Guia de Instalação do Microsoft BHOLD Suite
O Microsoft® BHOLD Suite é uma coleção de aplicações que, quando utilizadas com Microsoft Identity Manager SP2 (MIM) de 2016, adiciona gestão de funções e atestado eficazes ao MIM. O Microsoft BHOLD Suite SP1 consiste nos seguintes módulos:
- Núcleo BHOLD
- Conector de Gestão de Acesso
- Relatórios BHOLD
- Atestado BHOLD
Nota
Aplica-se a: Microsoft Identity Manager 2016 SP2 ou posterior. Os módulos BHOLD Model Generator, BHOLD Analytics e BHOLD FIM Integration serão removidos do BHOLD, uma vez que estes módulos têm uma dependência do Microsoft Silverlight, que atingirá o fim do suporte a 12 de outubro de 2021.
O BHOLD não é recomendado para novas implementações. Microsoft Entra ID fornece agora revisões de acesso, que substitui as funcionalidades de campanha de atestado BHOLD e a gestão de direitos, que substitui as funcionalidades de atribuição de acesso.
O que este documento abrange
Este documento explica como planear a implementação do BHOLD para satisfazer as suas necessidades empresariais e instalar cada módulo BHOLD. Para cada módulo, os requisitos relevantes de hardware, infraestrutura e software, configuração de rede de pré-instalação, informações necessárias durante a configuração e passos de pós-instalação, se existirem, são detalhados.
Conhecimentos pré-requisitos
Este documento pressupõe que tem uma compreensão básica de como instalar software em computadores de servidor. Também pressupõe que tem conhecimentos básicos sobre o Active Directory® Domain Services, Forefront ou Microsoft Identity Manager (FIM) e o software de base de dados do Microsoft SQL Server 2012. Uma descrição de como configurar e configurar tecnologias dependentes, como o AD DS e o FIM, está fora do âmbito desta documentação. Para obter informações sobre as funções que os módulos do Microsoft BHOLD executam, consulte o guia de conceitos do conjunto de aplicações Microsoft BHOLD.
Audiência
Este documento destina-se a planeadores de TI, arquitetos de sistemas, decisores tecnológicos, consultores, planeadores de infraestruturas e pessoal de TI que planeiam implementar o Microsoft BHOLD Suite.
Considerações sobre a infraestrutura BHOLD
Na maioria das vezes, o BHOLD e o FIM são utilizados num ambiente de infraestrutura grande. Pode personalizar a sua arquitetura BHOLD e FIM para satisfazer as suas necessidades empresariais específicas. As secções seguintes fornecem algumas possíveis soluções de arquitetura. Esta descrição geral não é uma lista completa de todas as opções possíveis, mas sugere formas de implementar o BHOLD na sua rede.
Esta secção aborda os seguintes tópicos:
- Arquitetura de servidor único
- Arquitetura de servidor duplo
- Arquitetura de duas camadas
- Recomendações do SQL Server
Arquitetura de servidor único
Para implementação em pequenas organizações ou para fins de desenvolvimento, pode instalar o BHOLD e o FIM no mesmo servidor que o SQL Server e o AD DS, conforme mostrado na figura seguinte.
Quando o BHOLD Suite SP1 e o Portal do FIM são instalados em conjunto num único servidor, tem de criar diferentes aliases de anfitrião (CNAME ou Registos A) no DNS para BHOLD e para FIM. Isto permite a criação de nomes de principais de serviço (SPNs) separados para os serviços BHOLD e FIM. Para obter mais informações, veja Instalação BHOLD Core. Para obter orientações sobre como instalar o FIM numa configuração de servidor único, veja Common Configuration for Introdução Guides in the Microsoft TechNet Library (Configuração Comum para guias de Introdução na Biblioteca Microsoft TechNet).
Arquitetura de servidor duplo
A instalação do BHOLD Core e do FIM em servidores separados proporciona um maior desempenho e flexibilidade para organizações de tamanho médio que não necessitam de uma implementação mais complexa, como a disponibilizada por arquiteturas multicamadas. A figura seguinte mostra bHOLD e FIM instalados nos seus próprios servidores; O servidor FIM também está a executar SQL Server para fornecer serviços de base de dados ao BHOLD e ao FIM. O Serviço de Sincronização do FIM em execução no servidor FIM sincroniza as alterações entre as bases de dados FIM e BHOLD.
Arquitetura de duas camadas
Na maioria dos ambientes, especialmente aqueles em que o desempenho é importante, deve executar o BHOLD Suite SP1, FIM e SQL Server em servidores separados (arquitetura de duas camadas). Com uma arquitetura de duas camadas, os recursos de memória e CPU são dedicados para cada camada. A ilustração seguinte mostra uma forma possível de configurar uma arquitetura de duas camadas. O Serviço de Sincronização do FIM em execução no servidor FIM sincroniza as alterações entre as bases de dados FIM e BHOLD.
Recomendações do SQL Server
Se estiver a implementar o BHOLD numa organização grande, recomenda-se vivamente que siga estas diretrizes para configurar a base de dados do Microsoft SQL Server:
- Implemente SQL Server num servidor separado de quaisquer serviços FIM ou BHOLD.
- Isole o ficheiro de registo do ficheiro de dados ao nível do disco físico.
- Se estiver a utilizar o RAID para fornecer redundância de armazenamento, utilize o nível RAID 10 (1+0). Não utilize o nível RAID 5.
- Certifique-se de que configura as definições corretas ao utilizar mais de 2 GB de memória física para o servidor em execução SQL Server.
Para obter mais informações sobre SQL Server melhores práticas, veja Melhores Práticas de Armazenamento nas 10 Melhores Práticas da Microsoft TechNet Library.
Atualização da lista de certificados fidedignos
O Windows pode ser configurado para validar cadeias de certificados antes de iniciar um serviço. Nesses sistemas, um serviço não pode ser iniciado se o código executável do serviço tiver sido assinado com um certificado que não esteja na lista de certificados fidedignos (TCL) do servidor. O software Microsoft BHOLD Suite SP1 é um código assinado através de uma cadeia de certificados de assinatura de código que tem origem no certificado Microsoft Root Certificate Authority 2010. O Windows pode ser configurado para obter certificados de raiz da Microsoft através de uma ligação à Internet. No entanto, num sistema desligado, o Windows Server inclui apenas os certificados que estavam presentes no programa raiz de cada vez antes de o Windows ser lançado. Nas versões do Windows Server anteriores ao Windows Server 2010, estes certificados não incluirão o certificado de raiz necessário para validar a cadeia de certificados de assinatura de código do BHOLD Suite SP1. Se pretender instalar um ou mais módulos do Microsoft BHOLD Suite SP1 num sistema que possa não ter uma TCL atualizada, tem de transferir e instalar o pacote de atualização de raiz ou utilizar Política de Grupo para instalar o pacote de atualização de raiz, antes de instalar um módulo do BHOLD Suite SP1. Para obter mais informações, veja Membros do programa de certificados de raiz do Windows.
Instalar o BHOLD Suite SP1 no Passo Necessário Windows Server 2012/2016
Se instalar o BHOLD Suite SP1 no Windows Server 2012 ou 2016, as páginas Web BHOLD só estarão disponíveis quando modificar o ficheiro applicationHost.config localizado no C:\Windows\System32\inetsrv\config
. <globalModules>
Na secção, adicione preCondition="bitness64
à entrada que começa <add name="SPNativeRequestModule"
para que leia da seguinte forma:
<add name="SPNativeRequestModule" image="C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\15\isapi\spnativerequestmodule.dll" preCondition="bitness64"/>
Depois de editar e guardar o ficheiro, execute o comando iisreset para repor o servidor IIS.
Atualizar o BHOLD Suite
Não pode atualizar uma instalação existente do BHOLD Suite. Em vez disso, tem de desinstalar uma instalação existente do BHOLD Suite antes de poder atualizar os módulos BHOLD. Se tiver um modelo de função BHOLD existente, pode atualizar a base de dados BHOLD e utilizá-la quando instalar o módulo BHOLD Core atualizado. Para obter mais informações, veja Substituir o BHOLD Suite pelo BHOLD Suite SP1.