在对身份防火墙进行故障排除时,需要查看多个组件。

问题

发布或更新身份防火墙规则失败。

原因

身份防火墙 (IDFW) 允许使用基于用户的分布式防火墙规则 (DFW)。

基于用户的分布式防火墙规则是由 Active Directory (AD) 组成员的成员资格确定的。IDFW 监控 Active Directory 用户登录到的位置,并将登录名映射到 IP 地址,DFW 使用该地址以应用防火墙规则。IDFW 需要使用 Guest Introspection 框架和/或 Active Directory 事件日志提取。

解决方案

  1. 确保 Active Directory 服务器完全/增量同步可在 NSX Manager 上正常执行。
    1. vSphere Web Client 中,登录到与 NSX Manager 链接的 vCenter。
    2. 导航到主页 (Home) > 网络和安全 (Networking & Security) > 系统 (System) > 用户和域 (Users and Domains)
    3. 单击域 (Domains)选项卡,然后从下拉菜单中选择您的 NSX Manager
    4. 从列表中选择您的域。确认上次同步状态 (Last Synchronization Status)列显示“成功”,且上次同步时间 (Last Synchronization Time)为当前时间。
  2. 如果您的防火墙环境使用事件日志提取方法进行登录检测,请按照以下步骤确认已为您的域配置事件日志服务器:
    1. vSphere Web Client 中,登录到与 NSX Manager 链接的 vCenter。
    2. 导航到主页 (Home) > 网络和安全 (Networking & Security) > 系统 (System) > 用户和域 (Users and Domains)
    3. 单击域 (Domains)选项卡,然后从下拉菜单中选择您的 NSX Manager
    4. 从列表中选择您的域。您可以在此处查看和编辑详细的域配置。
    5. 从域详细信息中选择事件日志服务器 (Event Log Servers),并确认已添加您的事件日志服务器。
    6. 选择您的事件日志服务器,并确认上次同步状态 (Last Sync Status)列显示“成功”,且上次同步时间 (Last Sync Time)为当前时间。
  3. 如果您的防火墙环境使用 Guest Introspection,则必须将该框架部署到受 IDFW 保护的虚拟机所在的计算群集中。UI 上的服务运行状况应为绿色。在Guest Introspection 故障排除中提供了 Guest Introspection 诊断和日志信息。
  4. 在确认登录检测方法的配置正确无误后,请确保 NSX Manager 可接收登录事件;
    1. 以 Active Directory 用户身份登录。
    2. 运行以下命令以查询登录事件。确认结果中返回了您的用户。GET https://<nsxmgr-ip>/1.0/identity/userIpMapping 
      Example output:
<UserIpMappings>
    <UserIpMapping>
        <ip>50.1.111.192</ip>
        <userName>user1_group20</userName>
        <displayName>user1_group20</displayName>
        <domainName>cd.ad1.db.com</domainName>
        <startTime class="sql-timestamp">2017-05-11 22:30:51.0</startTime>
        <startType>EVENTLOG</startType>
        <lastSeenTime class="sql-timestamp">2017-05-11 22:30:52.0</lastSeenTime>
        <lastSeenType>EVENTLOG</lastSeenType>
    </UserIpMapping>
</UserIpMappings>
  5. 确认您的安全组已在防火墙规则中使用,或分配有安全策略。除非满足这两个条件之一,否则不会在 IDFW 中处理安全组。
  6. 在确认 IDFW 可正确检测登录后,请确认您的桌面虚拟机所在的 ESXi 主机可接收正确的配置。这些步骤将使用 NSX Manager 集中式 CLI。要检查 ip-securitygroup 列表中填充的桌面虚拟机 IP 地址,请执行以下操作:
    1. 参见适用于 DFW 的 CLI 命令以检索对桌面虚拟机应用的筛选器名称。
    2. 运行 show dfw host hostID filter filterID rules 命令以查看本地 DFW 规则项目。
    3. 运行 show dfw host hostID filter filterID addrsets 命令以查看 ip-securitygroup 列表中填充的 IP 地址。确认您的 IP 显示在列表中。

解决方案

注意:在请求 VMware 技术支持人员对身份 IDFW 进行故障排除时,以下数据很有用:
  • 如果使用事件日志提取 Active Directory 规模数据:

    • 单个 NSX Manager 的域数量

      林数量

      每个林的用户数量

      每个域的用户数量

      每个域的 Active Directory 组数量

      每个 Active Directory 组的用户数量

      每个用户的 Active Directory 数量

      域控制器数量

      Active Directory 日志服务器的数量

  • 用户登录规模数据:

    • 每分钟的平均用户数量

  • 使用 IDFW 通过 VDI 进行部署的详细信息:

    • 每个 VC 的 VDI 桌面数量

      每个 VC 的主机数量

      每个主机的 VDI 桌面数量

  • 如果使用 Guest Introspection:

    • VMTools(Guest Introspection 驱动程序)的版本

      Windows 客户机操作系统的版本