创建基于用户的身份防火墙规则时,会使用 Active Directory。
不支持将 Windows 2008 作为 Active Directory 服务器或 RDSH 服务器操作系统。
可以向 NSX Manager 注册一个或多个 Windows 域。NSX Manager 从向其注册的每个域获取组和用户信息以及两者之间的关系。NSX Manager 还检索 Active Directory (AD) 凭据。
您可以注册整个 AD (Active Directory) 域以供 IDFW(身份防火墙)使用,也可以同步大型域的子集。注册域后,NSX 将同步 IDFW 所需的所有 AD 数据。
将 Active Directory 同步到 NSX Manager 后,您可以基于用户身份创建安全组,以及创建基于身份的防火墙规则。
注: 对于身份防火墙规则实施,应为所有使用 Active Directory 的虚拟机
开启 Windows 时间服务。这会确保在 Active Directory 和虚拟机之间同步日期和时间。AD 组成员资格变化(包括启用和删除用户)不会立即对登录的用户生效。要使更改生效,用户必须注销,然后重新登录。在修改组成员资格时,AD 管理员应强制注销。此行为是 Active Directory 存在的一个限制。