Installatiehandleiding voor Microsoft BHOLD Suite

Microsoft® BHOLD Suite is een verzameling toepassingen die, wanneer deze worden gebruikt met Microsoft Identity Manager 2016 SP2 (MIM), effectief rolbeheer en attestation toevoegt aan MIM. Microsoft BHOLD Suite SP1 bestaat uit de volgende modules:

• BHOLD Core
• Connector voor toegangsbeheer
• BHOLD-rapportage
• BHOLD Attestatie

BHOLD wordt niet aanbevolen voor nieuwe implementaties. Microsoft Entra ID biedt nu toegangsbeoordelingen, die de BHOLD Attestation-campagnefuncties vervangen en rechtenbeheer, waarmee de functies voor toegangstoewijzing worden vervangen.

Wat in dit document wordt behandeld

In dit document wordt uitgelegd hoe u uw BHOLD-implementatie plant om aan uw bedrijfsbehoeften te voldoen en elke BHOLD-module te installeren. Voor elke module zijn relevante hardware-, infrastructuur- en softwarevereisten, de configuratie van het vooraf geïnstalleerde netwerk, informatie vereist tijdens de installatie en de stappen na installatie, indien aanwezig, gedetailleerd.

Vereiste kennis

In dit document wordt ervan uitgegaan dat u basiskennis hebt van het installeren van software op servercomputers. Er wordt ook van uitgegaan dat u basiskennis hebt van Active Directory® Domain Services, Forefront of Microsoft Identity Manager (FIM) en Microsoft SQL Server 2012-databasesoftware. Een beschrijving van het instellen en configureren van afhankelijke technologieën, zoals AD DS en FIM, valt buiten het bereik van deze documentatie. Zie de conceptenhandleiding voor Microsoft BHOLD-suite voor informatie over de functies die door de Microsoft BHOLD-modules worden uitgevoerd.

Audiëntie

Dit document is bedoeld voor IT-planners, systeemarchitecten, technologiebeslissers, consultants, infrastructuurplanners en IT-medewerkers die Microsoft BHOLD Suite willen implementeren.

Overwegingen voor BHOLD-infrastructuur

De BHOLD en FIM worden meestal gebruikt in een grote infrastructuuromgeving. U kunt uw BHOLD- en FIM-architectuur aanpassen aan uw specifieke bedrijfsbehoeften. De volgende secties bieden enkele mogelijke architectuuroplossingen. Dit overzicht is geen uitgebreide lijst met alle mogelijke opties, maar suggesties voor manieren waarop u BHOLD in uw netwerk kunt implementeren.

In deze sectie worden de volgende gebieden behandeld:

• Architectuur met één server
• Architectuur met dubbele server
• Architectuur met twee lagen
• Aanbevelingen voor SQL Server

Architectuur met één server

Voor implementatie in kleine organisaties of voor ontwikkelingsdoeleinden kunt u BHOLD en FIM installeren op dezelfde server als SQL Server en AD DS, zoals wordt weergegeven in de volgende afbeelding.

Wanneer BHOLD Suite SP1 en de FIM-portal op één server zijn geïnstalleerd, moet u verschillende hostaliassen (CNAME of A-records) maken in DNS voor BHOLD en voor FIM. Hierdoor kunnen afzonderlijke SPN's (Service Principal Names) worden gemaakt voor de BHOLD- en FIM-services. Zie BHOLD Core Installationvoor meer informatie. Zie Gemeenschappelijke configuratie voor aan de slag-gidsen in de Microsoft TechNet Library voor hulp bij het installeren van FIM in een configuratie met één server.

Architectuur met dubbele server

Het installeren van BHOLD Core en FIM op afzonderlijke servers biedt meer prestaties en flexibiliteit voor middelgrote organisaties die geen complexere implementatie vereisen, zoals die worden geleverd door architecturen met meerdere lagen. In de volgende afbeelding ziet u BHOLD en FIM die op hun eigen servers zijn geïnstalleerd; op de FIM-server wordt ook SQL Server uitgevoerd om databaseservices te leveren aan BHOLD en FIM. De FIM-synchronisatieservice die wordt uitgevoerd op de FIM-server synchroniseert wijzigingen tussen de FIM- en BHOLD-databases.

Architectuur met twee lagen

In de meeste omgevingen, met name waar de prestaties belangrijk zijn, moet u de BHOLD Suite SP1, FIM en SQL Server uitvoeren op afzonderlijke servers (architectuur met twee lagen). Met een architectuur met twee lagen zijn geheugen- en CPU-resources toegewezen voor elke laag. In de volgende afbeelding ziet u een mogelijke manier om een architectuur met twee lagen te configureren. De FIM-synchronisatieservice die wordt uitgevoerd op de FIM-server synchroniseert wijzigingen tussen de FIM- en BHOLD-databases.

Aanbevelingen voor SQL Server

Als u BHOLD in een grote organisatie implementeert, is het raadzaam deze richtlijnen te volgen voor het instellen van de Microsoft SQL Server-database:

• Implementeer SQL Server op een server, gescheiden van FIM- of BHOLD-services.
• Isoleer het logboekbestand van het gegevensbestand op het niveau van de fysieke schijf.
• Als u RAID gebruikt om opslagredundantie te bieden, gebruikt u RAID-niveau 10 (1+0). Gebruik geen RAID-niveau 5.
• Zorg ervoor dat u de juiste instellingen configureert wanneer u meer dan 2 GB fysiek geheugen gebruikt voor de server waarop SQL Server wordt uitgevoerd.

Zie De top 10 best practices voor opslag in de Microsoft TechNet-bibliotheek voor meer informatie over best practices voor SQL Server.

Update van lijst met vertrouwde certificaten

Windows kan worden geconfigureerd om certificaatketens te valideren voordat u een service start. Op dergelijke systemen kan een service niet worden gestart als de uitvoerbare code van de service is ondertekend met een certificaat dat zich niet in de lijst met vertrouwde certificaten (TCL) van de server bevindt. De Microsoft BHOLD Suite SP1-software is code ondertekend met behulp van een certificaatketen voor ondertekening van programmacode die afkomstig is van het Microsoft Root Certificate Authority 2010-certificaat. Windows kan worden geconfigureerd voor het ophalen van basiscertificaten van Microsoft via een internetverbinding. Op een niet-verbonden systeem bevat Windows Server echter alleen certificaten die aanwezig waren in het hoofdprogramma op een moment voordat Windows werd uitgebracht. In releases van Windows Server vóór Windows Server 2010 bevatten deze certificaten niet het basiscertificaat dat nodig is voor het valideren van de certificaatketen voor ondertekening van BHOLD Suite SP1-code. Als u van plan bent een of meer Microsoft BHOLD Suite SP1-modules te installeren op een systeem dat mogelijk geen up-to-date TCL heeft, moet u het root-updatepakket downloaden en installeren, of groepsbeleid gebruiken om het root-updatepakket te installeren, voordat u een BHOLD Suite SP1-module installeert. Zie leden van het Windows-basiscertificaatprogramma voor meer informatie.

Vereiste stap BHOLD Suite SP1 installeren op Windows Server 2012/2016

Als u BHOLD Suite SP1 installeert op Windows Server 2012 of 2016, zijn de BHOLD-webpagina's pas beschikbaar nadat u het applicationHost.config-bestand hebt gewijzigd dat zich bevindt in C:\Windows\System32\inetsrv\config. Voeg in de <globalModules> sectie preCondition="bitness64 toe aan de vermelding die begint met <add name="SPNativeRequestModule", zodat het als volgt kan worden gelezen:

<add name="SPNativeRequestModule" image="C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\15\isapi\spnativerequestmodule.dll" preCondition="bitness64"/>

Nadat u het bestand hebt bewerkt en opgeslagen, voert u de iisreset-opdracht uit om de IIS-server opnieuw in te stellen.

Het upgraden van BHOLD Suite

U kunt geen upgrade uitvoeren van een bestaande BHOLD Suite-installatie. In plaats daarvan moet u een bestaande BHOLD Suite-installatie verwijderen voordat u BHOLD-modules kunt bijwerken. Als u een bestaand BHOLD-rolmodel hebt, kunt u de BHOLD-database upgraden en gebruiken wanneer u de bijgewerkte BHOLD Core-module installeert. Zie BHOLD Suite vervangen door BHOLD Suite SP1 voor meer informatie.

Volgende stappen

• referentiemateriaal voor BHOLD-ontwikkelaars
• BHOLD-versiegeschiedenis