® Microsoft BHOLD 套件是应用程序集合,与 Microsoft Identity Manager 2016 SP2(MIM)一起使用时,可为 MIM 添加有效的角色管理和证明。 Microsoft BHOLD Suite SP1 包含以下模块:
- BHOLD 核心
- 访问管理连接器
- BHOLD 报告
- BHOLD 认证
注释
适用于:Microsoft Identity Manager 2016 SP2 或更高版本。 BHOLD 模型生成器、BHOLD 分析和 BHOLD FIM 集成模块将从 BHOLD 中删除,因为这些模块依赖于 Microsoft Silverlight,这将在 2021 年 10 月 12 日 终止支持。
不建议对新部署使用 BHOLD。 Microsoft Entra ID 现在提供 访问评审,它取代了 BHOLD 证明活动功能和权利管理,后者取代了访问分配功能。
本文档介绍的内容
本文档介绍如何规划 BHOLD 部署以满足业务需求并安装每个 BHOLD 模块。 每个模块的详细信息包括相关的硬件、基础设施和软件要求、预安装网络配置、设置过程中所需的信息,以及安装后的步骤(如果有)。
前置知识
本文档假定你已基本了解如何在服务器计算机上安装软件。 它还假设你对 Active Directory® 域服务、Forefront 或 Microsoft Identity Manager(FIM)有基本的了解,并Microsoft SQL Server 2012 数据库软件。 有关如何设置和配置依赖技术(如 AD DS 和 FIM)的说明已脱离本文档的范围。 有关Microsoft BHOLD 模块执行的函数的信息,请参阅 Microsoft BHOLD 套件概念指南。
观众
本文档面向计划部署 Microsoft BHOLD 套件的 IT 规划者、系统架构师、技术决策者、顾问、基础结构规划师和 IT 人员。
BHOLD 基础结构注意事项
通常,BHOLD 和 FIM 用于大型基础结构环境。 可以根据特定的业务需求定制 BHOLD 和 FIM 体系结构。 以下部分提供了一些可能的体系结构解决方案。 此概述不是所有可能选项的完整列表,而是建议在网络中部署 BHOLD 的方法。
本部分介绍以下主题:
- 单服务器体系结构
- 双服务器体系结构
- 双层体系结构
- SQL Server 建议
单服务器体系结构
若要在小型组织中部署或出于开发目的,可以在 SQL Server 和 AD DS 所在的服务器上安装 BHOLD 和 FIM,如下图所示。
在单个服务器上安装 BHOLD Suite SP1 和 FIM 门户时,必须在 DNS 中为 BHOLD 和 FIM 创建不同的主机别名(CNAME 或 A 记录)。 这允许为 BHOLD 和 FIM 服务创建单独的服务主体名称(SPN)。 有关详细信息,请参阅 BHOLD 核心安装。 有关在单服务器配置中安装 FIM 的指导,请参阅 Microsoft TechNet 库中的 “入门指南通用配置 ”。
双服务器体系结构
在单独的服务器上安装 BHOLD Core 和 FIM 可为不需要更复杂的部署(例如多层体系结构提供)的中型组织提供更高的性能和灵活性。 下图显示了在其自己的服务器上安装的 BHOLD 和 FIM;FIM 服务器还运行 SQL Server,以便向 BHOLD 和 FIM 提供数据库服务。 FIM 服务器上运行的 FIM 同步服务同步 FIM 和 BHOLD 数据库之间的更改。
双层体系结构
在大多数环境中,尤其是性能非常重要的环境,应在单独的服务器上运行 BHOLD Suite SP1、FIM 和 SQL Server(两层体系结构)。 借助两层体系结构,内存和 CPU 资源专用于每个层。 下图显示了配置两层体系结构的一种可能方法。 FIM 服务器上运行的 FIM 同步服务同步 FIM 和 BHOLD 数据库之间的更改。
SQL Server 建议
如果要在大型组织中部署 BHOLD,强烈建议遵循以下准则来设置 Microsoft SQL Server 数据库:
- 在独立于任何 FIM 或 BHOLD 服务的服务器上部署 SQL Server。
- 将日志文件与物理磁盘级别的数据文件隔离开来。
- 如果使用 RAID 提供存储冗余,请使用 RAID 级别 10 (1+0)。 请勿使用 RAID 级别 5。
- 在服务器运行 SQL Server 并使用超过 2 GB 的物理内存时,请确保正确配置设置。
有关 SQL Server 最佳做法的详细信息,请参阅 Microsoft TechNet 库中 的存储前 10 个最佳做法 。
受信任的证书列表更新
Windows 可配置为在启动服务之前验证证书链。 在此类系统上,如果服务的可执行代码是使用不在服务器受信任证书列表(TCL)中的证书签名的,服务将无法启动。 Microsoft BHOLD Suite SP1 软件是使用源自 Microsoft 根证书颁发机构 2010 证书的代码签名证书链进行的代码签名。 Windows 可配置为通过 Internet 连接从Microsoft检索根证书。 但是,在断开连接的系统上,Windows Server 仅包括那些在 Windows 发布前一次存在于根程序中的证书。 在 Windows Server 2010 之前的 Windows Server 版本中,这些证书不包括验证 BHOLD Suite SP1 代码签名证书链所需的根证书。 如果要在可能没有 up-to日期 TCL 的系统上安装一个或多个Microsoft BHOLD Suite SP1 模块,则必须下载并安装根更新包,或使用组策略安装根更新包,然后安装 BHOLD Suite SP1 模块。 有关详细信息,请参阅 Windows 根证书程序成员。
在 Windows Server 2012/2016 上安装 BHOLD Suite SP1 所需的步骤
如果在 Windows Server 2012 或 2016 上安装 BHOLD Suite SP1,则在修改位于 C:\Windows\System32\inetsrv\configapplicationHost.config 文件之前,BHOLD 网页将不可用。 在<globalModules>部分中,将preCondition="bitness64添加到以<add name="SPNativeRequestModule"开头的条目,使其内容如下所示:
<add name="SPNativeRequestModule" image="C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\15\isapi\spnativerequestmodule.dll" preCondition="bitness64"/>
编辑并保存文件后,运行 iisreset 命令重置 IIS 服务器。
升级 BHOLD 套件
无法升级现有的 BHOLD 套件安装。 相反,必须先卸载现有的 BHOLD 套件安装,然后才能更新 BHOLD 模块。 如果你有现有的 BHOLD 角色模型,则可以升级 BHOLD 数据库,并在安装更新的 BHOLD Core 模块时使用它。 有关详细信息,请参阅 将 BHOLD 套件替换为 BHOLD Suite SP1。