Installationshandbuch zur Microsoft BHOLD Suite
Microsoft® BHOLD Suite ist eine Sammlung von Anwendungen, die mim bei Verwendung mit Microsoft Identity Manager 2016 SP2 (MIM) eine effektive Rollenverwaltung und -nachweisung hinzufügt. Microsoft BHOLD Suite SP1 besteht aus folgenden Modulen:
- BHOLD Core
- Zugriffsverwaltungsconnector
- BHOLD-Berichterstellung
- BHOLD-Nachweis
Hinweis
Gilt für: Microsoft Identity Manager 2016 SP2 oder höher. Die Module BHOLD-Modellgenerator, BHOLD Analytics und BHOLD FIM-Integration werden aus BHOLD entfernt, da diese Module von Microsoft Silverlight abhängig sind und das Supportende am 12. Oktober 2021 erreicht wird.
BHOLD wird für neue Bereitstellungen nicht empfohlen. Microsoft Entra-ID bietet jetzt Zugriffsüberprüfungen, die die Features der BHOLD-Nachweiskampagne ersetzen, und die Berechtigungsverwaltung, die die Zugriffszuweisungsfeatures ersetzt.
Inhalt dieses Dokuments
Dieses Dokument erläutert die Planung Ihrer BHOLD-Bereitstellung, um den Anforderungen Ihres Unternehmens zu entsprechen und die Installation der einzelnen BHOLD-Module. Die relevante Hardware, Infrastruktur, Softwareanforderungen, die Netzwerkkonfiguration für die Vorinstallation, die während der Setups erforderlichen Informationen und die Schritte vor der Installation werden für jedes Modul detailliert erläutert.
Vorwissen
In diesem Dokument wird davon ausgegangen, dass Sie grundlegende Kenntnisse der Installation von Software auf Servercomputern besitzen. Außerdem wird vorausgesetzt, dass Sie über grundlegende Kenntnisse der Active Directory-Domain Services®, Forefront oder Microsoft Identity Manager (FIM) und microsoft SQL Server 2012-Datenbanksoftware verfügen. Eine Beschreibung zur Einrichtung und Konfiguration von abhängigen Technologien wie AD DS und FIM ist nicht Gegenstand dieser Dokumentation. Weitere Informationen zu den Funktionen der Microsoft BHOLD-Module finden Sie im Konzepthandbuch für Microsoft BHOLD Suite.
Zielgruppe
Dieses Dokument richtet sich an IT-Planer, Systemarchitekten, Entscheidungsträger für Technologien, Berater, Infrastrukturplaner und IT-Personal, die Microsoft BHOLD Suite bereitstellen möchten.
Infrastrukturüberlegungen für BHOLD
In den meisten Fällen werden BHOLD und FIM in einer großen Infrastrukturumgebung verwendet. Sie können Ihre BHOLD- und FIM-Architektur Ihren Geschäftsanforderungen entsprechend anpassen. Die folgenden Abschnitte enthalten mögliche Lösungen für die Architektur. Diese Übersicht ist keine umfassende Liste aller möglichen Optionen, sondern stellt Vorschläge für die Bereitstellung von BHOLD in Ihrem Netzwerk bereit.
Dieser Abschnitt enthält die folgenden Themen:
- Architektur mit einem Server
- Architektur mit zwei Servern
- Architektur mit zwei Ebenen
- SQL Server-Empfehlungen
Architektur mit einem Server
Für die Bereitstellung in kleinen Unternehmen oder für Entwicklungszwecke können Sie BHOLD und FIM wie in der folgenden Abbildung dargestellt auf demselben Server wie SQL Server und AD DS installieren.
Wenn BHOLD Suite SP1 und das FIM-Portal zusammen auf einem einzelnen Server installiert sind, müssen Sie für BHOLD und FIM unterschiedliche Hostaliase (CNAME- oder A-Datensätze) in DNS erstellen. Dadurch können separate Dienstprinzipalnamen (Server Principal Names, SPNs) für die BHOLD- und FIM-Dienste erstellt werden. Weitere Informationen finden Sie unter BHOLD Core Installation (Installation von BHOLD Core). Weitere Informationen zum Installieren von FIM in einer Einzelserverkonfiguration finden Sie unter Common Configuration for Getting Started Guides (Häufige Konfigurationen für Handbücher mit ersten Schritten) in der Microsoft TechNet-Bibliothek.
Architektur mit zwei Servern
Das Installieren von BHOLD Core und FIM auf separaten Servern bietet mehr Leistung und Flexibilität für Organisationen von mittlerer Größe, die keine noch komplexere Bereitstellung (z.B. eine Architektur mit mehreren Ebenen) benötigen. Die folgende Abbildung veranschaulicht, dass BHOLD und FIM jeweils auf einem eigenen Server installiert sind. Auf dem FIM-Server wird ebenfalls SQL Server ausgeführt, um Datenbankdienste für BHOLD und FIM bereitzustellen. Der FIM-Synchronisierungsdienst, der auf dem FIM-Server ausgeführt wird, wechselt zwischen den FIM- und BHOLD-Datenbanken.
Architektur mit zwei Ebenen
In den meisten Umgebungen, insbesondere in denen, für die Leistung wichtig ist, sollten Sie BHOLD Suite SP1, FIM und SQL Server auf separaten Servern ausführen (Architektur mit zwei Ebenen). Bei einer Architektur mit zwei Ebenen sind Arbeitsspeicher- und CPU-Ressourcen für jede Ebene fest zugeordnet. Die folgende Abbildung stellt einen möglichen Weg dar, um eine Architektur mit zwei Ebenen zu konfigurieren. Der FIM-Synchronisierungsdienst, der auf dem FIM-Server ausgeführt wird, wechselt zwischen den FIM- und BHOLD-Datenbanken.
SQL Server-Empfehlungen
Wenn Sie BHOLD für ein großes Unternehmen bereitstellen, wird dringend empfohlen, diese Richtlinien für das Einrichten der Microsoft SQL Server-Datenbank zu befolgen:
- Stellen Sie SQL Server auf einem anderen Server als die FIM- oder BHOLD-Dienste bereit.
- Isolieren Sie die Protokolldatei von der Datendatei auf Ebene des physischen Datenträgers.
- Wenn Sie RAID verwenden, um Speicherredundanz bereitzustellen, verwenden Sie RAID-Stufe 10 (1+0). Verwenden Sie nicht RAID-Stufe 5.
- Achten Sie darauf, die richtigen Einstellungen zu konfigurieren, wenn Sie mehr als 2 GB physischen Arbeitsspeicher für den Server verwenden, auf dem SQL Server ausgeführt wird.
Weitere Informationen zu den bewährten Methoden für SQL Server finden Sie unter Storage Top 10 Best Practices (Top 10 der bewährten Speichermethoden) in der Microsoft TechNet-Bibliothek.
Aktualisieren der Liste der vertrauenswürdigen Zertifikate
Windows kann so konfiguriert werden, dass Zertifikatketten vor dem Starten eines Diensts überprüft werden. Auf solchen Systemen kann ein Dienst nicht starten, wenn der ausführbare Code des Diensts mit einem Zertifikat signiert wurde, das sich nicht in der Liste vertrauenswürdiger Zertifikate (Trusted Certificate List, TCL) des Servers befindet. Die Microsoft BHOLD Suite SP1-Software verfügt über Code, der mit einer Zertifikatkette für die Codesignatur signiert wurde, die ihren Ursprung in einem Zertifikat der Microsoft-Stammzertifizierungsstelle 2010 hat. Windows kann so konfiguriert werden, dass Stammzertifikate von Microsoft über eine Internetverbindung angerufen werden. Auf einem nicht verbundenen System enthält Windows Server jedoch nur die Zertifikate, die im Stammprogramm vorhanden waren, bevor Windows Server veröffentlicht wurde. In den Releases von Windows Server vor Windows Server 2010 enthalten diese Zertifikate nicht das Stammzertifikat, das für das Überprüfen der BHOLD Suite SP1-Zertifikatkette für die Codesignatur erforderlich ist. Wenn Sie ein oder mehrere Microsoft BHOLD Suite SP1-Module auf einem System installieren möchten, das nicht über eine aktuelle TCL verfügt, müssen Sie vor der Installation eines BHOLD Suite SP1-Moduls das Aktualisierungspaket für den Stamm herunterladen und installieren oder die Gruppenrichtlinie verwenden, um das Aktualisierungsprogramm für den Stamm zu installieren. Weitere Informationen finden Sie unter Mitglieder des Windows-Programms für Stammzertifikate.
Erforderliche Schritte für die Installation von BHOLD Suite SP1 unter Windows Server 2012/2016
Wenn Sie BHOLD Suite SP1 unter Windows Server 2012 oder 2016 installieren, sind die BHOLD-Webseiten nicht verfügbar, bis Sie die Datei „applicationHost.config“ ändern, die sich in C:\Windows\System32\inetsrv\config befindet. Fügen Sie preCondition="bitness64 im Abschnitt <globalModules> zu dem Eintrag hinzu, der <add name="SPNativeRequestModule" beginnt, sodass der Code folgendermaßen lautet:
<add name="SPNativeRequestModule" image="C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\15\isapi\spnativerequestmodule.dll" preCondition="bitness64"/>
Führen Sie nach dem Bearbeiten und Speichern der Datei den Befehl „iisreset“ aus, um den IIS-Server zurückzusetzen.
Aktualisieren von BHOLD Suite
Sie können eine vorhandene Installation von BHOLD Suite nicht aktualisieren. Stattdessen müssen Sie die vorhandene Installation von BHOLD Suite deinstallieren, bevor Sie BHOLD-Module aktualisieren können. Wenn Sie über ein vorhandenes BHOLD-Rollenmodell verfügen, können Sie die BHOLD-Datenbank aktualisieren und diese verwenden, wenn Sie das aktualisierte BHOLD Core-Modul installieren. Weitere Informationen finden Sie unter Replacing BHOLD Suite with BHOLD Suite SP1 (Ersetzen von BHOLD Suite durch BHOLD Suite SP1).