Problema

Se produce un error al publicar o actualizar las reglas del firewall de identidad.

Origen

El firewall de identidad (IDFW) permite normas del firewall distribuido establecidas por el usuario (DFW)

Las reglas del firewall distribuido establecidas por el usuario están determinadas por la pertenencia a un grupo Active Directory (AD). IDFW supervisa si los usuarios de Active Directory iniciaron sesión y asignan el registro a una dirección IP que usa el DFW para aplicar reglas del firewall. IDFW necesita el marco Guest Introspection o la extracción de los registros de eventos de Active Directory.

Procedimiento

  1. Asegúrese de que la sincronización completa/delta del servidor de Active Directory esté funcionando en NSX Manager.
    1. En vSphere Web Client, inicie sesión en el vCenter vinculado a NSX Manager.
    2. Desplácese hasta Inicio > Redes y seguridad > NSX Manager (Home > Networking & Security> NSX Managers) y, a continuación, seleccione el NSX Manager de la lista.
    3. Seleccione la pestaña Administrar (Manage) y, a continuación, la pestaña Dominios (Domains). Seleccione su dominio de la lista. Compruebe que en la columna Estado de la última sincronización (Last Synchronization Status) aparezca CORRECTO (SUCCESS) y que la Hora de la última sincronización (Last Synchronization Time) sea la actual.
  2. Si el entorno de firewall utiliza el método de extracción de registros de eventos, siga estos pasos para comprobar que configuró un servidor de registro de eventos para el dominio:
    1. En vSphere Web Client, inicie sesión en el vCenter vinculado a NSX Manager.
    2. Desplácese hasta Inicio > Redes y seguridad > NSX Manager (Home > Networking & Security> NSX Managers) y, a continuación, seleccione el NSX Manager de la lista.
    3. Seleccione la pestaña Administrar (Manage) y, a continuación, la pestaña Dominios (Domains). Seleccione su dominio de la lista. Aquí puede ver y modificar la configuración detallada de dominios.
    4. Seleccione los Servidores de registro de eventos (Event Log Servers) de los detalles del dominio y compruebe que el servidor de registro de eventos esté agregado.
    5. Seleccione el servidor de registro de eventos y compruebe que en la columna Estado de la última sincronización (Last Synchronization Status) aparezca CORRECTO (SUCCESS) y que la Hora de la última sincronización sea la actual.
  3. Si el entorno de firewall utiliza Guest Introspection, el marco de trabajo debe implementarse en los clústeres informáticos donde residirán las máquinas virtuales protegidas por IDFW. El Estado de servicio (Service Health Status) de la interfaz de usuario debe ser de color verde. Puede encontrar la información de diagnóstico de Guest Introspection en el siguiente artículo de la base de conocimientos sobre cómo solucionar problemas en vShield Endpoint o NSX Guest Introspection (https://kb.vmware.com/kb/2094261) y en el artículo sobre cómo recopilar registros en la máquina virtual de servicio universal de VMware NSX for vSphere 6.x Guest Introspection (https://kb.vmware.com/kb/2144624).
  4. Después de comprobar que la configuración de su método de detección de inicio de sesión sea correcta, asegúrese de que NSX Manager reciba eventos de inicio de sesión:
    1. Inicie sesión como usuario de Active Directory.
    2. Ejecute el siguiente comando para consultar los eventos de inicio de sesión. Verifique que el usuario reciba los resultados. GET https://<nsxmgr-ip>/1.0/identity/userIpMapping.
      Example output:
      <UserIpMappings>
          <UserIpMapping>
              <ip>50.1.111.192</ip>
              <userName>user1_group20</userName>
              <displayName>user1_group20</displayName>
              <domainName>cd.ad1.db.com</domainName>
              <startTime class="sql-timestamp">2017-05-11 22:30:51.0</startTime>
              <startType>EVENTLOG</startType>
              <lastSeenTime class="sql-timestamp">2017-05-11 22:30:52.0</lastSeenTime>
              <lastSeenType>EVENTLOG</lastSeenType>
          </UserIpMapping>
      </UserIpMappings>
  5. Verifique que su grupo de seguridad se utilice en una regla de firewall o que tenga una directiva de seguridad asignada. Los grupos de seguridad no se procesarán en IDFW, a menos que una de estas condiciones sea cierta.
  6. Después de comprobar que IDFW detecte los inicios de sesión correctamente, verifique que el host ESXi en el que reside la máquina virtual de escritorio reciba la configuración correcta. Estos pasos utilizarán la CLI central de NSX Manager. Para comprobar la dirección IP de la máquina virtual de escritorio que se rellena en la lista ip-securitygroup:
    1. Consulte GUID-51A3BC3F-2C7C-4387-BE55-5BE131EED9B0.html#GUID-51A3BC3F-2C7C-4387-BE55-5BE131EED9B0 para recuperar el nombre del filtro aplicado en la máquina virtual de escritorio.
    2. Ejecute el comando show dfw host hostID filter filterID rules para ver los elementos de las reglas de ubicación de DFW.
    3. Ejecute el comando show dfw host hostID filter filterID addrsets para ver la dirección IP rellenada en la lista ip-securitygroup. Verifique que su IP aparezca en la lista.

Resultados

Nota: Esta información es útil para solucionar problemas relacionados con IDFW mediante el soporte técnico de VMware:

  • Si utiliza los datos de escala de Active Directory de la extracción de registros de eventos:

    • Número de dominios para un único NSX Manager

      Número de bosques

      Número de usuarios por bosque

      Número de usuarios por dominio

      Número de grupos de Active Directory por dominio

      Número de usuarios por grupo de Active Directory

      Número de Active Directory por usuario

      Número de controladores de dominio

      Número de servidores de registro de Active Directory

  • Datos de escala de inicio de sesión de usuario:

    • Número medio de usuarios por minuto

  • Detalles de la implementación mediante IDFW con VDI:

    • Número de escritorios VDI por VC

      Número de hosts por VC

      Número de escritorios VDI por host

  • Si utiliza Guest Introspection:

    • Versión de VMTools (controladores de Guest Instrospection)

      Versión del sistema operativo invitado Windows