Active Directory は、ユーザーベースの Identity Firewall ルールを作成するときに使用されます。

Windows 2008 は、Active Directory サーバまたは RDSH サーバ OS としてサポートされていません。

NSX Manager に 1 つ以上の Windows ドメインを登録できます。NSX Manager は、グループ、ユーザー情報、およびこれらの関係を登録された各ドメインから取得します。NSX Manager は、Active Directory (AD) の認証情報も取得します。

Active Directory と NSX Manager の同期が完了すると、ユーザー ID に基づいてセキュリティ グループを作成し、ID ベースのファイアウォール ルールを作成できるようになります。

Active Directory、イベント ログ スクレイピング、IDFW のスケール制限については、VMware Configuration Maximumsページを参照してください。

注: Identity Firewall ルールを適用する場合、Active Directory を使用するすべての仮想マシンで Windows Time サービスを [有効] にする必要があります。これにより、Active Directory と仮想マシン間で日付と時刻が同期されるようになります。ユーザーの有効化や削除などの Active Directory グループ メンバーシップの変更は、ログインしているユーザーにすぐに反映されません。ユーザーに変更を反映させるには、ログオフして再度ログインする必要があります。グループ メンバーシップが変更されたときに、Active Directory 管理者がログアウトを強制的に実行することをおすすめします。これは、Active Directory の制限が原因で発生しています。

前提条件

イベント ログ スクレイピングを使用する場合は、ログ スクレイピングを使用するすべてのデバイスで NTP が正しく構成されていることを確認します。詳細については、 NSX Manager、vIDM、および関連コンポーネント間の時刻の同期を参照してください。

ドメイン アカウントには、ドメイン ツリー内のすべてのオブジェクトでの Active Directory 読み取り権限が必要です。イベント ログ リーダーのアカウントには、セキュリティ イベント ログに対する読み取り権限が必要です。イベント ログ リーダーの Windows セキュリティ ログ アクセスの有効化を参照してください。

手順

  1. 管理者権限で NSX Manager にログインします。
  2. [システム] > [Identity Firewall の Active Directory] に移動します。
  3. [Active Directory の追加] をクリックします。
  4. Active Directory の名前を入力します。
  5. [NetBIOS 名] および [基本識別名] を入力します。
    ドメインの netBIOS 名を取得するには、ドメインまたはドメイン コントローラに属する Windows ワークステーションのコマンド ウィンドウで nbtstat -n と入力します。NetBIOS のローカル名テーブルでは、プレフィックスが <00> でタイプがグループのエントリが NetBIOS 名です。
    Active Directory ドメインを追加するには、基本識別名(ベース DN)が必要です。ベース DN は、Active Directory ドメイン内のユーザー認証を検索するときに LDAP サーバが使用する開始点となります。たとえば、ドメイン名が corp.local の場合、Active Directory のベース DN の DN は DC=corp,DC=local になります。
  6. 必要に応じて [差分同期の間隔] を設定します。差分同期は、前回の同期イベント以降に変更されたローカル Active Directory オブジェクトを更新します。
    Active Directory に加えられた変更は、差分同期または完全同期が実行されるまで NSX Manager に表示されません。
  7. [LDAP サーバ] を設定します。詳細については、LDAP サーバの追加を参照してください。
  8. (オプション) [イベント ログ サーバの設定] を設定します。ホストの IP または FQDN、ユーザー名、パスワードを入力して、[適用] をクリックします。
  9. [同期する部門名] で、[すべての部門名とドメインを同期] または [同期する部門名を選択] をクリックします。
    選択された部門名から移動したグループは、選択同期で更新されません。すべてのグループが更新されると、削除されたグループは完全同期で削除されます。
    オプション 説明
    すべての部門名とドメインを同期 すべての部門名の完全同期が実行されます。
    同期する部門名を選択 部門名を個別に選択します。親が選択されている場合、親内部の子ユニットが自動的に選択されます。また、最上位の [部門名] ボックスを選択してすべての部門名を選択してから、同期しないユニットの選択を解除することもできます。選択同期では、最後の差分同期以降に作成され、変更されている部門名のみが選択され、更新されます。ユーザーとグループが異なる部門名にある場合は、ユーザーを含む部門名を選択する必要があります。
  10. [保存] をクリックします。
  11. Active Directory の画面が読み取り専用モードでが表示されます。
  12. Active Directory を編集するには:
    1. Active Directory の横にある 3 つのドット メニュー ("") をクリックし、[編集] をクリックします。
    2. [差分の同期] または [すべて同期] の 2 つのアクションを実行できるようになりました。詳細については、Active Directory の同期を参照してください。