Sdílet prostřednictvím

Průvodce instalací sady Microsoft BHOLD Suite

  • Článek

Microsoft® BHOLD Suite je kolekce aplikací, které při použití s Microsoft Identity Manager 2016 SP2 (MIM) přidávají do MIM efektivní správu rolí a ověřování identity. Microsoft BHOLD Suite SP1 se skládá z následujících modulů:

  • BHOLD – jádro
  • Konektor pro správu přístupu
  • Generování sestav BHOLD
  • Ověření identity BHOLD

Poznámka

Platí pro: Microsoft Identity Manager 2016 SP2 nebo novější. Moduly BHOLD Model Generator, BHOLD Analytics a BHOLD FIM Integration budou z BHOLD odebrány, protože tyto moduly jsou závislé na Microsoft Silverlightu, kterému skončí podpora 12. října 2021.

BHOLD se nedoporučuje pro nová nasazení. Microsoft Entra ID teď poskytuje kontroly přístupu, které nahrazují funkce kampaně ověření identity BHOLD, a správu nároků, která nahrazuje funkce přiřazení přístupu.

Co tento dokument popisuje

Tento dokument vysvětluje, jak naplánovat nasazení BHOLD tak, aby vyhovovalo vašim obchodním potřebám, a nainstalovat jednotlivé moduly BHOLD. Pro každý modul jsou podrobně popsány příslušné požadavky na hardware, infrastrukturu a software, konfigurace předinstalační sítě, informace požadované během instalace a případné kroky po instalaci.

Požadované znalosti

Tento dokument předpokládá, že máte základní znalosti o tom, jak nainstalovat software na serverové počítače. Předpokládá se také, že máte základní znalosti o softwaru databáze Active Directory® Doménové služby, Forefrontu nebo Microsoft Identity Manager (FIM) a Microsoft SQL Server 2012. Popis nastavení a konfigurace závislých technologií, jako jsou ad ds a FIM, není součástí této dokumentace. Informace o funkcích, které moduly Microsoft BHOLD provádějí, najdete v průvodci koncepty sady Microsoft BHOLD.

Cílová skupina

Tento dokument je určený pro IT plánovače, systémové architekty, pracovníky s rozhodovací pravomocí v oblasti technologií, konzultanty, plánovače infrastruktury a it pracovníky, kteří plánují nasadit sadu Microsoft BHOLD Suite.

Aspekty infrastruktury BHOLD

BHOLD a FIM se nejčastěji používají v prostředí rozsáhlé infrastruktury. Architekturu BHOLD a FIM můžete přizpůsobit tak, aby vyhovovala konkrétním obchodním potřebám. Následující části obsahují některá možná řešení architektury. Tento přehled není úplný seznam všech možných možností, ale navrhuje způsoby nasazení BHOLD ve vaší síti.

Tato část se zabývá následujícími tématy:

  • Architektura s jedním serverem
  • Architektura se dvěma servery
  • Dvouúrovňová architektura
  • Doporučení pro server SQL Server

Architektura s jedním serverem

Pro nasazení v malých organizacích nebo pro účely vývoje můžete BHOLD a FIM nainstalovat na stejný server jako SQL Server a AD DS, jak je znázorněno na následujícím obrázku.

Architektura s jedním serverem

Když jsou BHOLD Suite SP1 a portál FIM nainstalovány společně na jednom serveru, musíte vytvořit různé aliasy hostitele (záznamy CNAME nebo A) v DNS pro BHOLD a pro FIM. To umožňuje vytvořit samostatné hlavní názvy služby (SPN) pro služby BHOLD a FIM. Další informace najdete v tématu Instalace jádra BHOLD. Pokyny k instalaci FIM v konfiguraci s jedním serverem najdete v části Běžná průvodci konfigurací pro Začínáme v knihovně Microsoft TechNet.

Architektura se dvěma servery

Instalace BHOLD Core a FIM na samostatné servery poskytuje větší výkon a flexibilitu pro středně velké organizace, které nevyžadují složitější nasazení, například nasazení poskytované vícevrstvými architekturami. Následující obrázek znázorňuje BHOLD a FIM nainstalované na vlastních serverech. na serveru FIM běží také SQL Server pro poskytování databázových služeb pro BHOLD a FIM. Synchronizační služba FIM spuštěná na serveru FIM synchronizuje změny mezi databázemi FIM a BHOLD.

Dvouúrovňová architektura

Ve většině prostředí, zejména těch, kde je důležitý výkon, byste měli spustit BHOLD Suite SP1, FIM a SQL Server na samostatných serverech (dvouvrstvé architektuře). S dvouvrstvou architekturou jsou prostředky paměti a procesoru vyhrazené pro každou vrstvu. Následující obrázek znázorňuje jeden z možných způsobů konfigurace dvouvrstvé architektury. Synchronizační služba FIM spuštěná na serveru FIM synchronizuje změny mezi databázemi FIM a BHOLD.

dvouvrstvé architektury

Doporučení pro server SQL Server

Pokud nasazujete BHOLD ve velké organizaci, důrazně doporučujeme postupovat podle těchto pokynů pro nastavení databáze Microsoft SQL Server:

  • Nasaďte SQL Server na server odděleně od jakékoli služby FIM nebo BHOLD.
  • Izolujte soubor protokolu od datového souboru na úrovni fyzického disku.
  • Pokud k zajištění redundance úložiště používáte RAID, použijte raid úrovně 10 (1+0). Nepoužívejte raid úrovně 5.
  • Při použití více než 2 GB fyzické paměti pro server se systémem SQL Server nezapomeňte nakonfigurovat správná nastavení.

Další informace o SQL Server osvědčených postupech najdete v tématu 10 nejlepších osvědčených postupů pro úložiště v knihovně Microsoft TechNet.

Aktualizace seznamu důvěryhodných certifikátů

Systém Windows je možné nakonfigurovat tak, aby před spuštěním služby ověřil řetězy certifikátů. V takových systémech nelze službu spustit, pokud byl spustitelný kód služby podepsán certifikátem, který není v seznamu důvěryhodných certifikátů (TCL) serveru. Software Microsoft BHOLD Suite SP1 je kód podepsaný řetězem certifikátů pro podepisování kódu, který pochází z certifikátu Microsoft Root Certificate Authority 2010. Systém Windows je možné nakonfigurovat tak, aby načítal kořenové certifikáty od Microsoftu přes připojení k internetu. V odpojených systémech ale Windows Server obsahuje jenom ty certifikáty, které byly v kořenovém programu v době před vydáním Windows. Ve verzích Systému Windows Server starších než Windows Server 2010 nebudou tyto certifikáty obsahovat kořenový certifikát potřebný k ověření řetězu certifikátů pro podepisování kódu sady BHOLD Suite SP1. Pokud máte v úmyslu nainstalovat jeden nebo více modulů Microsoft BHOLD Suite SP1 do systému, který nemusí mít aktuální seznam TCL, musíte stáhnout a nainstalovat kořenový aktualizační balíček nebo použít Zásady skupiny k instalaci kořenové aktualizace balíčku, před instalací modulu BHOLD Suite SP1. Další informace najdete v tématu Členové programu kořenových certifikátů systému Windows.

Instalace BHOLD Suite SP1 Windows Server 2012/2016 – povinný krok

Instalace služby IIS BHOLD

Pokud nainstalujete BHOLD Suite SP1 na Windows Server 2012 nebo 2016, webové stránky BHOLD nebudou k dispozici, dokud nezměníte soubor applicationHost.config umístěný v C:\Windows\System32\inetsrv\config. V oddílu <globalModules> přidejte preCondition="bitness64 položku, která začíná <add name="SPNativeRequestModule" , aby byla následující:

<add name="SPNativeRequestModule" image="C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\15\isapi\spnativerequestmodule.dll" preCondition="bitness64"/>

Po úpravě a uložení souboru spusťte příkaz iisreset, který resetuje server služby IIS.

Upgrade sady BHOLD Suite

Existující instalaci BHOLD Suite nelze upgradovat. Místo toho musíte před aktualizací modulů BHOLD odinstalovat existující instalaci sady BHOLD. Pokud máte existující model rolí BHOLD, můžete databázi BHOLD upgradovat a použít ji při instalaci aktualizovaného modulu BHOLD Core. Další informace najdete v tématu Nahrazení sady BHOLD Suite SP1.

Další kroky