Verzeichnisserver und Log-Scraping-Server werden von IDFW unterstützt.

Tabelle 1. Verzeichnisserver und -versionen
Server/Version Unterstützt?
Windows Server 2016 Ja
Windows Server 2012 Ja
Windows Server 2012 R2 Ja
Windows Server 2008 R2 Nein
Windows Server 2008 Nein
Windows Server 2003 Nein
LDAP-Server außer Microsoft Active Directory Nein
Tabelle 2. Windows-Betriebssystem für RDSH-Desktops
Server/Version Unterstützt?
Windows 2016 Ja
Windows 2012 mit VMware Tools 10.2.5 und höher Ja
Windows 2012 R2 mit VMware Tools 10.2.5 und höher Ja

Beachten Sie, dass für die identitätsbasierte Firewall mit RDSH-Unterstützung Guest Introspection-Netzwerktreiber installiert werden müssen.

Tabelle 3. Optionen für die Domänensynchronisierung
Server/Version Unterstützt?
Domänensynchronisierung mit LDAP und LDAPs Ja
Hinzufügen von Ereignisprotokollen mit CIFs und WMI Ja
Domänensynchronisierung mit einem einzelnen rootDN Ja
Domänensynchronisierung mit mehreren RootDN-Organisationseinheiten 6.4.0 und höher
Domänensynchronisierung mit einem einzelnen Teilbaum von Organisationseinheiten mit Ebenenhierarchie 6.4.0 und höher
Domänensynchronisierung mit mehreren Teilbäumen von Organisationseinheiten 6.4.0 und höher
Löschen und fügen Sie erneut dieselbe Domäne mit selektiver Organisationseinheit hinzu 6.4.0 und höher
Fügen Sie einen neuen Teilbaum unter der synchronisierten Organisationseinheit hinzu 6.4.0 und höher
Synchronisieren mit selektiver Basis-DN 6.4.0 und höher
Synchronisieren mit Ignorieren eines deaktivierten Benutzers Ja
Delta-Synchronisierung mit Änderungen in Active Directory-Domäne Ja
Tabelle 4. Log-Scraping-Server und -versionen
Server/Version Unterstützt?
Windows Server 2016 Ja
Windows Server 2012 Ja
Windows Server 2012 R2 Ja
Windows Server 2008 R2 Ja
Linux oder andere LDAP-Implementierungen Nein
Einschränkungen durch Log Scraping
  • VM erfordert für ein eingehendes Anmeldungsereignis einen Neustart, wenn Folgendes eintritt:
    • Benutzer werden deaktiviert oder aktiviert
    • Änderung der VM-IP-Adresse
    • Dieselbe Domäne bei NSX Manager erneut hinzufügen
  • Die Ereignisprotokoll-Warteschlange für eingehende Anmeldeereignisse ist begrenzt, und Anmeldeereignisse werden nicht empfangen, wenn das Protokoll voll ist.

Weitere Informationen zur Synchronisierung der Domänen finden Sie unter Synchronisieren einer Windows-Domäne mit Active Directory.

Tabelle 5. OS mit Guest-Introspektion
Server/Version Unterstützt?
Win-7 (32-Bit, 64 Bit) Ja
Win-8 (64 Bit) Ja
Win-10 (32-Bit, 64 Bit) Ja
Windows Server 2016 Ja.
Windows Server 2012 Ja
Windows Server 2008 R2 Ja
Linux-Unterstützung Nein
Einschränkung der Guest-Introspektion
  • GI-Framework muss in allen Clustern bereitgestellt werden, die in den IDFW-VMs ausgeführt werden.

  • Eine vollständige Installation von VMware Tools ™ muss auf allen Guestt-VMs installiert sein.

  • UDP-Sitzungen werden nicht unterstützt. Netzwerkereignisse werden für UDP-Sitzungen auf Guest-VMs nicht erzeugt.
  • Die Linux-GOS-Integration mit dem Active Directory Server wird nicht unterstützt.

Unterstützte Microsoft Active Directory-Konfigurationen

Basierend auf den Standard- und der Best-Practices-Designleitfäden von Microsoft, https://msdn.microsoft.com/en-us/library/bb727085.aspx werden folgende Konfigurationen der Active Directory-Gesamtstrukturen, Domänen, Domain-Strukturen, Gruppen/Benutzer unterstützt, und für die identitätsbasierte Firewall getestet:

Tabelle 6. Einzelne Struktur, einzelne Domäne und Verschachtelungen von Active Directory-Gruppen und Benutzerkonfigurationen
Szenarien Unterstützt?
Die Benutzermitgliedschaft innerhalb der Domäne ändern Ja
Zirkuläre Gruppenmitgliedschaft Ja, ab 6.2.8 unterstützt
Verschachtelte Gruppenmitgliedschaft Ja
Gruppenname hinzufügen und ändern Ja
Benutzername hinzufügen und ändern Ja
Gruppe und Benutzer löschen Ja
Benutzer deaktivieren und aktivieren Ja
Tabelle 7. Einzelne Struktur, Einzeldomäne, Unterdomänen-Struktur
Szenarien Unterstützt?
Benutzer, die in einer übergeordneten Domäne und in Teilen einer Gruppe in einer übergeordnete Domäne erstellt wurden Ja
Benutzer, die in einer untergeordneten Domäne, jedoch als Teil der Gruppen in einer übergeordnete Domäne erstellt wurden Nein
Benutzer, die in der untergeordneten Domäne1 und der Mitgliedschaft in einer untergeordneten Domäne2 erstellt wurden
Benutzermitgliedschaft zwischen zwei verschiedenen Domänen (Stamm- und untergeordnetes Element) ändern Ja
Zirkuläre Gruppenmitgliedschaft Ja, ab 6.2.8 unterstützt
Verschachtelte Gruppen-Mitgliedschaft in einer einzelnen Domäne (wird nicht für die Cross-Domäne unterstützt) Ja
Gruppen und Benutzername hinzufügen und ändern Ja
Gruppe und Benutzer löschen Ja
Benutzer deaktivieren und aktivieren Ja
Tabelle 8. Einzelne Struktur, Einzeldomäne, Unterdomänen-Struktur
Szenarien Unterstützt?
Domänenkennwort nach Synchronisierung ändern Ja
IP-Adresse nach der Synchronisierung ändern Ja
Domänen-Controller umbenennen Ja
Trennen und schließen Sie das Netzwerk des Domänen- und Ereignisprotokollservers während der Domänensynchronisierung an Ja
Trennen und schließen Sie das Netzwerk des Domänen- und Ereignisprotokollservers nach der Domänensynchronisierung an Ja
Hinweis: Regelerzwingungsfluss und Annahmen
  • Ein Ereignis wird nur dann als Benutzeranmeldung verarbeitet, wenn eine TCP-Sitzung von einer Guest-VM initiiert wird.
  • Benutzerabmeldeereignisse werden nicht gesendet oder verarbeitet. Der erzwungene Regelsatz bleibt bis zum Ablauf einer Zeitspanne von 8 Stunden nach der letzten Netzwerkaktivität eines Benutzers oder dem Generieren einer TCP-Verbindung über dieselbe VM durch einen anderen Benutzer erhalten. Dies behandelt das System als Abmeldung des ersten Benutzers und als Anmeldung des neuen Benutzers.

  • Multi-User-Unterstützung ist in IDFW mit RDSH in NSX 6.4.0 und höher verfügbar.
  • RDSH-VM-Anmeldungen werden in erster Linie von der Kontext-Engine für die Regelerzwingung verarbeitet. RDSH-Anmeldungen werden nur mit unter Verwendung von Benutzeridentität an der Quelle aktivieren erstellten Firewall-Regeln abgeglichen. Darüber hinaus muss die Regel in einem neuen Abschnitt der Firewallregeln erstellt werden. Wenn ein Benutzer in der Quell-Sicherheitsgruppe einer Nicht-Benutzeridentität angehört und sich bei einer RDSH-VM anmeldet, löst diese Anmeldung keine Umsetzung der Nicht-Benutzeridentität in der Quellsicherheitsgruppe aus. Eine RDSH-VM gehört keinesfalls zu einer Nicht-Benutzeridentität in Quell-Sicherheitsgruppen.