Руководство по установке Microsoft BHOLD Suite
Microsoft® BHOLD Suite — это набор приложений, которые при использовании с Microsoft Identity Manager 2016 с пакетом обновления 2 (SP2) (MIM) добавляют в MIM эффективное управление ролями и аттестацию. Microsoft BHOLD Suite с пакетом обновления 1 (SP) состоит из следующих модулей.
- BHOLD Core
- Соединитель управления доступом
- BHOLD Reporting
- BHOLD Attestation
Примечание
Область применения: Microsoft Identity Manager 2016 с пакетом обновления 2 (SP2) или более поздней версии. Модули BHOLD Model Generator, BHOLD Analytics и BHOLD FIM Integration будут удалены из BHOLD, так как эти модули зависят от Microsoft Silverlight, поддержка которой будет прекращена 12 октября 2021 г.
BHOLD не рекомендуется использовать для новых развертываний. Microsoft Entra идентификатор теперь предоставляет проверки доступа, которые заменяют функции кампании аттестации BHOLD и управление правами, которое заменяет функции назначения доступа.
Содержание документа
В этом документе описывается планирование развертывания BHOLD в соответствии с потребностями вашей организации и установка каждого модуля BHOLD. Для каждого модуля приводятся сведения о соответствующем оборудовании, инфраструктуре, требования к программному обеспечению, конфигурации предустановки сети, а также сведения, необходимые во время установки, и описание действий, выполняемых после установки (при их наличии).
Что нужно знать до начала работы
В этом документе предполагается, что вам известны основные принципы установки программного обеспечения на серверах. Кроме того, предполагается, что у вас есть базовые знания о Доменные службы Active Directory®, Forefront или Microsoft Identity Manager (FIM) и программном обеспечении базы данных Microsoft SQL Server 2012. Описание процедур установки и настройки зависимых технологий, таких как AD DS и FIM, выходит за рамки данной документации. Сведения о функциях, выполняемых модулями Microsoft BHOLD, см. в руководстве по основным понятиям Microsoft BHOLD Suite.
Аудитория
Этот документ предназначен для ИТ-планировщиков, системных архитекторов, специалистов, принимающих решение в области технологий, консультантов, специалистов по планированию инфраструктуры и ИТ-специалистов, участвующих в развертывании Microsoft BHOLD Suite.
Рекомендации относительно инфраструктуры BHOLD
Чаще всего FIM и BHOLD используются в среде с крупными инфраструктурами. Архитектуру BHOLD и FIM можно настроить в соответствии с конкретными бизнес-требованиями. В следующих разделах приводится ряд возможных архитектурных решений. В этом документе указаны не все возможные варианты, но предлагаются способы развертывания BHOLD в сети.
В этом разделе описываются следующие темы:
- Архитектура с одним сервером
- Архитектура с двумя серверами
- Двухуровневая архитектура
- Рекомендации по настройке SQL Server
Архитектура с одним сервером
Для развертывания в небольших организациях или в целях разработки можно установить BHOLD и FIM на одном сервере с SQL Server и AD DS, как показано на следующем рисунке.
При установке BHOLD Suite с пакетом обновления 1 (SP1) вместе с порталом FIM на одном сервере необходимо создать разные псевдонимы узлов (записи CNAME или A) в DNS для FIM и BHOLD. Это позволит создать отдельные имена субъектов-служб (SPN) для служб BHOLD и FIM. Дополнительные сведения см. в статье BHOLD Core Installation (Установка модуля BHOLD Core). Руководство по установке FIM в конфигурации с одним сервером см. в статье Common Configuration for Getting Started Guides (Общая конфигурация для руководств по началу работы) в библиотеке Microsoft TechNet.
Архитектура с двумя серверами
Установка BHOLD Core и FIM на отдельных серверах обеспечивает более высокую производительность и гибкость для организаций среднего размера, которым не требуется более сложное развертывание, например как существующее в многоуровневых архитектурах. На следующем рисунке показаны BHOLD и FIM, установленные на собственных серверах. Сервер FIM работает под управлением SQL Server для предоставления служб базы данных для BHOLD и FIM. Служба синхронизации FIM, запущенная на сервере FIM, синхронизирует изменения между базами данных FIM и BHOLD.
Двухуровневая архитектура
В большинстве сред, особенно там, где важна производительность, BHOLD Suite с пакетом обновления 1 (SP1), FIM и SQL Server следует запускать на отдельных серверах (двухуровневая архитектура). В двухуровневой архитектуре ресурсы памяти и ЦП выделяются для каждого уровня. Ниже показан один из возможных способов настройки двухуровневой архитектуры. Служба синхронизации FIM, запущенная на сервере FIM, синхронизирует изменения между базами данных FIM и BHOLD.
Рекомендации по настройке SQL Server
При развертывании BHOLD в крупной организации настоятельно рекомендуется следовать приведенным далее рекомендациям по настройке базы данных Microsoft SQL Server.
- Разверните SQL Server на сервере, отличном от сервера со службами FIM и BHOLD.
- Изолируйте файл журнала от файла данных на уровне физического диска.
- При использовании RAID для обеспечения избыточности хранилища используйте RAID уровня 10 (1 + 0). Не используйте RAID уровня 5.
- Настройте правильные параметры при использовании более 2 ГБ физической памяти для сервера SQL Server.
Дополнительные сведения о рекомендациях по работе с SQL Server см. в статье Storage Top 10 Best Practices (10 лучших рекомендаций для хранилища) в библиотеке Microsoft TechNet.
Обновление списка доверенных сертификатов
Windows можно настроить для проверки цепочек сертификатов перед запуском службы. В таких системах служба не запускается, если исполняемый код службы был подписан сертификатом, который не входит в список доверенных сертификатов (TCL) сервера. Программное обеспечение Microsoft BHOLD Suite с пакетом обновления 1 (SP1) подписано с использованием цепочки сертификатов подписи кода, источником которой является корневой центр сертификации Майкрософт 2010. Windows можно настроить для получения корневых сертификатов из корпорации Майкрософт через подключение к Интернету. Но в отключенной системе Windows Server включает в себя только те сертификаты, которые присутствовали в корневой программе до выпуска Windows. В выпусках Windows Server до Windows Server 2010 в число этих сертификатов не будет входить корневой сертификат, необходимый для проверки цепочки сертификатов подписывания кода для BHOLD Suite с пакетом обновления 1 (SP1). Если планируется установить один модуль Microsoft BHOLD Suite с пакетом обновления 1 (SP1) или несколько в системе, где может отсутствовать актуальная версия списка TCL, перед установкой модуля необходимо скачать и установить пакет обновления корневого сертификата или установить его с помощью групповой политики. Дополнительные сведения см. в разделе Участники программы корневых сертификатов Windows.
Установка BHOLD Suite с пакетом обновления 1 (SP1) в Windows Server 2012 или 2016 — обязательный шаг.
При установке BHOLD Suite с пакетом обновления 1 (SP1) в Windows Server 2012 или 2016 веб-страницы BHOLD будут доступны только после внесения изменений в файл applicationHost.config, расположенный в C:\Windows\System32\inetsrv\config. В разделе <globalModules> добавьте preCondition="bitness64 в запись, которая начинается с <add name="SPNativeRequestModule", чтобы она имела следующий вид.
<add name="SPNativeRequestModule" image="C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\15\isapi\spnativerequestmodule.dll" preCondition="bitness64"/>
После изменения и сохранения файла выполните команду iisreset, чтобы сбросить настройки сервера IIS.
Обновление BHOLD Suite
Невозможно обновить существующую установку BHOLD Suite. Вместо этого необходимо удалить существующую установку BHOLD Suite перед обновлением модулей BHOLD. При наличии существующей модели ролей BHOLD можно обновить базу данных BHOLD и использовать ее при установке обновленного модуля BHOLD Core. Дополнительные сведения см. в статье Replacing BHOLD Suite with BHOLD Suite SP1 (Замена BHOLD Suite на BHOLD Suite с пакетом обновления 1 (SP1)).