Identity Firewall のトラブルシューティングを行う場合、いくつかのコンポーネントを調べる必要があります。

問題

Identity Firewall の発行または更新に失敗します。

原因

Identity Firewall (IDFW) によって、ユーザー ベースの分散ファイアウォール (DFW) ルールが利用できるようになります。

ユーザー ベースの分散ファイアウォール ルールは、Active Directory (AD) グループのメンバーシップによって決定されます。Identity Firewall (IDFW) は、Active Directory ユーザーのログイン先を監視し、分散ファイアウォールがファイアウォール ルールを適用するために使用する IP アドレスにログインをマッピングします。Identity Firewall では、ゲスト イントロスペクション フレームワークまたは Active Directory イベント ログ スクレイピングのいずれかが必要です。

解決方法

  1. NSX Manager で Active Directory サーバの完全/差分同期が機能していることを確認します。
    1. vSphere Web Client で、NSX Manager にリンクされた vCenter Server にログインします。
    2. [ホーム (Home)] > [ネットワークとセキュリティ (Networking & Security)] > [システム (System)] > [ユーザーとドメイン (Users and Domains)] の順に移動します。
    3. [ドメイン (Domains)] タブをクリックし、ドロップダウン メニューから NSX Manager を選択します。
    4. リストからドメインを選択します。[最後の同期状態 (Last Synchronization Status)] 列に「成功」が表示され、[最後の同期時刻 (Last Synchronization Time)] が現在の時刻であることを確認します。
  2. ファイアウォール環境でログイン検出にイベント ログ スクレイピングを使用している場合には、次の手順を実行し、ドメインにイベント ログ サーバが設定されていることを確認します。
    1. vSphere Web Client で、NSX Manager にリンクされた vCenter Server にログインします。
    2. [ホーム (Home)] > [ネットワークとセキュリティ (Networking & Security)] > [システム (System)] > [ユーザーとドメイン (Users and Domains)] の順に移動します。
    3. [ドメイン (Domains)] タブをクリックし、ドロップダウン メニューから NSX Manager を選択します。
    4. リストからドメインを選択します。ここで、ドメインの詳細な設定を表示し、編集できます。
    5. ドメインの詳細から [イベント ログ サーバ (Event Log Servers)] を選択し、イベント ログ サーバが追加されていることを確認します。
    6. イベント ログ サーバを選択して、[最後の同期状態 (Last Sync Status)] 列に「成功」と表示され、[最終同期時間 (Last Sync Time)] が現在の時刻であることを確認します。
  3. ファイアウォール環境でゲスト イントロスペクションを使用している場合、Identity Firewall で保護された仮想マシンを配置するコンピューティング クラスタにフレームワークを展開する必要があります。ユーザー インターフェイスでサービスの健全性が正常と表示されます。ゲスト イントロスペクションの診断とログ情報は、ゲスト イントロスペクションのトラブルシューティング に記載されています。
  4. ログインの検出方法が正しく設定されていることを確認したら、NSX Manager がログイン イベントを受信していることを確認します
    1. Active Directory ユーザーでログインします。
    2. 次のコマンドを実行して、ログイン イベントにクエリを実行します。ユーザーが結果に含まれていることを確認します。GET https://<nsxmgr-ip>/1.0/identity/userIpMapping
      Example output:
      <UserIpMappings>
          <UserIpMapping>
              <ip>50.1.111.192</ip>
              <userName>user1_group20</userName>
              <displayName>user1_group20</displayName>
              <domainName>cd.ad1.db.com</domainName>
              <startTime class="sql-timestamp">2017-05-11 22:30:51.0</startTime>
              <startType>EVENTLOG</startType>
              <lastSeenTime class="sql-timestamp">2017-05-11 22:30:52.0</lastSeenTime>
              <lastSeenType>EVENTLOG</lastSeenType>
          </UserIpMapping>
      </UserIpMappings>
  5. セキュリティ グループがファイアウォール ルールで使用されているか、セキュリティ グループにセキュリティ ポリシーが割り当てられていることを確認します。これらの条件のいずれかに該当する場合を除き、Identity Firewall でセキュリティ グループは処理されません。
  6. Identity Firewall がログインを正しく検出することを確認したら、デスクトップ仮想マシンが配置された ESXi ホストが正しい設定を受信していることを確認します。次の手順では、NSX Manager のセントラル CLI を使用します。[ ip-securitygroup] リストに含まれるデスクトップ仮想マシンの IP アドレスを確認するには、次の手順に従います。
    1. 分散ファイアウォールの CLI コマンドを参照して、デスクトップ仮想マシンに適用されたフィルタ名を取得します。
    2. show dfw host hostID filter filterID rules コマンドを実行して、分散ファイアウォール ルールの項目を表示します。
    3. show dfw host hostID filter filterID addrsets コマンドを実行して、ip-securitygroup リストに含まれる IP アドレスを表示します。リストに IP アドレスが含まれていることを確認します。

解決方法

注:VMware テクニカル サポートと一緒に Identity Firewall のトラブルシューティングを行うときに、このデータは役立ちます。
  • Active Directory スケール データ(イベント ログ スクレイピングを使用している場合):
    • 1 つの NSX Manager のドメインの数

      フォレストの数

      ユーザーの数/フォレスト

      ユーザーの数/ドメイン

      ドメインごとの Active Directory グループの数

      ユーザーの数/Active Directory グループ

      Active Directory の数/ユーザー

      ドメイン コントローラの数

      Active Directory ログ サーバの数

  • ユーザー ログイン スケール データ:
    • 1 分あたりのユーザーの平均数

  • VDI で Identity Firewall を使用する場合のデプロイの詳細:
    • VDI デスクトップの数/vCenter Server

      ホストの数/vCenter Server

      VDI デスクトップの数/ホスト

  • ゲスト イントロスペクションを使用している場合:
    • VMTools(ゲスト イントロスペクション ドライバ)のバージョン

      Windows ゲスト OS のバージョン