Verzeichnisserver und Log-Scraping-Server werden von IDFW unterstützt.
| Server/Version | Unterstützt? |
|---|---|
| Windows Server 2016 | Ja |
| Windows Server 2012 | Ja |
| Windows Server 2012 R2 | Ja |
| Windows Server 2008 R2 | Nein |
| Windows Server 2008 | Nein |
| Windows Server 2003 | Nein |
| LDAP-Server außer Microsoft Active Directory | Nein |
| Server/Version | Unterstützt? |
|---|---|
| Windows 2016 | Ja |
| Windows 2012 mit VMware Tools 10.2.5 und höher | Ja |
| Windows 2012 R2 mit VMware Tools 10.2.5 und höher | Ja |
Beachten Sie, dass für die identitätsbasierte Firewall mit RDSH-Unterstützung Guest Introspection-Netzwerktreiber installiert werden müssen.
| Server/Version | Unterstützt? |
|---|---|
| Domänensynchronisierung mit LDAP und LDAPs | Ja |
| Hinzufügen von Ereignisprotokollen mit CIFs und WMI | Ja |
| Domänensynchronisierung mit einem einzelnen rootDN | Ja |
| Domänensynchronisierung mit mehreren RootDN-Organisationseinheiten | 6.4.0 und höher |
| Domänensynchronisierung mit einem einzelnen Teilbaum von Organisationseinheiten mit Ebenenhierarchie | 6.4.0 und höher |
| Domänensynchronisierung mit mehreren Teilbäumen von Organisationseinheiten | 6.4.0 und höher |
| Löschen und fügen Sie erneut dieselbe Domäne mit selektiver Organisationseinheit hinzu | 6.4.0 und höher |
| Fügen Sie einen neuen Teilbaum unter der synchronisierten Organisationseinheit hinzu | 6.4.0 und höher |
| Synchronisieren mit selektiver Basis-DN | 6.4.0 und höher |
| Synchronisieren mit Ignorieren eines deaktivierten Benutzers | Ja |
| Delta-Synchronisierung mit Änderungen in Active Directory-Domäne | Ja |
| Server/Version | Unterstützt? |
|---|---|
| Windows Server 2016 | Ja |
| Windows Server 2012 | Ja |
| Windows Server 2012 R2 | Ja |
| Windows Server 2008 R2 | Ja |
| Linux oder andere LDAP-Implementierungen | Nein |
- VM erfordert für ein eingehendes Anmeldungsereignis einen Neustart, wenn Folgendes eintritt:
- Benutzer werden deaktiviert oder aktiviert
- Änderung der VM-IP-Adresse
- Dieselbe Domäne bei NSX Manager erneut hinzufügen
- Die Ereignisprotokoll-Warteschlange für eingehende Anmeldeereignisse ist begrenzt, und Anmeldeereignisse werden nicht empfangen, wenn das Protokoll voll ist.
Weitere Informationen zur Synchronisierung der Domänen finden Sie unter Synchronisieren einer Windows-Domäne mit Active Directory.
| Server/Version | Unterstützt? |
|---|---|
| Win-7 (32-Bit, 64 Bit) | Ja |
| Win-8 (64 Bit) | Ja |
| Win-10 (32-Bit, 64 Bit) | Ja |
| Windows Server 2016 | Ja. |
| Windows Server 2012 | Ja |
| Windows Server 2008 R2 | Ja |
| Linux-Unterstützung | Nein |
GI-Framework muss in allen Clustern bereitgestellt werden, die in den IDFW-VMs ausgeführt werden.
Eine vollständige Installation von VMware Tools ™ muss auf allen Guestt-VMs installiert sein.
- UDP-Sitzungen werden nicht unterstützt. Netzwerkereignisse werden für UDP-Sitzungen auf Guest-VMs nicht erzeugt.
- Die Linux-GOS-Integration mit dem Active Directory Server wird nicht unterstützt.
Unterstützte Microsoft Active Directory-Konfigurationen
Basierend auf den Standard- und der Best-Practices-Designleitfäden von Microsoft, https://msdn.microsoft.com/en-us/library/bb727085.aspx werden folgende Konfigurationen der Active Directory-Gesamtstrukturen, Domänen, Domain-Strukturen, Gruppen/Benutzer unterstützt, und für die identitätsbasierte Firewall getestet:
| Szenarien | Unterstützt? |
|---|---|
| Die Benutzermitgliedschaft innerhalb der Domäne ändern | Ja |
| Zirkuläre Gruppenmitgliedschaft | Ja, ab 6.2.8 unterstützt |
| Verschachtelte Gruppenmitgliedschaft | Ja |
| Gruppenname hinzufügen und ändern | Ja |
| Benutzername hinzufügen und ändern | Ja |
| Gruppe und Benutzer löschen | Ja |
| Benutzer deaktivieren und aktivieren | Ja |
| Szenarien | Unterstützt? |
|---|---|
| Benutzer, die in einer übergeordneten Domäne und in Teilen einer Gruppe in einer übergeordnete Domäne erstellt wurden | Ja |
| Benutzer, die in einer untergeordneten Domäne, jedoch als Teil der Gruppen in einer übergeordnete Domäne erstellt wurden | Nein |
| Benutzer, die in der untergeordneten Domäne1 und der Mitgliedschaft in einer untergeordneten Domäne2 erstellt wurden | |
| Benutzermitgliedschaft zwischen zwei verschiedenen Domänen (Stamm- und untergeordnetes Element) ändern | Ja |
| Zirkuläre Gruppenmitgliedschaft | Ja, ab 6.2.8 unterstützt |
| Verschachtelte Gruppen-Mitgliedschaft in einer einzelnen Domäne (wird nicht für die Cross-Domäne unterstützt) | Ja |
| Gruppen und Benutzername hinzufügen und ändern | Ja |
| Gruppe und Benutzer löschen | Ja |
| Benutzer deaktivieren und aktivieren | Ja |
| Szenarien | Unterstützt? |
|---|---|
| Domänenkennwort nach Synchronisierung ändern | Ja |
| IP-Adresse nach der Synchronisierung ändern | Ja |
| Domänen-Controller umbenennen | Ja |
| Trennen und schließen Sie das Netzwerk des Domänen- und Ereignisprotokollservers während der Domänensynchronisierung an | Ja |
| Trennen und schließen Sie das Netzwerk des Domänen- und Ereignisprotokollservers nach der Domänensynchronisierung an | Ja |
- Ein Ereignis wird nur dann als Benutzeranmeldung verarbeitet, wenn eine TCP-Sitzung von einer Guest-VM initiiert wird.
-
Benutzerabmeldeereignisse werden nicht gesendet oder verarbeitet. Der erzwungene Regelsatz bleibt bis zum Ablauf einer Zeitspanne von 8 Stunden nach der letzten Netzwerkaktivität eines Benutzers oder dem Generieren einer TCP-Verbindung über dieselbe VM durch einen anderen Benutzer erhalten. Dies behandelt das System als Abmeldung des ersten Benutzers und als Anmeldung des neuen Benutzers.
- Multi-User-Unterstützung ist in IDFW mit RDSH in NSX 6.4.0 und höher verfügbar.
-
RDSH-VM-Anmeldungen werden in erster Linie von der Kontext-Engine für die Regelerzwingung verarbeitet. RDSH-Anmeldungen werden nur mit unter Verwendung von Benutzeridentität an der Quelle aktivieren erstellten Firewall-Regeln abgeglichen. Darüber hinaus muss die Regel in einem neuen Abschnitt der Firewallregeln erstellt werden. Wenn ein Benutzer in der Quell-Sicherheitsgruppe einer Nicht-Benutzeridentität angehört und sich bei einer RDSH-VM anmeldet, löst diese Anmeldung keine Umsetzung der Nicht-Benutzeridentität in der Quellsicherheitsgruppe aus. Eine RDSH-VM gehört keinesfalls zu einer Nicht-Benutzeridentität in Quell-Sicherheitsgruppen.
