更新プログラムのロールアップ 8 システム センター 2012 R2 の VMM で HYPER-V 拡張ポートの Acl を展開するためのサポート

どこにいても、どのデバイスからでも、 Microsoft 365

Microsoft 365 にアップグレードして、最新の機能と更新プログラムを利用できます。

今すぐアップグレード

概要

管理者の Microsoft システム センター 2012 R2 Virtual Machine Manager (VMM) これで一元的に作成および管理できます HYPER-V ポートのアクセス制御リスト (Acl) VMM。

詳細

システム センター 2012 R2 の Virtual Machine Manager の更新プログラムのロールアップ 8 の詳細については、マイクロソフト サポート技術情報の記事を表示するのには次の資料番号をクリックします。



システム センター 2012 R2 の Virtual Machine Manager の更新プログラム ロールアップ 8 3096389

用語集

Virtual Machine Manager オブジェクト モデル、ネットワーク管理] 領域で次の新しい概念を追加することによって向上します。

  • ポートのアクセス制御リスト (ACL のポート)
    ネットワーク セキュリティの VMM のさまざまなネットワーク プリミティブに関連付けられているオブジェクト。ポート ACL は、アクセス制御エントリまたは ACL ルールのコレクションとして機能します。ACL は、任意の数 (0 個またはそれ以上) の VMM は、VM のネットワーク、サブネットの VM、仮想ネットワーク アダプターの場合は、VMM 管理サーバー自体などのプリミティブをネットワークに接続できます。ACL には、任意の数 (0 個またはそれ以上) の ACL ルールを含めることができます。それぞれ互換性のある VMM ネットワーク プリミティブ (VM ネットワーク、VM のサブネット、仮想ネットワーク アダプター、または VMM 管理サーバー) には、ACL が関連付けられている 1 つのポートまたは [なし] のいずれかを持つことができます。

  • ポートのアクセス制御エントリまたは ACL ルール
    フィルタ リング ポリシーを記述するオブジェクト。複数の規則を ACL では、同じポート ACL 内に存在でき、優先度に基づいて適用することができます。各ルール、ACL は、ACL が 1 つのポートに対応します。

  • グローバル設定
    ポートは、インフラストラクチャ内のすべての VM 仮想ネットワーク アダプターに適用する ACL を記述する仮想概念です。グローバル設定の別のオブジェクト タイプはありません。代わりに、グローバル設定ポート ACL 添付自体 VMM 管理サーバーにします。VMM 管理サーバーのオブジェクトには、ACL の 1 つのポートまたは [なし] のいずれかを持つことができます。

以前使用していたネットワークの管理領域内のオブジェクトについては、 Virtual Machine Manager のネットワーク オブジェクトの基本事項を参照してください。

この機能では、どうすれば?

VMM で PowerShell インターフェイスを使用すると、次の操作を今すぐ実行できます。

  • ポート Acl の ACL ルールを定義します。

    • 「拡張ポート Acl」として Hyper-v サーバー上の仮想スイッチ ポート規則が適用されます (VMNetworkAdapterExtendedAcl) で Hyper-v の用語集です。これは、Windows Server 2012 R2 (および HYPER-V Server 2012 R2) のホスト サーバーにのみ適用できることを意味します。

    • VMM では、「従来の」ハイパー V ポート Acl (VMNetworkAdapterAcl) は作成されません。したがって、VMM を使用して、Windows Server 2012 の (または HYPER-V Server 2012) のホスト サーバーにポートの Acl を適用できません。

    • この機能を使用して VMM で定義されているすべてのポート ACL ルールは、(TCP) のステートフルです。VMM を使用して、TCP の状態の ACL ルールを作成できません。

    拡張ポートの ACL の機能の Windows Server 2012 R2 HYPER-V の詳細については、拡張ポートのアクセス コントロール リストの Windows Server 2012 R2 でのセキュリティ ポリシーの作成を参照してください。

  • グローバル設定に、ACL のポートを接続します。これはすべての VM の仮想ネットワーク アダプターにそれを適用します。管理者 (完全) にのみ使用可能になります。

  • VM ネットワーク、VM のサブネットまたは VM の仮想ネットワーク アダプターに作成されるポートの Acl を添付します。これは、管理者 (完全)、テナント管理者、およびセルフ サービス ユーザー (Ssu) を使用できます。

  • 表示し、個々 の VM vNIC で構成されているポートの ACL ルールを更新します。

  • ポート Acl と、ACL ルールを削除します。

これらのアクションは、この資料の後半で詳しく説明します。

この機能は PowerShell コマンドレットでのみ公開され、(「コンプライアンス」の状態) を除く、VMM コンソール UI に反映されないことに注意してください。

いないどうすればこの機能を使用しますか。

  • 管理または更新個々 のルールを 1 つのインスタンスの ACL は、複数のインスタンス間で共有されている場合です。すべてのルールは、親の Acl 内で一元的に管理し、ACL が関連付けられている任意の場所を適用します。

  • 1 つ以上の ACL をエンティティに接続します。

  • (Vnic) の仮想ネットワーク アダプターに、HYPER-V 親パーティション (OS の管理) でポートの Acl を適用します。

  • IP レベルのプロトコル (TCP または UDP) 以外を含むポート ACL ルールを作成します。

  • 論理ネットワーク、ネットワーク サイト (論理ネットワークの定義)、サブネット Vlan では、上記にリストされていないその他の VMM ネットワーク プリミティブへのポートの Acl を適用します。

機能を使用する方法は?

新しいポート Acl とそのポートの ACL ルールを定義します。

今すぐ作成 Acl と、ACL の規則から直接 VMM で PowerShell コマンドレットを使用して、します。

新しい ACL を作成します。

次の新しい PowerShell コマンドレットが追加されます。

新規 SCPortACL – 名 <文字列> [: <文字列> の説明]

– 名: ポート ACL の名前

説明: ACL (省略可能なパラメーター) のポートの説明

Get SCPortACL

ポートのすべての Acl を取得します。

[名前]: 必要に応じて名前に基づいてフィルター処理します。

– ID: ID によってフィルター処理 (オプション)

サンプル コマンド

New-SCPortACL -Name Samplerule -Description SampleDescription 


$acl = Get-SCPortACL -Name Samplerule 



ACL のポートのポートの ACL ルールを定義します。

各ポートの ACL は、ACL のポートの規則のコレクションで構成されます。各ルールには、ほかのパラメーターが含まれています。

  • 名前

  • 説明

  • 種類: 受信/送信 (ACL を適用する方向)

  • 操作: 許可/拒否 (トラフィックを許可するか、トラフィックをブロックするのには、ACL の操作)

  • SourceAddressPrefix。

  • SourcePortRange。

  • DestinationAddressPrefix。

  • DestinationPortRange。

  • プロトコル: TCP と Udp と任意 (注: VMM で定義されているポートの Acl には、IP レベルのプロトコルはサポートされていません。でサポートされています本来 HYPER-V。)

  • 優先度: 1-65535: (最小の番号は、最高の優先順位を持つ)。この優先度では、それが適用されているレイヤーを基準とします。(ACL ルールを適用する方法の詳細については、優先順位とする、ACL は、次のように接続されているオブジェクトに基づきます)。

追加される新しい PowerShell コマンドレット

<PortACL> の新しい SCPortACLrule -PortACL-名 <文字列> [-< 文字列 > の説明] のタイプ < 受信 |発信 >-アクション < を許可します。拒否 >-< uint16 > の優先順位-プロトコル < Tcp |Udp |任意 > [-SourceAddressPrefix < 文字列: ip アドレス。IPSubnet >] [-SourcePortRange < 文字列: X |X と Y。任意 >] [-DestinationAddressPrefix < 文字列: ip アドレス。IPSubnet >] [-DestinationPortRange < 文字列: X |X と Y。任意 >]

Get SCPortACLrule

ポートのすべての ACL ルールを取得します。

  • [名前]: 必要に応じて名前に基づいてフィルター処理します。

  • ID: はオプションで ID によってフィルター処理します。

  • PortACL: はオプションで ACL をポートがフィルター処理します。

サンプル コマンド

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 


New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 


New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 


New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

アタッチおよびデタッチ ポート Acl



Acl は、次に接続できます。

  • グローバル設定 (すべての VM のネットワーク アダプターに適用されます。のみ管理者 (完全) 実行できます。)

  • VM ネットワーク (フル管理者/テナント管理者/Ssu 実行できます)。

  • VM のサブネット (フル管理者/テナント管理者/Ssu 実行できます)。

  • バーチャル ネットワーク アダプターが (フル管理者/テナント管理者/Ssu 実行できます。)

グローバル設定

これらのポート ACL ルールは、インフラストラクチャ内のすべての VM 仮想ネットワーク アダプターに適用されます。

既存の PowerShell コマンドレットは、アタッチおよびデタッチ ポート Acl の新しいパラメーターで更新されました。

セット-SCVMMServer -VMMServer <VMMServer> [-PortACL <NetworkAccessControlList> | - RemovePortACL]

  • PortACL: 新しい省略可能なパラメーターのグローバル設定に指定したポートの ACL を構成します。

  • RemovePortACL: いずれかを削除する新しいオプションのパラメーターには、グローバル設定の ACL をポートが構成されています。

Get SCVMMServer: 返されたオブジェクトで構成されているポート ACL を取得します。

サンプル コマンド

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 


Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL 

VM ネットワーク


これらの規則は、この VM のネットワークに接続されているすべての VM の仮想ネットワーク アダプターに適用されます。

既存の PowerShell コマンドレットは、アタッチおよびデタッチ ポート Acl の新しいパラメーターで更新されました。

新しい-SCVMNetwork[– PortACL <NetworkAccessControlList>][残りのパラメーター]

-PortACL: を使用するオプションのパラメーターが新しい作成時に VM ネットワーク ポート ACL を指定します。

セット SCVMNetwork[– PortACL <NetworkAccessControlList> | - RemovePortACL][残りのパラメーター]

-PortACL: を使用するオプションのパラメーターが新しい VM ネットワークにポート ACL を設定します。

-RemovePortACL: いずれかを削除するオプションのパラメーターが新しい VM ネットワークからポート ACL を構成します。

Get SCVMNetwork: 返されたオブジェクトで構成されているポート ACL を取得します。

サンプル コマンド

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 


Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL 


VM のサブネット



これらの規則は、この VM のサブネットに接続されているすべての VM の仮想ネットワーク アダプターに適用されます。

既存の PowerShell コマンドレットは、アタッチおよびデタッチ ポート Acl の新しいパラメーターで更新されました。

新しい-SCVMSubnet[– PortACL <NetworkAccessControlList>][残りのパラメーター]

-PortACL: 新しい省略可能なパラメーターを使用することは、作成時に VM のサブネットにポート ACL を指定します。

セット SCVMSubnet[– PortACL <NetworkAccessControlList> | - RemovePortACL][残りのパラメーター]

-PortACL: を使用するオプションのパラメーターが新しい VM のサブネットに ACL のポートを設定します。

-RemovePortACL: いずれかを削除するオプションのパラメーターが新しい VM のサブネットからポート ACL を構成します。

Get SCVMSubnet: 返されたオブジェクトで構成されているポート ACL を取得します。

サンプル コマンド

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 


Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL 


VM の仮想ネットワーク アダプター (vmNIC)



既存の PowerShell コマンドレットは、アタッチおよびデタッチ ポート Acl の新しいパラメーターで更新されました。

新しい-SCVirtualNetworkAdapter[– PortACL <NetworkAccessControlList>][残りのパラメーター]

-PortACL: 新しい vNIC を作成するときに、新しいオプションのパラメーターを使用することが仮想ネットワーク アダプターにポート ACL を指定します。

セット SCVirtualNetworkAdapter[– PortACL <NetworkAccessControlList> | - RemovePortACL][残りのパラメーター]

-PortACL: を使用するオプションのパラメーターが新しい仮想ネットワーク アダプターにポート ACL を設定します。

-RemovePortACL: いずれかを削除するオプションのパラメーターが新しい仮想ネットワーク アダプターのポート ACL を構成します。

Get SCVirtualNetworkAdapter: 返されたオブジェクトで構成されているポート ACL を取得します。

サンプル コマンド

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 


Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL 


ACL のポートの規則を適用します。

ポート Acl を適用した後に Vm を更新すると発生していないと、Vm の状態が表示されることファブリックのワークスペースの仮想マシンの表示に。(バーチャル マシン ビューに切り替えるを参照する必要最初の論理ネットワークのノードまたは論理スイッチ・ ファブリックのワークスペースのノードのいずれかに)。(スケジュール) でバック グラウンドで、VM の更新が自動的に発生することに注意します。そのため、Vm を明示的に更新しない場合でも入ります準拠していない状態に最終的にします。

alternate text

この時点では、ポート Acl ないを適用して仮想マシンとその関連する仮想ネットワーク アダプターにします。ポート Acl を適用するには、修復と呼ばれるプロセスのトリガーがあります。このことはありませんは自動的に実行し、ユーザーの要求時に明示的に開始する必要があります。

修復を開始するにするリボンのRemediateをクリックしてまたは修復 SCVirtualNetworkAdapterコマンドレットを実行します。この機能のコマンドレットの構文に特定の変更はありません。

<VirtualNetworkAdapter> の修復-SCVirtualNetworkAdapter -VirtualNetworkAdapter

これらの Vm を得られるように準拠としてマークされ、ポートの拡張 Acl を適用することを確認すると。明示的に修正されるまで、ポートの Acl がスコープ内の任意の Vm に適用されないことに注意します。

ACL のポートの規則を表示します。

Acl および ACL を表示するのにはルールを次の PowerShell コマンドレットを使用することができます。

追加される新しい PowerShell コマンドレット



ポートの Acl を取得します。

パラメーターは、1 を設定します。すべて、または名前を取得するのには: Get SCPortACL [にします]

パラメーターは、2 を設定します。Id を取得するのには: Get-SCPortACL -Id <> [-します]

ACL のポートの規則を取得します。

パラメーターは、1 を設定します。すべてまたは名前: Get SCPortACLrule [にします]

パラメーターは、2 を設定します。Id: Get-SCPortACLrule -Id <>

パラメーターは、3 を設定します。ACL オブジェクト: <NetworkAccessControlList> を取得-SCPortACLrule -PortACL

ACL のポートの規則を更新

ネットワーク アダプターに関連付けられている ACL を更新するときは、その ACL を使用するすべてのネットワーク アダプター インスタンスに変更が反映されます。VM のサブネットまたは VM のネットワークに接続されている ACL の変更とそのサブネットに接続されているすべてのネットワーク アダプター インスタンスが更新されます。

ヘルプを表示

スキルを磨く
トレーニングの探索
新機能を最初に入手
Microsoft Insider に参加する

この情報は役に立ちましたか?

フィードバックをお送りいただきありがとうございます!

フィードバックをお寄せいただき、ありがとうございます。Office サポートの担当者におつなぎいたします。

×