Servidores de directorio y servidores de extracción de registros admitidos por IDFW.
| Servidor/Versión | ¿Admitido? |
|---|---|
| Windows Server 2016 | Sí |
| Windows Server 2012 | Sí |
| Windows Server 2012 R2 | Sí |
| Windows Server 2008 R2 | No |
| Windows Server 2008 | No |
| Windows Server 2003 | No |
| Servidores LDAP que no sean de Microsoft AD | No |
| Servidor/Versión | ¿Admitido? |
|---|---|
| Windows 2016 | Sí |
| Windows 2012 con VMware Tools 10.2.5 y versiones posteriores | Sí |
| Windows 2012 R2 con VMware Tools 10.2.5 y versiones posteriores | Sí |
Tenga en cuenta que Identity Firewall con soporte para RDSH requiere que se instalen los controladores de red de Guest Introspection.
| Servidor/Versión | ¿Admitido? |
|---|---|
| Sincronización de dominios con LDAP u LDAPs | Sí |
| Adición de registro de eventos con CIFs y WMI | Sí |
| Sincronización de dominios con rootDN único | Sí |
| Sincronización de dominios con varias unidades organizativas de RootDN | 6.4.0 y posteriores |
| Sincronización de dominios con un solo subárbol de unidades organizativas con jerarquía de nivel | 6.4.0 y posteriores |
| Sincronización de dominios con varios subárboles de unidades organizativas | 6.4.0 y posteriores |
| Eliminar y volver a agregar el mismo dominio con una unidad organizativa selectiva | 6.4.0 y posteriores |
| Agregar un nuevo subárbol a una unidad organizativa sincronizada | 6.4.0 y posteriores |
| Sincronizar con BaseDN selectivo | 6.4.0 y posteriores |
| Sincronizar ignorando a los usuarios deshabilitados | Sí |
| Sincronización diferencial con cambios en el dominio de AD | Sí |
| Servidor/Versión | ¿Admitido? |
|---|---|
| Windows Server 2016 | Sí |
| Windows Server 2012 | Sí |
| Windows Server 2012 R2 | Sí |
| Windows Server 2008 R2 | Sí |
| Linux u otras implementaciones de LDAP | No |
- Si se producen las siguientes condiciones, la máquina virtual se debe reiniciar en caso de un evento entrante de inicio de sesión:
- se deshabilitan o habilitan usuarios
- cambia la dirección IP de la máquina virtual
- se vuelve a agregar el mismo dominio con NSX Manager
- La cola del registro de eventos para los eventos de inicio de sesión entrantes es limitada, y los eventos de inicio de sesión no se reciben si el registro está lleno.
Para obtener más información sobre la sincronización de dominios, consulte Sincronizar un dominio de Windows con Active Directory.
| Servidor/Versión | ¿Admitido? |
|---|---|
| Win-7 (32 y 64 bits) | Sí |
| Win-8 (64 bits) | Sí |
| Win-10 (32 y 64 bits) | Sí |
| Windows Server 2016 | Sí. |
| Windows Server 2012 | Sí |
| Windows Server 2008 R2 | Sí |
| Soporte para Linux | No |
El marco de GI se debe implementar en todos los clústeres donde se ejecuten máquinas virtuales de IDFW.
Se debe realizar una instalación completa de VMware Tools ™ en todas las máquinas virtuales invitadas.
- No se admiten las sesiones UDP. No se generan eventos de red para las sesiones UDP en máquinas virtuales invitadas.
- No se admite la integración de Linux GOS con el servidor de Active Directory.
Configuraciones de Microsoft Active Directory admitidas
Según las directrices de diseño de prácticas recomendadas y estándares de Microsoft (https://msdn.microsoft.com/en-us/library/bb727085.aspx), siguiendo las configuraciones de bosques de Active Directory, los dominios, los árboles de dominios y los grupos/usuarios se probaron y están admitidos en el firewall de identidad:
| Situaciones | ¿Admitido? |
|---|---|
| Cambiar la pertenencia de usuarios al dominio | Sí |
| Pertenencia a un grupo circular | Sí, se admite desde la versión 6.2.8 |
| Pertenencia a grupos anidados | Sí |
| Agregar y modificar el nombre del grupo | Sí |
| Agregar y modificar el nombre de usuario | Sí |
| Eliminar el grupo y el usuario | Sí |
| Deshabilitar y habilitar el usuario | Sí |
| Situaciones | ¿Admitido? |
|---|---|
| Usuarios creados en el dominio principal y parte de grupos en el dominio principal | Sí |
| Usuarios creados en un dominio secundario, pero que forman parte de grupos del dominio principal | No |
| Usuarios creados en el dominio secundario 1 y cuya pertenencia está en el dominio secundario 2 | |
| Cambiar la pertenencia de usuarios entre dos dominios de diferentes (raíz y secundario) | Sí |
| Pertenencia a un grupo circular | Sí, se admite desde la versión 6.2.8 |
| Pertenencia a grupos anidados en un solo dominio (no admitido para dominios cruzados) | Sí |
| Agregar y modificar grupos y nombres de usuario | Sí |
| Eliminar el grupo y el usuario | Sí |
| Deshabilitar y habilitar el usuario | Sí |
| Situaciones | ¿Admitido? |
|---|---|
| Cambiar la contraseña del dominio después de la sincronización | Sí |
| Cambiar la dirección IP después de la sincronización | Sí |
| Cambiar el nombre de los controladores de dominio | Sí |
| Desconectar y volver a conectar la red del dominio y el servidor de registros de eventos durante la sincronización de dominios | Sí |
| Desconectar y volver a conectar la red del dominio y el servidor de registros de eventos después de la sincronización de dominios | Sí |
- El evento de inicio de sesión del usuario se procesa únicamente cuando se inicia una sesión TCP desde una máquina virtual invitada.
-
Los eventos de cierre de sesión de los usuarios no se envían o no se procesan. El conjunto de reglas aplicadas se mantiene hasta que transcurre un intervalo de tiempo de 8 horas desde la última actividad en la red de un usuario o hasta que un usuario diferente genera una conexión TCP desde la misma máquina virtual. El sistema procesa esto como un cierre de sesión del usuario anterior y un inicio de sesión del nuevo usuario.
- En NSX 6.4.0 y versiones posteriores se admiten varios usuarios con IDFW con RDSH.
-
El motor de contexto para el cumplimiento de reglas gestiona los inicios de sesión en máquinas virtuales de RDSH. Los inicios de sesión RDSH solo coinciden con las reglas de firewall que se crearon con Habilitar la identidad del usuario en el origen (Enable User Identity at Source) y la regla se debe crear en una nueva sección de Reglas de firewall (Firewall Rules). Si un usuario pertenece a un grupo de seguridad de usuarios sin identidad en el origen e inicia sesión en una máquina virtual de RDSH, el inicio de sesión no activará ninguna traducción de este grupo de seguridad. Una máquina de RDSH nunca pertenece a un grupo de seguridad de usuarios sin identidad en el origen.
