Active Directory-Objekte können verwendet werden, um Sicherheitsgruppen basierend auf der Benutzeridentität und identitätsbasierten Firewallregeln zu erstellen.

Hinweis: Aktivieren Sie den Distributed Intrusion Detection Service (IDS) nicht in einer Umgebung, die einen Distributed Load Balancer verwendet. NSX-T Data Center unterstützt die Verwendung von IDS mit einem Distributed Load Balancer nicht.

Sie können eine gesamte AD(Active Directory)-Domäne registrieren, die von IDFW (identitätsbasierte Firewall) verwendet werden soll. Sie können auch eine Teilmenge einer großen Domäne synchronisieren. Nach der Registrierung einer Domäne synchronisiert NSX alle von IDFW benötigten AD-Daten. Selektive Synchronisierung wird für große Active Directory-Domänen verwendet, in denen Sie nur die Maximalwerte für die Konfiguration synchronisieren möchten. Selektive Synchronisierung wird weiterhin angewendet.

Die selektive Synchronisierung ermöglicht es Ihnen, Organisationseinheiten gezielt auszuwählen, sodass Sie nicht die gesamte Domäne synchronisieren müssen. Nur die ausgewählten Organisationseinheiten, die seit der letzten Delta-Synchronisierung erstellt und geändert werden, werden während einer selektiven Synchronisierung aktualisiert. Gruppen, die aus den ausgewählten Organisationseinheiten verschoben werden, werden während einer selektiven Synchronisierung nicht aktualisiert. Gelöschte Gruppen werden in einer vollständigen Synchronisierung entfernt, wenn alle Gruppen aktualisiert werden. Informationen zum Angeben von Organisationseinheiten für die Synchronisierung finden Sie unter Konfigurieren von Active Directory und Ereignisprotokoll-Scraping.

Wenn Sie die API verwenden, um eine vollständige Synchronisierung manuell zu beenden, nachdem sie gestartet wurde, wird die Synchronisierungsstatistik nicht ordnungsgemäß aktualisiert.

Skalierungsgrenzwerte für Active Directory und IDFW finden Sie auf der Seite VMware Configuration Maximums.

Hinweis: IDFW vertraut auf die Sicherheit und Integrität des Gastbetriebssystems. Ein lokaler Administrator mit böswilligen Absichten hat mehrere Möglichkeiten, die Identität zu manipulieren und die Firewallregeln zu umgehen. Benutzeridentitätsinformationen werden vom Guest Introspection Agent innerhalb der Gast-VMs bereitgestellt. Sicherheitsadministratoren müssen sicherstellen, dass auf jeder Gast-VM der NSX Guest Introspection Agent installiert ist und ausgeführt wird. Angemeldete Benutzer sollten nicht über die Berechtigung zum Entfernen oder Beenden des Agents verfügen.

Prozedur

  1. Melden Sie sich mit Administratorrechten bei NSX Manager an.
  2. Navigieren Sie zu System > Identitäts-Firewall-AD.
  3. Klicken Sie neben dem zu synchronisierenden Active Directory auf das aus Drei-Punkte-Menü () und wählen Sie eine der folgenden Optionen aus:
    Gruppen, die aus den ausgewählten OrgUnits verschoben wurden, werden während einer selektiven Synchronisierung nicht aktualisiert. Gelöschte Gruppen werden in einer vollständigen Synchronisierung entfernt, wenn alle Gruppen aktualisiert werden.
    Option Beschreibung
    Alle Organisationseinheiten und Domänen synchronisieren Es wird eine vollständige Synchronisierung aller Organisationseinheiten durchgeführt.
    Zu synchronisierende Organisationseinheiten auswählen Wählen Sie Organisationseinheiten einzeln aus. Wenn die übergeordnete Einheit ausgewählt ist, werden die untergeordneten Einheiten innerhalb der übergeordneten Einheit automatisch ausgewählt. Sie können auch alle Organisationseinheiten auswählen, indem Sie das oberste Kontrollkästchen für Organisationseinheiten aktivieren und dann die Auswahl für die spezifischen Einheiten aufheben, die Sie nicht in die Synchronisierung aufnehmen möchten. Nur die ausgewählten Organisationseinheiten, die seit der letzten Delta-Synchronisierung erstellt und geändert werden, werden während einer selektiven Synchronisierung aktualisiert.
  4. Klicken Sie auf Speichern.
  5. Klicken Sie auf Synchronisierungsstatus anzeigen, um den aktuellen Status des Active Directory, den vorherigen Synchronisierungsstatus, den aktuellen Synchronisierungsstatus und den Zeitpunkt der letzten Synchronisierung anzuzeigen.