Unterstützung für die Bereitstellung von Hyper-V-Anschluss ACLs in System Center 2012 R2 VMM mit Updaterollup 8 erweitert

Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 3101161
Zusammenfassung
Administratoren von Microsoft System Center 2012 R2 Virtual Machine Manager (VMM) nun zentral erstellen und Verwalten von Hyper-V-Anschluss Zugriffssteuerungslisten (ACLs) in VMM.
Weitere Informationen
Weitere Informationen zum Update Rollup 8 für System Center 2012 R2 Virtual Machine Manager klicken Sie auf die folgende Artikelnummer der Microsoft Knowledge Base:

3096389 Updaterollup 8 für System Center 2012 R2 Virtual Machine Manager

Glossar

Virtual Machine Manager-Objektmodell haben wir die folgenden neuen Konzepte im Netzwerkbereich hinzufügen verbessert.
  • Port-Zugriffssteuerungsliste (ACL-Anschluss)
    Ein Objekt, das verschiedene Netzwerke VMM-primitive Sicherheit beschreiben zugeordnet ist. Der Port eine Auflistung von Zugriffssteuerungseinträgen oder ACL-Regeln ACL dient. Eine ACL kann eine beliebige Anzahl von VMM networking Grundelemente wie einem VM-Netzwerk, VM Subnetz, virtuellen Netzwerkadapter oder VMM-Verwaltungsservers selbst (0 oder mehr) zugeordnet. Eine ACL kann eine beliebige Anzahl von ACL-Regeln (0 oder mehr) enthalten. Jedes kompatible VMM networking primitiven (VM Netzwerk, VM Subnetz, virtuellen Netzwerkadapter oder VMM-Verwaltungsservers) haben einen Port, ACL angehängt, oder none.
  • Zugriffssteuerungseintrag Port oder ACL-Regel
    Ein Objekt, Filterrichtlinie beschreibt. Mehrere ACL-Regeln können in denselben Port ACL und anhand ihrer Priorität anwenden. ACL-Regel entspricht genau einem Port ACL.
  • Globale Standardeinstellungen
    Eine virtuelle Konzept, das einen Anschluss ACL beschreibt, die auf alle VM virtuelle Netzwerkadapter die Infrastruktur angewendet wird. Es ist keine separate Objekttyp für globale Einstellungen. Stattdessen fügt globale Einstellungen Port ACL an VMM-Verwaltungsservers selbst. Das Serverobjekt VMM Management haben einen Port ACL oder keine.
Informationen über Objekte im Netzwerk-Management, die zuvor verfügbar waren, finden Sie unter Grundlagen von Virtual Machine Manager Network-Objekt.

Was kann ich dieses Feature?

Mithilfe der Benutzeroberfläche PowerShell in VMM können Sie jetzt folgenden Aktionen durchführen:
  • Definieren Sie Port-ACLs und ihre ACL-Regeln.
    • Die Regeln gelten für Hyper-V Server virtueller Switch-Ports als "Erweiterte Port ACLs" (VMNetworkAdapterExtendedAcl) in Hyper-V-Terminologie. Dies bedeutet, dass sie nur auf Windows Server 2012 R2 (und Hyper-V Server 2012 R2) Host-Servern anwenden können.
    • VMM erstellt keine "legacy" Hyper-V-Anschluss ACLs (VMNetworkAdapterAcl). Sie können daher mithilfe VMM Port ACLs auf Servern unter Windows Server 2012 (oder Hyper-V Server 2012) anwenden.
    • Alle Ports ACL in VMM definierten Regeln mithilfe dieser Funktion sind statusbehaftete (für TCP). Sie können keine statusfreie ACL-Regeln für TCP mithilfe VMM.
    Weitere Informationen zu erweiterten Port ACL-Feature in Windows Server 2012 R2 Hyper-V finden Sie unter Erstellen von Sicherheitsrichtlinien mit erweiterten Port Zugriffssteuerungslisten für Windows Server 2012 R2.
  • Globale Einstellungen Port ACL zuordnen. Dies gilt es für alle virtuellen Netzwerkadapter VM. Es steht nur vollständigen Admins.
  • VM-Netzwerk, VM Subnetze oder virtuelle Netzwerkadapter VM Port-ACLs, die entstehen zuordnen. Dies ist zum vollständigen Admins Mieter Administratoren und Self-service-Benutzer (SSUs) verfügbar.
  • Anzeigen und Aktualisieren von Port ACL-Regeln, die auf den einzelnen VM vNIC konfiguriert sind.
  • Löschen Sie Port-ACLs und ihre ACL-Regeln.
Jede dieser Aktionen wird später in diesem Artikel ausführlicher behandelt.

Bitte beachten Sie, dass diese Funktion nur über PowerShell-Cmdlets verfügbar gemacht und werden nicht in der VMM-Verwaltungskonsole UI (außer den Status "Kompatibilität").

Was kann nicht mit diesem Feature?

  • Verwalten/Update einzelne Regeln für eine einzelne Instanz die ACL für mehrere Instanzen freigegeben ist. Alle Regeln werden zentral in den jeweiligen übergeordneten ACLs und gelten immer die ACL zugeordnet ist.
  • Eine Entität mehrere ACL zuordnen.
  • Anwenden von ACLs Port virtuelle Netzwerkadapter (eine) in Hyper-V übergeordneten Partition (OS-Management).
  • Erstellen Sie Anschluss ACL Regeln, die auf IP-(außer TCP oder UDP Protokolle).
  • Anwenden von ACLs Port logische Netzwerke, Netzwerk-Sites (logische Netzwerkdefinitionen), Subnet vLANs und andere Netzwerke VMM-Primitive, die oben nicht aufgeführt wurden.

Verwendung die Funktion

Neuen Port ACLs und ihre ACL Regeln definieren

Sie können jetzt ACLs und ihre ACL-Regeln direkt in VMM mithilfe PowerShell-Cmdlets.

Erstellen Sie eine neue ACL

Die folgenden neuen PowerShell-Cmdlets werden hinzugefügt:

Neue SCPortACL -NameZeichenfolge> [– BeschreibungZeichenfolge>]

Name: Name des Anschlusses ACL

– Beschreibung: Port ACL (Optionaler Parameter)

Get-SCPortACL

Ruft die Port-ACLs

Name: Optional filtern Sie nach name

-ID: optional nach ID filtern

Beispiele für Befehle

New-SCPortACL -Name Samplerule -Description SampleDescription 

$acl = Get-SCPortACL -Name Samplerule 


Regeln Sie Anschluss ACL für Port ACL
Jeder Port ACL besteht aus einer Auflistung von Portregeln ACL. Jede Regel enthält verschiedene Parameter.

  • Name
  • Beschreibung
  • Typ: Eingehender/ausgehender (die Richtung, in der die ACL angewendet)
  • Aktion: Zulassen/Verweigern (Aktion ACL Datenverkehr oder den Datenverkehr blockieren)
  • SourceAddressPrefix:
  • SourcePortRange:
  • DestinationAddressPrefix:
  • DestinationPortRange:
  • Protokoll: TCP/Udp/Any (Hinweis: IP-Protokollen von VMM definierten Port-ACLs nicht unterstützt werden. Sie werden weiterhin direkt von Hyper-V unterstützt.)
  • Priorität: 1 – 65.535 (niedrigste Nummer hat höchsten Priorität). Diese Priorität ist relativ zur Ebene, in der es angewendet wird. (Weitere Informationen zur Verwendung von ACL-Regeln basierend auf Priorität und das Objekt, dem die ACL angeschlossenen folgt.)

Neue PowerShell-Cmdlets, die hinzugefügt werden

Neue SCPortACLrule - PortACLPortACL&gt;-NameZeichenfolge&gt; [- <string>Beschreibung]-Typ <Inbound |="" outbound="">-Aktion <Allow |="" deny="">-Priorität <uint16>-Protokoll <Tcp |="" udp="" |="" any="">[-SourceAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-SourcePortRange <string:X|X-Y|Any>] [-DestinationAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-DestinationPortRange <string:X|X-Y|Any>]

Get-SCPortACLrule

Ruft alle Regeln der ACL.

</string:X|X-Y|Any></string:></string:X|X-Y|Any></string:></Tcp></uint16></Allow></Inbound></string>
  • Name: Optional filtern Sie nach name
  • ID: Optional nach ID filtern
  • PortACL: Optional nach Port ACL filtern
Beispiele für Befehle

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 

New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 

New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 

New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

Anfügen und Trennen von Port-ACLs



ACLs können wie folgt zugeordnet:
  • Globale Einstellungen (gilt für alle VM-Netzwerkadapter. Nur dazu vollständige Administratoren.)
  • VM-Netzwerk (vollständigen Admins-Tenant-Admins/SSUs dazu.)
  • VM-Subnetz (vollständigen Admins-Tenant-Admins/SSUs dazu.)
  • Virtuelle Netzwerkadapter (vollständigen Admins-Tenant-Admins/SSUs dazu.)

Globale Standardeinstellungen

Anschluss ACL gelten alle für VM virtuellen Netzwerkadapter in der Infrastruktur.

Vorhandene PowerShell-Cmdlets wurden mit neuen Parametern zum Anfügen und Trennen von Port ACLs aktualisiert.

Set-SCVMMServer -VMMServerVMMServer&gt; [-PortACLNetworkAccessControlList> | -RemovePortACL]
  • PortACL: Neue optionale Parameter, der den angegebenen Anschluss ACL globale Einstellungen konfiguriert.
  • RemovePortACL: Neuer optionaler Parameter, der entfernt alle konfigurierten Port ACL globale Einstellungen.
Get-SCVMMServer: Gibt den konfigurierten Port ACL im zurückgegebenen Objekt.

Beispiele für Befehle

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL 

VM-Netzwerk


Diese Regeln für alle virtuellen Netzwerkadapter VM gelten, die mit diesem virtuellen Computer-Netzwerk verbunden sind.

Vorhandene PowerShell-Cmdlets wurden mit neuen Parametern zum Anfügen und Trennen von Port ACLs aktualisiert.

Neue SCVMNetwork [-PortACLNetworkAccessControlList&gt;] [Rest der Parameter]

-PortACL: neuer optionaler Parameter, mit dem Sie geben Sie einen ACL VM Netzwerk während der Erstellung.

SCVMNetwork festlegen [-PortACLNetworkAccessControlList> | -RemovePortACL] [Rest der Parameter]

-PortACL: neuer optionaler Parameter, mit dem Sie einen Port ACL VM-Netzwerk festgelegt.

-RemovePortACL: neuer optionaler Parameter, der entfernt alle konfigurierten Port ACL von VM-Netzwerk.

Get-SCVMNetwork: Gibt den konfigurierten Port ACL im zurückgegebenen Objekt.

Beispiele für Befehle

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL 

VM-Subnetz


Diese Regeln für alle virtuellen Netzwerkadapter VM gelten, die diese VM Subnetz verbunden sind.

Vorhandene PowerShell-Cmdlets wurden neue Parameter für Anfügen und Trennen von Port ACLs aktualisiert.

Neue SCVMSubnet [-PortACLNetworkAccessControlList&gt;] [Rest der Parameter]

-PortACL: neuer optionaler Parameter, mit dem Sie geben Sie einen ACL VM Subnetz während der Erstellung.

SCVMSubnet festlegen [-PortACLNetworkAccessControlList> | -RemovePortACL] [Rest der Parameter]

-PortACL: neuer optionaler Parameter, mit dem Sie einen Port ACL VM Subnetz festgelegt.

-RemovePortACL: neuer optionaler Parameter, der entfernt alle konfigurierten Port ACL von VM-Subnetz.

Get-SCVMSubnet: Gibt den konfigurierten Port ACL im zurückgegebenen Objekt.

Beispiele für Befehle

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL 

VM virtuellen Netzwerkadapter (Vmnic-)


Vorhandene PowerShell-Cmdlets wurden mit neuen Parametern zum Anfügen und Trennen von Port ACLs aktualisiert.

Neue SCVirtualNetworkAdapter [-PortACLNetworkAccessControlList&gt;] [Rest der Parameter]

-PortACL: neuer optionaler Parameter, mit dem Sie geben Sie einen ACL an den virtuellen Netzwerkadapter beim Erstellen einer neuen vNIC.

SCVirtualNetworkAdapter festlegen [-PortACLNetworkAccessControlList> | -RemovePortACL] [Rest der Parameter]

-PortACL: neuer optionaler Parameter, mit dem Sie Port ACL an den virtuellen Netzwerkadapter festgelegt.

-RemovePortACL: neuer optionaler Parameter, der entfernt alle konfigurierten Port ACL vom virtuellen Netzwerkadapter.

Get-SCVirtualNetworkAdapter: Gibt den konfigurierten Port ACL im zurückgegebenen Objekt.

Beispiele für Befehle

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL 

ACL Regeln anwenden

Beim Verbinden Sie den Port ACLs VMs aktualisieren, bemerken Sie, dass der Status der VMs als "Nicht kompatibel" angezeigt wird in der Virtual Machine Ansicht des Arbeitsbereichs Fabric. (Um zur virtuellen Computer wechseln, müssen Sie zunächst den Knoten Logische Netzwerke oder Logische Switches Knoten des Arbeitsbereichs Fabric durchsuchen). Beachten Sie, dass VM automatisch im Hintergrund (Zeitplan) Aktualisierung. Daher, auch wenn Sie VMs nicht explizit aktualisieren, in einen nicht kompatiblen Status schließlich gehen sie.



Zu diesem Zeitpunkt Port ACLs nicht noch VMs und deren entsprechende virtuelle Netzwerkadapter angewandt. Um Port ACLs anzuwenden, müssen Sie einen Prozess ausgelöst, der als Wiederherstellung bezeichnet. Dies nicht automatisch geschieht und explizit auf Anforderung des Benutzers gestartet werden soll.

Starten Sie Behebung Sie Remediate auf der Multifunktionsleiste klicken oder Reparatur-SCVirtualNetworkAdapter -Cmdlet ausführen. Gibt keine bestimmten Cmdlet-Syntax für diese Funktion.

Reparatur-SCVirtualNetworkAdapter - VirtualNetworkAdapterVirtualNetworkAdapter>

Entfernt die VMs wird als kompatibel markieren Sie und stellen Sie sicher, dass erweiterte Port ACLs angewendet werden. Beachten Sie, dass Port ACLs nicht für VMs im Gültigkeitsbereich gilt, bis sie explizit zu beheben.

ACL Regeln anzeigen

Die ACLs und ACL Regeln die folgenden PowerShell-Cmdlets verwenden zu können.

Neue PowerShell-Cmdlets, die hinzugefügt werden

Port-ACLs abrufen

Parametersatz 1. Alle oder durch Namen: Get-SCPortACL [-Name <> </>]

Parametersatz 2. Mit ID: Get-SCPortACL -Id <> [-Name <> </>]

Abrufen der ACL Regeln

Parametersatz 1. Alle oder Name: Get-SCPortACLrule [-Name <> </>]

Parametersatz 2. ID: Get-SCPortACLrule -Id <>

Parametersatz 3. ACL-Objekt: Get-SCPortACLrule -PortACLNetworkAccessControlList>

ACL Regeln aktualisieren

Beim Aktualisieren der ACL, die den Netzwerkadaptern zugeordnet ist, werden die in allen Instanzen der Netzwerk-Adapter Änderungen, die diese ACL verwenden. Für eine Zugriffssteuerungsliste, die einer VM Subnetz oder VM-Netzwerk zugeordnet ist, werden alle Netzwerk-Adapter Instanzen, die mit diesem Subnetz verbunden sind entsprechend aktualisiert.

Hinweis Aktualisieren von ACL-Regeln auf einzelne Netzwerkadapter erfolgt parallel in ein bestmöglicher eine Try. Sind Adapter aus irgendeinem Grund nicht aktualisiert werden können "incompliant Security" gekennzeichnet, und der Vorgang endet mit einer Fehlermeldung, die besagt, dass der Netzwerkadapter nicht erfolgreich aktualisiert wurden. "incompliant Security" bezieht sich hier auf einen Konflikt erwarteten und tatsächlichen ACL-Regeln. Der Adapter haben eine Compliance-Status "Nicht kompatibel" zusammen mit entsprechenden Fehlermeldungen. Siehe vorherigen Abschnitt Informationen verschobenen virtuellen Computer nicht konform.
Neue PowerShell-Cmdlet hinzugefügt
Set-SCPortACL - PortACLPortACL&gt; [-NameName&gt;] [-Beschreibung <>n &gt;]

Set-SCPortACLrule - PortACLrulePortACLrule&gt; [-NameName&gt;] [-BeschreibungZeichenfolge&gt;] [-TypPortACLRuleDirection&gt; {Eingehende | Ausgehende}] [-AktionPortACLRuleAction&gt; {Ermöglichen | Verweigern}] [-SourceAddressPrefixZeichenfolge&gt;] [-SourcePortRangeZeichenfolge&gt;] [-DestinationAddressPrefixZeichenfolge&gt;] [-DestinationPortRangeZeichenfolge&gt;] [-ProtokollPortACLruleProtocol&gt; {Tcp | UDP | Alle}]

Set SCPortACL: Port ACL Beschreibung ändert.
  • Beschreibung: Die Beschreibung aktualisiert.

Set SCPortACLrule: Port ACL Regelparameter ändert.
  • Beschreibung: Die Beschreibung aktualisiert.
  • Typ: Aktualisiert die Richtung in der ACL angewendet wird.
  • Aktion: Aktualisiert die Aktion der ACL.
  • Protokoll: Aktualisiert das Protokoll, die ACL angewendet werden.
  • Priorität: Aktualisiert die Priorität.
  • SourceAddressPrefix: Aktualisiert das Adresspräfix Quelle.
  • SourcePortRange: Aktualisiert die Quellportbereich.
  • DestinationAddressPrefix: Aktualisiert das Zieladresspräfix.
  • DestinationPortRange: Aktualisiert den Portbereich Ziel.

Port-ACLs und ACL Regeln löschen

Eine ACL kann nur löschen, wenn keine zugeordnet Abhängigkeiten. Dependencies enthalten VM Netzwerk-VM Subnetz/virtual Network Adapter/globale Einstellungen, die die ACL zugeordnet sind. Beim Löschen eines Anschlusses ACL mithilfe des PowerShell-Cmdlets erkennt das Cmdlet, ob der Port ACL eine Abhängigkeit gehört und eine entsprechende Fehlermeldungen löst.

Port-Zugriffssteuerungslisten

Neue PowerShell-Cmdlets wurden hinzugefügt:

Entfernen-SCPortACL - PortACLNetworkAccessControlList>

Entfernen der Anschlussregeln ACL

Neue PowerShell-Cmdlets wurden hinzugefügt:

Entfernen-SCPortACLRule - PortACLRuleNetworkAccessControlListRule>

Beachten Sie, dass Netzwerk-Subnetz-VM Löschen einer VM Netzwerkadapter entfernt automatisch mit diesem ACL.

Eine ACL kann auch vom Adapter Netzwerk/Subnetz/VM VM durch Ändern des jeweiligen Netzwerken VMM-Objekts aufgehoben werden soll. Dazu verwenden Sie das Cmdlet Set- zusammen mit der Switch - RemovePortACL wie in früheren Abschnitten beschrieben. In diesem Fall den Port ACL werden von den jeweiligen Netzwerkobjekt aber VMM-Infrastruktur nicht gelöscht. Daher kann er später wiederverwendet werden.

Out-of-Band-Änderungen ACL

Bei wir Out-of-Band (OOB) ändert ACL Regeln von Hyper-V virtual Switch-Port (mithilfe systemeigener Hyper-V-Cmdlets wie VMNetworkAdapterExtendedAcl hinzufügen) wird VM aktualisieren den Netzwerkadapter als "Security Incompliant" angezeigt Der Netzwerkadapter kann dann von VMM wiederhergestellt werden, wie im Abschnitt "Port-ACLs anwenden". Remediation überschreibt jedoch alle Regeln der ACL, die außerhalb von VMM mit definiert sind, die von VMM erwartet werden.

Anschluss ACL Priorität und Anwendung Regelpriorität (Erweitert)

Grundbegriffe

Jeder Anschlussregel ACL in einem Hafen ACL verfügt über eine Eigenschaft mit dem Namen "Priority". Regeln werden in der Reihenfolge ihrer Priorität. Die folgenden Prinzipien definieren Regeln Vorrang:
  • Je niedriger die Priorität Zahl, desto höher ist die Priorität. D.h. wenn mehrere Portregeln ACL jedes widersprechen, Regel mit niedrigerer Priorität gewinnt.
  • Regelaktion wirkt sich nicht auf die Rangfolge aus. D. h. im Gegensatz zu NTFS-ACLs haben (z. B.) hier wir kein Konzept wie "Verweigern immer zulassen Vorrang".
  • Auf der gleichen Priorität (gleichen Wert), nicht zwei Regeln mit der gleichen Richtung. Dieses Verhalten verhindert eine hypothetische Situation, in der Regeln "Verweigern" und "Genehmigen" mit gleicher Priorität definieren kann, da diese Mehrdeutigkeit oder ein Konflikt führen würde.
  • Ein Konflikt ist definiert als mindestens zwei Regeln mit derselben Priorität und dieselbe Richtung. Ein Konflikt kann auftreten, liegen zwei ACL Regeln mit derselben Priorität und Richtung in zwei Zugriffssteuerungslisten, die auf unterschiedlichen Ebenen angewendet werden und diese Ebenen teilweise überlappen. Das heißt, möglicherweise ein Objekt (z. B. VmNIC), die beide Ebenen fällt. Ein gängiges Beispiel für überlappende ist VM Netzwerk mit VM Subnetz im selben Netzwerk.

Zugriffssteuerungslisten mehrere Ports für eine einzelne Entität

Da Port ACLs verschiedene VMM networking Objekte (oder Ebenen, wie weiter oben beschrieben) anwenden kann, fallen einzelner VM virtueller Netzwerkadapter (Vmnic-) in den Bereich von mehreren Ports ACLs. In diesem Szenario werden die Regeln in den Anschluss ACLs ACL angewendet. Die Rangfolge der Regeln kann jedoch abhängig, mehrere neue VMM Feinabstimmung Einstellungen, die in diesem Artikel genannt sind.

Registrierungseinträge

Diese Optionen werden definiert als DWORD-Werte in der Windows-Registrierung unter dem folgenden Schlüssel auf dem VMM-Server:
HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Settings

Bitte beachten Sie, dass diese Einstellung das Verhalten der Port ACLs in der gesamten Infrastruktur VMM beeinflussen.

Effektive Port ACL Regelpriorität

In dieser Diskussion beschreiben wir die tatsächliche Rangfolge der ACL Regeln beim Anschluss mehrerer ACLs werden für eine einzelne Entität als effektive Regelpriorität angewendet. Bitte beachten Sie, dass keine separate Einstellung oder Objekt in VMM definieren oder Anzeigen der effektiven Regelpriorität. Er wird zur Laufzeit berechnet.

Es gibt zwei globale in der effektiven Regelpriorität berechnet werden kann. Durch die Einstellung in der Registrierung sind die Modi gewechselt:
PortACLAbsolutePriority

Die zulässigen Werte für diese Einstellung sind 0 (null) oder 1, wobei 0 Standardverhalten angibt.

Relative Priorität (Standardverhalten)

Um diesen Modus zu aktivieren, legen Sie die PortACLAbsolutePriority -Eigenschaft in der Registrierung auf den Wert 0 (null). Dieser Modus gilt auch, wenn die Einstellung in der Registrierung nicht definiert ist (wenn die Eigenschaft nicht erstellt).

In diesem Modus gelten die folgenden Grundsätze neben der oben beschriebenen Hauptkonzepte:
  • Die Priorität innerhalb desselben Ports ACL wird beibehalten. Daher werden in jeder Regel definierten Prioritätswerte in der Zugriffssteuerungsliste als relativ behandelt.
  • Beim Anwenden von mehreren Ports ACLs werden die Regeln in Buckets angewendet. Das aus der gleichen Zugriffssteuerungsliste (an ein bestimmtes Objekt angefügt) zusammen in das gleiche Bucket entschlüsselt gelten. Die Rangfolge von bestimmten Buckets hängt von dem Objekt Port ACL zugeordnet.
  • Hier Vorrang alle Regeln, die in den globalen Einstellungen ACL (unabhängig von ihrer eigenen Priorität gemäß den Port ACL) immer definiert die Regeln, die in der ACL definiert sind, die auf Vmnic-angewendet wird. In anderen Worten ist Ebene Trennung erzwungen.

Schließlich können effektive Regelpriorität aus numerischen Wert unterscheiden, die den Port ACL Eigenschaften definieren. Weitere Informationen wie dieses Verhalten erzwungen wird und ändern seine Logik folgt.

  1. Welche drei "objektspezifischen" Ebenen (Vmnic-, VM Subnetz und VM Netzwerk) Vorrang Reihenfolge kann geändert werden.

    1. Die Reihenfolge der globalen Einstellung kann nicht geändert werden. Er hat immer Vorrang (oder 0).
    2. Für die drei Ebenen können Sie Folgendes festlegen, um einen numerischen Wert zwischen 0 und 3, wobei 0 die höchste Priorität (gleich globale Einstellungen) und 3 ist die niedrigste Priorität:
      • PortACLVMNetworkAdapterPriority
        (der Standardwert ist 1)
      • PortACLVMSubnetPriority
        (Standard ist 2)
      • PortACLVMNetworkPriority
        (die Standardeinstellung ist 3)
    3. Wenn mehrere Registrierungseinträge denselben Wert (0 bis 3) zuweisen oder wenn Sie einen Wert außerhalb des Bereichs 0 bis 3 fehl VMM wieder an.
  2. Bestellung wird erzwungen, dass ist, dass effektive Regelpriorität geändert wird, so dass ACL-Regeln, die auf einer höheren Ebene definiert Priorität (d. h. einen kleineren numerischen Wert). Gültige ACL berechnet, wird jede Regel relativen Prioritätswert deaktivieren"auf spezifischen Wert oder"Schritt""
  3. Ebene-spezifischen Wert ist "Step", die Ebenen trennt. Die Größe von "Step" Standardmäßig ist 10000 und wird durch den folgenden Registrierungsschlüssel konfiguriert:
    PortACLLayerSeparation
  4. Dies bedeutet, dass jede einzelne Regelpriorität innerhalb ACL (eine Regel, die als relativ behandelt wird) in diesem Modus den Wert für die folgende Einstellung Geschwindigkeitsbegrenzer:
    PortACLLayerSeparation
    (standardmäßig 10000)
Beispiel für die Konfiguration
Angenommen Sie, alle Optionen die Standardwerte. (Diese sind oben beschrieben.)
  1. Wir haben eine Zugriffssteuerungsliste, die VmNIC zugeordnet (PortACLVMNetworkAdapterPriority = 1).
  2. Die effektive Priorität für alle Regeln, die in diese ACL definiert ist mit 10000 (PortACLLayerSeparation Wert) erhöht.
  3. Definiert eine Regel in dieser ACL mit der Priorität, die auf 100 festgelegt.
  4. Die effektive Priorität für diese Regel wäre 10000 + 100 = 10100.
  5. Die Regel Vorrang in dieselbe ACL andere Regeln für die Priorität größer als 100 ist.
  6. Die Regel Vorrang immer Regeln, die in ACLs definiert werden, die den VM-Netzwerk und VM Subnetz zugeordnet sind. (Dies gilt, da die gelten "geringer").
  7. Die Regel wird niemals Regeln Vorrang, die in den globalen Einstellungen ACL definiert sind.
Vorteile dieses
  • Es ist eine höhere Sicherheit in Multi-Tenant-Szenarien ACL Regeln, die von der Fabric-Admin (auf Global Settings) definiert werden immer alle Regeln Vorrang, die von Mietern selbst definiert werden.
  • ACL Regel Anschlusskonflikte (d. h. Mehrdeutigkeiten) werden automatisch durch Trennung Ebene verhindert. Es ist sehr leicht, vorherzusagen, welche Regeln sind und warum.
Hinweise in diesem Modus
  • Weniger flexibel. Sie definieren eine Regel (z. B. "Ablehnen aller Datenverkehr an port 80") in globale Einstellungen, können Sie eine präzisere Ausnahme dieser Regel nicht auf einer niedrigeren Ebene (z. B. "Allow Port 80 auf diesem virtuellen Computer, die rechtmäßigen Webserver ausgeführt wird") erstellen.

Relative Priorität

Um diesen Modus zu aktivieren, legen Sie die PortACLAbsolutePriority -Eigenschaft in der Registrierung auf den Wert 1.

In diesem Modus gelten die folgenden Grundsätze neben Grundbegriffe, die weiter oben beschrieben werden:
  • Wenn ein Objekt mehrere ACLs (VM Netzwerk und Subnetz VM) fällt, gelten alle Regeln, die in angeschlossenen ACLs definiert in einheitlichen Reihenfolge (oder als ein einzelnes Bucket). Es gibt keine Ebene Trennung und keine "stoßen" überhaupt.
  • Alle Prioritäten werden als Absolute behandelt, genau wie sie jede Regel Priorität definiert sind. In anderen Worten ist die effektive Priorität für jede Regel Was ist in der Regel selbst definiert und wird nicht vom VMM-Modul geändert, bevor angewendet wird.
  • Alle anderen im vorherigen Abschnitt beschriebenen Registrierungseinträge haben keine Wirkung.
  • In diesem Modus kann keine einzelne Regelpriorität in einer ACL (d. h. eine Regelpriorität aus, der als absolute behandelt wird) zusammen 65535 übersteigen.
Beispiel für die Konfiguration
  1. In den globalen Einstellungen ACL definieren Sie eine Regel, deren Priorität auf 100 festgelegt ist.
  2. In der ACL, der VmNIC zugeordnet ist, definieren Sie eine Regel, deren Priorität auf 50 festgelegt ist.
  3. Auf Vmnic-definierte Regel Vorrang, da eine höhere Priorität (d. h. einen niedrigeren numerischen Wert hat).
Vorteile dieses
  • Mehr Flexibilität. Sie können "einmalige" Ausnahmen von den Regeln globale Einstellungen auf niedrigeren Ebenen (z. B. VM Subnetz oder Vmnic-) erstellen.
Hinweise in diesem Modus
  • Planung möglicherweise komplexer geworden, da gibt es keine Ebene Trennung. Und es kann eine Regel auf jeder Ebene, die andere Regeln überschreibt, die für andere Objekte definiert sind.
  • Multi-Tenant-Umgebung kann Sicherheit beeinträchtigt, da ein Mieter auf Subnetz VM eine Regel erstellen, die die Richtlinie überschreibt, die von Fabric-Verwaltung auf globale Einstellungen definiert.
  • Regelkonflikte (d. h. Mehrdeutigkeiten) werden nicht automatisch entfernt und können auftreten. VMM kann nur auf dieselbe ACL Konflikte vermeiden. Es kann nicht über ACLs Vermeidung, die anderen Objekten zugeordnet sind. Konflikt da VMM den Konflikt automatisch beheben kann diese Anwendung beendet und wird ein Fehler ausgelöst.

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 3101161 – Letzte Überarbeitung: 10/29/2015 23:34:00 – Revision: 2.0

Microsoft System Center 2012 R2 Virtual Machine Manager

  • kbqfe kbsurveynew kbmt KB3101161 KbMtde
Feedback