설치 중에 필요한 정보 및 설치 후 단계(있는 경우)가 자세히 설명되어 있습니다.
사전 필요 지식
이 문서에서는 서버 컴퓨터에 소프트웨어를 설치하는 방법에 대한 기본적인 이해가 있다고 가정합니다. 또한 Active Directory® Domain Services, Forefront 또는 FIM(Microsoft Identity Manager) 및 Microsoft SQL Server 2012 데이터베이스 소프트웨어에 대한 기본 지식이 있다고 가정합니다. AD DS 및 FIM과 같은 종속 기술을 설정하고 구성하는 방법에 대한 설명은 이 설명서에서 다루지 않습니다. Microsoft BHOLD 모듈이 수행하는 함수에 대한 자세한 내용은 Microsoft BHOLD 제품군 개념 가이드 참조하세요.
청중
이 문서는 Microsoft BHOLD Suite를 배포하려는 IT 플래너, 시스템 설계자, 기술 의사 결정자, 컨설턴트, 인프라 플래너 및 IT 담당자를 위한 것입니다.
BHOLD 인프라 고려 사항
대부분의 경우 BHOLD 및 FIM은 대규모 인프라 환경에서 사용됩니다. 특정 비즈니스 요구 사항에 맞게 BHOLD 및 FIM 아키텍처를 조정할 수 있습니다. 다음 섹션에서는 몇 가지 가능한 아키텍처 솔루션을 제공합니다. 이 개요는 가능한 모든 옵션의 포괄적인 목록은 아니지만 네트워크에서 BHOLD를 배포할 수 있는 방법을 제안합니다.
이 섹션에서는 다음 항목을 다룹니다.
- 단일 서버 아키텍처
- 이중 서버 아키텍처
- 2계층 아키텍처
- SQL Server 권장 사항
단일 서버 아키텍처
소규모 조직에서 배포하거나 개발을 위해 다음 그림과 같이 SQL Server 및 AD DS와 동일한 서버에 BHOLD 및 FIM을 설치할 수 있습니다.
BHOLD Suite SP1과 FIM 포털이 단일 서버에 함께 설치된 경우 BHOLD 및 FIM용 DNS에 다른 호스트 별칭(CNAME 또는 A 레코드)을 만들어야 합니다. 이렇게 하면 BHOLD 및 FIM 서비스에 대해 별도의 SPN(서비스 사용자 이름)을 만들 수 있습니다. 자세한 내용은 BHOLD Core 설치참조하세요. 단일 서버 구성에서 FIM을 설치하는 방법에 대한 지침은 Microsoft TechNet 라이브러리의 시작 가이드 일반 구성을 참조하세요.
이중 서버 아키텍처
별도의 서버에 BHOLD Core 및 FIM을 설치하면 다중 계층 아키텍처에서 제공하는 것과 같이 더 복잡한 배포가 필요하지 않은 중간 규모의 조직에 더 큰 성능과 유연성을 제공합니다. 다음 그림은 자체 서버에 설치된 BHOLD 및 FIM을 보여줍니다. 또한 FIM 서버는 BHOLD 및 FIM에 데이터베이스 서비스를 제공하기 위해 SQL Server를 실행합니다. FIM 서버에서 실행되는 FIM 동기화 서비스는 FIM과 BHOLD 데이터베이스 간의 변경 내용을 동기화합니다.
2계층 아키텍처
대부분의 환경, 특히 성능이 중요한 환경에서는 별도의 서버(2계층 아키텍처)에서 BHOLD Suite SP1, FIM 및 SQL Server를 실행해야 합니다. 2계층 아키텍처를 사용하면 메모리 및 CPU 리소스가 각 계층에 전용으로 제공됩니다. 다음 그림에서는 2계층 아키텍처를 구성할 수 있는 한 가지 방법을 보여 줍니다. FIM 서버에서 실행되는 FIM 동기화 서비스는 FIM과 BHOLD 데이터베이스 간의 변경 내용을 동기화합니다.
SQL Server 권장 사항
대규모 조직에서 BHOLD를 배포하는 경우 Microsoft SQL Server 데이터베이스를 설정하기 위해 다음 지침을 따르는 것이 좋습니다.
- FIM 또는 BHOLD 서비스와는 별도로 서버에 SQL Server를 배포합니다.
- 실제 디스크 수준에서 데이터 파일에서 로그 파일을 격리합니다.
- RAID를 사용하여 스토리지 중복성을 제공하는 경우 RAID 수준 10(1+0)을 사용합니다. RAID 수준 5를 사용하지 마세요.
- SQL Server를 실행하는 서버에 2GB 이상의 실제 메모리를 사용하는 경우 올바른 설정을 구성해야 합니다.
SQL Server 모범 사례에 대한 자세한 내용은 Microsoft TechNet 라이브러리의 Storage 상위 10가지 모범 사례 참조하세요.
신뢰할 수 있는 인증서 목록 업데이트
서비스를 시작하기 전에 인증서 체인의 유효성을 검사하도록 Windows를 구성할 수 있습니다. 이러한 시스템에서 서비스의 실행 코드가 서버의 TCL(신뢰할 수 있는 인증서 목록)에 없는 인증서로 서명된 경우 서비스를 시작할 수 없습니다. Microsoft BHOLD Suite SP1 소프트웨어는 Microsoft Root Certificate Authority 2010 인증서로 시작하는 코드 서명 인증서 체인을 사용하여 서명된 코드입니다. 인터넷 연결을 통해 Microsoft에서 루트 인증서를 검색하도록 Windows를 구성할 수 있습니다. 그러나 연결이 끊긴 시스템에서 Windows Server에는 Windows가 릴리스되기 전 한 번에 루트 프로그램에 있던 인증서만 포함됩니다. Windows Server 2010 이전의 Windows Server 릴리스에서는 이러한 인증서에 BHOLD Suite SP1 코드 서명 인증서 체인의 유효성을 검사하는 데 필요한 루트 인증서가 포함되지 않습니다. up-to-date TCL이 없는 시스템에 하나 이상의 Microsoft BHOLD Suite SP1 모듈을 설치하려는 경우 BHOLD Suite SP1 모듈을 설치하기 전에 루트 업데이트 패키지를 다운로드하여 설치하거나 그룹 정책을 사용하여 루트 업데이트 패키지를 설치해야 합니다. 자세한 내용은 Windows 루트 인증서 프로그램 회원 을 참조하세요.
Windows Server 2012/2016 필수 단계에 BHOLD Suite SP1 설치
Windows Server 2012 또는 2016에 BHOLD Suite SP1을 설치하는 경우 C:\Windows\System32\inetsrv\config있는 applicationHost.config 파일을 수정할 때까지 BHOLD 웹 페이지를 사용할 수 없습니다.
<globalModules> 섹션에서 preCondition="bitness64 시작하는 항목에 <add name="SPNativeRequestModule" 추가하여 다음과 같이 읽습니다.
<add name="SPNativeRequestModule" image="C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\15\isapi\spnativerequestmodule.dll" preCondition="bitness64"/>
파일을 편집하고 저장한 후 iisreset 명령을 실행하여 IIS 서버를 다시 설정합니다.
BHOLD 제품군 업그레이드
기존 BHOLD Suite 설치를 업그레이드할 수 없습니다. 대신 BHOLD 모듈을 업데이트하려면 먼저 기존 BHOLD Suite 설치를 제거해야 합니다. 기존 BHOLD 역할 모델이 있는 경우 BHOLD 데이터베이스를 업그레이드하고 업데이트된 BHOLD Core 모듈을 설치할 때 사용할 수 있습니다. 자세한 내용은 BHOLD Suite를 BHOLD Suite SP1으로 바꾸는 방법에 대해을 참조하세요.