Pueden usarse los objetos de Active Directory para crear grupos de seguridad basados en identidades de usuario y reglas de firewall basadas en identidades.

Nota: No habilite el servicio de detección de intrusiones (IDS) distribuido en un entorno que utilice un equilibrador de carga distribuido. NSX-T Data Center no admite el uso de IDS con un equilibrador de carga distribuido.

Para habilitar la sincronización selectiva, utilice la API de creación/actualización de dominios con la sincronización selectiva habilitada y una lista de unidades organizativas (OU) seleccionadas. Cuando la sincronización selectiva está habilitada, NSX-T solo sincroniza los datos de AD dentro de las unidades organizativas seleccionadas. Durante una sincronización Delta selectiva, solo los datos del directorio compañía que se encuentran dentro de las unidades organizativas seleccionadas y que se crearon o cambiaron desde que se actualizó la última sincronización. Si se quitan grupos de directorios de las unidades organizativas seleccionadas, no se actualizarán durante una sincronización Delta selectiva. Se actualizarán durante una sincronización completa cuando se actualicen todos los grupos de directorios. Para obtener más información, consulte la Guía de la API de NSX-T Data Center.

Nota: Utilice la API para conectar un dominio de AD con más de 500 OU. La interfaz de usuario no admite la visualización de un dominio de AD con más de 500 OU.

Si utiliza la API para finalizar manualmente una sincronización completa después de que haya comenzado, las estadísticas de sincronización no se actualizarán correctamente.

Nota: IDFW se basa en la seguridad y la integridad del sistema operativo invitado. Existen varios métodos para que un Local Manager malintencionado suplante su identidad para omitir las reglas de firewall. Guest Introspection Agent de las máquinas virtuales invitadas proporciona la información de identidad del usuario. Los administradores de seguridad deben asegurarse de que NSX Guest Introspection Agent esté instalado y en ejecución en cada máquina virtual invitada. Los usuarios que iniciaron sesión no deben tener el privilegio para eliminar o detener el agente.

Procedimiento

  1. En un explorador, acceda a https://<dirección-ip-de-nsx-manager> e inicie sesión en NSX Manager con privilegios de administrador.
  2. Desplácese a Sistema > AD de firewall de identidad > Active Directory.
  3. Haga clic en el icono de menú de tres botones junto a la instancia de Active Directory que desea sincronizar y seleccione una de las siguientes opciones:
    Elemento del menú Descripción
    Sincronizar diferencial Realice una sincronización diferencial, donde se actualizan los objetos locales de Active Directory que cambiaron desde la última sincronización.
    Sincronizar todo Realice una sincronización completa, donde se actualiza el estado local de todos los objetos de Active Directory.
  4. Haga clic en Ver estado de sincronización para ver el estado actual de Active Directory, el estado de sincronización anterior, el estado de sincronización y la última hora de sincronización.