更新プログラムのロールアップ 8 システム センター 2012 R2 の VMM で HYPER-V 拡張ポートの Acl を展開するためのサポート

重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。

英語版 KB:3101161
概要
管理者の Microsoft システム センター 2012 R2 Virtual Machine Manager (VMM) これで一元的に作成および管理できます HYPER-V ポートのアクセス制御リスト (Acl) VMM。
詳細
システム センター 2012 R2 の Virtual Machine Manager の更新プログラムのロールアップ 8 の詳細については、マイクロソフト サポート技術情報の記事を表示するのには次の資料番号をクリックします。

3096389 更新プログラムのロールアップ 8 システム センター 2012 R2 の Virtual Machine Manager の

用語集

Virtual Machine Manager オブジェクト モデル、ネットワーク管理] 領域で次の新しい概念を追加することによって向上します。
  • ポートのアクセス制御リスト (ACL のポート)
    ネットワーク セキュリティの VMM のさまざまなネットワーク プリミティブに関連付けられているオブジェクト。ポート ACL は、アクセス制御エントリまたは ACL ルールのコレクションとして機能します。ACL は、任意の数 (0 個またはそれ以上) の VMM は、VM のネットワーク、サブネットの VM、仮想ネットワーク アダプターの場合は、VMM 管理サーバー自体などのプリミティブをネットワークに接続できます。ACL には、任意の数 (0 個またはそれ以上) の ACL ルールを含めることができます。それぞれ互換性のある VMM ネットワーク プリミティブ (VM ネットワーク、VM のサブネット、仮想ネットワーク アダプター、または VMM 管理サーバー) には、ACL が関連付けられている 1 つのポートまたは [なし] のいずれかを持つことができます。
  • ポートのアクセス制御エントリまたは ACL ルール
    フィルタ リング ポリシーを記述するオブジェクト。複数の規則を ACL では、同じポート ACL 内に存在でき、優先度に基づいて適用することができます。各ルール、ACL は、ACL が 1 つのポートに対応します。
  • グローバル設定
    ポートは、インフラストラクチャ内のすべての VM 仮想ネットワーク アダプターに適用する ACL を記述する仮想概念です。グローバル設定の別のオブジェクト タイプはありません。代わりに、グローバル設定ポート ACL 添付自体 VMM 管理サーバーにします。VMM 管理サーバーのオブジェクトには、ACL の 1 つのポートまたは [なし] のいずれかを持つことができます。
以前使用していたネットワークの管理領域内のオブジェクトについては、次を参照してください。 Virtual Machine Manager のネットワーク オブジェクトの基本事項.

この機能では、どうすれば?

VMM で PowerShell インターフェイスを使用すると、次の操作を今すぐ実行できます。
  • ポート Acl の ACL ルールを定義します。
    • 「拡張ポート Acl」として Hyper-v サーバー上の仮想スイッチ ポート規則が適用されます (VMNetworkAdapterExtendedAcl) で Hyper-v の用語集です。これは、Windows Server 2012 R2 (および HYPER-V Server 2012 R2) のホスト サーバーにのみ適用できることを意味します。
    • VMM では、「従来の」ハイパー V ポート Acl (VMNetworkAdapterAcl) は作成されません。したがって、VMM を使用して、Windows Server 2012 の (または HYPER-V Server 2012) のホスト サーバーにポートの Acl を適用できません。
    • この機能を使用して VMM で定義されているすべてのポート ACL ルールは、(TCP) のステートフルです。VMM を使用して、TCP の状態の ACL ルールを作成できません。
    拡張ポートの ACL の機能の Windows Server 2012 R2 HYPER-V の詳細については、次を参照してください。 Windows Server 2012 R2 のアクセス制御リストの拡張ポートにセキュリティ ポリシーを作成します。.
  • グローバル設定に、ACL のポートを接続します。これはすべての VM の仮想ネットワーク アダプターにそれを適用します。管理者 (完全) にのみ使用可能になります。
  • VM ネットワーク、VM のサブネットまたは VM の仮想ネットワーク アダプターに作成されるポートの Acl を添付します。これは、管理者 (完全)、テナント管理者、およびセルフ サービス ユーザー (Ssu) を使用できます。
  • 表示し、個々 の VM vNIC で構成されているポートの ACL ルールを更新します。
  • ポート Acl と、ACL ルールを削除します。
これらのアクションは、この資料の後半で詳しく説明します。

この機能は PowerShell コマンドレットでのみ公開され、(「コンプライアンス」の状態) を除く、VMM コンソール UI に反映されないことに注意してください。

いないどうすればこの機能を使用しますか。

  • 管理または更新個々 のルールを 1 つのインスタンスの ACL は、複数のインスタンス間で共有されている場合です。すべてのルールは、親の Acl 内で一元的に管理し、ACL が関連付けられている任意の場所を適用します。
  • 1 つ以上の ACL をエンティティに接続します。
  • (Vnic) の仮想ネットワーク アダプターに、HYPER-V 親パーティション (OS の管理) でポートの Acl を適用します。
  • IP レベルのプロトコル (TCP または UDP) 以外を含むポート ACL ルールを作成します。
  • 論理ネットワーク、ネットワーク サイト (論理ネットワークの定義)、サブネット Vlan では、上記にリストされていないその他の VMM ネットワーク プリミティブへのポートの Acl を適用します。

機能を使用する方法は?

新しいポート Acl とそのポートの ACL ルールを定義します。

今すぐ作成 Acl と、ACL の規則から直接 VMM で PowerShell コマンドレットを使用して、します。

新しい ACL を作成します。

次の新しい PowerShell コマンドレットが追加されます。

新しい-SCPortACL -名前文字列> [-の説明文字列>]

– 名: ポート ACL の名前

説明: ACL (省略可能なパラメーター) のポートの説明

Get SCPortACL

ポートのすべての Acl を取得します。

[名前]: 必要に応じて名前に基づいてフィルター処理します。

– ID: ID によってフィルター処理 (オプション)

サンプル コマンド

New-SCPortACL -Name Samplerule -Description SampleDescription 

$acl = Get-SCPortACL -Name Samplerule 


ACL のポートのポートの ACL ルールを定義します。
各ポートの ACL は、ACL のポートの規則のコレクションで構成されます。各ルールには、ほかのパラメーターが含まれています。

  • 説明
  • 種類: 受信/送信 (ACL を適用する方向)
  • 操作: 許可/拒否 (トラフィックを許可するか、トラフィックをブロックするのには、ACL の操作)
  • SourceAddressPrefix。
  • SourcePortRange。
  • DestinationAddressPrefix。
  • DestinationPortRange。
  • プロトコル: TCP と Udp と任意 (注: VMM で定義されているポートの Acl には、IP レベルのプロトコルはサポートされていません。でサポートされています本来 HYPER-V。)
  • 優先度: 1-65535: (最小の番号は、最高の優先順位を持つ)。この優先度では、それが適用されているレイヤーを基準とします。(ACL ルールを適用する方法の詳細については、優先順位とする、ACL は、次のように接続されているオブジェクトに基づきます)。

追加される新しい PowerShell コマンドレット

新しい-SCPortACLrule -PortACLPortACL> の名前文字列> [-説明<string>]-<Inbound |="" outbound="">の種類-アクション<Allow |="" deny="">-<uint16>の優先順位-プロトコル<Tcp |="" udp="" |="" any="">[-SourceAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-SourcePortRange <string:X|X-Y|Any>] [-DestinationAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-DestinationPortRange <string:X|X-Y|Any>]

Get SCPortACLrule

ポートのすべての ACL ルールを取得します。

</string:X|X-Y|Any></string:></string:X|X-Y|Any></string:></Tcp></uint16></Allow></Inbound></string>
  • [名前]: 必要に応じて名前に基づいてフィルター処理します。
  • ID: はオプションで ID によってフィルター処理します。
  • PortACL: はオプションで ACL をポートがフィルター処理します。
サンプル コマンド

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 

New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 

New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 

New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

アタッチおよびデタッチ ポート Acl



Acl は、次に接続できます。
  • グローバル設定 (すべての VM のネットワーク アダプターに適用されます。のみ管理者 (完全) 実行できます。)
  • VM ネットワーク (フル管理者/テナント管理者/Ssu 実行できます)。
  • VM のサブネット (フル管理者/テナント管理者/Ssu 実行できます)。
  • バーチャル ネットワーク アダプターが (フル管理者/テナント管理者/Ssu 実行できます。)

グローバル設定

これらのポート ACL ルールは、インフラストラクチャ内のすべての VM 仮想ネットワーク アダプターに適用されます。

既存の PowerShell コマンドレットは、アタッチおよびデタッチ ポート Acl の新しいパラメーターで更新されました。

セット-SCVMMServer -VMMServerVMMServer> [-PortACLNetworkAccessControlList> |-RemovePortACL]
  • PortACL: 新しい省略可能なパラメーターのグローバル設定に指定したポートの ACL を構成します。
  • RemovePortACL: いずれかを削除する新しいオプションのパラメーターには、グローバル設定の ACL をポートが構成されています。
Get SCVMMServer: 返されたオブジェクトで構成されているポート ACL を取得します。

サンプル コマンド

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL 

VM ネットワーク


これらの規則は、この VM のネットワークに接続されているすべての VM の仮想ネットワーク アダプターに適用されます。

既存の PowerShell コマンドレットは、アタッチおよびデタッチ ポート Acl の新しいパラメーターで更新されました。

新しい-SCVMNetwork[– PortACLNetworkAccessControlList&gt;] [残りのパラメーター]

-PortACL: を使用するオプションのパラメーターが新しい作成時に VM ネットワーク ポート ACL を指定します。

セット SCVMNetwork[– PortACLNetworkAccessControlList> |-RemovePortACL] [残りのパラメーター]

-PortACL: を使用するオプションのパラメーターが新しい VM ネットワークにポート ACL を設定します。

-RemovePortACL: いずれかを削除するオプションのパラメーターが新しい VM ネットワークからポート ACL を構成します。

Get SCVMNetwork: 返されたオブジェクトで構成されているポート ACL を取得します。

サンプル コマンド

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL 

VM のサブネット


これらの規則は、この VM のサブネットに接続されているすべての VM の仮想ネットワーク アダプターに適用されます。

既存の PowerShell コマンドレットは、アタッチおよびデタッチ ポート Acl の新しいパラメーターで更新されました。

新しい-SCVMSubnet[– PortACLNetworkAccessControlList&gt;] [残りのパラメーター]

-PortACL: 新しい省略可能なパラメーターを使用することは、作成時に VM のサブネットにポート ACL を指定します。

セット SCVMSubnet[– PortACLNetworkAccessControlList> |-RemovePortACL] [残りのパラメーター]

-PortACL: を使用するオプションのパラメーターが新しい VM のサブネットに ACL のポートを設定します。

-RemovePortACL: いずれかを削除するオプションのパラメーターが新しい VM のサブネットからポート ACL を構成します。

Get SCVMSubnet: 返されたオブジェクトで構成されているポート ACL を取得します。

サンプル コマンド

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL 

VM の仮想ネットワーク アダプター (vmNIC)


既存の PowerShell コマンドレットは、アタッチおよびデタッチ ポート Acl の新しいパラメーターで更新されました。

新しい-SCVirtualNetworkAdapter[– PortACLNetworkAccessControlList&gt;] [残りのパラメーター]

-PortACL: 新しい vNIC を作成するときに、新しいオプションのパラメーターを使用することが仮想ネットワーク アダプターにポート ACL を指定します。

セット SCVirtualNetworkAdapter[– PortACLNetworkAccessControlList> |-RemovePortACL] [残りのパラメーター]

-PortACL: を使用するオプションのパラメーターが新しい仮想ネットワーク アダプターにポート ACL を設定します。

-RemovePortACL: いずれかを削除するオプションのパラメーターが新しい仮想ネットワーク アダプターのポート ACL を構成します。

Get SCVirtualNetworkAdapter: 返されたオブジェクトで構成されているポート ACL を取得します。

サンプル コマンド

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL 

ACL のポートの規則を適用します。

ポート Acl を適用した後に Vm を更新するとするに注意してください「準拠していない」として、仮想マシンの状態が表示されることファブリックのワークスペースの仮想マシンの表示にします。(バーチャル マシン ビューに切り替えるを参照する必要最初の論理ネットワークのノードまたは論理スイッチ・ ファブリックのワークスペースのノードのいずれかに)。(スケジュール) でバック グラウンドで、VM の更新が自動的に発生することに注意します。そのため、Vm を明示的に更新しない場合でも入ります準拠していない状態に最終的にします。



この時点では、ポート Acl ないを適用して仮想マシンとその関連する仮想ネットワーク アダプターにします。ポート Acl を適用するには、修復と呼ばれるプロセスのトリガーがあります。このことはありませんは自動的に実行し、ユーザーの要求時に明示的に開始する必要があります。

修復を開始するにするリボンのRemediateをクリックしてまたは修復 SCVirtualNetworkAdapterコマンドレットを実行します。この機能のコマンドレットの構文に特定の変更はありません。

修復 SCVirtualNetworkAdapter VirtualNetworkAdapterVirtualNetworkAdapter>

これらの Vm を得られるように準拠としてマークされ、ポートの拡張 Acl を適用することを確認すると。明示的に修正されるまで、ポートの Acl がスコープ内の任意の Vm に適用されないことに注意します。

ACL のポートの規則を表示します。

Acl および ACL を表示するのにはルールを次の PowerShell コマンドレットを使用することができます。

追加される新しい PowerShell コマンドレット

ポートの Acl を取得します。

パラメーターは、1 を設定します。すべて、または名前を取得するのには: Get SCPortACL [の名前<>]

パラメーターは、2 を設定します。Id を取得するのには: Get-SCPortACL -Id <> [-名<>]

ACL のポートの規則を取得します。

パラメーターは、1 を設定します。すべてまたは名前: Get SCPortACLrule [の名前<>]

パラメーターは、2 を設定します。Id: Get-SCPortACLrule -Id <>

パラメーターは、3 を設定します。ACL オブジェクト: Get-SCPortACLrule -PortACLNetworkAccessControlList>

ACL のポートの規則を更新

ネットワーク アダプターに関連付けられている ACL を更新するときは、その ACL を使用するすべてのネットワーク アダプター インスタンスに変更が反映されます。VM のサブネットまたは VM のネットワークに接続されている ACL の変更とそのサブネットに接続されているすべてのネットワーク アダプター インスタンスが更新されます。

注: <b>個々 のネットワーク アダプター上の ACL ルールを更新は、1 つの try のベスト ・ エフォート方式で並列に実行されます。アダプターが何らかの理由で更新されることはできませんが「セキュリティ」incompliant をマークされ、ネットワーク アダプター正常に更新されないことを示すエラー メッセージ タスクが終了します。「セキュリティ incompliant」ここ不一致と実際の ACL ルールが必要です。アダプターは、関連のエラー メッセージに「準拠していない」のコンプライアンスの状態をまとめてがあります。準拠していない仮想マシンの修復の詳細については前のセクションを参照してください。
新しい PowerShell コマンドレットが追加されました。
セット SCPortACL PortACLPortACL> [の名前[-の説明 <>n >]

セット SCPortACLrule PortACLrulePortACLrule> [の名前[-の説明文字列[-の種類PortACLRuleDirection> {受信 |発信}] [-アクションPortACLRuleAction> {を許可します。拒否}] [-SourceAddressPrefix文字列[-SourcePortRange文字列[-DestinationAddressPrefix文字列[-DestinationPortRange文字列[のプロトコルPortACLruleProtocol> {Tcp |Udp |すべて}]

セット SCPortACL: ポート ACL の説明を変更します。
  • 説明: 説明を更新します。

セット SCPortACLrule: ポート ACL ルールのパラメーターを変更します。
  • 説明: 説明を更新します。
  • タイプ: は、ACL が適用されている方向を更新します。
  • 処置: ACL の動作を更新します。
  • プロトコル: ACL の適用対象となるプロトコルが更新されます。
  • 優先度: 優先度を更新します。
  • SourceAddressPrefix: 発信元アドレスのプレフィックスを更新します。
  • SourcePortRange: は、元のポート範囲を更新します。
  • DestinationAddressPrefix: は、転送先アドレスのプレフィックスを更新します。
  • DestinationPortRange: は、転送先のポート範囲を更新します。

ポート Acl と ACL のポート規則を削除します。

それに接続されている依存関係がない場合にのみ、ACL を削除できます。依存関係には、VM と VM のネットワーク サブネットまたは仮想ネットワーク アダプターとグローバル設定 ACL に関連付けられているにはが含まれます。PowerShell コマンドレットを使用して、ACL のポートを削除しようとすると、コマンドレットはか検出し、ポート ACL 依存関係のいずれかに接続されている適切なエラー メッセージがスローされます。

ポートに Acl を削除します。

新しい PowerShell コマンドレットが追加されました。

削除 SCPortACL PortACLNetworkAccessControlList>

ACL のポート規則を削除します。

新しい PowerShell コマンドレットが追加されました。

削除 SCPortACLRule PortACLRuleNetworkAccessControlListRule>

VM を削除するサブネットまたは VM のネットワーク/ネットワーク アダプターは、その ACL との関連付けを自動的に削除のことに注意します。

ACL は、VMM のそれぞれのネットワーク オブジェクトを変更することによって VM のサブネットまたは VM ネットワーク/ネットワーク アダプターからも解除します。これを行うには、以前のセクションで説明されているよう- RemovePortACLスイッチでは、一連のコマンドレットを使用します。この例では、ポート ACL 対応するネットワーク オブジェクトからデタッチされますが、VMM インフラストラクチャから削除されません。そのため、その再利用できる後。

ACL ルールへの変更をアウト ・ オブ ・ バンド

した場合帯域外の (OOB) 変更 ACL ルールを HYPER-V 仮想スイッチのポートから (追加 VMNetworkAdapterExtendedAclなどのネイティブの HYPER-V コマンドレットを使用する) で、VM の更新として表示されます、ネットワーク アダプター「セキュリティ Incompliant」です。「ポートの Acl を適用する」セクションで説明したよう VMM からネットワーク アダプターを改善しことができます。ただし、改善策は、VMM によって予測されるように VMM の外部定義されているすべてのポート ACL ルールを上書きします。

ポート ACL ルールの優先順位とアプリケーションの優先順位 (高度)

中核となる概念

ACL のポートの各ポートの ACL ルールに「優先度です」というプロパティがあります。規則は、優先度に基づいた順序で適用されます。次の主要な原則は、ルールの優先順位を定義します。
  • 優先順位が低いほど優先順位は、番号です。複数のポート ACL ルールに反してどうしの優先度の低いルールが優先されます。
  • ルール アクションは、優先順位には影響しません。NTFS の Acl とは異なり (など)、ここではありません概念「拒否が常に優先を許可する」ように。
  • 同じ優先度 (数値)、同じ方向に 2 つの規則を持つことはできません。この動作により、これがなることで、あいまいさや矛盾、具体例では、同じ優先度は、「拒否」および"を許可する] の両方の規則を定義 1 つできます。
  • 競合は、同じ優先順位と同じ方向を持つ 2 つ以上のルールとして定義されます。2 つのポート ACL ルールの優先順位と、異なるレベルに適用される Acl が 2 つの方向が同じ場合は、これらのレベルが部分的に重なっている場合、競合が発生する可能性があります。両方のレベルのスコープ内にあるオブジェクト (たとえば、vmNIC) がある可能性があります。重複する一般的な例は、VM のネットワークと同じネットワーク上の VM のサブネットです。

1 つのエンティティに複数のポートの Acl を適用します。

Acl をポートには、別の VMM オブジェクトをネットワークに (または、前述のさまざまなレベルで) を適用できますが、ために、1 つの VM 仮想ネットワーク アダプター (vmNIC) はことができます複数のポートの Acl の適用範囲に分けられます。このシナリオでは、ポートのすべての Acl からポートの ACL ルールが適用されます。ただし、これらの規則の優先順位は、この資料に記載されている設定を微調整するいくつかの新しい VMM によって異なりますできます。

レジストリの設定

これらの設定は、VMM 管理サーバーで次のキーを Windows レジストリに Dword 値として定義されます。
HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Settings

これらすべての設定は VMM インフラストラクチャ全体にわたってポート Acl の動作に影響することに注意してください。

ACL ルールの優先順位の有効なポート

複数ポートの Acl は、効果的なルールの優先順位として 1 つのエンティティに適用すると、ここでは ACL のポートの規則の優先順位が実際は説明します。別の設定または有効なルールの優先順位を定義または VMM 内のオブジェクトがないことに注意してください。実行時に計算されます。

有効なルールの優先度の計算に使用する 2 つのグローバル モードがあります。レジストリの設定によっては、モードが切り替えられます。
PortACLAbsolutePriority

この設定に指定できる値は 0 (ゼロ) か、1、0 が既定の動作を示します。

相対的な優先順位 (既定の動作)

このモードを有効にするには、レジストリ値を 0 (ゼロ) に、 PortACLAbsolutePriorityプロパティを設定します。このモードは、(このプロパティは作成されません) の場合は、レジストリの設定を定義しない場合にも適用されます。

このモードでは、前に説明した基本概念だけでなく次の原則が適用されます。
  • 同じポート ACL 内で優先順位が保持されます。したがって、各規則で定義されている優先度の値は、ACL 内で相対パスとして扱われます。
  • ポートの複数の Acl を適用すると、バケット内のルールが適用されます。(特定のオブジェクトに接続されている) 同じ ACL からの規則は、同じバケット内で一緒に適用されます。特定のバケットの優先順位は、ポートの ACL が関連付けられているオブジェクトに依存します。
  • ここでは、常にグローバル設定の ACL に関係なく、自分の優先順位ポート ACL で定義されている) で定義されているすべてのルールの方が、vmNIC というように適用されている ACL で定義されている規則に優先します。つまり、レイヤーの分離が適用されます。

最終的には、効果的なルールの優先順位とは異なるポート ACL ルールのプロパティで定義した数値です。この動作を適用する方法と、そのロジックを変更する方法の詳細については、次の依存します。

  1. (VmNIC、VM のサブネット、および VM ネットワーク) の 3 つの「オブジェクト固有の」レベルの優先順位の順序を変更できます。

    1. グローバル設定の順序を変更することはできません。最高の優先順位が常にかかる (または順序 = 0)。
    2. 他の 3 つのレベル 0 と 3、0 が最高の優先順位 (グローバル設定と同じ)、3 は、最も低い優先順位の値を数値に次の設定を設定できます。
      • PortACLVMNetworkAdapterPriority
        (既定値は 1)
      • PortACLVMSubnetPriority
        (デフォルトは 2)
      • PortACLVMNetworkPriority
        (既定では 3)
    3. これら複数のレジストリ設定を同じ値 (0 ~ 3) を代入する場合、または 0 から 3 の範囲外の値を割り当てる場合は、VMM は既定の動作に失敗します。
  2. 順序付けが適用されている方法より高いレベルで定義されている ACL ルールに優先順位が高く (つまり、小さい数値) が表示されるように、有効なルールの優先順位が変更されたことです。有効な ACL を計算すると、各ルールの相対的な優先度の値は、「高く」レベルに固有の値で"ステップ"にします。
  3. レベルに固有の値は、さまざまなレベルを分離する「ステップ」です。既定では、「ステップ」のサイズは 10000 し、以下のレジストリ設定を構成します。
    PortACLLayerSeparation
  4. これは、このモードでは、ACL (つまり、ルールを相対パスとして扱われます) 内の個々 のルールの優先度以内で次の設定の値を意味します。
    PortACLLayerSeparation
    (既定では 10000)
構成の例
すべての設定がデフォルト値を持っていると仮定します。(これらは前に説明した。)
  1. VmNIC に関連付けられている ACL がある (PortACLVMNetworkAdapterPriority = 1)。
  2. この ACL で定義されているすべての規則の有効な優先順位は、10000 (PortACLLayerSeparation の値) が高くなります。
  3. この ACL は、100 に設定されている優先度のルールを定義しています。
  4. このルールの有効な優先順位を 10000 + 100 = 10100 となります。
  5. ルールは優先優先度は 100 を超える同じ ACL 内の他のルール。
  6. ルールが常に優先サブネット レベルの VM、VM のネットワークに接続されている Acl で定義されているすべてのルールです。(これは「下位」のレベルをものと見なされるため) です。
  7. ルールは決してよりも優先グローバル設定の ACL で定義されているすべてのルールです。
このモードの利点
  • セキュリティの向上があるマルチ テナント型のシナリオで、ファブリックの管理者 (グローバル設定のレベル) で定義されているポート ACL ルールが常に優先テナント自体で定義されているすべてのルールがあるためです。
  • ポートの ACL ルール競合 (つまり、あいまいさ) は、レイヤーの分離のため自動的に禁止されます。どのルールが有効になるかを予測するために非常に簡単であるとその理由です。
このモードでの注意事項
  • 柔軟性が低くします。(たとえば、「を拒否するすべてのトラフィックは、ポート 80 を」) グローバル設定でルールを定義する場合は、下のレイヤー (たとえば、「許可ポート 80 正当な web サーバーを実行するこの VM でのみ」) に決してこの規則からのより詳細な適用除外を作成できます。

相対的な優先順位

このモードを有効にするには、レジストリ値を 1 に、 PortACLAbsolutePriorityプロパティを設定します。

このモードでは、以前のバージョンに記載されている主要な概念だけでなく次の原則が適用されます。
  • 複数の Acl (たとえば、VM のネットワークと VM サブネット) のスコープ内でオブジェクトが少なくなると、統一された順序で (または 1 つのバケット) に接続されている Acl で定義されているすべての規則が適用されます。レベルの分離とない「振動」もありません。
  • すべてのルールの優先度は、各ルールの優先順位で定義されているとおりに正確に、絶対パス、として扱われます。つまり、各ルールの有効な優先順位はどのようなルール自体に定義されており、それが適用される前に、VMM のエンジンによって変更されません。
  • 影響を与える前のセクションで説明されている他のすべてのレジストリ設定はありません。
  • このモードでは、ACL (つまり、ルール優先度を絶対的なものとして扱われます) 内の個々 のルールの優先順位が 65535 を超えることはできません。
構成の例
  1. ACL のグローバル設定] では、ルールの優先度を 100 に設定を定義します。
  2. VmNIC に関連付けられている ACL には、優先度を 50 に設定するルールを定義します。
  3. VmNIC レベルで定義されているルールは、優先順位が高く (つまり、低い数値) があるためによりも優先されます。
このモードの利点
  • 柔軟性の向上。下位のレベル (たとえば、VM のサブネットまたは vmNIC) には、グローバル設定の規則からの例外を「一時」を作成できます。
このモードでの注意事項
  • 計画が複雑になるレベルの分離がないためです。できる、ルールは他のオブジェクトで定義されているその他の規則をオーバーライドする任意のレベルにします。
  • マルチ テナント型の環境でセキュリティに影響がため、テナントは、ファブリック管理、グローバル設定のレベルで定義されているポリシーを無効にするサブネット レベルでルールを作成できます。
  • ルールの競合 (つまり、あいまい) は、自動的に削除されていないと発生することができます。VMM では、ACL と同じレベルにのみ競合を防ぐことができます。さまざまなオブジェクトに関連付けられている Acl で、競合を防ぐことはできません。競合の場合は、VMM では、競合を自動的に修復できないため、ルールの適用を停止してエラーがスローされます。

警告: この記事は自動翻訳されています

プロパティ

文書番号:3101161 - 最終更新日: 10/30/2015 08:20:00 - リビジョン: 2.0

Microsoft System Center 2012 R2 Virtual Machine Manager

  • kbqfe kbsurveynew kbmt KB3101161 KbMtja
フィードバック