Il existe plusieurs composants à examiner lors du dépannage d'Identity Firewall.

Problème

La publication ou la mise à jour des règles d'Identity Firewall échoue.

Cause

Identity Firewall (IDFW) autorise les règles du pare-feu distribué basées sur l'utilisateur.

Les règles de Pare-feu distribué (DFW) basées sur l'utilisateur sont déterminées par appartenance dans une appartenance de groupe Active Directory (AD). IDFW surveille où des utilisateurs Active Directory sont connectés et mappe la connexion sur une adresse IP, qui est utilisée par DFW pour appliquer des règles de pare-feu. IDFW requiert une infrastructure Guest Introspection et/ou un analyseur de journaux des événements Active Directory.

Solution

  1. Assurez-vous que la synchronisation complète/delta du serveur Active Directory fonctionne sur NSX Manager.
    1. Dans vSphere Web Client, connectez-vous au vCenter lié à NSX Manager.
    2. Accédez à Page d'accueil (Home) > Mise en réseau et sécurité (Networking & Security) > Système (System) > Utilisateurs et domaines (Users and Domains).
    3. Cliquez sur l'onglet Domaines (Domains) et sélectionnez votre instance de NSX Manager dans le menu déroulant.
    4. Sélectionnez votre domaine dans la liste. Vérifiez que la colonne Statut de la dernière synchronisation (Last Synchronization Status) indique RÉUSSI et que Heure de la dernière synchronisation (Last Synchronization Time) est l'heure actuelle.
  2. Si votre environnement de pare-feu utilise la méthode de l'analyseur de journaux des événements pour la détection de connexion, suivez ces étapes pour vérifier que vous avez configuré un serveur de journaux des événements pour votre domaine :
    1. Dans vSphere Web Client, connectez-vous au vCenter lié à NSX Manager.
    2. Accédez à Page d'accueil (Home) > Mise en réseau et sécurité (Networking & Security) > Système (System) > Utilisateurs et domaines (Users and Domains).
    3. Cliquez sur l'onglet Domaines (Domains) et sélectionnez votre instance de NSX Manager dans le menu déroulant.
    4. Sélectionnez votre domaine dans la liste. Ici, vous pouvez afficher et modifier la configuration détaillée du domaine.
    5. Sélectionnez Serveurs de journaux des événements (Event Log Servers) dans les détails du domaine et vérifiez que votre serveur de journaux des événements est ajouté.
    6. Sélectionnez votre serveur de journaux des événements et vérifiez que la colonne Statut de la dernière synchronisation (Last Sync Status) indique RÉUSSI et que Heure de dernière synchronisation (Last Sync Time) est l'heure actuelle.
  3. Si votre environnement de pare-feu utilise Guest Introspection, l'infrastructure doit être déployée sur les clusters de calcul sur lesquels les VM protégées par IDFW vont résider. L'état d'intégrité de service sur l'interface utilisateur devrait être vert. Les informations de diagnostics et de journaux de Guest Introspection sont disponibles dans le Dépannage de Guest Introspection.
  4. Après avoir vérifié la configuration correcte de votre méthode de détection de connexion, assurez-vous que l'instance de NSX Manager reçoit les événements de connexion.
    1. Connectez-vous en tant qu'utilisateur Active Directory.
    2. Exécutez la commande suivante pour rechercher les événements de connexion. Vérifiez que votre utilisateur apparaît dans les résultats. GET https://<nsxmgr-ip>/1.0/identity/userIpMapping. 
      Example output:
<UserIpMappings>
    <UserIpMapping>
        <ip>50.1.111.192</ip>
        <userName>user1_group20</userName>
        <displayName>user1_group20</displayName>
        <domainName>cd.ad1.db.com</domainName>
        <startTime class="sql-timestamp">2017-05-11 22:30:51.0</startTime>
        <startType>EVENTLOG</startType>
        <lastSeenTime class="sql-timestamp">2017-05-11 22:30:52.0</lastSeenTime>
        <lastSeenType>EVENTLOG</lastSeenType>
    </UserIpMapping>
</UserIpMappings>
  5. Vérifiez que votre groupe de sécurité est utilisé dans une règle de pare-feu ou qu'une stratégie de sécurité lui est attribuée. Le traitement de groupe de sécurité dans IDFW n'aura pas lieu, sauf si l'une de ces conditions est vraie.
  6. Après avoir vérifié qu'IDFW détecte correctement les connexions, vérifiez que l'hôte ESXi sur lequel réside votre VM de poste de travail reçoit la configuration correcte. Ces étapes utiliseront l'interface de ligne de commande centrale de NSX Manager. Pour vérifier l'adresse IP de la VM de poste de travail renseignée dans la liste ip-securitygroup :
    1. Reportez-vous à la section Commandes de l'interface de ligne de commande pour DFW pour récupérer le nom de filtre appliqué sur la VM de poste de travail.
    2. Exécutez la commande show dfw host hostID filter filterID rules pour afficher les éléments de règles DFW.
    3. Exécutez la commande show dfw host hostID filter filterID addrsets pour afficher l'adresse IP renseignée dans la liste ip-securitygroup. Vérifiez que votre adresse IP se trouve dans la liste.

Solution

Remarque : lors du dépannage d'IDFW avec le support technique de VMware, les données suivantes sont utiles :
  • Si vous utilisez l'analyseur de journaux des événements, les données de mise à l'échelle Active Directory :

    • Nombre de domaines pour une instance de NSX Manager

      Nombre de forêts

      Nombre d'utilisateurs/Forêt

      Nombre d'utilisateurs/Domaine

      Nombre de groupes Active Directory par domaine

      Nombre d'utilisateurs/Groupe Active Directory

      Nombre d'Active Directory/Utilisateur

      Nombre de contrôleurs de domaine

      Nombre de serveurs de journaux Active Directory

  • Données de mise à l'échelle de connexion utilisateur :

    • Nombre moyen d'utilisateurs par min

  • Détails du déploiement utilisant IDFW avec VDI :

    • Nombre de postes de travail VDI/VC

      Nombre d'hôtes/VC

      Nombre de postes de travail VDI/Hôte

  • Si vous utilisez Guest Introspection :

    • Version de VMTools (pilotes Guest Introspection)

      Version du système d'exploitation invité Windows