Pueden usarse los objetos de Active Directory para crear grupos de seguridad basados en identidades de usuario y reglas de firewall basadas en identidades.
Puede registrar un dominio completo de AD (Active Directory) para que lo utilice IDFW (Firewall de identidad), o bien puede sincronizar un subconjunto de un dominio de gran tamaño. Una vez que se haya registrado un dominio, NSX sincronizará todos los datos de AD requeridos por IDFW. La sincronización selectiva se utiliza para dominios de Active Directory de gran tamaño.
La sincronización selectiva le permite elegir de forma selectiva las unidades organizativas para que no tenga que sincronizar todo el dominio. Solo las unidades de organización seleccionadas que se crearon y se modificaron desde la última sincronización Delta se actualizarán durante una sincronización selectiva. Los grupos que se sacan de las unidades de organización seleccionadas no se actualizan durante una sincronización selectiva. Los valores máximos de configuración siguen aplicando la sincronización selectiva. Los grupos eliminados se eliminan en una sincronización completa cuando se actualizan todos los grupos. Para especificar unidades de organización para la sincronización, consulte Configurar Active Directory y la extracción de registros de eventos.
Si utiliza la API para finalizar manualmente una sincronización completa después de que haya comenzado, las estadísticas de sincronización no se actualizarán correctamente.
Los límites de escala de Active Directory e IDFW se pueden encontrar en la página Valores máximos de configuración de VMware.
Procedimiento
- Con privilegios de administrador, inicie sesión en NSX Manager.
- Desplácese a .
- Haga clic en el icono de menú de tres botones () junto a la instancia de Active Directory que desea sincronizar y seleccione una de las siguientes opciones:
Opción Descripción Sincronizar todo La sincronización completa de todos los datos se realiza desde Active Directory, independientemente del estado de sincronización en NSX. Sincronizar diferencial Realice una sincronización diferencial, donde se actualizan los objetos locales de Active Directory que cambiaron desde la última sincronización. No se realiza una sincronización completa de todos los datos. Los grupos eliminados se quitan durante la sincronización completa, cuando se actualizan todos los grupos.
- Haga clic en Guardar.
- Haga clic en Ver estado de sincronización para ver el estado actual de Active Directory, el estado de sincronización anterior, el estado de sincronización y la última hora de sincronización.