Active Directory wird bei der Erstellung von benutzerbasierten Identitäts-Firewallregeln verwendet.

Windows 2008 wird nicht als Active Directory-Server oder RDSH-Server-Betriebssystem unterstützt.

Sie können eine oder mehrere Windows-Domänen bei einem NSX Manager registrieren. NSX Manager ruft Gruppen- und Benutzerinformationen sowie die Beziehung zwischen diesen aus jeder Domäne ab, bei der er registriert ist. NSX Manager ruft außerdem Active Directory-Anmeldedaten (AD) ab.

Sie können eine gesamte AD(Active Directory)-Domäne registrieren, die von IDFW (identitätsbasierte Firewall) verwendet werden soll. Sie können auch eine Teilmenge einer großen Domäne synchronisieren. Nach der Registrierung einer Domäne synchronisiert NSX alle von IDFW benötigten AD-Daten.

Sobald das Active Directory mit NSX Manager synchronisiert ist, können Sie Sicherheitsgruppen auf Basis der Benutzeridentität und identitätsbasierte Firewallregeln erstellen.

Hinweis: Zur Erzwingung der identitätsbasierten Firewallregel sollte für den Windows-Zeitdienst ein für alle VMs festgelegt sein, die Active Directory verwenden. Dadurch wird sichergestellt, dass Datum und Uhrzeit zwischen Active Directory und VMs synchronisiert werden. Änderungen der AD-Gruppenmitgliedschaft, einschließlich der Aktivierung und Löschung von Benutzern, werden nicht sofort für angemeldete Benutzer wirksam. Damit die Änderungen wirksam werden, müssen sich die Benutzer abmelden und erneut anmelden. AD-Administratoren sollten eine Abmeldung erzwingen, wenn die Gruppenmitgliedschaft geändert wird. Dieses Verhalten ist eine Beschränkung von Active Directory.

Prozedur

  1. Melden Sie sich in Ihrem Browser mit Administratorrechten bei einem NSX Manager unter https://<nsx-manager-ip-address> an.
  2. Navigieren Sie zu System > Identitäts-Firewall-AD > Active Directory.
  3. Klicken Sie auf Active Directory hinzufügen.
  4. Geben Sie den Namen des Active Directory ein.
  5. Geben Sie den NetBios-Namen und den Basis-DN (Distinguished Name) ein.
    Um den netBIOS-Namen für die Domäne abzurufen, geben Sie nbtstat -n in einem Befehlsfenster auf einer Windows-Workstation ein, die Teil einer Domäne ist oder die sich auf einem Domänencontroller befindet. In der lokalen NetBIOS-Namenstabelle ist der Eintrag mit einem Präfix <00> und dem Typ „Gruppe“ der NetBIOS-Name.
    Ein Basisdefinierter Name (Basis-DN) ist erforderlich, um eine Active Directory-Domäne hinzuzufügen. Ein-Basis-DN ist der Startpunkt, den ein LDAP-Server bei der Suche nach Benutzerauthentifizierung innerhalb einer Active Directory-Domäne verwendet. Wenn Ihr Domänenname z. B. „corp.local“ lautet, wird der DN für den Basis-DN für Active Directory auf „DC=corp, DC=local“ angegeben.
  6. Legen Sie das Delta-Synchronisierungsintervall bei Bedarf fest. Eine Delta-Synchronisierung aktualisiert lokale AD-Objekte, die sich seit der letzten Synchronisierung geändert haben.
    Alle Änderungen, die Sie in Active Directory vornehmen, werden in NSX Manager erst angezeigt, wenn eine Delta- oder vollständige Synchronisierung durchgeführt wurde.
  7. Klicken Sie auf Speichern.