Ondersteuning voor het implementeren van Hyper-V Uitgebreide ACL's in System Center 2012 R2 VMM met Update Rollup 8-poort

BELANGRIJK: Dit artikel is vertaald door middel van automatische vertalingssoftware van Microsoft en is mogelijk nabewerkt door de Microsoft Community via CTF-technologie (Community Translation Framework) of door een menselijke vertaler. Microsoft biedt zowel automatisch vertaalde, door mensen vertaalde en door de community nabewerkte artikelen aan, zodat er in meerdere talen toegang is tot alle artikelen in onze Knowledge Base. Een vertaald of bewerkt artikel kan fouten bevatten in vocabulaire, syntaxis of grammatica.. Microsoft is niet verantwoordelijk voor eventuele onjuistheden, fouten of schade ten gevolge van een foute vertaling van de inhoud van een bericht of het gebruik van deze vertaalde berichten door onze klanten.

De Engelstalige versie van dit artikel is de volgende: 3101161
Samenvatting
Beheerders van Microsoft System Center 2012 R2 Virtual Machine Manager (VMM) kunnen nu centraal maken en beheren van Hyper-V-poort toegangsbeheerlijsten (ACL's) in VMM.
Meer informatie
Voor meer informatie over Update Rollup 8 voor System Center 2012 R2 Virtual Machine Manager, klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base:

3096389 Update Rollup 8 voor System Center 2012 R2 Virtual Machine Manager

Verklarende woordenlijst

We hebben de Virtual Machine Manager-objectmodel verbeterd door de volgende nieuwe begrippen in het netwerk management gebied toe te voegen.
  • Poort toegangsbeheerlijst (ACL poort)
    Een object dat is gekoppeld aan verschillende netwerken VMM-primitieven netwerkbeveiliging te beschrijven. De poort ACL fungeert als een verzameling van access control entries ofwel ACL-regels. Een ACL kan worden gekoppeld aan een willekeurig aantal (nul of meer) VMM toegang primitieven, zoals een netwerk voor VM, VM subnet, virtuele netwerkadapter of de VMM management server zelf. Een ACL kan een willekeurig aantal (nul of meer) ACL regels bevatten. Elke compatibele VMM die primitieve netwerk (subnet VM VM netwerk virtuele netwerkadapter of VMM management server) kan één poort die ACL aangesloten of geen hebben.
  • Poort toegangsbeheervermelding of ACL regel
    Een object dat een beschrijving van het beleid filteren. Meerdere regels voor ACL kunnen bestaan in dezelfde poort ACL en toepassen op basis van hun prioriteit. Elke regel ACL komt overeen met één poort ACL.
  • Globale instellingen
    Een virtueel concept dat een poort ACL die wordt toegepast op alle VM virtueel netwerkadapters in de infrastructuur wordt beschreven. Er is geen afzonderlijk objecttype voor globale instellingen. In plaats daarvan de poort van de globale instellingen ACL koppelt aan de VMM management server zelf. Het object VMM management server kan één poort ACL of geen hebben.
Zie voor meer informatie over objecten die eerder beschikbaar waren in het gebied van netwerk management Virtual Machine Manager netwerkobject Fundamentals.

Wat kan ik doen met deze functie?

Met behulp van de interface PowerShell in VMM, kunt u nu de volgende acties uitvoeren:
  • Poort ACL's en hun ACL-regels definiëren.
    • De regels worden toegepast op virtual switch-poort van de Hyper-V-servers 'uitgebreide poort ACL's ' (VMNetworkAdapterExtendedAcl) in de terminologie van Hyper-V. Dit betekent dat ze alleen voor Windows Server 2012 R2 (en Hyper-V Server 2012 R2) host-servers geldt kunnen.
    • VMM maakt niet de 'oudere' Hyper-V-poort ACL's (VMNetworkAdapterAcl). Daarom kan niet toepassen poort ACL's voor Windows Server 2012 (of Hyper-V Server 2012) host-servers met behulp van VMM.
    • Alle ACL poortregels die zijn gedefinieerd in de VMM met behulp van deze functie zijn stateful (voor TCP). U kunt geen stateless ACL regels voor TCP maken met behulp van VMM.
    Zie voor meer informatie over de uitgebreide poort ACL-functie in Windows Server 2012 R2 Hyper-V Beveiligingsbeleid maken met poort uitgebreide ACL's voor Windows Server 2012 R2.
  • Een ACL-poort aan de globale instellingen koppelen. Dit geldt dit voor alle virtuele netwerkadapters VM. Het is alleen beschikbaar voor beheerders volledige.
  • De poort-ACL's die zijn gemaakt aan een netwerk voor VM VM subnetten of VM virtuele netwerkadapters toevoegen. Dit is beschikbaar voor beheerders volledige huurder beheerders en gebruikers zelf (SSUs).
  • Weergeven en bijwerken van poortregels ACL die zijn geconfigureerd op de afzonderlijke VM-vNIC.
  • Poort ACL's en hun ACL regels verwijderen.
Elk van deze acties valt verderop in dit artikel.

Zorg ervoor dat deze functionaliteit alleen via de PowerShell-cmdlets en wordt niet weergegeven in de console VMM UI (met uitzondering van de status "Compliance").

Wat kan ik niet doen met deze functie?

  • Beheren/update afzonderlijke regels voor één exemplaar wanneer de ACL wordt gedeeld door meerdere exemplaren. Alle regels worden centraal beheerd binnen hun bovenliggende ACL's en waar de ACL is gekoppeld van toepassing.
  • Meer dan een ACL aan een entiteit wilt koppelen.
  • Poort-ACL's van toepassing op virtuele netwerkadapters (vNICs) in de bovenliggende partitie van Hyper-V (OS management).
  • Maak ACL poortregels met IP-protocollen (dan TCP of UDP).
  • Poort-ACL's van toepassing op logische netwerken, netwerksites (logisch netwerkdefinities), subnet VLAN's en andere netwerken VMM-primitieven die niet eerder zijn vermeld.

Hoe gebruik ik de functie

Nieuwe poort ACL's en hun ACL poortregels definiëren

U kunt nu ACL's en hun ACL regels rechtstreeks vanuit in VMM maken met PowerShell-cmdlets.

Maak een nieuwe ACL

De volgende nieuwe PowerShell-cmdlets zijn toegevoegd:

Nieuwe SCPortACL -naamtekenreeks> [-Beschrijvingtekenreeks>]

: Naam: Naam van de poort ACL

-Beschrijving: Beschrijving van de poort (met optionele parameter) ACL

Get-SCPortACL

Haalt alle poort-ACL 's

: Naam: Naam eventueel filteren

– ID: eventueel filteren op ID

Voorbeeldopdrachten

New-SCPortACL -Name Samplerule -Description SampleDescription 

$acl = Get-SCPortACL -Name Samplerule 


Poort ACL regels definiëren voor de ACL-poort
Elke poort ACL bestaat uit een verzameling poortregels ACL. Elke regel bevat verschillende parameters.

  • Naam
  • Beschrijving
  • Type: Inkomend/uitgaand (de richting waarin de ACL wordt toegepast)
  • Actie: Toestaan/weigeren (de actie van de ACL, zodat het verkeer of het verkeer blokkeren)
  • SourceAddressPrefix:
  • SourcePortRange:
  • DestinationAddressPrefix:
  • DestinationPortRange:
  • Protocol: TCP/Udp/willekeurige (Opmerking: IP-protocollen worden niet ondersteund in poort ACL's die zijn gedefinieerd door de VMM. Ze worden nog steeds ondersteund door Hyper-V.)
  • Prioriteit: 1 – 65535 (laagste nummer heeft de hoogste prioriteit). Deze prioriteit heeft betrekking op de laag waarop het is toegepast. (Meer informatie over hoe ACL-regels worden toegepast op basis van prioriteit en het object waarop de ACL aangesloten volgt is.)

Nieuwe PowerShell-cmdlets die worden toegevoegd

Nieuwe SCPortACLrule - PortACLPortACL>-Naamtekenreeks> [-Omschrijving <string>]-Type <Inbound |="" outbound="">-actie <Allow |="" deny="">-prioriteit <uint16>-Protocol <Tcp |="" udp="" |="" any="">[-SourceAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-SourcePortRange <string:X|X-Y|Any>] [-DestinationAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-DestinationPortRange- <string:X|X-Y|Any>]

Get-SCPortACLrule

Haalt alle poortregels voor ACL.

</string:X|X-Y|Any></string:></string:X|X-Y|Any></string:></Tcp></uint16></Allow></Inbound></string>
  • Naam: Eventueel filteren op naam
  • ID: Eventueel filteren op ID
  • PortACL: Eventueel filteren op poort ACL
Voorbeeldopdrachten

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 

New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 

New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 

New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

Koppelen en ontkoppelen van de poort-ACL 's



ACL's kunnen worden gekoppeld aan het volgende:
  • Algemene instellingen (van toepassing op alle netwerkadapters in de VM. Alleen kunt beheerders volledige doen.)
  • VM-netwerk (beheerders volledige admins/huurder/SSUs hiervoor.)
  • VM-subnet (beheerders volledige admins/huurder/SSUs hiervoor.)
  • Virtuele netwerkadapters (beheerders volledige admins/huurder/SSUs hiervoor.)

Globale instellingen

Deze ACL poortregels toepassen op alle VM virtueel netwerkadapters in de infrastructuur.

Bestaande PowerShell-cmdlets zijn bijgewerkt met nieuwe parameters voor het koppelen en ontkoppelen van de poort ACL's.

Set SCVMMServer – VMMServerVMMServer> [-PortACLNetworkAccessControlList> | -RemovePortACL]
  • PortACL: Nieuwe optionele parameter die wordt geconfigureerd met algemene instellingen voor de opgegeven poort ACL.
  • RemovePortACL: Nieuwe optionele parameter die wordt verwijderd een geconfigureerd ACL poort van de globale instellingen.
Get-SCVMMServer: de geconfigureerde ACL-poort in het geretourneerde object als resultaat geeft.

Voorbeeldopdrachten

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL 

VM-netwerk


Deze regels worden toegepast op alle VM virtuele netwerkadapters die zijn verbonden met dit netwerk VM.

Bestaande PowerShell-cmdlets zijn bijgewerkt met nieuwe parameters voor het koppelen en ontkoppelen van de poort ACL's.

Nieuwe SCVMNetwork [– PortACLNetworkAccessControlList&gt;] [rest van de parameters]

-PortACL: nieuwe optionele parameter waarmee u een ACL-poort op het netwerk voor VM opgeven tijdens het maken.

Set SCVMNetwork [– PortACLNetworkAccessControlList> | -RemovePortACL] [rest van de parameters]

-PortACL: nieuwe optionele parameter waarmee u een ACL-poort instellen op het netwerk voor VM.

-RemovePortACL: nieuwe optionele parameter die u een verwijdert poort ACL van de VM netwerk geconfigureerd.

Get-SCVMNetwork: de geconfigureerde ACL-poort in het geretourneerde object als resultaat geeft.

Voorbeeldopdrachten

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL 

VM-subnet


Deze regels worden toegepast op alle VM virtuele netwerkadapters die zijn verbonden met dit subnet VM.

Bestaande PowerShell-cmdlets zijn bijgewerkt met een nieuwe parameter voor het koppelen en ontkoppelen van de poort ACL's.

Nieuwe SCVMSubnet [– PortACLNetworkAccessControlList&gt;] [rest van de parameters]

-PortACL: nieuwe optionele parameter waarmee u een ACL-poort naar de VM-subnet opgeven tijdens het maken.

Set SCVMSubnet [– PortACLNetworkAccessControlList> | -RemovePortACL] [rest van de parameters]

-PortACL: nieuwe optionele parameter waarmee u een ACL-poort instellen op het subnet VM.

-RemovePortACL: nieuwe optionele parameter die u een verwijdert poort ACL van het subnet VM geconfigureerd.

Get-SCVMSubnet: de geconfigureerde ACL-poort in het geretourneerde object als resultaat geeft.

Voorbeeldopdrachten

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL 

VM virtuele netwerkadapter (vmNIC)


Bestaande PowerShell-cmdlets zijn bijgewerkt met nieuwe parameters voor het koppelen en ontkoppelen van de poort ACL's.

Nieuwe SCVirtualNetworkAdapter [– PortACLNetworkAccessControlList&gt;] [rest van de parameters]

-PortACL: nieuwe optionele parameter waarmee u een ACL-poort aan de virtuele netwerkadapter opgeven tijdens het maken van een nieuwe vNIC.

Set SCVirtualNetworkAdapter [– PortACLNetworkAccessControlList> | -RemovePortACL] [rest van de parameters]

-PortACL: nieuwe optionele parameter waarmee u een ACL-poort aan de virtuele netwerkadapter instellen.

-RemovePortACL: nieuwe optionele parameter die u een verwijdert poort ACL van de virtuele netwerkadapter geconfigureerd.

Get-SCVirtualNetworkAdapter: de geconfigureerde ACL-poort in het geretourneerde object als resultaat geeft.

Voorbeeldopdrachten

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL 

ACL poortregels toepassen

Wanneer u het VMs vernieuwen nadat u de poort ACL's koppelen, ziet u dat de status van de VMs wordt weergegeven als 'Niet-compatibele' in de weergave van de virtuele Machine van de werkruimte Fabric. (Als u wilt overschakelen naar de virtuele Machine, moet u eerst het knooppunt Logische netwerken of het knooppunt Logische overgeschakeld van de werkruimte Fabric bladeren). Let erop dat er automatisch VM vernieuwen op de achtergrond (op schema). Daarom, zelfs als u VMs niet expliciet vernieuwen, ze gaat in een niet-compatibele staat uiteindelijk.



Op dit moment hebben de poort ACL's nog niet toegepast op VMs en hun relevante virtuele netwerkadapters. Als u wilt toepassen op de poort ACL's, hebt u voor het starten van een proces dat herstel wordt genoemd. Dit nooit gebeurt automatisch en moet expliciet worden gestart op gebruikersverzoek.

Herstel starten, kunt u Klik op Remediate op het lint of de Reparatie-SCVirtualNetworkAdapter -cmdlet uitvoert. Er zijn geen bijzondere wijzigingen aan de cmdlet syntaxis voor deze functie.

Reparatie-SCVirtualNetworkAdapter - VirtualNetworkAdapterVirtualNetworkAdapter>

Oplossen van problemen met deze VMs wordt gemarkeerd als compatibel en zorgt ervoor dat uitgebreide poort ACL's worden toegepast. Let erop dat poort ACL's niet van toepassing op alle VMs in bereik totdat u ze expliciet doorvoeren.

Poortregels ACL weergeven

De ACL's en ACL bekijken van regels, kunt u de volgende PowerShell-cmdlets.

Nieuwe PowerShell-cmdlets die worden toegevoegd

Poort ACL's ophalen

Parameter 1 ingesteld. Alle of met de naam: Get SCPortACL [-naam <> </>]

Parameter 2 ingesteld. Op ID: Get-SCPortACL -Id <> [-naam <> </>]

Poortregels ACL ophalen

Parameter 1 ingesteld. Alle of met de naam: Get SCPortACLrule [-naam <> </>]

Parameter 2 ingesteld. Door ID: Get-SCPortACLrule -Id <>

Parameter 3 ingesteld. Door ACL object: Get-SCPortACLrule – PortACLNetworkAccessControlList>

Poortregels ACL bijwerken

Wanneer u de ACL die is aangesloten op netwerkadapters bijwerkt, worden de wijzigingen doorgevoerd in alle netwerkadapter exemplaren die gebruikmaken van die ACL. Voor een ACL die is gekoppeld aan een VM-subnet of een netwerk voor VM, worden alle netwerkadapter exemplaren die zijn aangesloten op dat subnet bijgewerkt met de wijzigingen.

Opmerking Parallel in een een-heid van best effort schema wordt bijwerken van regels op afzonderlijke netwerkadapters ACL uitgevoerd. Adapters die niet kunnen worden bijgewerkt om welke reden worden gemarkeerd als "incompliant beveiliging" en de taak eindigt met een foutbericht waarin wordt gemeld dat de netwerkadapters zijn niet bijgewerkt. "Incompliant beveiliging" verwijst hier naar een niet overeen verwacht versus werkelijke ACL-regels. De adapter heeft een staat van de naleving van "Niet compatibel" samen met de relevante foutberichten. Zie de vorige sectie voor meer informatie over het opnieuw te proberen niet-compatibele virtuele machines.
Nieuwe PowerShell-cmdlet toegevoegd
Set SCPortACL - PortACLPortACL> [-NaamNaam&gt;] [-Beschrijving <>n >]

Set-SCPortACLrule - PortACLrulePortACLrule> [-Naamnaam&gt;] [-Beschrijvingtekenreeks&gt;] [-TypePortACLRuleDirection> {Inkomende | Uitgaande}] [-actiePortACLRuleAction> {Toestaan | DENY}] [-SourceAddressPrefixtekenreeks&gt;] [-SourcePortRangetekenreeks&gt;] [-DestinationAddressPrefixtekenreeks&gt;] [-DestinationPortRangetekenreeks&gt;] [-ProtocolPortACLruleProtocol> {Tcp | UDP | Eventuele}]

Set SCPortACL: verandert de beschrijving van de ACL van de poort.
  • Beschrijving: De beschrijving bijgewerkt.

Set-SCPortACLrule: de parameters van de poort ACL regel verandert.
  • Beschrijving: De beschrijving bijgewerkt.
  • Type: De richting waarin de ACL wordt toegepast, wordt bijgewerkt.
  • Actie: De actie van de ACL bijgewerkt.
  • Protocol: Het protocol dat de ACL moet worden toegepast wordt bijgewerkt.
  • Prioriteit: De prioriteit wordt bijgewerkt.
  • SourceAddressPrefix: Het adresprefix bron bijgewerkt.
  • SourcePortRange: Het bronbereik poort werkt.
  • DestinationAddressPrefix: De doeladresvoorvoegsel bijgewerkt.
  • DestinationPortRange: Het doelbereik poort werkt.

Verwijderen, poort ACL's en poortregels ACL

Een ACL kan worden verwijderd, alleen als er geen afhankelijkheden is gekoppeld. Afhankelijkheden zijn VM netwerk VM/subnet/virtual network adapter/algemene instellingen die zijn gekoppeld aan de ACL. Wanneer u een ACL-poort verwijderen probeert door met de PowerShell-cmdlet, detecteert de cmdlet of de poort ACL is gekoppeld aan een van de afhankelijkheden en juiste foutberichten genereert.

ACL's poort verwijderen

Nieuwe PowerShell-cmdlets zijn toegevoegd:

Verwijderen SCPortACL - PortACLNetworkAccessControlList>

Poortregels ACL verwijderen

Nieuwe PowerShell-cmdlets zijn toegevoegd:

Software-SCPortACLRule - PortACLRuleNetworkAccessControlListRule>

Vergeet niet dat een VM verwijderen subnet VM/netwerk/netwerkadapter automatisch verwijdert de koppeling met deze ACL.

Een ACL kan ook wordt losgekoppeld van de VM subnet VM/netwerk/netwerkverbindingen adapter door de respectieve netwerken VMM-object wijzigen. Hiertoe gebruikt u de cmdlet Set- samen met de schakeloptie - RemovePortACL zoals beschreven in eerdere secties. In dit geval de poort ACL is losgekoppeld van de respectieve netwerkobject maar worden niet verwijderd uit de VMM-infrastructuur. Dus, deze later kan worden hergebruikt.

Out-of-band wijzigingen aan de ACL-regels

Als wij doen out of band (OOB) wijzigingen aan ACL regels van Hyper-V virtuele switch-poort (met behulp van native Hyper-V-cmdlets zoals Toevoegen VMNetworkAdapterExtendedAcl), wordt VM vernieuwen weergegeven op de netwerkadapter als "Security Incompliant." De netwerkadapter kan vervolgens worden verholpen van VMM, zoals beschreven in de sectie "Toepassen poort ACL's". Echter overschrijft doorvoeren alle poort ACL regels die met die die naar verwachting door de VMM buiten VMM zijn gedefinieerd.

Poort ACL prioriteit en de toepassing de prioriteit van regels (Geavanceerd)

Belangrijkste begrippen

Elke poort ACL-regel in een ACL-poort heeft een eigenschap met de naam 'Priority'. Regels worden toegepast in de volgorde op basis van hun prioriteit. De volgende core principles definiëren prioriteit regels:
  • Hoe lager de prioriteit nummer, hoe hoger de prioriteit is. Dat wil zeggen, als meerdere ACL poortregels strijdig zijn met elkaar, wint de regel met een lagere prioriteit.
  • De regelactie heeft geen invloed op de prioriteit. Dat wil zeggen, in tegenstelling tot NTFS ACL's hebben (bijvoorbeeld) hier we geen begrip zoals 'Deny altijd voorrang op toestaan'.
  • Op dezelfde prioriteit (dezelfde numerieke waarde), u kunt niet twee regels met dezelfde richting hebben. Dit probleem wordt voorkomen dat een hypothetische situatie waarin een "Deny" en "Toestaan" regels met dezelfde prioriteit definiëren kan, omdat dit leiden dubbelzinnigheid of een conflict tot zou.
  • Een conflict is als twee of meer regels die dezelfde prioriteit en dezelfde richting gedefinieerd. Een conflict kan optreden als er twee poort ACL regels met dezelfde prioriteit en richting in twee ACL's die worden toegepast op verschillende niveaus, en als die niveaus elkaar gedeeltelijk overlappen. Dat wil zeggen, is er mogelijk een object dat binnen de werkingssfeer van beide niveaus valt (bijvoorbeeld vmNIC). Een algemeen voorbeeld van overlappende is een VM netwerk en subnet VM in hetzelfde netwerk.

Meerdere poorten ACL's toepassen op één enkele entiteit

Omdat de ACL's voor poort kunt toepassen op verschillende VMM networking objecten (of op verschillende niveaus, zoals eerder is beschreven), valt een enkele VM virtuele netwerkadapter (vmNIC) in het bereik van meerdere poort ACL's. In dit scenario wordt worden de poortregels ACL van alle poort-ACL's toegepast. De prioriteit van deze regels is afhankelijk van de verschillende nieuwe VMM "fine-tuning"-instellingen die verderop in dit artikel worden vermeld.

Registerinstellingen

Deze instellingen worden gedefinieerd als de DWORD-waarden in het Windows-register onder de volgende sleutel op de server VMM:
HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Settings

Zorg ervoor dat alle deze instellingen heeft invloed op het gedrag van poort ACL's in de hele infrastructuur van VMM.

Effectieve poort ACL Regelprioriteit

In deze discussie beschrijven maar wij de werkelijke volgorde van de poortregels ACL wanneer meerdere poort ACL's worden toegepast op één enkele entiteit als effectieve Regelprioriteit. Zorg ervoor dat er geen afzonderlijke instelling of VMM definiëren of bekijken van daadwerkelijke Regelprioriteit-object is. In de runtime wordt berekend.

Er zijn twee algemene modi waarin daadwerkelijke Regelprioriteit kan worden berekend. De modi worden ingeschakeld door de registerinstelling:
PortACLAbsolutePriority

De geldige waarden voor deze instelling zijn 0 (nul) of 1, waarbij 0 betekent standaardgedrag.

Relatieve prioriteit (standaardinstelling)

Als u wilt inschakelen deze modus, stelt u de eigenschap PortACLAbsolutePriority in het register om de waarde 0 (nul). Deze modus is ook van toepassing als de instelling in het register is gedefinieerd (als de eigenschap niet gemaakt is).

In deze modus worden de volgende principes gelden naast de belangrijkste begrippen die eerder zijn beschreven:
  • De prioriteit binnen dezelfde poort die ACL wordt behouden. Prioriteitswaarden die zijn gedefinieerd in elke regel worden daarom behandeld als relatieve in de ACL.
  • Als u meerdere poort ACL's toepast, worden de regels toegepast in buckets. De regels van de dezelfde ACL (gekoppeld aan een bepaald object) worden samen toegepast binnen de dezelfde bucket. De volgorde van bepaalde buckets hangt af van het object waarop de ACL-poort is aangesloten.
  • Hier, voorrang de regels die zijn gedefinieerd in de globale instellingen ACL (ongeacht hun eigen prioriteit als omschreven in de ACL-poort), altijd op de regels die zijn gedefinieerd in de ACL die wordt toegepast op de vmNIC, enzovoort. Met andere woorden, de laag functiescheiding is ingeschakeld.

Uiteindelijk, effectieve Regelprioriteit kunnen verschillen van de numerieke waarde die u in de eigenschappen van poort ACL opgeeft. Meer informatie over hoe u dit gedrag wordt afgedwongen en hoe kunt u de logica volgt.

  1. De volgorde waarin de drie niveaus van "specifiek object" (dat wil zeggen, vmNIC, VM subnet en VM netwerk) voorrang kan worden gewijzigd.

    1. De volgorde van de globale instellingen kan niet worden gewijzigd. Het heeft altijd voorrang op hoogste (of volgorde = 0).
    2. U kunt de volgende instellingen op een numerieke waarde tussen 0 en 3, waarbij 0 de hoogste prioriteit (gelijk aan de globale instellingen) en 3 de laagste prioriteit instellen voor de andere drie niveaus:
      • PortACLVMNetworkAdapterPriority
        (de standaardwaarde is-1)
      • PortACLVMSubnetPriority
        (de standaardwaarde is 2)
      • PortACLVMNetworkPriority
        (de standaardwaarde is 3)
    3. Als u dezelfde waarde (0-3) toewijst aan meerdere registerinstellingen, of als u een waarde buiten het bereik van 0 tot en met 3 toewijzen, mislukt VMM terug naar standaardgedrag.
  2. De volgorde wordt afgedwongen manier is dat effectieve Regelprioriteit is gewijzigd zodat ACL-regels die zijn gedefinieerd op een hoger niveau hogere prioriteit (dat wil zeggen een kleinere numerieke waarde ontvangen). Wanneer effectieve ACL wordt berekend, wordt is elke regel relatieve prioriteit "tegenaan" door de niveau-specifieke waarde of 'stap'.
  3. De niveau-specifieke waarde is de "stap" dat verschillende niveaus van elkaar scheidt. Standaard de grootte van de "stap" 10000 en is geconfigureerd met de volgende registerinstelling:
    PortACLLayerSeparation
  4. Dit betekent dat, in deze modus wordt een afzonderlijke Regelprioriteit in de ACL (een regel die wordt behandeld als relatieve) kan niet meer dan de waarde van de volgende instelling:
    PortACLLayerSeparation
    (standaard 10000)
Configuratievoorbeeld van de
Stel dat alle instellingen de standaardwaarden hebben. (Deze eerder werden beschreven.)
  1. We hebben een ACL die is gekoppeld aan de vmNIC (PortACLVMNetworkAdapterPriority = 1).
  2. De effectieve prioriteit voor alle regels die zijn gedefinieerd in deze ACL is tegenaan met 10000 (PortACLLayerSeparation-waarde).
  3. Een regel definiëren we in deze ACL heeft een prioriteit die is ingesteld op 100.
  4. De effectieve prioriteit voor deze regel zijn 10000 + 100 = 10100.
  5. De regel voorrang op andere regels binnen de dezelfde ACL waarvan de prioriteit hoger dan 100 is.
  6. De regel voorrang altijd op de regels die zijn gedefinieerd in de ACL's die zijn aangesloten op het netwerk voor VM VM subnetniveau. (Dit geldt omdat die worden beschouwd als "lagere" niveaus).
  7. De regel wordt nooit voorrang op alle regels die zijn gedefinieerd in de globale instellingen ACL.
Voordelen van deze modus
  • Er zijn betere beveiliging in scenario's met meerdere huurder omdat poortregels ACL die zijn gedefinieerd door de beheerder van de stof (op het niveau van de algemene instellingen) heeft altijd voorrang boven alle regels die zijn gedefinieerd door de huurder zelf.
  • Een ACL regelconflicten met de poort (dat wil zeggen, dubbelzinnigheden) niet automatisch door afscheiding van de laag. Het is heel eenvoudig om te voorspellen welke regels gelden en waarom.
Waarschuwingen met deze modus
  • Minder flexibel. Als u een regel (bijvoorbeeld "weigeren alle verkeer naar poort 80") in de globale instellingen definieert, kunt u een meer gedetailleerde vrijstelling van deze regel nooit op een lagere laag (bijvoorbeeld "toestaan poort 80 op deze VM met een betrouwbare webserver") maken.

Relatieve prioriteit

Als u wilt inschakelen deze modus, stelt u de eigenschap PortACLAbsolutePriority in het register om de waarde 1.

In deze modus worden de volgende principes gelden naast de belangrijkste begrippen die eerder zijn beschreven:
  • Als een object valt binnen het bereik van meerdere ACL's (bijvoorbeeld VM netwerk en subnet VM), worden alle regels die zijn gedefinieerd in de bijbehorende ACL's in uniforme order (of als een enkele bucket) toegepast. Er is geen niveau scheiding en geen "regelmatig" dan ook.
  • Alle regel prioriteiten worden beschouwd als absolute, precies zoals ze zijn gedefinieerd in de Regelprioriteit van elke. Met andere woorden, is de effectieve prioriteit voor elke regel hetzelfde als wat is gedefinieerd in de regel zelf en niet door de VMM-engine wordt gewijzigd voordat deze wordt toegepast.
  • Alle andere registerinstellingen die worden beschreven in de vorige sectie hebben geen effect.
  • In deze modus wordt de prioriteit van elke afzonderlijke regel in een ACL (dat wil zeggen, een Regelprioriteit die wordt behandeld als absolute) kan niet groter zijn dan 65535.
Configuratievoorbeeld van de
  1. In de globale instellingen ACL definieert u een regel waarvan de prioriteit is ingesteld op 100.
  2. In de ACL die is gekoppeld aan vmNIC, definieert u een regel waarvan de prioriteit is ingesteld op 50.
  3. De regel die is gedefinieerd op het niveau van de vmNIC prioriteit omdat er een hogere prioriteit (dat wil zeggen, een lagere numerieke waarde).
Voordelen van deze modus
  • Meer flexibiliteit. U kunt "eenmalige" vrijstellingen van de algemene instellingen regels maken op lagere niveaus (bijvoorbeeld VM subnet of vmNIC).
Waarschuwingen met deze modus
  • Planning mogelijk ingewikkelder omdat er geen scheiding niveau. En is er een regel op een niveau dat heeft voorrang op andere regels die zijn gedefinieerd op andere objecten.
  • In een omgeving met meerdere huurder worden beveiliging beïnvloed omdat een huurder kunt een regel maken op subnetniveau VM die het beleid dat is gedefinieerd door de beheerder van de stof op het niveau van de globale instellingen overschreven.
  • Regels conflicten veroorzaken (dat wil zeggen, dubbelzinnigheden) worden niet automatisch verwijderd en kunnen plaatsvinden. VMM kunt voorkomen dat conflicten alleen op hetzelfde niveau ACL. Het kan niet voorkomen dat conflicten via ACL's die zijn gekoppeld aan verschillende objecten. In geval van conflict, omdat de VMM automatisch het conflict niet opgelost het stopt met toepassing van de regels en een fout.

Waarschuwing: dit artikel is automatisch vertaald

Eigenschappen

Artikel-id: 3101161 - Laatst bijgewerkt: 10/30/2015 08:45:00 - Revisie: 2.0

Microsoft System Center 2012 R2 Virtual Machine Manager

  • kbqfe kbsurveynew kbmt KB3101161 KbMtnl
Feedback