A Microsoft BHOLD Suite telepítési útmutatója
A Microsoft® BHOLD Suite olyan alkalmazások gyűjteménye, amelyek a Microsoft Identity Manager 2016 SP2 -vel (MIM) együtt használva hatékony szerepkör-kezelést és igazolást adnak hozzá a MIM-hez. A Microsoft BHOLD Suite SP1 a következő modulokból áll:
- BHOLD Core
- Hozzáférés-kezelési összekötő
- BHOLD-jelentéskészítés
- BHOLD-igazolás
Megjegyzés
A következőkre vonatkozik: Microsoft Identity Manager 2016 SP2 vagy újabb. A BHOLD Modellgenerátor, a BHOLD Analytics és a BHOLD FIM-integrációs modulok el lesznek távolítva a BHOLD-ból, mivel ezek a modulok függőségben vannak a Microsoft Silverlighttal, amely 2021. október 12-én megszűnik .
A BHOLD használata nem ajánlott új üzemelő példányokhoz. Microsoft Entra azonosító mostantól hozzáférési felülvizsgálatokat biztosít, amelyek felváltják a BHOLD igazolási kampány funkcióit és a jogosultságkezelést, amely felváltja a hozzáférés-hozzárendelési funkciókat.
A dokumentum témaköre
Ez a dokumentum bemutatja, hogyan tervezheti meg a BHOLD-telepítést az üzleti igényeknek megfelelően, és hogyan telepítheti az egyes BHOLD modulokat. Az egyes modulokra vonatkozó hardver-, infrastruktúra- és szoftverkövetelmények, az előtelepítési hálózati konfiguráció, a telepítés során szükséges információk és az esetleges telepítés utáni lépések részletesek.
Előfeltételként szükséges ismeretek
Ez a dokumentum feltételezi, hogy rendelkezik a szoftverek kiszolgálói számítógépekre való telepítésének alapszintű ismeretével. Azt is feltételezi, hogy alapszintű ismeretekkel rendelkezik az Active Directory® Tartományi szolgáltatások, a Forefront vagy a Microsoft Identity Manager (FIM) és a Microsoft SQL Server 2012 adatbázisszoftverről. A függő technológiák, például az AD DS és a FIM beállításának és konfigurálásának leírása nem tartozik a jelen dokumentáció hatókörébe. A Microsoft BHOLD-modulok által végrehajtott függvényekkel kapcsolatos információkért tekintse meg a Microsoft BHOLD suite alapfogalmait ismertető útmutatót.
Célközönség
Ez a dokumentum a Microsoft BHOLD Suite üzembe helyezését tervező informatikai tervezők, rendszertervezők, technológiai döntéshozók, tanácsadók, infrastruktúra-tervezők és informatikai szakemberek számára készült.
A BHOLD-infrastruktúra szempontjai
A BHOLD és a FIM leggyakrabban nagy infrastruktúra-környezetben használatos. A BHOLD- és FIM-architektúrát az adott üzleti igényekhez igazíthatja. Az alábbi szakaszokban néhány lehetséges architekturális megoldást találhat. Ez az áttekintés nem az összes lehetséges lehetőség átfogó listája, hanem javaslatot tesz a BHOLD hálózatban való üzembe helyezésének módjára.
Ez a szakasz a következő témaköröket ismerteti:
- Egykiszolgálós architektúra
- Kétkiszolgálós architektúra
- Kétrétegű architektúra
- Az SQL Serverre vonatkozó ajánlások
Egykiszolgálós architektúra
Kis szervezetekben történő üzembe helyezéshez vagy fejlesztési célokra a BHOLD és a FIM ugyanazon a kiszolgálón telepíthető, mint a SQL Server és az AD DS, ahogy az alábbi ábrán látható.
Ha a BHOLD Suite SP1 és a FIM-portál együtt van telepítve egyetlen kiszolgálón, különböző gazdagép-aliasokat (CNAME vagy A rekordokat) kell létrehoznia a DNS-ben a BHOLD és a FIM számára. Ez lehetővé teszi különálló egyszerű szolgáltatásnevek (SPN-ek) létrehozását a BHOLD- és FIM-szolgáltatásokhoz. További információ: BHOLD Core-telepítés. A FIM egykiszolgálós konfigurációban való telepítésével kapcsolatos útmutatásért lásd: Common Configuration for Első lépések Guides (Általános konfiguráció Első lépések útmutatókhoz a Microsoft TechNet Könyvtárban).
Kétkiszolgálós architektúra
A BHOLD Core és a FIM különálló kiszolgálókra való telepítése nagyobb teljesítményt és rugalmasságot biztosít az olyan közepes méretű szervezetek számára, amelyek nem igényelnek összetettebb üzembe helyezést, például a több-bérlős architektúrák által biztosítottakat. Az alábbi ábrán a saját kiszolgálóikon telepített BHOLD és FIM látható; A FIM-kiszolgáló SQL Server is fut, hogy adatbázis-szolgáltatásokat nyújtson a BHOLD és a FIM számára. A FIM-kiszolgálón futó FIM szinkronizálási szolgáltatás szinkronizálja a FIM- és a BHOLD-adatbázisok közötti módosításokat.
Kétrétegű architektúra
A legtöbb környezetben, különösen azokban, ahol a teljesítmény fontos, a BHOLD Suite SP1, a FIM és a SQL Server külön kiszolgálókon (kétrétegű architektúra) kell futtatni. A kétrétegű architektúra esetében a memória- és CPU-erőforrások minden szinthez dedikáltak. Az alábbi ábra a kétrétegű architektúra konfigurálásának egyik lehetséges módját mutatja be. A FIM-kiszolgálón futó FIM szinkronizálási szolgáltatás szinkronizálja a FIM- és a BHOLD-adatbázisok közötti módosításokat.
Az SQL Serverre vonatkozó ajánlások
Ha nagy szervezetnél helyezi üzembe a BHOLD-t, erősen ajánlott az alábbi irányelveket követnie a Microsoft SQL Server-adatbázis beállításához:
- Helyezzen üzembe SQL Server a FIM- vagy BHOLD-szolgáltatásoktól eltérő kiszolgálón.
- Különítse el a naplófájlt az adatfájltól a fizikai lemez szintjén.
- Ha RAID-t használ a tárolási redundancia biztosításához, használja a RAID 10-es szintjét (1+0). Ne használja a RAID 5. szintjét.
- Ügyeljen arra, hogy a megfelelő beállításokat konfigurálja, ha 2 GB-nál több fizikai memóriát használ a SQL Server futtató kiszolgálóhoz.
A SQL Server ajánlott eljárásokkal kapcsolatos további információkért lásd: A 10 legjobb tárolási eljárás a Microsoft TechNet könyvtárában.
Megbízható tanúsítványok listájának frissítése
A Windows konfigurálható úgy, hogy a szolgáltatás indítása előtt ellenőrizze a tanúsítványláncokat. Ilyen rendszereken a szolgáltatás nem indítható el, ha a szolgáltatás végrehajtható kódja olyan tanúsítvánnyal lett aláírva, amely nem szerepel a kiszolgáló megbízható tanúsítványlistájában (TCL). A Microsoft BHOLD Suite SP1 szoftver a Microsoft Főtanúsítvány-szolgáltató 2010-tanúsítványból származó kódaláíró tanúsítványlánc használatával van aláírva. A Windows konfigurálható úgy, hogy internetkapcsolaton keresztül kérje le a főtanúsítványokat a Microsofttól. A leválasztott rendszereken azonban a Windows Server csak azokat a tanúsítványokat tartalmazza, amelyek a Windows kiadása előtti időszakban voltak jelen a gyökérprogramban. A Windows Server Windows Server 2010 előtti kiadásaiban ezek a tanúsítványok nem tartalmazzák a BHOLD Suite SP1 kódaláíró tanúsítványlánc érvényesítéséhez szükséges főtanúsítványt. Ha egy vagy több Microsoft BHOLD Suite SP1 modult olyan rendszerre kíván telepíteni, amely nem rendelkezik naprakész TCL-vel, a BHOLD Suite SP1 modul telepítése előtt le kell töltenie és telepítenie kell a gyökérfrissítési csomagot, vagy Csoportházirend kell használnia a gyökérfrissítési csomag telepítéséhez. További információ: A Windows főtanúsítvány-program tagjai.
A BHOLD Suite SP1 telepítése a Windows Server 2012/2016-ra szükséges lépés
Ha a BHOLD Suite SP1-et Windows Server 2012 vagy 2016-ra telepíti, a BHOLD-weblapok mindaddig nem lesznek elérhetők, amíg nem módosítja a fájlban C:\Windows\System32\inetsrv\configtalálható applicationHost.config fájlt. <globalModules> A szakaszban adja hozzá preCondition="bitness64 a kezdő <add name="SPNativeRequestModule" bejegyzést, hogy a következőképpen olvassa fel:
<add name="SPNativeRequestModule" image="C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\15\isapi\spnativerequestmodule.dll" preCondition="bitness64"/>
A fájl szerkesztése és mentése után futtassa az iisreset parancsot az IIS-kiszolgáló alaphelyzetbe állításához.
A BHOLD Suite frissítése
Meglévő BHOLD Suite-telepítés nem frissíthető. Ehelyett el kell távolítania egy meglévő BHOLD Suite-telepítést, mielőtt frissítené a BHOLD-modulokat. Ha már rendelkezik BHOLD szerepkörmodellel, frissítheti a BHOLD-adatbázist, és használhatja azt a frissített BHOLD Core modul telepítésekor. További információ: A BHOLD Suite cseréje A BHOLD Suite SP1 csomagra.