Przewodnik instalacji pakietu Microsoft BHOLD Suite
Microsoft® BHOLD Suite to kolekcja aplikacji, które w przypadku użycia z programem Microsoft Identity Manager 2016 SP2 (MIM) dodaje skuteczne zarządzanie rolami i zaświadczania do programu MIM. Pakiet Microsoft BHOLD Suite SP1 składa się z następujących modułów:
- BHOLD Core
- Łącznik zarządzania dostępem
- Raportowanie pakietu BHOLD
- Zaświadczenie pakietu BHOLD
Uwaga
Dotyczy: Microsoft Identity Manager 2016 SP2 lub nowszym. Moduły BHOLD Model Generator, BHOLD Analytics i BHOLD FIM Integration (Generator modeli BHOLD, BHOLD Analytics i BHOLD FIM Integration) zostaną usunięte z pakietu BHOLD, ponieważ moduły te mają zależność od rozwiązania Microsoft Silverlight, który zakończy się 12 października 2021 r.
Usługa BHOLD nie jest zalecana w przypadku nowych wdrożeń. Microsoft Entra identyfikator udostępnia teraz przeglądy dostępu, które zastępują funkcje kampanii zaświadczania BHOLD oraz zarządzanie upoważnieniami, które zastępują funkcje przypisywania dostępu.
Co obejmuje ten dokument
W tym dokumencie wyjaśniono, jak zaplanować wdrożenie pakietu BHOLD zgodnie z potrzebami biznesowymi i zainstalować każdy moduł BHOLD. Dla każdego modułu, odpowiednie wymagania dotyczące sprzętu, infrastruktury i oprogramowania, konfiguracja sieci preinstalacji, informacje wymagane podczas instalacji i czynności po instalacji, jeśli istnieją, są szczegółowe.
Znajomość wymagań wstępnych
W tym dokumencie przyjęto założenie, że masz podstawową wiedzę na temat sposobu instalowania oprogramowania na komputerach serwerowych. Przyjęto również założenie, że masz podstawową wiedzę na temat Domain Services usługi Active Directory®, programu Forefront lub Microsoft Identity Manager (FIM) oraz oprogramowania bazy danych microsoft SQL Server 2012. Opis sposobu konfigurowania i konfigurowania technologii zależnych, takich jak usługi AD DS i FIM, jest poza zakresem tej dokumentacji. Aby uzyskać informacje na temat funkcji, które działają moduły Microsoft BHOLD, zobacz Przewodnik po pojęciach dotyczących pakietu Microsoft BHOLD.
Grupy odbiorców
Ten dokument jest przeznaczony dla planistów IT, architektów systemów, decydentów technologicznych, konsultantów, planistów infrastruktury i personelu IT, którzy planują wdrożyć pakiet Microsoft BHOLD Suite.
Zagadnienia dotyczące infrastruktury pakietu BHOLD
Najczęściej system BHOLD i FIM są używane w dużym środowisku infrastruktury. Architekturę BHOLD i FIM można dostosować do konkretnych potrzeb biznesowych. Poniższe sekcje zawierają pewne możliwe rozwiązania architektoniczne. To omówienie nie jest kompleksową listą wszystkich możliwych opcji, ale sugeruje sposoby wdrażania pakietu BHOLD w sieci.
W tej sekcji omówiono następujące tematy:
- Architektura pojedynczego serwera
- Architektura z dwoma serwerami
- Architektura dwuwarstwowa
- Zalecenia dotyczące programu SQL Server
Architektura pojedynczego serwera
W przypadku wdrożenia w małych organizacjach lub w celach programistycznych można zainstalować pakiet BHOLD i program FIM na tym samym serwerze co SQL Server i usług AD DS, jak pokazano na poniższej ilustracji.
Gdy pakiet BHOLD Suite SP1 i portal FIM są instalowane razem na jednym serwerze, należy utworzyć różne aliasy hostów (rekordy CNAME lub A) w systemie DNS dla pakietu BHOLD i dla programu FIM. Umożliwia to utworzenie oddzielnych nazw głównych usług (SPN) dla usług BHOLD i FIM. Aby uzyskać więcej informacji, zobacz Instalacja podstawowa pakietu BHOLD. Aby uzyskać wskazówki dotyczące instalowania programu FIM w konfiguracji pojedynczego serwera, zobacz Artykuł Common Configuration for Wprowadzenie Guides (Typowe konfiguracje dla przewodników dotyczących Wprowadzenie) w bibliotece Microsoft TechNet.
Architektura z dwoma serwerami
Instalowanie oprogramowania BHOLD Core i FIM na oddzielnych serwerach zapewnia większą wydajność i elastyczność dla organizacji o średnim rozmiarze, które nie wymagają bardziej złożonego wdrożenia, takiego jak zapewniane przez architektury wielowarstwowe. Na poniższej ilustracji przedstawiono oprogramowanie BHOLD i FIM zainstalowane na własnych serwerach; Serwer FIM działa również SQL Server, aby zapewnić usługi bazy danych dla usług BHOLD i FIM. Usługa synchronizacji programu FIM uruchomiona na serwerze FIM synchronizuje zmiany między bazami danych programu FIM i BHOLD.
Architektura dwuwarstwowa
W większości środowisk, zwłaszcza w przypadku, gdy wydajność jest ważna, należy uruchomić pakiet BHOLD Suite SP1, FIM i SQL Server na oddzielnych serwerach (architektura dwuwarstwowa). W przypadku architektury dwuwarstwowej zasoby pamięci i procesora CPU są dedykowane dla każdej warstwy. Poniższa ilustracja przedstawia jeden z możliwych sposobów konfigurowania architektury dwuwarstwowej. Usługa synchronizacji programu FIM uruchomiona na serwerze FIM synchronizuje zmiany między bazami danych programu FIM i BHOLD.
Zalecenia dotyczące programu SQL Server
W przypadku wdrażania pakietu BHOLD w dużej organizacji zdecydowanie zaleca się przestrzeganie poniższych wytycznych dotyczących konfigurowania bazy danych microsoft SQL Server:
- Wdróż SQL Server na serwerze niezależnie od usług FIM lub BHOLD.
- Izoluj plik dziennika z pliku danych na poziomie dysku fizycznego.
- Jeśli używasz macierzy RAID do zapewnienia nadmiarowości magazynu, użyj poziomu RAID 10 (1+0). Nie należy używać poziomu RAID 5.
- Pamiętaj, aby skonfigurować poprawne ustawienia w przypadku używania więcej niż 2 GB pamięci fizycznej dla serwera z systemem SQL Server.
Aby uzyskać więcej informacji na temat najlepszych rozwiązań SQL Server, zobacz Storage Top 10 Best Practices in the Microsoft TechNet Library (Najlepsze rozwiązania dotyczące magazynu 10 najlepszych rozwiązań w bibliotece TechNet firmy Microsoft).
Aktualizacja listy zaufanych certyfikatów
System Windows można skonfigurować do weryfikowania łańcuchów certyfikatów przed uruchomieniem usługi. W takich systemach usługa nie może uruchomić się, jeśli kod wykonywalny usługi został podpisany przy użyciu certyfikatu, który nie znajduje się na liście zaufanych certyfikatów (TCL) serwera. Oprogramowanie Microsoft BHOLD Suite SP1 jest kodem podpisanym przy użyciu łańcucha certyfikatów podpisywania kodu pochodzącego z certyfikatu głównego urzędu certyfikacji firmy Microsoft 2010. System Windows można skonfigurować do pobierania certyfikatów głównych z firmy Microsoft za pośrednictwem połączenia internetowego. W odłączonym systemie system Windows Server zawiera jednak tylko te certyfikaty, które były obecne w programie głównym w czasie przed wydaniem systemu Windows. W wersjach systemu Windows Server starszych niż Windows Server 2010 te certyfikaty nie będą zawierać certyfikatu głównego potrzebnego do weryfikacji łańcucha certyfikatów podpisywania kodu pakietu BHOLD Suite SP1. Jeśli zamierzasz zainstalować co najmniej jeden moduł pakietu Microsoft BHOLD Suite SP1 w systemie, który może nie mieć aktualnej listy TCL, musisz pobrać i zainstalować pakiet aktualizacji głównej lub użyć zasady grupy do zainstalowania pakietu root-update, przed zainstalowaniem modułu BHOLD Suite SP1. Aby uzyskać więcej informacji, zobacz Elementy członkowskie programu certyfikatów głównych systemu Windows.
Instalowanie pakietu BHOLD Suite SP1 w wymaganym kroku Windows Server 2012/2016
Jeśli zainstalujesz pakiet BHOLD Suite SP1 w Windows Server 2012 lub 2016 r., strony internetowe pakietu BHOLD nie będą dostępne, dopóki nie zmodyfikujesz pliku applicationHost.config znajdującego się w C:\Windows\System32\inetsrv\configlokalizacji . <globalModules> W sekcji dodaj preCondition="bitness64 do wpisu, który zaczyna się <add name="SPNativeRequestModule" tak, aby był odczytywany w następujący sposób:
<add name="SPNativeRequestModule" image="C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\15\isapi\spnativerequestmodule.dll" preCondition="bitness64"/>
Po edycji i zapisaniu pliku uruchom polecenie iisreset, aby zresetować serwer usług IIS.
Uaktualnianie pakietu BHOLD
Nie można uaktualnić istniejącej instalacji pakietu BHOLD. Zamiast tego należy odinstalować istniejącą instalację pakietu BHOLD, aby można było zaktualizować moduły pakietu BHOLD. Jeśli masz istniejący model roli BHOLD, możesz uaktualnić bazę danych BHOLD i użyć jej podczas instalowania zaktualizowanego modułu BHOLD Core. Aby uzyskać więcej informacji, zobacz Zastępowanie pakietu BHOLD pakietem BHOLD Suite SP1.
Następne kroki
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla