Active Directory-Objekte können verwendet werden, um Sicherheitsgruppen basierend auf der Benutzeridentität und identitätsbasierten Firewallregeln zu erstellen.

Hinweis: Aktivieren Sie den Distributed Intrusion Detection Service (IDS) nicht in einer Umgebung, die einen Distributed Load Balancer verwendet. NSX-T Data Center unterstützt die Verwendung von IDS mit einem Distributed Load Balancer nicht.

Sie können eine gesamte AD(Active Directory)-Domäne registrieren, die von IDFW (identitätsbasierte Firewall) verwendet werden soll. Sie können auch eine Teilmenge einer großen Domäne synchronisieren. Nach der Registrierung einer Domäne synchronisiert NSX alle von IDFW benötigten AD-Daten. Für große Active Directory-Domänen wird die selektive Synchronisierung verwendet.

Die selektive Synchronisierung ermöglicht es Ihnen, Organisationseinheiten gezielt auszuwählen, sodass Sie nicht die gesamte Domäne synchronisieren müssen. Nur die ausgewählten Organisationseinheiten, die seit der letzten Delta-Synchronisierung erstellt und geändert werden, werden während einer selektiven Synchronisierung aktualisiert. Gruppen, die aus den ausgewählten Organisationseinheiten verschoben werden, werden während einer selektiven Synchronisierung nicht aktualisiert. Die Maximalwerte für die Konfiguration gelten für die selektive Synchronisierung weiterhin. Gelöschte Gruppen werden in einer vollständigen Synchronisierung entfernt, wenn alle Gruppen aktualisiert werden. Informationen zum Angeben von Organisationseinheiten für die Synchronisierung finden Sie unter Konfigurieren von Active Directory und Ereignisprotokoll-Scraping.

Wenn Sie die API verwenden, um eine vollständige Synchronisierung manuell zu beenden, nachdem sie gestartet wurde, wird die Synchronisierungsstatistik nicht ordnungsgemäß aktualisiert.

Skalierungsgrenzwerte für Active Directory und IDFW finden Sie auf der Seite VMware Configuration Maximums.

Hinweis: IDFW vertraut auf die Sicherheit und Integrität des Gastbetriebssystems. Es gibt mehrere Methoden für einen böswilligen lokalen Administrator, seine Identität zu manipulieren, um Firewallregeln zu umgehen. Benutzeridentitätsinformationen werden vom Guest Introspection Agent innerhalb der Gast-VMs bereitgestellt. Sicherheitsadministratoren müssen sicherstellen, dass auf jeder Gast-VM der NSX Guest Introspection Agent installiert ist und ausgeführt wird. Angemeldete Benutzer sollten nicht über die Berechtigung zum Entfernen oder Beenden des Agents verfügen.

Prozedur

  1. Melden Sie sich mit Administratorrechten bei NSX Manager an.
  2. Navigieren Sie zu System > Identitäts-Firewall-AD.
  3. Klicken Sie neben dem zu synchronisierenden Active Directory auf das aus Drei-Punkte-Menü ("") und wählen Sie eine der folgenden Optionen aus:
    Option Beschreibung
    Alle synchronisieren Unabhängig vom Status der Synchronisierung auf NSX wird eine vollständige Synchronisierung aller Daten vom Active Directory durchgeführt.
    Delta synchronisieren Durchführen einer Delta-Synchronisierung, bei der lokale AD-Objekte aktualisiert werden, die sich seit der letzten Synchronisierung geändert haben.

    Es wird keine vollständige Synchronisierung aller Daten durchgeführt. Gelöschte Gruppen werden in einer vollständigen Synchronisierung entfernt, wenn alle Gruppen aktualisiert werden.

  4. Klicken Sie auf Speichern.
  5. Klicken Sie auf Synchronisierungsstatus anzeigen, um den aktuellen Status des Active Directory, den vorherigen Synchronisierungsstatus, den aktuellen Synchronisierungsstatus und den Zeitpunkt der letzten Synchronisierung anzuzeigen.