可以使用 Active Directory 对象创建基于用户身份的安全组和基于身份的防火墙规则。
注: 不要在使用分布式负载均衡器的环境中启用分布式入侵检测服务 (Intrusion Detection Service, IDS)。
NSX-T Data Center 不支持将 IDS 与分布式负载均衡器一起使用。
要启用选择性同步,请使用启用了选择性同步的域创建/更新 API 以及选定组织单位 (Organization Unit, OU) 的列表。如果启用了选择性同步,NSX-T 仅同步选定 OU 中的 AD 数据。在选择性增量同步期间,仅更新位于选定 OU 并在上次同步后创建或更改的 Acitve Directory 数据。如果从选定 OU 中移除了任何目录组,则在选择性增量同步期间不会更新它们。在完整同步期间,在更新了所有目录组后,将更新这些组。有关详细信息,请参见《NSX-T Data Center API 指南》。
注: 使用 API 连接具有超过 500 个 OU 的 AD 域。UI 不支持显示具有超过 500 个 OU 的 AD 域。
在开始完整同步后,如果使用 API 手动将其结束,则同步统计信息将不会正确更新。
注: IDFW 依赖于客户机操作系统的安全性和完整性。恶意本地管理员可以通过多种方法来伪造其身份以绕过防火墙规则。用户身份信息由客户机虚拟机中的客户机侦测代理提供。安全管理员必须确保每个客户机虚拟机中均已安装并正在运行 NSX 客户机侦测代理。已登录的用户不应具有移除或停止该代理的特权。