Active Directory wird bei der Erstellung von benutzerbasierten Identitäts-Firewallregeln verwendet.

Windows 2008 wird nicht als Active Directory-Server oder RDSH-Server-Betriebssystem unterstützt.

Sie können eine oder mehrere Windows-Domänen bei einem NSX Manager registrieren. NSX Manager ruft Gruppen- und Benutzerinformationen sowie die Beziehung zwischen diesen aus jeder Domäne ab, bei der er registriert ist. NSX Manager ruft außerdem Active Directory-Anmeldedaten (AD) ab.

Sobald das Active Directory mit NSX Manager synchronisiert ist, können Sie Sicherheitsgruppen auf Basis der Benutzeridentität und identitätsbasierte Firewallregeln erstellen.

Skalierungsgrenzwerte für Active Directory, Ereignisprotokoll-Scraping und IDFW finden Sie auf der Seite VMware-Konfigurationsmaximalwerte.

Hinweis: Zur Erzwingung der identitätsbasierten Firewallregel sollte für den Windows-Zeitdienst ein für alle VMs festgelegt sein, die Active Directory verwenden. Dadurch wird sichergestellt, dass Datum und Uhrzeit zwischen Active Directory und VMs synchronisiert werden. Änderungen der AD-Gruppenmitgliedschaft, einschließlich der Aktivierung und Löschung von Benutzern, werden nicht sofort für angemeldete Benutzer wirksam. Damit die Änderungen wirksam werden, müssen sich die Benutzer abmelden und erneut anmelden. AD-Administratoren sollten eine Abmeldung erzwingen, wenn die Gruppenmitgliedschaft geändert wird. Dieses Verhalten ist eine Beschränkung von Active Directory.

Voraussetzungen

Wenn Sie Ereignisprotokoll-Scraping verwenden, muss NTP auf allen Geräten, die das Protokoll-Scraping verwenden sollen, korrekt konfiguriert sein. Weitere Informationen finden Sie unter Zeitsynchronisierung zwischen NSX Manager, vIDM und zugehörigen Komponenten.

Das Domänenkonto muss über Active Directory-Leseberechtigung für alle Objekte in der Domänenstruktur verfügen. Das Konto des Ereignisprotokolllesers muss über Leseberechtigungen für Sicherheits-Ereignisprotokolle verfügen. Siehe Aktivieren des Zugriffs auf Windows-Sicherheitsprotokoll für den Ereignisprotokollleser.

Prozedur

  1. Melden Sie sich mit Administratorrechten bei NSX Manager an.
  2. Navigieren Sie zu System > Identitäts-Firewall-AD.
  3. Klicken Sie auf Active Directory hinzufügen.
  4. Geben Sie den Namen des Active Directory ein.
  5. Geben Sie den NetBios-Namen und den Basis-DN (Distinguished Name) ein.
    Um den netBIOS-Namen für die Domäne abzurufen, geben Sie nbtstat -n in einem Befehlsfenster auf einer Windows-Workstation ein, die Teil einer Domäne ist oder die sich auf einem Domänencontroller befindet. In der lokalen NetBIOS-Namenstabelle ist der Eintrag mit einem Präfix <00> und dem Typ „Gruppe“ der NetBIOS-Name.
    Ein Basisdefinierter Name (Basis-DN) ist erforderlich, um eine Active Directory-Domäne hinzuzufügen. Ein-Basis-DN ist der Startpunkt, den ein LDAP-Server bei der Suche nach Benutzerauthentifizierung innerhalb einer Active Directory-Domäne verwendet. Wenn Ihr Domänenname z. B. „corp.local“ lautet, wird der DN für den Basis-DN für Active Directory auf „DC=corp, DC=local“ angegeben.
  6. Legen Sie bei Bedarf das Delta-Synchronisierungsintervall fest. Eine Delta-Synchronisierung aktualisiert lokale AD-Objekte, die sich seit der letzten Synchronisierung geändert haben.
    Alle Änderungen, die Sie in Active Directory vornehmen, werden in NSX Manager erst angezeigt, wenn eine Delta- oder vollständige Synchronisierung durchgeführt wurde.
  7. Legen Sie den LDAP-Server fest. Weitere Informationen hierzu finden Sie unter Hinzufügen eines LDAP-Servers.
  8. (Optional) Legen Sie den Ereignisprotokollserver fest. Geben Sie die Host-IP oder den FQDN, den Benutzernamen und das Kennwort ein und klicken Sie dann auf Anwenden.
  9. Klicken Sie neben Zu synchronisierende Organisationseinheiten auf Alle Organisationseinheiten und Domänen synchronisieren oder Zu synchronisierende Organisationseinheiten auswählen aus.
    Gruppen, die aus den ausgewählten OrgUnits verschoben werden, werden während einer selektiven Synchronisierung nicht aktualisiert. Gelöschte Gruppen werden in einer vollständigen Synchronisierung entfernt, wenn alle Gruppen aktualisiert werden.
    Option Beschreibung
    Alle Organisationseinheiten und Domänen synchronisieren Es wird eine vollständige Synchronisierung aller Organisationseinheiten durchgeführt.
    Zu synchronisierende Organisationseinheiten auswählen Wählen Sie Organisationseinheiten einzeln aus. Wenn die übergeordnete Einheit ausgewählt ist, werden die untergeordneten Einheiten innerhalb der übergeordneten Einheit automatisch ausgewählt. Sie können auch alle Organisationseinheiten auswählen, indem Sie das oberste Kontrollkästchen für Organisationseinheiten aktivieren und dann die Auswahl für die spezifischen Einheiten aufheben, die Sie nicht in die Synchronisierung aufnehmen möchten. Nur die ausgewählten Organisationseinheiten, die seit der letzten Delta-Synchronisierung erstellt und geändert werden, werden während einer selektiven Synchronisierung aktualisiert. Beachten Sie, dass Sie Organisationseinheiten auswählen müssen, die Benutzer enthalten, wenn sich Benutzer und Gruppen in unterschiedlichen Organisationseinheiten befinden.
  10. Klicken Sie auf Speichern.
  11. Der Bildschirm „Active Directory“ wird im schreibgeschützten Modus angezeigt.
  12. So bearbeiten Sie ein Active Directory:
    1. Klicken Sie neben dem Active Directory auf das Menü mit den drei Punkten ("") und dann auf Bearbeiten.
    2. Sie können jetzt zwei Aktionen ausführen: Delta synchronisieren oder Alle synchronisieren. Weitere Informationen finden Sie unter Synchronisieren von Active Directory.