Active Directory 物件可用來建立以使用者身分識別為基礎的安全群組,以及以身分識別為基礎的防火牆規則。

備註: 請勿在使用分散式負載平衡器的環境中啟用分散式入侵偵測服務 (IDS)。 NSX-T Data Center 不支援搭配分散式負載平衡器使用 IDS。

您可以登錄整個 AD (Active Directory) 網域以供 IDFW (身分識別防火牆) 使用,也可以同步大型網域的子集。登錄網域後,NSX 會同步 IDFW 所需的所有 AD 資料。大型 Active Directory 網域會使用選擇性同步。

選擇性同步可讓您選擇組織單位,而不必同步整個網域。在進行選擇性同步期間,僅會更新自上次差異同步以來已建立和變更的所選組織單位。在進行選擇性同步期間,不會更新已從所選組織單位移出的群組。組態上限仍會套用選擇性同步。在更新所有群組時,已刪除的群組會在完整同步中移除。若要指定要同步的組織單位,請參閱設定 Active Directory 和事件記錄收集

如果您使用 API 來手動結束已開始進行的完整同步,則同步統計資料將不會正確更新。

有關 Active Directory 和 IDFW 的規模限制,請參閱 VMware 組態上限頁面。

備註: IDFW 需依賴客體作業系統的安全性和完整性。惡意本機管理員有多種方法可偽造其身分識別以略過防火牆規則。使用者身分識別資訊由客體虛擬機器中的 Guest Introspection Agent 所提供。安全性管理員必須確定已在每個客體虛擬機器中安裝並執行 NSX Guest Introspection Agent。已登入的使用者不應擁有移除或停止代理程式的權限。

程序

  1. 使用 admin 權限來登入 NSX Manager
  2. 導覽至系統 > 身分識別防火牆 AD
  3. 按一下您要同步的 Active Directory 旁的三按鈕功能表 (""),然後選取下列其中一項:
    選項 說明
    全部同步 無論 NSX 上的同步狀態為何,都會從 Active Directory 中對所有資料執行完整同步。
    同步差異 執行差異同步,其中更新了自上次同步以來發生變更的本機 AD 物件。

    不會對所有資料執行完整同步。在「全部同步」期間,當所有群組都已更新後,會將刪除的群組移除。
  4. 按一下儲存
  5. 按一下檢視同步狀態以查看 Active Directory 的目前狀態、先前的同步狀態、同步狀態和上次同步時間。