Problem

Die Veröffentlichung oder die Aktualisierung der Regeln einer identitätsbasierten Firewall schlägt fehl.

Ursache

Die identitätsbasierte Firewall (IDFW) ermöglicht die Verwendung von benutzerbasierten Regeln für die Verteilte Firewall (Distributed Firewall, DFW).

Benutzerbasierte Regeln für die Verteilte Firewall werden von der Mitgliedschaft in einer Active Directory-Gruppe bestimmt. IDFW prüft, wo Active Directory-Benutzer angemeldet sind, und ordnet die Anmeldungen jeweils einer IP-Adresse zu, die von der Verteilten Firewall zur Anwendung der Firewallregeln verwendet wird. Die identitätsbasierte Firewall erfordert entweder ein Guest Introspection-Framework und/oder Active Directory Event Log Scraper.

Prozedur

  1. Stellen Sie sicher, dass die vollständige oder inkrementelle Synchronisierung des Active Directory-Servers bei NSX Manager funktioniert.
    1. Melden Sie sich in vSphere Web Client bei dem vCenter an, das mit NSX Manager verknüpft ist.
    2. Wechseln Sie zu Start > Networking & Security > NSX Manager (Home > Networking & Security> NSX Managers) und wählen Sie Ihren NSX-Manager aus der Liste aus.
    3. Wählen Sie die Registerkarte Verwalten (Manage) und dann die Registerkarte Domänen (Domains) aus. Wählen Sie Ihre Domäne aus der Liste aus. Stellen Sie sicher, dass in der Spalte Letzter Synchronisierungsstatus (Last Synchronization Status) der Eintrag SUCCESS (ERFOLG) angezeigt wird und unter Letzte Synchronisierungszeit (Last Synchronization Time) die entsprechende Uhrzeit enthalten ist.
  2. Wenn Ihre Firewallumgebung die Methode des Ereignisprotokoll-Scraping für die Erkennung der Anmeldung verwendet, führen Sie die folgenden Schritte durch, um sicherzustellen, dass für Ihre Domäne ein Ereignisprotokoll-Server konfiguriert ist:
    1. Melden Sie sich in vSphere Web Client bei dem vCenter an, das mit NSX Manager verknüpft ist.
    2. Wechseln Sie zu Start > Networking & Security > NSX Manager (Home > Networking & Security> NSX Managers) und wählen Sie Ihren NSX-Manager aus der Liste aus.
    3. Wählen Sie die Registerkarte Verwalten (Manage) und dann die Registerkarte Domänen (Domains) aus. Wählen Sie Ihre Domäne aus der Liste aus. Hier können Sie die Domänenkonfiguration im Detail überprüfen und bearbeiten.
    4. Wählen Sie Ereignisprotokoll-Server (Event Log Servers) aus den Domänendetails aus und prüfen Sie, ob Ihr Ereignisprotokoll-Server hinzugefügt wurde.
    5. Wählen Sie Ihren Ereignisprotokoll-Server aus und stellen Sie sicher, dass in der Spalte Letzter Synchronisierungsstatus (Last Sync Status) der Eintrag SUCCESS (ERFOLG) angezeigt wird und unter Uhrzeit der letzten Synchronisierung (Last Sync Time) die entsprechende Uhrzeit.
  3. Wenn Ihre Firewallumgebung Guest Introspection verwendet, muss das Framework auf den Computerclustern bereitgestellt werden, auf denen sich Ihre IDFW-geschützten virtuellen Maschinen befinden. Der Systemzustand des Dienstes muss in der Benutzeroberfläche als grün angezeigt werden. Diagnoseinformationen zu Guest Introspection finden Sie in den Knowledgebase-Artikeln „Troubleshooting vShield Endpoint/NSX Guest Introspection“ (Fehlerbehebung für vShield Endpoint/NSX Guest Introspection; siehe https://kb.vmware.com/kb/2094261) und „Collecting logs in VMware NSX for vSphere 6.x Guest Introspection Universal Service Virtual Machine“ (Erfassen von Protokollen in der globalen Dienst-VM von VMware NSX for vSphere 6.x Guest Introspection; siehe https://kb.vmware.com/kb/2144624).
  4. Nach der Prüfung der Konfiguration Ihrer Methode zur Erkennung der Anmeldung stellen Sie sicher, dass NSX Manager Anmeldeereignisse empfängt.
    1. Melden Sie sich als Active Directory-Benutzer an.
    2. Führen Sie den im Folgenden aufgeführten Befehl zur Abfrage von Anmeldeereignissen aus. Stellen Sie sicher, dass Ihr Benutzer in den Ergebnissen zurückgegeben wird. GET https://<nsxmgr-ip>/1.0/identity/userIpMapping.
      Example output:
      <UserIpMappings>
          <UserIpMapping>
              <ip>50.1.111.192</ip>
              <userName>user1_group20</userName>
              <displayName>user1_group20</displayName>
              <domainName>cd.ad1.db.com</domainName>
              <startTime class="sql-timestamp">2017-05-11 22:30:51.0</startTime>
              <startType>EVENTLOG</startType>
              <lastSeenTime class="sql-timestamp">2017-05-11 22:30:52.0</lastSeenTime>
              <lastSeenType>EVENTLOG</lastSeenType>
          </UserIpMapping>
      </UserIpMappings>
  5. Stellen Sie sicher, dass Ihre Sicherheitsgruppe in einer Firewallregel verwendet wird oder über eine zugewiesene Sicherheitsrichtlinie verfügt. Die Sicherheitsgruppe wird in IDFW erst verarbeitet, wenn eine der im Folgenden aufgeführten Bedingungen zutrifft.
  6. Nach der Prüfung, ob IDFW Anmeldungen korrekt erkennt, stellen Sie sicher, dass der ESXi-Host mit Ihrer Desktop-VM die korrekte Konfiguration erhält. Für diese Schritte wird die zentrale NSX Manager-CLI verwendet. Um die IP-Adresse der Desktop-VM in der Liste ip-securitygroup zu prüfen, führen Sie folgende Schritte durch:
    1. Unter GUID-51A3BC3F-2C7C-4387-BE55-5BE131EED9B0.html#GUID-51A3BC3F-2C7C-4387-BE55-5BE131EED9B0 finden Sie Erläuterungen zum Abrufen des für die Desktop-VM angewendeten Filternamens.
    2. Führen Sie den Befehl show dfw host hostID filter filterID rules aus, um die Elemente der ermittelten Regeln für die Verteilte Firewall anzuzeigen.
    3. Führen Sie den Befehl show dfw host hostID filter filterID addrsets aus, um die IP-Adressen in der Liste ip-securitygroup anzuzeigen. Stellen Sie sicher, dass Ihre IP-Adresse in der Liste enthalten ist.

Ergebnisse

Hinweis: Für die Fehlerbehebung bei einer identitätsbasierten Firewall mithilfe des technischen Supports von VMware sind folgende Daten hilfreich:

  • Bei Verwendung des Ereignisprotokoll-Scraping Angaben zum Umfang in Active Directory:

    • Anzahl der Domänen für einen einzelnen NSX Manager

      Anzahl der Gesamtstrukturen

      Anzahl der Benutzer pro Gesamtstruktur

      Anzahl der Benutzer pro Domäne

      Anzahl der Active Directory-Gruppen pro Domäne

      Anzahl der Benutzer pro Active Directory-Gruppe

      Anzahl von Active Directory pro Benutzer

      Anzahl der Domänen-Controller

      Anzahl der Active Directory-Protokollserver

  • Angaben zum Umfang der Benutzeranmeldung:

    • Durchschnittliche Anzahl der Benutzer pro Minute

  • Bereitstellungsdetails mithilfe von IDFW mit VDI:

    • Anzahl der VDI-Desktops pro VC

      Anzahl der Hosts pro VC

      Anzahl der VDI-Desktops pro Host

  • Bei Verwendung von Guest Introspection:

    • Version von VMware Tools (Guest Introspection-Treiber)

      Version des Windows-Gastbetriebssystems