Wenn Sie eine identitätsbasierte Firewall (IDFW) migrieren möchten, müssen Sie die NSX-T-Umgebung vorbereiten.

Stellen Sie vor der Migration sicher, dass die folgenden Anforderungen erfüllt sind:
  • Die in NSX-V registrierten Active Directory-Domänen (AD) sind in NSX-T registriert.
  • Die in NSX-V registrierten LDAP-Server werden in NSX-T registriert.
  • Die in NSX-V registrierten Ereignisprotokollserver werden in NSX-T registriert.
  • Eine erfolgreiche vollständige Synchronisierung für jede neu registrierte AD-Domäne wird in NSX-T abgeschlossen.
  • Die IDFW-Umgebung in NSX-V wird von NSX-T unterstützt. Weitere Informationen finden Sie unterUnterstützte identitätsbasierte Firewall-Konfigurationen im NSX-T Data Center-Administratorhandbuch.
Beachten Sie Folgendes:
  • Erlauben Sie während der Migration nicht, dass sich neue Benutzer anmelden.
  • Einige IDFW-Regeln in NSX-V werden in NSX-T nicht unterstützt. Diese Regeln können nicht zu NSX-T migriert werden. Sie müssen sie überspringen oder ändern, um die Migration fortzusetzen.
  • Für IP-basierte IDFW-Verbindungen müssen sich Benutzer nach der Migration erneut anmelden, damit IDFW funktioniert. Wenn IDFW-Verbindungen für diese Benutzer während der Migration beibehalten werden sollen, müssen Sie manuell Schatten-Firewallregeln für diese Benutzer erstellen.
  • Für SID-basierte IDFW-Verbindungen müssen sich Benutzer nicht erneut anmelden, damit IDFW funktioniert.
  • In NSX-T kann IDFW auf globaler Ebene und auf Clusterebene konfiguriert werden. Da NSX-V keine Unterstützung für IDFW auf Clusterebene bietet, wird IDFW für alle Cluster nach der Migration in NSX-T aktiviert.
  • Sie müssen die Bereitstellung von Guest Introspection (GI) in NSX-V nach der Migration manuell aufheben, wenn die Bereitstellung von GI durch andere Migrationsvorgänge nicht aufgehoben wird.

Erstellen und Löschen einer Schatten-Firewallregel

Um nach dem Importieren der Konfiguration eine Schatten-Firewallregel zu erstellen, führen Sie die folgenden Schritte in NSX-T aus:
  1. Erstellen Sie ein IP Set für die Verzeichnisgruppe.
  2. Fügen Sie das IP Set derselben NSGroup hinzu, zu der die Verzeichnisgruppe gehört.
  3. Suchen Sie die IP-Adressen der VMs, bei denen Benutzer angemeldet sind.
  4. Fügen Sie die IP-Adressen zum IP Set hinzu.
Nachdem die VMs migriert und die Benutzer von den VMs abgemeldet wurden, gehen Sie wie folgt vor:
  1. Entfernen Sie die IP-Adressen aus dem IP Set.
  2. Nachdem alle IP-Adressen aus dem IP Set entfernt wurden, entfernen Sie das IP Set aus der NSGroup und löschen Sie das IP Set.