Active Directory 物件可用來建立以使用者身分識別為基礎的安全群組,以及以身分識別為基礎的防火牆規則。

備註: 請勿在使用分散式負載平衡器的環境中啟用分散式入侵偵測服務 (IDS)。 NSX-T Data Center 不支援搭配分散式負載平衡器使用 IDS。

若要啟用選擇性同步,請使用已啟用選擇性同步的網域建立/更新 API,以及所選組織單位 (OU) 的清單。啟用選擇性同步時,NSX-T 僅會同步位於所選 OU 內的 AD 資料。在選擇性差異同步期間,只會更新位於所選 OU 內且在上次同步後已建立或變更的 Acitve Directory 資料。如果從選取的 OU 中移除任何目錄群組,則不會在選擇性差異同步期間更新這些群組。這些群組會在所有目錄群組更新時,於完整同步期間進行更新。如需詳細資訊,請參閱《NSX-T Data Center API 指南》

備註: 使用 API 連線至具有超過 500 個 OU 的 AD 網域。UI 不支援顯示具有超過 500 個 OU 的 AD 網域。

如果您使用 API 來手動結束已開始進行的完整同步,則同步統計資料將不會正確更新。

備註: IDFW 需依賴客體作業系統的安全性和完整性。惡意本機管理員有多種方法可偽造其身分識別以略過防火牆規則。使用者身分識別資訊由客體虛擬機器中的 Guest Introspection Agent 所提供。安全性管理員必須確定已在每個客體虛擬機器中安裝並執行 NSX Guest Introspection Agent。已登入的使用者不應擁有移除或停止代理程式的權限。

程序

  1. 從瀏覽器以管理員權限登入 NSX Manager,網址為 https://<nsx-manager-ip-address>。
  2. 導覽至系統 > 身分識別防火牆 AD > Active Directory
  3. 按一下您要同步的 Active Directory 旁的三個按鈕功能表圖示,然後選取下列其中一項:
    功能表項目 說明
    同步差異 執行差異同步,其中更新了自上次同步以來發生變更的本機 AD 物件。
    全部同步 執行完整同步,其中更新了所有 AD 物件的本機狀態。
  4. 按一下檢視同步狀態以查看 Active Directory 的目前狀態、先前的同步狀態、同步狀態和上次同步時間。