Active Directory-Objekte können verwendet werden, um Sicherheitsgruppen basierend auf der Benutzeridentität und identitätsbasierten Firewallregeln zu erstellen.

Hinweis: Aktivieren Sie den Distributed Intrusion Detection Service (IDS) nicht in einer Umgebung, die einen Distributed Load Balancer verwendet. NSX-T Data Center unterstützt die Verwendung von IDS mit einem Distributed Load Balancer nicht.

Um die selektive Synchronisierung zu aktivieren, verwenden Sie die API für das Erstellen/Aktualisieren von Domänen mit aktivierter selektiver Synchronisierung sowie eine Liste ausgewählter Organisationseinheiten (OE). Wenn die selektive Synchronisierung aktiviert ist, synchronisiert NSX-T nur die AD-Daten innerhalb der ausgewählten Organisationseinheiten. Bei einer selektiven Deltasynchronisierung werden nur die Acitve Directory-Daten aktualisiert, die sich in den ausgewählten Organisationseinheiten befinden und seit der letzten Synchronisierung erstellt oder geändert wurden. Wenn Verzeichnisgruppen aus den ausgewählten Organisationseinheiten entfernt wurden, werden diese bei einer selektiven Deltasynchronisierung nicht aktualisiert. Sie werden bei einer vollständigen Synchronisierung aktualisiert, wenn alle Verzeichnisgruppen aktualisiert werden. Weitere Informationen finden Sie im Dokument Handbuch für die NSX-T Data Center-API.

Wenn Sie die API verwenden, um eine vollständige Synchronisierung manuell zu beenden, nachdem sie gestartet wurde, wird die Synchronisierungsstatistik nicht ordnungsgemäß aktualisiert.

Hinweis: IDFW vertraut auf die Sicherheit und Integrität des Gastbetriebssystems. Ein lokaler Administrator mit böswilligen Absichten hat mehrere Möglichkeiten, die Identität zu manipulieren und die Firewallregeln zu umgehen. Benutzeridentitätsinformationen werden vom Guest Introspection Agent innerhalb der Gast-VMs bereitgestellt. Sicherheitsadministratoren müssen sicherstellen, dass auf jeder Gast-VM der NSX Guest Introspection Agent installiert ist und ausgeführt wird. Angemeldete Benutzer sollten nicht über die Berechtigung zum Entfernen oder Beenden des Agents verfügen.

Prozedur

  1. Melden Sie sich in Ihrem Browser mit Administratorrechten bei einem NSX Manager unter https://<nsx-manager-ip-address> an.
  2. Navigieren Sie zu System > Identitäts-Firewall-AD > Active Directory.
  3. Klicken Sie neben dem zu synchronisierenden Active Directory auf das aus drei Punkten bestehende Menüsymbol und wählen Sie eine der folgenden Optionen aus:
    Menüelement Beschreibung
    Delta synchronisieren Durchführen einer Delta-Synchronisierung, bei der lokale AD-Objekte aktualisiert werden, die sich seit der letzten Synchronisierung geändert haben.
    Alle synchronisieren Durchführen einer vollständigen Synchronisierung, bei der der lokale Zustand aller AD-Objekte aktualisiert wird.
  4. Klicken Sie auf Synchronisierungsstatus anzeigen, um den aktuellen Status des Active Directory, den vorherigen Synchronisierungsstatus, den aktuellen Synchronisierungsstatus und den Zeitpunkt der letzten Synchronisierung anzuzeigen.