Samenvatting

Beheerders van Microsoft System Center 2012 R2 Virtual Machine Manager (VMM) kunnen nu centraal maken en beheren van Hyper-V-poort toegangsbeheerlijsten (ACL's) in de VMM.

Meer informatie

Voor meer informatie over Update Rollup 8 voor System Center 2012 R2 Virtual Machine Manager klikt u op het volgende artikel in de Microsoft Knowledge Base:



3096389 update Rollup 8 voor System Center 2012 R2 Virtual Machine Manager

Verklarende woordenlijst

We hebben het objectmodel Virtual Machine Manager verbeterd door de volgende nieuwe begrippen in het gebied van netwerk management toe te voegen.

  • Poort toegangsbeheerlijst (ACL poort)
    Een object dat is gekoppeld aan verschillende netwerken VMM-primitieven netwerkbeveiliging te beschrijven. De poort ACL fungeert als een verzameling van access control entries ofwel ACL-regels. Een ACL kan worden gekoppeld aan een willekeurig aantal (nul of meer) VMM toegang primitieven, zoals een netwerk voor VM, VM subnet, virtuele netwerkadapter of de VMM management server zelf. Een ACL kan een willekeurig aantal (nul of meer) ACL regels bevatten. Elke compatibele VMM die primitieve netwerk (subnet VM VM netwerk virtuele netwerkadapter of VMM management server) kan één poort die ACL aangesloten of geen hebben.

  • Poort toegangsbeheervermelding of ACL regel
    Een object dat een beschrijving van het filter beleid. Meerdere regels voor ACL kunnen bestaan in dezelfde poort ACL en toepassen op basis van hun prioriteit. Elke regel ACL komt overeen met één poort ACL.

  • Globale instellingen
    Een virtuele concept dat een poort ACL die wordt toegepast op alle VM virtueel netwerkadapters in de infrastructuur worden beschreven. Er is geen afzonderlijk object voor globale instellingen. In plaats daarvan de poort van de globale instellingen ACL koppelt aan de server voor het beheer van VMM zelf. Het object VMM management server kan één poort ACL of geen hebben.

Zie voor meer informatie over objecten die eerder beschikbaar waren in het gebied van netwerk management Virtual Machine Manager netwerk Object Fundamentals.

Wat kan ik doen met deze functie?

Met behulp van de interface PowerShell in VMM, kunt u nu de volgende acties uitvoeren:

  • Poort ACL's en hun ACL-regels definiëren.

    • De regels worden toegepast op de switchpoorten op de servers Hyper-V virtual als 'uitgebreide poort ACL's ' (VMNetworkAdapterExtendedAcl) in de terminologie van Hyper-V. Dit betekent dat ze alleen voor Windows Server 2012 R2 (en Hyper-V Server 2012 R2) host-servers geldt kunnen.

    • VMM maakt niet de 'oude' Hyper-V-poort ACL's (VMNetworkAdapterAcl). U kunt daarom poort ACL's op host-servers die Windows Server 2012 (of Hyper-V Server 2012) toepassen met behulp van VMM.

    • Alle ACL poortregels die zijn gedefinieerd in de VMM met behulp van deze functie zijn stateful (voor TCP). U kunt geen stateless ACL regels voor TCP maken met behulp van VMM.

    Zie voor meer informatie over de uitgebreide poort ACL-functie in Windows Server 2012 R2 Hyper-V Beveiligingsbeleid maken met uitgebreide poort Access Control lijsten voor Windows Server 2012 R2.

  • Een ACL-poort aan de globale instellingen koppelen. Dit geldt dit voor alle virtuele netwerkadapters VM. Het is alleen beschikbaar voor beheerders volledige.

  • De poort-ACL's die zijn gemaakt aan een netwerk voor VM VM subnetten of VM virtuele netwerkadapters toevoegen. Dit is beschikbaar voor beheerders volledige huurder beheerders en gebruikers zelf (SSUs).

  • Weergeven en bijwerken van poortregels ACL die zijn geconfigureerd op de afzonderlijke VM vNIC.

  • Poort ACL's en hun ACL regels verwijderen.

Elk van deze acties valt verderop in dit artikel.

Zorg ervoor dat deze functionaliteit alleen via PowerShell-cmdlets en wordt niet weergegeven in de console VMM UI (met uitzondering van de staat "Compliance").

Wat kan ik niet doen met deze functie?

  • Beheren/update afzonderlijke regels voor één exemplaar wanneer de ACL wordt gedeeld door meerdere exemplaren. Alle regels in hun bovenliggende ACL's worden centraal beheerd en waar de ACL is gekoppeld van toepassing.

  • Meer dan een ACL aan een entiteit wilt koppelen.

  • Poort-ACL's van toepassing op virtuele netwerkadapters (vNICs) in de bovenliggende partitie van Hyper-V (OS management).

  • Maken van poortregels ACL die IP-protocollen (dan TCP of UDP).

  • Poort-ACL's van toepassing op logische netwerken, netwerksites (logisch netwerkdefinities), subnet VLAN's en andere netwerken VMM-primitieven die niet eerder werden aangeboden.

Hoe gebruik ik de functie

Nieuwe poort ACL's en hun ACL poortregels definiëren

U kunt nu ACL's en hun ACL regels rechtstreeks vanuit in VMM maken met PowerShell-cmdlets.

Maak een nieuwe ACL

De volgende nieuwe PowerShell cmdlets worden toegevoegd:

Nieuw SCPortACL -naam <tekenreeks> [– omschrijving <tekenreeks>]

-Naam: Naam van de poort ACL

-Beschrijving: Beschrijving van de poort (met optionele parameter) ACL

Get-SCPortACL

Haalt alle poort-ACL 's

– Naam: Eventueel filteren op naam

– ID: eventueel filteren op ID

Voorbeeldopdrachten

New-SCPortACL -Name Samplerule -Description SampleDescription 


$acl = Get-SCPortACL -Name Samplerule 



Poort ACL regels definiëren voor de ACL-poort

Elke poort ACL bestaat uit een verzameling poortregels ACL. Elke regel bevat verschillende parameters.

  • Naam

  • Beschrijving

  • Type: Inkomend/uitgaand (de richting waarin de ACL wordt toegepast)

  • Actie: Toestaan/weigeren (de actie van de ACL, zodat het verkeer of het verkeer blokkeren)

  • SourceAddressPrefix:

  • SourcePortRange:

  • DestinationAddressPrefix:

  • DestinationPortRange:

  • Protocol: TCP/Udp/willekeurige (Opmerking: IP-protocollen worden niet ondersteund in poort ACL's die zijn gedefinieerd door de VMM. Ze worden nog steeds ondersteund door Hyper-V.)

  • Prioriteit: 1 – 65535 (laagste nummer heeft de hoogste prioriteit). Deze prioriteit heeft betrekking op de laag waarin deze wordt toegepast. (Meer informatie over hoe ACL-regels worden toegepast op basis van prioriteit en het object waarop de ACL aangesloten volgt is.)

Nieuwe PowerShell-cmdlets die worden toegevoegd

Nieuw SCPortACLrule - PortACL <PortACL>-naam <tekenreeks> [-Beschrijving < tekenreeks >]-Type < inkomend | Uitgaande >-actie < leiden | Weigeren >-prioriteit < uint16 >-Protocol < Tcp | UDP | Eventuele > [-SourceAddressPrefix < tekenreeks: IP-adres | IPSubnet >] [-SourcePortRange < tekenreeks: X | X-Y | Eventuele >] [-DestinationAddressPrefix < tekenreeks: IP-adres | IPSubnet >] [-DestinationPortRange < tekenreeks: X | X-Y | Eventuele >]

Get-SCPortACLrule

Haalt alle poortregels voor ACL.

  • Naam: Eventueel filteren op naam

  • ID: Eventueel filteren op ID

  • PortACL: Eventueel filteren op poort ACL

Voorbeeldopdrachten

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 


New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 


New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 


New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

Koppelen en ontkoppelen van de poort-ACL 's



ACL's kunnen worden gekoppeld aan het volgende:

  • Algemene instellingen (van toepassing op alle netwerkadapters van de VM. Alleen kunt beheerders volledige doen.)

  • VM-netwerk (beheerders volledige beheerders/huurder/SSUs kunt doen.)

  • VM-subnet (beheerders volledige beheerders/huurder/SSUs kunt doen.)

  • Virtuele netwerkadapters (beheerders volledige beheerders/huurder/SSUs kunt doen.)

Globale instellingen

Deze ACL poortregels toepassen op alle VM virtueel netwerkadapters in de infrastructuur.

Bestaande PowerShell-cmdlets zijn bijgewerkt met nieuwe parameters voor het koppelen en ontkoppelen van de poort ACL's.

Set SCVMMServer – VMMServer <VMMServer> [-PortACL <NetworkAccessControlList> | - RemovePortACL]

  • PortACL: Nieuwe optionele parameter die wordt geconfigureerd met algemene instellingen voor de opgegeven poort ACL.

  • RemovePortACL: Nieuwe optionele parameter die wordt verwijderd een geconfigureerd ACL poort van de globale instellingen.

Get-SCVMMServer: de geconfigureerde ACL-poort in het geretourneerde object als resultaat geeft.

Voorbeeldopdrachten

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 


Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL 

VM-netwerk


Deze regels worden toegepast op alle VM virtuele netwerkadapters die zijn verbonden met dit netwerk VM.

Bestaande PowerShell-cmdlets zijn bijgewerkt met nieuwe parameters voor het koppelen en ontkoppelen van de poort ACL's.

Nieuwe SCVMNetwork [– PortACL <NetworkAccessControlList>] [rest van de parameters]

-PortACL: nieuwe optionele parameter waarmee u een ACL-poort op het netwerk VM opgeven tijdens het maken.

Set SCVMNetwork [: <NetworkAccessControlList> PortACL | - RemovePortACL] [rest van de parameters]

-PortACL: nieuwe optionele parameter waarmee u een ACL-poort instellen op het netwerk voor VM.

-RemovePortACL: nieuwe optionele parameter die u een verwijdert poort ACL van de VM netwerk geconfigureerd.

Get-SCVMNetwork: de geconfigureerde ACL-poort in het geretourneerde object als resultaat geeft.

Voorbeeldopdrachten

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 


Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL 


VM-subnet



Deze regels worden toegepast op alle VM virtuele netwerkadapters die zijn aangesloten op het subnet van deze VM.

Bestaande PowerShell-cmdlets zijn bijgewerkt met een nieuwe parameter voor het koppelen en ontkoppelen van de poort ACL's.

Nieuwe SCVMSubnet [– PortACL <NetworkAccessControlList>] [rest van de parameters]

-PortACL: nieuwe optionele parameter waarmee u een ACL-poort naar de VM-subnet opgeven tijdens het maken.

Set SCVMSubnet [: <NetworkAccessControlList> PortACL | - RemovePortACL] [rest van de parameters]

-PortACL: nieuwe optionele parameter waarmee u een ACL-poort instellen op het subnet VM.

-RemovePortACL: nieuwe optionele parameter die u een verwijdert poort ACL van het subnet VM geconfigureerd.

Get-SCVMSubnet: de geconfigureerde ACL-poort in het geretourneerde object als resultaat geeft.

Voorbeeldopdrachten

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 


Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL 


Virtuele netwerkadapter VM (vmNIC)



Bestaande PowerShell-cmdlets zijn bijgewerkt met nieuwe parameters voor het koppelen en ontkoppelen van de poort ACL's.

Nieuwe SCVirtualNetworkAdapter [– PortACL <NetworkAccessControlList>] [rest van de parameters]

-PortACL: nieuwe optionele parameter waarmee u een ACL-poort aan de virtuele netwerkadapter opgeven tijdens het maken van een nieuwe vNIC.

Set SCVirtualNetworkAdapter [: <NetworkAccessControlList> PortACL | - RemovePortACL] [rest van de parameters]

-PortACL: nieuwe optionele parameter waarmee u een ACL-poort aan de virtuele netwerkadapter instellen.

-RemovePortACL: nieuwe optionele parameter die u een verwijdert poort ACL van de virtuele netwerkadapter geconfigureerd.

Get-SCVirtualNetworkAdapter: de geconfigureerde ACL-poort in het geretourneerde object als resultaat geeft.

Voorbeeldopdrachten

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 


Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL 


ACL poortregels toepassen

Wanneer u het VMs vernieuwen nadat u de poort ACL's koppelen, ziet u dat de status van de VMs wordt weergegeven als 'Niet-compatibele' in de weergave van de virtuele Machine van de werkruimte Fabric. (Als u wilt overschakelen naar de virtuele Machine, moet u eerst gaat u naar het knooppunt Logische netwerken of het knooppunt Logische overgeschakeld van de werkruimte Fabric). Let wel, VM vernieuwen gebeurt automatisch op de achtergrond (op schema). Dus zelfs als u VMs niet expliciet vernieuwen, gaat ze in een niet-compatibele staat uiteindelijk.

alternate text

Op dit moment hebben de poort-ACL's nog niet toegepast op VMs en hun relevante virtuele netwerkadapters. Als u wilt toepassen op de poort ACL's, hebt u voor het starten van een proces dat herstel wordt genoemd. Dit nooit gebeurt automatisch en moet expliciet worden gestart op gebruikersverzoek.

Herstel starten, kunt u Klik op Remediate op het lint of de Reparatie-SCVirtualNetworkAdapter -cmdlet uitvoert. Er zijn geen bepaalde wijzigingen aan de cmdlet syntaxis voor deze functie.

<VirtualNetworkAdapter> Reparatie-SCVirtualNetworkAdapter - VirtualNetworkAdapter

Oplossen van problemen met deze VMs wordt gemarkeerd als compatibel en zorgt ervoor dat uitgebreide poort ACL's worden toegepast. Let erop dat poort ACL's niet van toepassing op alle VMs in bereik totdat u ze expliciet doorvoeren.

Poortregels ACL weergeven

De ACL's en ACL bekijken van regels, kunt u de volgende PowerShell-cmdlets.

Nieuwe PowerShell-cmdlets die worden toegevoegd



Poort ACL's ophalen

Parameter 1 ingesteld. Alle of met de naam: Get SCPortACL [-<> naam]

Parameter 2 ingesteld. Op ID: Get-SCPortACL -Id <> [-<> naam]

Poortregels ACL ophalen

Parameter 1 ingesteld. Alle of met de naam: Get SCPortACLrule [-<> naam]

Parameter 2 ingesteld. Door ID: Get-SCPortACLrule -Id <>

Parameter 3 ingesteld. Door ACL object: <NetworkAccessControlList> Get-SCPortACLrule – PortACL

Poortregels ACL bijwerken

Wanneer u de ACL die is aangesloten op netwerkadapters bijwerkt, worden de wijzigingen doorgevoerd in de netwerkadapter overal met deze ACL. Voor een ACL die is gekoppeld aan een VM subnet of een netwerk voor VM, worden alle netwerkadapter exemplaren die zijn aangesloten op dat subnet bijgewerkt met de wijzigingen.

Opmerking Parallel in een een-heid van best effort-schema wordt bijwerken van regels op afzonderlijke netwerkadapters ACL uitgevoerd. Adapters die niet kunnen worden bijgewerkt om welke reden worden gemarkeerd als "incompliant beveiliging" en de taak eindigt met een foutbericht waarin wordt gemeld dat de netwerkadapters zijn niet bijgewerkt. "Incompliant beveiliging" verwijst hier naar een komen niet overeen in verwacht versus werkelijke ACL-regels. De adapter heeft een staat van de naleving van "Niet compatibel" samen met relevante foutmeldingen. Zie de vorige sectie voor meer informatie over het opnieuw te proberen niet-compatibele virtuele machines.

Nieuwe PowerShell-cmdlet toegevoegd

Set SCPortACL - PortACL <PortACL> [-naam <naam>] [-omschrijving < description >]

<PortACLrule> Set-SCPortACLrule - PortACLrule [-naam <naam>] [-Beschrijving <tekenreeks>] [-<PortACLRuleDirection> Typ {inkomend | Uitgaande}] [-actie <PortACLRuleAction> {leiden | DENY}] [-SourceAddressPrefix <tekenreeks>] [-SourcePortRange <tekenreeks>] [-DestinationAddressPrefix <tekenreeks>] [-DestinationPortRange <tekenreeks>] [-Protocol <PortACLruleProtocol> {Tcp | UDP | Alle}]

Set SCPortACL: verandert de beschrijving van de ACL van de poort.

  • Beschrijving: De beschrijving bijgewerkt.


Set SCPortACLrule: de poort ACL Regelparameters wijzigen.

  • Beschrijving: De beschrijving bijgewerkt.

  • Type: Werkt de richting waarin de ACL wordt toegepast.

  • Actie: De actie van de ACL bijgewerkt.

  • Protocol: Werkt het protocol de ACL moet worden toegepast.

  • Prioriteit: Werkt de prioriteit.

  • SourceAddressPrefix: Het adresprefix bron werkt.

  • SourcePortRange: Het bronbereik poort werkt.

  • DestinationAddressPrefix: De doeladresvoorvoegsel werkt.

  • DestinationPortRange: Het doelbereik poort werkt.

Verwijderen, poort ACL's en poortregels ACL

Een ACL kan worden verwijderd, alleen als er geen afhankelijkheden is gekoppeld. Afhankelijkheden zijn VM netwerk VM/subnet/virtual network adapter/algemene instellingen die zijn gekoppeld aan de ACL. Wanneer u een ACL-poort verwijderen probeert door met de PowerShell-cmdlet, detecteert de cmdlet of de poort ACL is gekoppeld aan een van de afhankelijkheden en juiste foutberichten genereert.

ACL's poort verwijderen

Nieuwe PowerShell-cmdlets zijn toegevoegd:

<NetworkAccessControlList> Verwijderen SCPortACL - PortACL

Poortregels ACL verwijderen

Nieuwe PowerShell-cmdlets zijn toegevoegd:

<NetworkAccessControlListRule> Verwijderen SCPortACLRule - PortACLRule

Zich bewust zijn dat een VM verwijderen subnet VM/netwerk/netwerkadapter automatisch verwijdert de koppeling met deze ACL.

Een ACL kan ook wordt losgekoppeld van de VM subnet VM/netwerk/netwerkverbindingen adapter door de respectieve netwerken VMM-object te wijzigen. Hiertoe gebruikt u de cmdlet Set- samen met de schakeloptie - RemovePortACL zoals beschreven in eerdere secties. In dit geval de poort ACL van de respectieve netwerkobject losgemaakt worden, maar worden niet verwijderd uit de VMM-infrastructuur. Daarom kan deze later worden hergebruikt.

Out-of-band wijzigingen aan de ACL-regels

Als wij doen out of band (OOB) wijzigingen aan ACL regels van Hyper-V virtual switch-poort (met behulp van native Hyper-V-cmdlets zoals Add-VMNetworkAdapterExtendedAcl), wordt VM vernieuwen weergegeven op de netwerkadapter als "Security Incompliant." De netwerkadapter kan vervolgens worden verholpen van VMM zoals beschreven in de sectie "Toepassen poort ACL's". Echter overschrijft doorvoeren alle poort ACL regels die met die die naar verwachting door de VMM buiten VMM zijn gedefinieerd.

Poort ACL prioriteit en de toepassing de prioriteit van regels (Geavanceerd)

Belangrijkste begrippen



Elke poort ACL-regel in een ACL-poort heeft een eigenschap met de naam 'Priority'. Regels worden toegepast in de volgorde op basis van hun prioriteit. De volgende core principles definiëren prioriteit regels:

  • Hoe lager de prioriteit nummer, hoe hoger de prioriteit is. Dat wil zeggen, als meerdere ACL poortregels strijdig zijn met elkaar, wint de regel met een lagere prioriteit.

  • De regelactie heeft geen invloed op de volgorde. Dat wil zeggen, in tegenstelling tot NTFS ACL's hebben (bijvoorbeeld) hier we geen begrip zoals 'Deny altijd voorrang op toestaan'.

  • Op dezelfde prioriteit (dezelfde numerieke waarde), u kunt niet twee regels met dezelfde richting hebben. Dit probleem wordt voorkomen dat een hypothetische situatie waarin een "Deny" en "Toestaan" regels met dezelfde prioriteit definiëren kan, omdat dit leiden dubbelzinnigheid of een conflict tot zou.

  • Een conflict wordt gedefinieerd als twee of meer regels die dezelfde prioriteit en dezelfde richting. Een conflict kan optreden als er twee poort ACL regels met dezelfde prioriteit en richting in twee ACL's die worden toegepast op verschillende niveaus, en als deze niveaus elkaar deels overlappen. Dat wil zeggen, is er mogelijk een object dat binnen de werkingssfeer van beide niveaus valt (bijvoorbeeld vmNIC). Een algemeen voorbeeld van overlappende is een VM netwerk en subnet VM in hetzelfde netwerk.

Meerdere poorten ACL's toepassen op één enkele entiteit

Omdat poort ACL's kunt toepassen op verschillende VMM networking objecten (of op verschillende niveaus, zoals eerder is beschreven), valt een enkele VM virtuele netwerkadapter (vmNIC) in het bereik van meerdere poort ACL's. In dit scenario wordt worden de poortregels ACL van alle poort-ACL's toegepast. De prioriteit van deze regels is afhankelijk van de diverse nieuwe VMM "fine-tuning"-instellingen die verderop in dit artikel worden vermeld.

Registerinstellingen

Deze instellingen worden gedefinieerd als de DWORD-waarden in het Windows-register onder de volgende sleutel op de server VMM:

HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Settings
Zorg ervoor dat alle deze instellingen heeft invloed op de werking van de poort ACL's in de hele infrastructuur van VMM.

Effectieve poort ACL Regelprioriteit

In deze discussie beschrijven maar wij de werkelijke volgorde van de poortregels ACL wanneer meerdere poort ACL's worden toegepast op één enkele entiteit als effectieve Regelprioriteit. Zorg ervoor dat er geen aparte instelling of VMM definiëren of effectieve regel prioriteit-object is. In de runtime wordt berekend.

Er zijn twee algemene modi waarin daadwerkelijke Regelprioriteit kan worden berekend. De modi worden ingeschakeld door de registerinstelling:

PortACLAbsolutePriority
De geldige waarden voor deze instelling zijn 0 (nul) of 1, waarbij 0 staat voor standaard.

Relatieve prioriteit (standaardinstelling)

Als u wilt inschakelen deze modus, stelt u de eigenschap PortACLAbsolutePriority in het register om de waarde 0 (nul). Deze modus is ook van toepassing als de instelling in het register is gedefinieerd (als de eigenschap niet gemaakt is).

In deze modus worden de volgende principes gelden naast de belangrijkste begrippen die eerder zijn beschreven:

  • De prioriteit binnen dezelfde poort die ACL wordt behouden. Prioriteitswaarden die zijn gedefinieerd in elke regel worden daarom behandeld als relatieve in de ACL.

  • Als u meerdere poort ACL's toepast, worden de regels toegepast in buckets. De regels van de dezelfde ACL (gekoppeld aan een bepaald object) worden samen in de emmer dezelfde toegepast. De volgorde van bepaalde buckets hangt af van het object waarop de ACL-poort is aangesloten.

  • Hier, voorrang de regels die zijn gedefinieerd in de globale instellingen ACL (ongeacht hun eigen prioriteit als omschreven in de ACL-poort), altijd op de regels die zijn gedefinieerd in de ACL die wordt toegepast op vmNIC, enzovoort. Met andere woorden, de laag functiescheiding is ingeschakeld.


Uiteindelijk, effectieve Regelprioriteit kan afwijken van de numerieke waarde die u in de eigenschappen van poort ACL opgeeft. Meer informatie over hoe u dit gedrag wordt afgedwongen en hoe kunt u de logica volgt.

  1. De volgorde waarin de drie niveaus "kenmerken" (dat wil zeggen, vmNIC, VM subnet en VM netwerk) voorrang kan worden gewijzigd.

    1. De volgorde van de globale instellingen kan niet worden gewijzigd. Heeft deze altijd hoogste prioriteit (of volgorde = 0).

    2. U kunt de volgende instellingen voor de andere drie niveaus instellen op een numerieke waarde tussen 0 en 3, waarbij 0 de hoogste prioriteit (gelijk aan de globale instellingen) en 3 de laagste prioriteit:

      • PortACLVMNetworkAdapterPriority (de standaardwaarde is-1)

      • PortACLVMSubnetPriority (de standaardwaarde is 2)

      • PortACLVMNetworkPriority (de standaardwaarde is 3)

    3. Als u dezelfde waarde (0-3) toewijzen aan deze verschillende instellingen in het register of als u een waarde buiten het bereik van 0 tot en met 3, mislukt VMM terug naar standaardgedrag.

  2. De volgorde wordt afgedwongen manier is dat effectieve Regelprioriteit is gewijzigd zodat ACL-regels die zijn gedefinieerd op een hoger niveau hogere prioriteit (dat wil zeggen een kleinere numerieke waarde ontvangen). Bij het berekenen van effectieve ACL, is elke regel relatieve prioriteit 'tegenaan' door de niveau-specifieke waarde of 'stap'.

  3. De niveau-specifieke waarde is de "step" dat verschillende niveaus van elkaar scheidt. Standaard wordt de grootte van de "step" is 10000 en is geconfigureerd met de volgende registerinstelling:

    PortACLLayerSeparation

  4. Dit betekent dat in deze modus elke afzonderlijke Regelprioriteit in de ACL (een regel die wordt behandeld als relatieve) kan niet groter zijn dan de waarde van de volgende instelling:

    PortACLLayerSeparation (standaard 10000)

Configuratievoorbeeld van de

Stel dat alle instellingen de standaardwaarden hebben. (Deze eerder werden beschreven.)

  1. We hebben een ACL die is gekoppeld aan de vmNIC (PortACLVMNetworkAdapterPriority = 1).

  2. De effectieve prioriteit voor alle regels die zijn gedefinieerd in deze ACL is tegenaan met 10000 (PortACLLayerSeparation-waarde).

  3. Een regel definiëren we in deze ACL is een prioriteit die is ingesteld op 100.

  4. De effectieve prioriteit voor deze regel is 10000 + 100 = 10100.

  5. De regel voorrang op andere regels in de dezelfde ACL waarvan de prioriteit hoger dan 100 is.

  6. De regel voorrang altijd op de regels die zijn gedefinieerd in de ACL's die zijn aangesloten op het netwerk voor VM VM subnetniveau. (Dit geldt omdat die worden beschouwd als "lagere" niveaus).

  7. De regel wordt nooit voorrang op alle regels die zijn gedefinieerd in de algemene ACL-instellingen.

Voordelen van deze modus

  • Er zijn betere beveiliging in scenario's met meerdere huurder omdat poortregels ACL die zijn gedefinieerd door de beheerder van de stof (op het niveau van de algemene instellingen) heeft altijd voorrang boven alle regels die zijn gedefinieerd door de huurders zelf.

  • De ACL regelconflicten met de poort (dat wil zeggen, dubbelzinnigheden) niet automatisch door afscheiding van de laag. Het is heel eenvoudig om te voorspellen welke regels gelden en waarom.

Waarschuwingen met deze modus

  • Minder flexibel. Als u een regel (bijvoorbeeld "weigeren alle verkeer voor poort 80') in de globale instellingen definieert, kunt u een meer gedetailleerde vrijstelling van deze regel nooit op een lagere laag (bijvoorbeeld" toestaan poort 80 alleen op deze VM met een betrouwbare webserver") maken.

Relatieve prioriteit

Als u wilt inschakelen deze modus, stelt u de eigenschap PortACLAbsolutePriority in het register om de waarde 1.

In deze modus worden de volgende principes gelden naast de belangrijkste begrippen die eerder zijn beschreven:

  • Als een object valt binnen het bereik van meerdere ACL's (bijvoorbeeld VM netwerk en subnet VM), worden alle regels die zijn gedefinieerd in de bijbehorende ACL's in uniforme order (of als een enkele bucket) toegepast. Er is geen niveau scheiding en geen "regelmatig" dan ook.

  • Alle regel prioriteiten worden beschouwd als absolute, precies zoals ze zijn gedefinieerd in de Regelprioriteit van elke. Met andere woorden, is de effectieve prioriteit voor elke regel hetzelfde als wat is gedefinieerd in de regel zelf en niet door de VMM-engine wordt gewijzigd voordat deze wordt toegepast.

  • Alle andere registerinstellingen die worden beschreven in de vorige sectie hebben geen effect.

  • In deze modus wordt de prioriteit van elke afzonderlijke regel in een ACL (dat wil zeggen, een Regelprioriteit die wordt behandeld als absolute) kan niet groter zijn dan 65535.

Configuratievoorbeeld van de
  1. In de globale instellingen ACL definieert u een regel waarvan de prioriteit is ingesteld op 100.

  2. In de ACL die is gekoppeld aan vmNIC, definieert u een regel waarvan de prioriteit is ingesteld op 50.

  3. Gaat de regel die is gedefinieerd op het niveau van de vmNIC omdat er een hogere prioriteit (dat wil zeggen, een lagere numerieke waarde).

Voordelen van deze modus

  • Meer flexibiliteit. U kunt "eenmalige" vrijstellingen van de algemene instellingen regels maken op lagere niveaus (bijvoorbeeld VM subnet of vmNIC).

Waarschuwingen met deze modus

  • Planning mogelijk ingewikkelder omdat er geen scheiding niveau. En is er een regel op een niveau dat heeft voorrang op andere regels die zijn gedefinieerd op andere objecten.

  • In een omgeving met meerdere huurder worden beveiliging beïnvloed omdat een huurder kunt een regel maken op subnetniveau VM die het beleid dat is gedefinieerd door de beheerder van de stof op het niveau van de globale instellingen overschreven.

  • Regels conflicten veroorzaken (dat wil zeggen, dubbelzinnigheden) worden niet automatisch verwijderd en kunnen plaatsvinden. VMM kunt voorkomen dat conflicten alleen op hetzelfde niveau ACL. Het kan niet voorkomen dat conflicten via ACL's die zijn gekoppeld aan verschillende objecten. In geval van conflict, omdat de VMM automatisch het conflict niet opgelost het stopt met toepassing van de regels en een fout.

Meer hulp nodig?

Uw vaardigheden uitbreiden
Training verkennen
Als eerste nieuwe functies krijgen
Deelnemen aan Microsoft insiders

Was deze informatie nuttig?

Hoe tevreden bent u met de vertaalkwaliteit?
Wat heeft uw ervaring beïnvloed?

Bedankt voor uw feedback.

×