Guia de instalação do Microsoft BHOLD Suite
O Microsoft® BHOLD Suite é uma coleção de aplicativos que, quando usados com o MIM (Microsoft Identity Manager 2016 SP2), adiciona gerenciamento e atestado de função eficazes ao MIM. O Microsoft BHOLD Suite SP1 consiste dos seguintes módulos:
- BHOLD Core
- Conector de Gerenciamento de Acesso
- Relatório do BHOLD
- Atestado do BHOLD
Observação
Aplica-se a: Microsoft Identity Manager 2016 SP2 ou posterior. Os módulos Gerador de Modelo do BHOLD, Análise do BHOLD e Integração do FIM do BHOLD serão removidos do BHOLD, pois esses módulos têm uma dependência do Microsoft Silverlight, que atingirá o fim do suporte em 12 de outubro de 2021.
O BHOLD não é recomendado para novas implantações. Microsoft Entra ID agora fornece revisões de acesso, que substitui os recursos da campanha de atestado do BHOLD e o gerenciamento de direitos, que substitui os recursos de atribuição de acesso.
O que este documento abrange
Este documento explica como planejar sua implantação do BHOLD para atender às suas necessidades de negócios e instalar cada módulo BHOLD. Para cada módulo, são detalhados os requisitos relevantes de hardware, de infraestrutura e de software, bem como a configuração de rede de pré-instalação e também as informações necessárias durante a instalação e eventuais etapas de pós-instalação.
Conhecimento de pré-requisito
Este documento pressupõe que você tenha um entendimento básico de como instalar o software em computadores servidores. Ele também pressupõe que você tenha conhecimento básico do Active Directory® Domain Services, do Forefront ou do FIM (Microsoft Identity Manager) e do software de banco de dados do Microsoft SQL Server 2012. Uma descrição de como instalar e configurar tecnologias dependentes como o AD DS e o FIM está fora do escopo desta documentação. Para obter informações sobre as funções desempenhadas pelos módulos do Microsoft BHOLD, consulte o guia de conceitos do Microsoft BHOLD Suite.
Público
Este documento destina-se a planejadores de TI, arquitetos de sistemas, responsáveis pelas decisões de tecnologia, consultores, planejadores de infraestrutura e pessoal de TI que pretendem implantar o Microsoft BHOLD Suite.
Considerações sobre a infraestrutura do BHOLD
Geralmente, o FIM e BHOLD são usados em um ambiente de infraestrutura grande. Você pode personalizar a arquitetura do FIM e do BHOLD para atender às suas necessidades de negócios específicas. As seções a seguir fornecem algumas soluções de arquitetura possíveis. Esta visão geral não é uma lista abrangente de todas as opções possíveis, mas sugere maneiras que você pode implantar o BHOLD em sua rede.
Esta seção contém os seguintes tópicos:
- Arquitetura de servidor único
- Arquitetura de servidor duplo
- Arquitetura de duas camadas
- Recomendações do SQL Server
Arquitetura de servidor único
Para implantação em empresas de pequenas porte ou para fins de desenvolvimento, você pode instalar o BHOLD e o FIM no mesmo servidor que o SQL Server e o AD DS, conforme mostrado na figura a seguir.
Quando o BHOLD Suite SP1 e o Portal do FIM são instalados juntos em um único servidor, você deve criar diferentes aliases de host (registros A ou CNAME) no DNS para o FIM e o BHOLD. Isso permite que SPNs (nomes da entidade de serviço) separados sejam criados para os serviços BHOLD e FIM. Para obter mais informações, consulte Instalação do BHOLD Core. Para obter diretrizes sobre como instalar o FIM em uma configuração de servidor único, consulte Configuração comum para guias de Introdução na Biblioteca do Microsoft TechNet.
Arquitetura de servidor duplo
A instalação do BHOLD Core e do FIM em servidores separados fornece maior desempenho e flexibilidade para organizações de médio porte que não necessitam de uma implantação mais complexa, tal como aquela fornecida por arquiteturas multicamada. A figura a seguir mostra o BHOLD e o FIM instalados em seus próprios servidores; o servidor FIM também está executando o SQL Server para fornecer serviços de banco de dados para o BHOLD e o FIM. O Serviço de Sincronização do FIM em execução no servidor do FIM sincroniza as alterações entre os bancos de dados do FIM e do BHOLD.
Arquitetura de duas camadas
Na maioria dos ambientes, especialmente naqueles em que o desempenho é importante, você deve executar o BHOLD Suite SP1, o FIM e o SQL Server em servidores separados (arquitetura de duas camadas). Com uma arquitetura de duas camadas, os recursos de CPU e de memória são dedicados para cada camada. A ilustração a seguir mostra uma maneira possível de configurar uma arquitetura de duas camadas. O Serviço de Sincronização do FIM em execução no servidor do FIM sincroniza as alterações entre os bancos de dados do FIM e do BHOLD.
Recomendações do SQL Server
Se você está implantando o BHOLD em uma grande organização, é altamente recomendável que você siga estas diretrizes para configurar o banco de dados do Microsoft SQL Server:
- Implante o SQL Server em um servidor separado de quaisquer serviços FIM ou BHOLD.
- Isole o arquivo de log do arquivo de dados no nível do disco físico.
- Se você estiver usando RAID para fornecer redundância de armazenamento, use o nível de RAID 10 (1+0). Não use o RAID nível 5.
- Certifique-se de definir as configurações corretas ao usar mais de 2 GB de memória física para o servidor que executa o SQL Server.
Para obter mais informações sobre as práticas recomendadas do SQL Server, consulte As 10 Melhores Práticas Recomendadas de Armazenamento na Biblioteca do Microsoft TechNet.
Atualização de lista de certificados confiáveis
O Windows pode ser configurado para validar cadeias de certificados antes de iniciar um serviço. Em tais sistemas, um serviço não pode iniciar se o código executável do serviço foi assinado com um certificado que não está na TCL (lista de certificados confiáveis) do servidor. O código do software Microsoft BHOLD Suite SP1 é assinado usando uma cadeia de certificados de assinatura de código que é originada com o certificado da Autoridade de Certificação Raiz 2010 da Microsoft. O Windows pode ser configurado para recuperar os certificados raiz da Microsoft por uma conexão de Internet. Em um sistema desconectado, no entanto, o Windows Server inclui somente os certificados que estavam presentes no programa raiz antes do lançamento do Windows. Em versões do Windows Server anteriores ao Windows Server 2010, esses certificados não incluirão o certificado raiz necessário para validar a cadeia de certificados de assinatura de código do BHOLD Suite SP1. Se você pretende instalar um ou mais módulos do Microsoft BHOLD Suite SP1 em um sistema que talvez não tenha uma TCL atualizada, você deve baixar e instalar o pacote de atualização raiz ou usar a Política de Grupo para instalar o pacote de atualização raiz, antes de instalar um módulo do SP1 BHOLD Suite. Para obter mais informações, consulte Membros do programa de certificado raiz do Windows.
Instalando o BHOLD Suite SP1 no Windows Server 2012/2016 – etapa necessária
Se você instalar o BHOLD Suite SP1 no Windows Server 2012 ou 2016, as páginas da Web do BHOLD não estarão disponíveis até que você modifique o arquivo applicationHost.config localizado em C:\Windows\System32\inetsrv\config. Na seção <globalModules>, adicione preCondition="bitness64 à entrada que começa com <add name="SPNativeRequestModule" de modo que ela seja transcrita da seguinte maneira:
<add name="SPNativeRequestModule" image="C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\15\isapi\spnativerequestmodule.dll" preCondition="bitness64"/>
Depois de editar e salvar o arquivo, execute o comando iisreset para redefinir o servidor IIS.
Atualizando o BHOLD Suite
Você não pode atualizar uma instalação existente do BHOLD Suite. Em vez disso, você deve desinstalar uma instalação existente do BHOLD Suite antes de atualizar os módulos BHOLD. Se você tiver um modelo de função do BHOLD existente, você poderá atualizar o banco de dados do BHOLD e usá-lo quando você instalar o módulo BHOLD Core atualizado. Para obter mais informações, consulte Substituindo o BHOLD Suite pelo BHOLD Suite SP1.