Stap 3 – Een PAM-server voorbereiden
Installeer Windows Server 2016 of 2019
Installeer op een derde virtuele machine Windows Server 2016 of 2019 om PAMSRV te maken. Aangezien SQL Server MIM-service en optioneel SharePoint 2013 op deze computer wordt geïnstalleerd, is ten minste 8 GB RAM-geheugen vereist.
Geef tijdens de installatie Windows Server 2016 (Server met bureaubladervaring) op.
Lees en accepteer de licentievoorwaarden.
Selecteer Aangepast: Alleen Windows installeren en de niet-geïnitialiseerde schijfruimte gebruiken, omdat de schijf leeg is.
Meld u als beheerder aan bij die nieuwe computer. Gebruik Configuratiescherm om een statisch IP-adres op het virtuele netwerk toe te wijzen aan de computer, configureer deze netwerkinterface voor het verzenden van DNS-query's naar het IP-adres van PRIVDC en stel de computernaam in op PAMSRV. Hiervoor moet de server opnieuw worden opgestart.
Als het virtuele netwerk geen internetverbinding biedt, voegt u een extra netwerkinterface toe aan de computer die een verbinding met internet biedt. Dit is alleen nodig voor het downloaden van updates en voor de SharePoint-installatie en kan worden uitgeschakeld nadat deze stap is voltooid.
Wacht tot de server opnieuw is opgestart. Nadat de server opnieuw is opgestart, moet u zich aanmelden als beheerder. Via Configuratiescherm configureert u de computer om te controleren op updates en installeert u alle vereiste updates. Hiervoor moet de server mogelijk opnieuw worden opgestart.
Wacht tot de server opnieuw is opgestart. Nadat de server opnieuw is opgestart, meldt u zich aan als beheerder, opent u Configuratiescherm en voegt u PAMSRV toe aan het PRIV-domein (priv.contoso.local). U moet hiervoor de gebruikersnaam en referenties opgeven van een PRIV-domeinbeheerder (PRIV\Administrator). Nadat het welkomstbericht wordt weergegeven, sluit u het dialoogvenster en start u deze server opnieuw op.
De functies van de webserver (IIS) en de toepassingsserver toevoegen
Voeg de webserverfunctie (IIS), de .NET Framework 3.5- en 4.6-onderdelen en de Active Directory-module voor Windows PowerShell toe. Als u SharePoint wilt installeren, voegt u ook andere functies toe die vereist zijn voor SharePoint.
Meld u aan als een PRIV-domeinbeheerder (PRIV\Administrator) en start PowerShell.
Typ de volgende opdrachten: U moet mogelijk een andere locatie opgeven voor de bronbestanden voor de .NET Framework 3.5-onderdelen. Deze functies zijn meestal niet aanwezig wanneer Windows Server wordt geïnstalleerd, maar zijn beschikbaar in de map side-by-side (SxS) op de map met schijfbronnen van de installatieschijf van het besturingssysteem,
d:\Sources\SxS\bijvoorbeeld .import-module ServerManager Install-WindowsFeature Web-WebServer, Net-Framework-Features, rsat-ad-powershell,Web-Mgmt-Tools, Windows-Identity-Foundation,Server-Media-Foundation, Xps-Viewer –includeallsubfeature -restart -source d:\sources\SxS
Het beveiligingsbeleid van de server configureren
Configureer het serverbeveiligingsbeleid zodat de zojuist gemaakte accounts als services kunnen worden uitgevoerd.
Start het programma Lokaal beveiligingsbeleid .
Navigeer naarToewijzing van gebruikersrechten voor lokaal beleid>.
Bekijk het detailvenster, klik met de rechtermuisknop op Aanmelden als een service en selecteer Eigenschappen.
Klik op Gebruiker of groep toevoegen en voer bij Gebruiker en groepsnamen priv\mimmonitor; priv\MIMService; priv\SharePoint; priv\mimcomponent; priv\SqlServer in. Klik op Namen controleren en vervolgens op OK.
Selecteer OK om het eigenschappenvenster te sluiten.
Bekijk het detailvenster, klik met de rechtermuisknop op Toegang tot deze computer vanaf het netwerk weigeren en selecteer Eigenschappen.
Klik op Gebruiker of groep toevoegen, voer bij Gebruiker en groepsnamen priv\mimmonitor; priv\MIMService; priv\mimcomponent in en klik op OK.
Selecteer OK om het eigenschappenvenster te sluiten.
Bekijk het detailvenster, klik met de rechtermuisknop op Lokaal aanmelden weigeren en selecteer Eigenschappen.
Klik op Gebruiker of groep toevoegen, voer bij Gebruiker en groepsnamen priv\mimmonitor; priv\MIMService; priv\mimcomponent in en klik op OK.
Selecteer OK om het eigenschappenvenster te sluiten.
Sluit het venster Lokaal beveiligingsbeleid.
Start Configuratiescherm en schakel over naar Gebruikersaccounts.
Klik op Andere gebruikers toegang tot deze computer geven .
Klik op Toevoegen, voer de gebruiker MIMADMIN in het domein PRIV in en klik in het volgende scherm van de wizard op Deze gebruiker toevoegen als beheerder.
Klik op Toevoegen, voer de gebruiker SharePoint in het domein PRIV in en klik in het volgende scherm van de wizard op Deze gebruiker toevoegen als beheerder.
Sluit Configuratiescherm.
IIS-configuratie wijzigen
Er zijn twee manieren waarop u de IIS-configuratie kunt wijzigen zodat toepassingen kunnen gebruikmaken van de Windows-verificatiemodus. Zorg ervoor dat u bent aangemeld als MIMAdmin en volg vervolgens een van deze opties.
Als u PowerShell wilt gebruiken:
Klik met de rechtermuisknop op PowerShell en selecteer Als administrator uitvoeren.
Stop IIS en ontgrendel de instellingen van de toepassingshost met behulp van deze opdrachten.
iisreset /STOP C:\Windows\System32\inetsrv\appcmd.exe unlock config /section:windowsAuthentication -commit:apphost iisreset /START
Als u een teksteditor wilt gebruiken zoals Kladblok:
- Open het bestand C:\Windows\System32\inetsrv\config\applicationHost.config.
- Schuif naar regel 82 van het bestand. De tagwaarde van overrideModeDefault moet zijn
<section name="windowsAuthentication" overrideModeDefault="Deny" />. - Wijzig de waarde van overrideModeDefault in Toestaan.
- Sla het bestand op en start IIS opnieuw op met de PowerShell-opdracht
iisreset /START.
Vereiste bibliotheken installeren
Installeer de Visual C++ 2013 Redistributable Packages voor Windows Server 64-bits.
Als u TLS 1.2 of FIPS-modus gebruikt in het PRIV-domein, raadpleegt u MIM 2016 SP2 in 'Alleen TLS 1.2'- of FIPS-modusomgevingen voor meer vereisten.
SQL Server installeren
Als SQL Server zich nog niet in de bastionomgeving bevindt, installeert u SQL Server 2012 (Service Pack 1 of hoger), SQL Server 2014 of hoger. In de volgende stappen wordt ervan uitgegaan dat u SQL Server 2014 gebruikt.
- Zorg dat u bent aangemeld als MIMAdmin.
- Klik met de rechtermuisknop op PowerShell en selecteer Als administrator uitvoeren.
- Ga naar de map met het installatieprogramma van SQL Server.
- Typ de volgende opdracht.
.\setup.exe /Q /IACCEPTSQLSERVERLICENSETERMS /ACTION=install /FEATURES=SQL,SSMS /INSTANCENAME=MSSQLSERVER /SQLSVCACCOUNT="PRIV\SqlServer" /SQLSVCPASSWORD="Pass@word1" /AGTSVCSTARTUPTYPE=Automatic /AGTSVCACCOUNT="NT AUTHORITY\Network Service" /SQLSYSADMINACCOUNTS="PRIV\MIMAdmin"
Instellingen voor updates wijzigen
- Open Instellingen en navigeer naar Windows Update.
- Controleer op nieuwe updates en zorg ervoor dat alle in behandeling zijnde belangrijke updates voor Windows Server of SQL Server zijn geïnstalleerd voordat u doorgaat.
SharePoint Server 2016 of 2019 installeren (alleen vereist voor de MIM-portal)
De volgende secties in dit artikel zijn vereisten die alleen nodig zijn als u de MIM-portal installeert. Als u de MIM-portal niet gaat installeren, gaat u verder met stap 4 om de andere MIM-onderdelen te installeren.
Gebruik de handleiding sharepoint voorbereiden om SharePoint Server 2016 of 2019 te installeren.
De website instellen als het lokale intranet
- Start Internet Explorer en open een nieuw webbrowsertabblad.
- Navigeer naar
http://pamsrv.priv.contoso.local:82/en meld u aan als PRIV\MIMAdmin. Er wordt een lege SharePoint-site met de naam 'MIM-portal' weergegeven. - Open in Internet Explorer het gedeelte Internetopties, ga naar het tabblad Beveiliging, selecteer Lokaal intranet en voeg de URL
http://pamsrv.priv.contoso.local:82/toe.
Als het aanmelden mislukt, moeten de Kerberos-SPN-namen die eerder zijn gemaakt in stap 2, mogelijk worden bijgewerkt.
De SharePoint-beheerservice starten
Gebruik Services (in Systeembeheer) om de SharePoint-beheerservice te starten als de service nog niet actief is.
In stap 4 begint u met het installeren van de MIM-onderdelen op de PAM-server.