Przewodnik instalacji pakietu Microsoft BHOLD Suite

Pakiet Microsoft® BHOLD Suite to kolekcja aplikacji, które w przypadku użycia z programem Microsoft Identity Manager 2016 SP2 (MIM) dodaje skuteczne zarządzanie rolami i zaświadczania do programu MIM. Pakiet Microsoft BHOLD Suite SP1 składa się z następujących modułów:

• BHOLD Core
• Łącznik zarządzania dostępem
• Raportowanie BHOLD
• Zaświadczenie BHOLD

Usługa BHOLD nie jest zalecana w przypadku nowych wdrożeń. Identyfikator Entra firmy Microsoft udostępnia teraz przeglądy dostępu, które zastępują funkcje kampanii zaświadczania BHOLD i zarządzanie upoważnieniami, które zastępują funkcje przypisywania dostępu.

Co ten dokument obejmuje

W tym dokumencie wyjaśniono, jak zaplanować wdrożenie usługi BHOLD w celu spełnienia potrzeb biznesowych i zainstalować każdy moduł BHOLD. Dla każdego modułu, odpowiednie wymagania dotyczące sprzętu, infrastruktury i oprogramowania, konfiguracja sieci preinstalacji, informacje wymagane podczas instalacji i kroki po instalacji, jeśli istnieją, są szczegółowe.

Znajomość wymagań wstępnych

W tym dokumencie założono, że masz podstawową wiedzę na temat instalowania oprogramowania na komputerach serwerowych. Przyjęto również założenie, że masz podstawową wiedzę na temat usług Active Directory® Domain Services, Forefront lub Microsoft Identity Manager (FIM) i oprogramowania bazy danych programu Microsoft SQL Server 2012. Opis sposobu instalacji i konfiguracji technologii zależnych, takich jak usługi AD DS i FIM, znajduje się poza zakresem tej dokumentacji. Aby uzyskać informacje o funkcjach, które realizują moduły Microsoft BHOLD, zobacz przewodnik po pojęciach pakietu Microsoft BHOLD.

Publiczność

Ten dokument jest przeznaczony dla planistów IT, architektów systemów, decydentów technologicznych, konsultantów, planistów infrastruktury i personelu IT, którzy planują wdrożyć pakiet Microsoft BHOLD Suite.

Zagadnienia dotyczące infrastruktury BHOLD

Najczęściej system BHOLD i FIM są używane w dużym środowisku infrastruktury. Architekturę BHOLD i FIM można dostosować do konkretnych potrzeb biznesowych. W poniższych sekcjach przedstawiono niektóre możliwe rozwiązania architektoniczne. To omówienie nie jest kompleksową listą wszystkich możliwych opcji, ale sugeruje sposoby wdrażania pakietu BHOLD w sieci.

W tej sekcji omówiono następujące tematy:

• Architektura pojedynczego serwera
• Architektura z dwoma serwerami
• Architektura dwuwarstwowa
• Zalecenia dotyczące programu SQL Server

Architektura pojedynczego serwera

W przypadku wdrażania w małych organizacjach lub w celach programistycznych można zainstalować pakiet BHOLD i program FIM na tym samym serwerze co program SQL Server i usługi AD DS, jak pokazano na poniższej ilustracji.

Gdy pakiet BHOLD Suite SP1 i portal FIM są instalowane razem na jednym serwerze, należy utworzyć różne aliasy hostów (CNAME lub A) w systemie DNS dla usługi BHOLD i dla programu FIM. Umożliwia to utworzenie oddzielnych nazw głównych usług (SPN) dla usług BHOLD i FIM. Aby uzyskać więcej informacji, zobacz Instalacja BHOLD Core. Aby uzyskać wskazówki dotyczące instalowania programu FIM w konfiguracji pojedynczego serwera, zobacz Common Configuration for Getting Started Guides w bibliotece Microsoft TechNet Library.

Architektura z dwoma serwerami

Instalowanie oprogramowania BHOLD Core i FIM na oddzielnych serwerach zapewnia większą wydajność i elastyczność dla organizacji o średnim rozmiarze, które nie wymagają bardziej złożonego wdrożenia, takiego jak zapewniana przez architektury wielowarstwowe. Na poniższej ilustracji przedstawiono oprogramowanie BHOLD i FIM zainstalowane na własnych serwerach; na serwerze FIM działa również program SQL Server, aby zapewnić usługi bazy danych dla BHOLD i FIM. Usługa synchronizacji programu FIM uruchomiona na serwerze FIM synchronizuje zmiany między bazami danych programu FIM i BHOLD.

Architektura dwuwarstwowa

W większości środowisk, zwłaszcza tych, w których wydajność jest ważna, należy uruchomić pakiet BHOLD Suite SP1, FIM i SQL Server na oddzielnych serwerach (architektura dwuwarstwowa). W przypadku architektury dwuwarstwowej zasoby pamięci i procesora CPU są dedykowane dla każdej warstwy. Poniższa ilustracja przedstawia jeden z możliwych sposobów konfigurowania architektury dwuwarstwowej. Usługa synchronizacji programu FIM uruchomiona na serwerze FIM synchronizuje zmiany między bazami danych programu FIM i BHOLD.

Zalecenia dotyczące programu SQL Server

Jeśli wdrażasz usługę BHOLD w dużej organizacji, zdecydowanie zaleca się przestrzeganie tych wytycznych dotyczących konfigurowania bazy danych programu Microsoft SQL Server:

• Wdróż program SQL Server na serwerze niezależnie od usług FIM lub BHOLD.
• Izoluj plik dziennika z pliku danych na poziomie dysku fizycznego.
• Jeśli używasz macierzy RAID do zapewnienia nadmiarowości pamięci, użyj poziomu RAID 10 (1+0). Nie należy używać poziomu RAID 5.
• Pamiętaj, aby skonfigurować prawidłowe ustawienia w przypadku używania więcej niż 2 GB pamięci fizycznej dla serwera z uruchomionym programem SQL Server.

Aby uzyskać więcej informacji na temat zalecanych praktyk dla programu SQL Server, zobacz Storage Top 10 Best Practices w bibliotece Microsoft TechNet.

Aktualizacja listy zaufanych certyfikatów

System Windows można skonfigurować do weryfikowania łańcuchów certyfikatów przed uruchomieniem usługi. W takich systemach usługa nie może uruchomić się, jeśli kod wykonywalny usługi został podpisany przy użyciu certyfikatu, który nie znajduje się na liście zaufanych certyfikatów (TCL) serwera. Oprogramowanie Microsoft BHOLD Suite SP1 zawiera podpisany kod przy użyciu łańcucha certyfikacji, który wywodzi się z certyfikatu Microsoft Root Certificate Authority 2010. System Windows można skonfigurować do pobierania certyfikatów głównych z firmy Microsoft za pośrednictwem połączenia internetowego. Jednak w systemie odłączonym system Windows Server zawiera tylko te certyfikaty, które były obecne w programie głównym w czasie przed wydaniem systemu Windows. W wersjach systemu Windows Server wcześniejszych niż Windows Server 2010 te certyfikaty nie będą zawierać certyfikatu głównego wymaganego do weryfikacji łańcucha certyfikatów podpisywania kodu pakietu BHOLD Suite SP1. Jeśli zamierzasz zainstalować jeden lub więcej modułów pakietu Microsoft BHOLD Suite SP1 na systemie, który może nie mieć aktualnego TCL, musisz pobrać i zainstalować pakiet aktualizacji głównej lub użyć zasad grupy do zainstalowania pakietu aktualizacji głównej, przed instalacją modułu BHOLD Suite SP1. Aby uzyskać więcej informacji, zobacz program członków certyfikatów głównych systemu Windows .

Instalowanie pakietu BHOLD Suite SP1 w wymaganym kroku systemu Windows Server 2012/2016

BHOLD

Jeśli zainstalujesz pakiet BHOLD z dodatkiem SP1 w systemie Windows Server 2012 lub 2016, strony internetowe BHOLD nie będą dostępne, dopóki nie zmodyfikujesz pliku applicationHost.config znajdującego się w C:\Windows\System32\inetsrv\config. W sekcji <globalModules> dodaj preCondition="bitness64 do wpisu, który rozpoczyna się <add name="SPNativeRequestModule", aby wyglądał następująco.

<add name="SPNativeRequestModule" image="C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\15\isapi\spnativerequestmodule.dll" preCondition="bitness64"/>

Po edycji i zapisaniu pliku uruchom polecenie iisreset, aby zresetować serwer usług IIS.

Uaktualnianie pakietu BHOLD

Nie można uaktualnić istniejącej instalacji pakietu BHOLD. Zamiast tego należy odinstalować istniejącą instalację pakietu BHOLD, zanim będzie można zaktualizować moduły BHOLD. Jeśli masz istniejący model roli BHOLD, możesz uaktualnić bazę danych BHOLD i użyć jej podczas instalowania zaktualizowanego modułu BHOLD Core. Aby uzyskać więcej informacji, zobacz Zastąpienie pakietu BHOLD Suite pakietem BHOLD Suite z dodatkiem SP1.

Następne kroki

• przewodnik dewelopera BHOLD
• historia wersji BHOLD