Guía de instalación de Microsoft BHOLD Suite
Microsoft® BHOLD Suite es una colección de aplicaciones que, cuando se usan con Microsoft Identity Manager 2016 SP2 (MIM), agrega una administración de roles eficaz y atestación a MIM. Microsoft BHOLD Suite SP1 consta de los siguientes módulos:
- BHOLD Core
- Conector de administración de acceso
- BHOLD Reporting
- BHOLD Attestation
Nota
Se aplica a: Microsoft Identity Manager 2016 SP2 o posterior. Los módulos BHOLD Model Generator, BHOLD Analytics y BHOLD FIM Integration se quitarán de BHOLD, ya que estos módulos tienen una dependencia de Microsoft Silverlight, que llegará al final del soporte técnico el 12 de octubre de 2021.
BHOLD no se recomienda para las nuevas implementaciones. Microsoft Entra identificador ahora proporciona revisiones de acceso, que reemplazan las características de la campaña de atestación de BHOLD y la administración de derechos, que reemplaza las características de asignación de acceso.
Aspectos tratados en este documento
En este documento se explica cómo planear la implementación de BHOLD para satisfacer sus necesidades de negocio y cómo instalar cada módulo de BHOLD. Para cada módulo se detallan datos relacionados con los requisitos de hardware, software e infraestructura relevantes, la configuración de red previa a la instalación, la información que necesita durante la instalación y los pasos posteriores a la instalación, si los hay.
Requisitos previos de conocimientos
En este documento se da por hecho que tiene un conocimiento básico de cómo instalar software en equipos de servidor. También se supone que tiene conocimientos básicos de Active Directory® Servicios de dominio, Forefront o Microsoft Identity Manager (FIM) y software de base de datos de Microsoft SQL Server 2012. En este documento no se describe cómo instalar y configurar tecnologías dependientes, como AD DS y FIM. Para más información sobre las funciones que realizan los módulos de Microsoft BHOLD, vea Microsoft BHOLD Suite Concepts Guide (Guía de conceptos de Microsoft BHOLD Suite).
Público
Este documento está dirigido a planeadores de TI, arquitectos de sistemas, responsables de tecnología, consultores, planeadores de infraestructura y personal de TI que planea implementar Microsoft BHOLD Suite.
Consideraciones sobre la infraestructura de BHOLD
A menudo, BHOLD y FIM se usan en un entorno de infraestructura de gran tamaño. Puede personalizar la arquitectura de BHOLD y FIM para adaptarla a sus necesidades de negocio concretas. En las secciones siguientes se proporcionan algunas posibles soluciones de arquitectura. En esta introducción no se ofrece una lista completa de todas las opciones posibles, sino que se sugieren modos de implementación de BHOLD en la red.
En esta sección se describen los temas siguientes:
- Arquitectura de un solo servidor
- Arquitectura de dos servidores
- Arquitectura de dos niveles
- Recomendaciones de SQL Server
Arquitectura de un solo servidor
Para la implementación en organizaciones pequeñas o para fines de desarrollo, puede instalar BHOLD y FIM en el mismo servidor que SQL Server y AD DS, como se muestra abajo.
Cuando BHOLD Suite SP1 se instala junto con el portal de FIM en un solo servidor, debe crear distintos alias de host (registros A o CNAME) en DNS para BHOLD y para FIM. Esto permite crear distintos nombres de entidad de seguridad de servicio (SPN) para los servicios de BHOLD y de FIM. Para más información, vea Instalación de BHOLD Core. Si necesita instrucciones para instalar FIM en una configuración de servidor único, vea Common Configuration for Getting Started Guides (Configuración común para guías de introducción) en la Biblioteca de TechNet de Microsoft.
Arquitectura de dos servidores
Al instalar BHOLD Core y FIM en servidores independientes, consigue un mayor rendimiento y flexibilidad para las organizaciones de tamaño medio que no requieren una implementación más compleja, como la proporcionada por las arquitecturas de varios niveles. En la siguiente ilustración se muestra BHOLD y FIM instalados en sus propios servidores; el servidor de FIM también ejecuta SQL Server para proporcionar servicios de base de datos a BHOLD y FIM. El servicio de sincronización de FIM que se ejecuta en el servidor de FIM sincroniza los cambios entre las bases de datos de FIM y de BHOLD.
Arquitectura de dos niveles
En la mayoría de los entornos, sobre todo en aquellos en los que el rendimiento es importante, debe ejecutar BHOLD Suite SP1, FIM y SQL Server en servidores independientes (arquitectura de dos niveles). Con una arquitectura de dos niveles, se dispone de recursos de CPU y de memoria dedicados para cada nivel. En la ilustración siguiente se muestra una posible manera de configurar una arquitectura de dos niveles. El servicio de sincronización de FIM que se ejecuta en el servidor de FIM sincroniza los cambios entre las bases de datos de FIM y de BHOLD.
Recomendaciones de SQL Server
Si va a implementar BHOLD en una organización grande, le recomendamos seguir estas instrucciones para configurar la base de datos de Microsoft SQL Server:
- Implementar SQL Server en un servidor independiente de cualquier servicio de FIM o de BHOLD.
- Aislar el archivo de registro del archivo de datos en el nivel de disco físico.
- Si usa RAID para proporcionar redundancia de almacenamiento, use el nivel RAID 10 (1 + 0). No use el nivel RAID 5.
- Asegúrese de establecer la configuración correcta cuando use más de 2 GB de memoria física para el servidor que ejecuta SQL Server.
Para más información sobre los procedimientos recomendados de SQL Server, vea Storage Top 10 Best Practices (Diez mejores procedimientos recomendados de almacenamiento) en la Biblioteca de TechNet de Microsoft.
Actualización de lista de certificados de confianza
Se puede configurar Windows para que valide cadenas de certificados antes de iniciar un servicio. En sistemas con esta configuración, no se puede iniciar un servicio si el código ejecutable del servicio se firmó con un certificado que no se encuentra en la lista de certificados de confianza (TCL) del servidor. El código del software de Microsoft BHOLD Suite SP1 se firma mediante una cadena de certificados de firma de código que se origina con el certificado de la entidad de certificación raíz de Microsoft 2010. Se puede configurar Windows para que recupere certificados raíz de Microsoft a través de una conexión a Internet. Pero en un sistema desconectado, Windows Server incluye solo aquellos certificados que estaban presentes en el programa con anterioridad al lanzamiento de Windows. En las versiones de Windows Server anteriores a Windows Server 2010, estos certificados no incluirán el certificado raíz necesario para validar la cadena de certificados de firma de código de BHOLD Suite SP1. Si piensa instalar uno o más módulos de Microsoft BHOLD Suite SP1 en un sistema que podría no tener un TCL actualizado, antes de instalar un módulo de BHOLD Suite SP1 debe descargar e instalar la actualización raíz o usar la directiva de grupo para instalar la actualización raíz. Para obtener más información, vea Windows root certificate program members(Miembros del programa de certificados raíz de Windows).
Paso necesario de la instalación de BHOLD Suite SP1 en Windows Server 2012/2016
Si instala BHOLD Suite SP1 en Windows Server 2012 o 2016, las páginas web de BHOLD no estarán disponibles hasta que modifique el archivo applicationHost.config ubicado en C:\Windows\System32\inetsrv\config. En la sección <globalModules>, agregue preCondition="bitness64 a la entrada que comienza por <add name="SPNativeRequestModule" para que quede como sigue:
<add name="SPNativeRequestModule" image="C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\15\isapi\spnativerequestmodule.dll" preCondition="bitness64"/>
Después de editar y guardar el archivo, ejecute el comando iisreset para restablecer el servidor IIS.
Actualizar BHOLD Suite
No se puede actualizar una instalación existente de BHOLD Suite. Primero es necesario desinstalar una instalación existente de BHOLD Suite para poder actualizar los módulos de BHOLD. Si tiene un modelo de roles de BHOLD existente, puede actualizar la base de datos de BHOLD y usarla cuando instale el módulo BHOLD Core actualizado. Para más información, vea Replacing BHOLD Suite with BHOLD Suite SP1 (Reemplazar BHOLD Suite con BHOLD Suite SP1).