Поддержка развертывания расширенной Hyper-V ACL порта в System Center 2012 R2 VMM с 8 накопительный пакет обновления

ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.

Эта статья на английском языке: 3101161
Аннотация
Администраторы из Microsoft System Center 2012 R2 диспетчер виртуальных машин (VMM) теперь можно централизованно создавать и Hyper-V порт списков управления доступом (ACL) в VMM.
Дополнительная информация
Дополнительные сведения о 8 накопительный пакет обновления для System Center 2012 R2 диспетчер виртуальных машин щелкните следующий номер статьи базы знаний Майкрософт:

3096389 Накопительный пакет обновления 8 для System Center 2012 R2 диспетчер виртуальных машин

Глоссарий

Усовершенствовала объектной модели диспетчер виртуальных машин путем добавления следующих новых концепций в области управления сеть.
  • Список управления доступом Port (порт ACL)
    Объект, который присоединен к различных сетевых примитивов VMM для описания безопасности сети. Порт ACL служит набор записей управления доступом или правил ACL. Список управления Доступом может быть присоединен к любому количеству (ноль или более) VMM сетевые примитивы, такие как сети виртуальной Машины, подсети виртуальная машина, виртуальный сетевой адаптер или сам сервер управления VMM. Список управления Доступом может содержать любое число правил ACL (ноль или более). Каждый совместимый VMM простые сети (сети виртуальной Машины, подсети виртуальная машина, виртуальный сетевой адаптер или сервера управления VMM) может иметь один порт, к которому присоединен ACL или нет.
  • Записи управления доступом порта или правило ACL
    Объект, описывающий политика фильтрации. Несколько правил ACL может существовать в один и тот же порт ACL и применяются на основании их приоритета. Каждое правило ACL соответствует только один порт ACL.
  • Глобальные параметры
    Виртуальный понятие, описывающий порт ACL, который применяется ко всем адаптерам виртуальной сети виртуальных Машин в инфраструктуре. Не используется отдельный объект тип для глобальных параметров. Вместо этого порта глобальные параметры ACL присоединяет самого сервера управления VMM. Объект сервера управления VMM может иметь один порт ACL или нет.
Сведения об объектах в области управления сети, которые ранее были доступны см. Основы сетевого объекта диспетчер виртуальных машин.

Что можно сделать с помощью этой функции

С помощью интерфейса PowerShell в VMM теперь можно выполнить следующие действия:
  • Определение порта ACL и их правила ACL.
    • Правила применяются к портам виртуального коммутатора на серверах Hyper-V как «расширенные порт ACL» (VMNetworkAdapterExtendedAcl) в Hyper-V терминологии. Это означает, что они могут применяться только для серверов Windows Server 2012 R2 (и Hyper-V Server 2012 R2).
    • VMM не будет создавать «legacy» ACL порта Hyper-V (VMNetworkAdapterAcl). Таким образом нельзя применить ACL порта хост-серверы Windows Server 2012 (или Hyper-V Server 2012) с помощью VMM.
    • Все правила для портов ACL, определенные в VMM с помощью этой функции с ведением базы данных (для TCP). Нельзя создать без сведений о состоянии правил ACL для TCP с помощью VMM.
    Дополнительные сведения о расширенной функции ACL порта в Windows Server 2012 R2 Hyper-V см Создание политики безопасности расширенного порт списки управления доступом для Windows Server 2012 R2.
  • Назначить глобальные параметры порта ACL. Это относится ко всем адаптерам виртуальной Машины виртуальной сети. Он доступен только для полного «Администраторы».
  • Подключите порт списки ACL, создаваемые сети виртуальной Машины, виртуальная машина подсетей или виртуальных сетевых адаптеров для виртуальной Машины. Этот параметр доступен полный администраторов, администраторов клиентов и самообслуживающимся пользователям (SSU).
  • Просмотр и обновление списков ACL правила для портов, настроенных на отдельных vNIC виртуальной Машины.
  • Удалите порт ACL и правила их ACL.
Более подробно далее в этой статье рассматривается каждое из этих действий.

Имейте в виду, что эта функция доступна только через командлеты PowerShell и не будут отражены в пользовательский Интерфейс консоли VMM (за исключением состояния "Соответствие требованиям").

Что не делать с этой функцией?

  • Управление и обновление отдельных правил для одного экземпляра ACL является общим для нескольких экземпляров. Все правила центральное управление в своем родительском объекте ACL и применять везде, где присоединенного списка управления Доступом.
  • Присоедините сущности более одного списка управления Доступом.
  • Примените списки ACL порта к виртуальных сетевых адаптеров (vNICs) в родительском разделе Hyper-V (управление операционной системы).
  • Создание правила для портов ACL, включая протоколы IP-уровня (кроме TCP или UDP).
  • Примените списки ACL порта для логических сетей, сетевые узлы (логических определений сетей), виртуальные локальные сети подсети и других VMM сетевых примитивов, не перечисленные выше.

Как использовать функцию?

Определение нового ACL порта и их правила для портов ACL

Теперь можно создавать списки ACL и правила их ACL непосредственно из в VMM, используя командлеты PowerShell.

Создание нового списка ACL

Добавлены следующие новые командлеты PowerShell:

Новые SCPortACL – имяСтрокаНастроек [-ОписаниеСтрока>]

— Имя: Имя порта ACL

— Описание: Описание порт ACL (необязательный параметр)

Get-SCPortACL

Извлекает все списки ACL порта

– Имя: При необходимости фильтрация по имени

— Идентификатор: фильтрации по КОДУ

Пример команды

New-SCPortACL -Name Samplerule -Description SampleDescription 

$acl = Get-SCPortACL -Name Samplerule 


Определить правила для портов ACL ACL порта
Каждый порт ACL состоит из набора правил ACL. Каждое правило содержит различные параметры.

  • Имя
  • Описание
  • Тип: Входящие/исходящие (направление, в котором применяется ACL)
  • Действие: Разрешить или запретить (действие списка управления Доступом, чтобы разрешить трафик или блокировать трафик)
  • SourceAddressPrefix:
  • SourcePortRange:
  • DestinationAddressPrefix:
  • DestinationPortRange:
  • Протокол: TCP/Udp/любой (Обратите внимание: в порт списки управления доступом, которые определяются VMM не поддерживаются протоколы IP-уровня. Они по-прежнему поддерживаются изначально Hyper-V.)
  • Приоритет: 1. до 65535 (наивысший приоритет имеет наименьший номер). Этот приоритет задается слой, в котором он применяется. (Дополнительные сведения о применении правил ACL на основе приоритета и объект, к которому ACL вложенного следующим образом.)

Новые командлеты PowerShell, добавляются

Новая SCPortACLrule - PortACLPortACLНастроек-имяСтрокаНастроек [-Описание <string>]-тип <Inbound |="" outbound="">-Действие <Allow |="" deny="">-приоритет <uint16>-протокол <Tcp |="" udp="" |="" any="">[-SourceAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-SourcePortRange <string:X|X-Y|Any>] [-DestinationAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-DestinationPortRange <string:X|X-Y|Any>]

Get-SCPortACLrule

Извлекает все правила порта ACL.

</string:X|X-Y|Any></string:></string:X|X-Y|Any></string:></Tcp></uint16></Allow></Inbound></string>
  • Имя: При необходимости фильтрация по имени
  • КОД: Фильтрации по КОДУ
  • PortACL: При необходимости фильтр по порту ACL
Пример команды

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 

New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 

New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 

New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

Присоединение и отсоединение порта ACL



Списки управления доступом могут присоединяться к следующее:
  • Глобальные параметры (применяется ко всем сетевым адаптерам виртуальной Машины. Только полный администраторы могут это сделать).
  • Виртуальная сеть (Администраторы Полный Администраторы и владелец/SSU можно это сделать).
  • Виртуальная машина подсети (Администраторы Полный Администраторы и владелец/SSU можно это сделать).
  • Виртуальные сетевые адаптеры (Администраторы Полный Администраторы и владелец/SSU можно это сделать).

Глобальные параметры

Эти правила ACL порта применяются ко всем адаптерам виртуальной сети виртуальных Машин в инфраструктуре.

С новые параметры для присоединения и отсоединения ACL порта были обновлены существующие командлеты PowerShell.

Набор SCVMMServer -VMMServerVMMServerНастроек [-PortACLNetworkAccessControlList> | -RemovePortACL]
  • PortACL: Новый дополнительный параметр, который задает указанный порт ACL для глобальных параметров.
  • RemovePortACL: Новый дополнительный параметр, который удаляет все настройки порта ACL из глобальных параметров.
Get-SCVMMServer: Возвращает порт ACL в возвращаемом объекте.

Пример команды

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL 

Виртуальная сеть


Эти правила будут применяться ко всем адаптерам виртуальной Машины виртуальной сети, подключенных к этой сети виртуальной Машины.

С новые параметры для присоединения и отсоединения ACL порта были обновлены существующие командлеты PowerShell.

Новый SCVMNetwork [-PortACLNetworkAccessControlList>] [остальных параметров]

-PortACL: новый дополнительный параметр, который позволяет указать порт список управления Доступом к сети виртуальной Машины во время создания.

Набор SCVMNetwork [-PortACLNetworkAccessControlList> | -RemovePortACL] [остальных параметров]

-PortACL: новый дополнительный параметр, который позволяет задать порт список управления Доступом к сети для виртуальной Машины.

-RemovePortACL: новый дополнительный параметр, который удаляет все настройки порта ACL из сети виртуальной Машины.

Get-SCVMNetwork: Возвращает порт ACL в возвращаемом объекте.

Пример команды

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL 

Виртуальная машина подсети


Эти правила будут применяться для всех виртуальных Машин виртуальных сетевых адаптеров, подключенных к этой подсети виртуальной Машины.

Новый параметр для присоединения и отсоединения ACL порта были обновлены существующие командлеты PowerShell.

Новый SCVMSubnet [-PortACLNetworkAccessControlList>] [остальных параметров]

-PortACL: новый дополнительный параметр, который позволяет указать порт ACL для подсети виртуальной Машины во время создания.

Набор SCVMSubnet [-PortACLNetworkAccessControlList> | -RemovePortACL] [остальных параметров]

-PortACL: новый дополнительный параметр, который позволяет задать порт ACL для подсети виртуальной Машины.

-RemovePortACL: новый дополнительный параметр, который удаляет все настройки порта ACL из подсети виртуальной Машины.

Get-SCVMSubnet: Возвращает порт ACL в возвращаемом объекте.

Пример команды

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL 

Виртуальный сетевой адаптер виртуальной Машины (vmNIC)


С новые параметры для присоединения и отсоединения ACL порта были обновлены существующие командлеты PowerShell.

Новый SCVirtualNetworkAdapter [-PortACLNetworkAccessControlList>] [остальных параметров]

-PortACL: новый дополнительный параметр, который позволяет указать порт ACL для виртуального сетевого адаптера при создании новых vNIC.

Набор SCVirtualNetworkAdapter [-PortACLNetworkAccessControlList> | -RemovePortACL] [остальных параметров]

-PortACL: новый дополнительный параметр, который позволяет задать порт ACL для виртуального сетевого адаптера.

-RemovePortACL: новый дополнительный параметр, который удаляет все настройки порта ACL из виртуального сетевого адаптера.

Get-SCVirtualNetworkAdapter: Возвращает порт ACL в возвращаемом объекте.

Пример команды

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL 

Применение правил порта ACL

При обновлении виртуальных компьютеров после подключения порта ACL, вы Обратите внимание, что состояние виртуальных машин, как «Несовместим с» в режиме виртуальной машины ткани рабочей области. (Чтобы переключиться в представление виртуальной машины, необходимо сначала найдите узел Логических сетей или Логические параметры узла рабочей области ткани). Имейте в виду, что обновление виртуальной Машины выполняется автоматически в фоновом режиме (по расписанию). Таким образом даже если явно не обновлять виртуальные машины, они переходят в состоянии несоответствия со временем.



На этом этапе ACL порта не применялись для виртуальных машин и их соответствующие виртуальные сетевые адаптеры. Для применения списков ACL порта, необходимо запустить процесс, называемый обновлением. Это никогда не происходит автоматически и должна быть запущена явным образом по запросу пользователя.

Чтобы запустить исправление, Remediate на ленте щелкните либо запустить командлет SCVirtualNetworkAdapter восстановления . Нет изменений определенного командлета синтаксис для этой функции.

Ремонт SCVirtualNetworkAdapter - VirtualNetworkAdapterVirtualNetworkAdapter>

Исправление несовместимых виртуальные машины пометить их как совместимый и обеспечит применение расширенного порт ACL. Имейте в виду, что порт ACL не будет применяться к все виртуальные машины в области до устранения их явным образом.

Просмотр правил порта ACL

Для просмотра списков ACL и списки управления доступом правил можно использовать следующие командлеты PowerShell.

Новые командлеты PowerShell, добавляются

Получить списки ACL порта

Параметр значение 1. Чтобы получить все или по имени: Get-SCPortACL [-имя <> </>]

Параметр значение 2. Чтобы получить по Идентификатору: Get-SCPortACL -Id <> [-имя <> </>]

Получить правила для портов ACL

Параметр значение 1. Все или по имени: Get-SCPortACLrule [-имя <> </>]

Параметр значение 2. По Идентификатору: Get-SCPortACLrule -код <>

Параметр значение 3. Объект списка управления Доступом: Get-SCPortACLrule -PortACLNetworkAccessControlList>

Обновление списка управления Доступом правил порта

При обновлении списка управления Доступом, прикрепленный к сетевым адаптерам, изменения отражаются во всех экземплярах сетевого адаптера, использующих этот список управления Доступом. Изменения для ACL, который подключен к виртуальной Машины подсети или сети виртуальной Машины, обновляются все экземпляры сетевого адаптера, подключенных к этой подсети.

Примечание Параллельно в схеме усилия попробуйте один выполняется обновление правил ACL на отдельных сетевых адаптеров. Адаптеры, которые не могут быть обновлены по любой причине, помечаются «incompliant безопасности» и завершения задачи с сообщением о том, что сетевые адаптеры не были успешно обновлены. «Incompliant безопасности» здесь означает несоответствие в ожидаемое и фактическое правил ACL. Адаптер будет иметь состояние соответствия «Несовместим с» вместе с соответствующие сообщения. Дополнительные сведения о исправляя посвященному виртуальных машин см.
Добавлен новый командлет PowerShell
Набор SCPortACL - PortACLPortACLНастроек [-имяИмя>] [-Описание <>n настроек]

Набор SCPortACLrule - PortACLrulePortACLruleНастроек [-имяИмя>] [-ОписаниеСтрока>] [-ТипаPortACLRuleDirectionНастроек {входящего трафика | Исходящие}] [-ДействиеPortACLRuleActionНастроек {разрешить | Запретить}] [-SourceAddressPrefixСтрока>] [-SourcePortRangeСтрока>] [-DestinationAddressPrefixСтрока>] [-DestinationPortRangeСтрока>] [-ПротоколPortACLruleProtocolНастроек {Tcp | UDP | Все}]

SCPortACL набор: изменение ACL описание порта.
  • Описание: Обновляет описание.

SCPortACLrule набор: изменение параметров правила порта ACL.
  • Описание: Обновляет описание.
  • Тип: Обновляет направление, в котором применяется ACL.
  • Действие: Обновляет действия ACL.
  • Протокол: Обновляет протокол, к которому применяется список управления Доступом.
  • Приоритет: Обновляет приоритет.
  • SourceAddressPrefix: Обновление префикса адреса источника.
  • SourcePortRange: Обновляет исходный диапазон портов.
  • DestinationAddressPrefix: Обновляет префикс адреса назначения.
  • DestinationPortRange: Обновляет конечный диапазон портов.

Удаление порта ACL и правила для портов ACL

Список управления Доступом можно удалить только в том случае, если зависимости отсутствуют, присоединенный к нему. Зависимости включают виртуальной Машины сети/VM подсети или виртуальной сетевой адаптер/глобальные параметры, прикрепленных к ACL. При попытке удалить порт ACL с помощью командлета PowerShell, командлет будет определить порт ACL присоединяется к любой из зависимостей и генерирует соответствующие сообщения об ошибках.

Удаление порта ACL

Были добавлены новые командлеты PowerShell:

Удаление SCPortACL - PortACLNetworkAccessControlList>

Удаление правила порта ACL

Были добавлены новые командлеты PowerShell:

Удаление SCPortACLRule - PortACLRuleNetworkAccessControlListRule>

Имейте в виду, что удаление виртуальной Машины сети подсети/VM/сетевой адаптер автоматически удаляет связь этого списка управления доступом.

Список управления Доступом также быть отделяется от адаптера VM подсети или Виртуальная сетевая, изменив соответствующие сетевые объект диспетчера виртуальных МАШИН. Для этого используем командлет Set- с ключом - RemovePortACL , как описано в предыдущих разделах. В этом случае порт ACL будет отсоединена от соответствующего сетевого объекта, но не удаляются из инфраструктуры VMM. Таким образом он может быть использован позже.

Резервному изменения правил ACL

Если мы делаем вне диапазона (OOB) изменения правил ACL из порта виртуального коммутатора Hyper-V (с помощью собственных командлетов Hyper-V как Добавить VMNetworkAdapterExtendedAcl), обновление виртуальной Машины будут выступать сетевой адаптер «Incompliant безопасности». Сетевой адаптер можно затем remediated из VMM как описано в разделе «Применение ACL порта». Тем не менее исправления приведет к перезаписи всех правил порта ACL, определенные вне VMM с тех, которые ожидаются диспетчером виртуальных компьютеров.

Порт ACL приоритет и приложения очередность применения правил (Дополнительно)

Основные понятия

Каждое правило ACL порта в поле порт ACL имеет свойство с именем «Приоритет». Правила применяются в порядке их приоритета. Следующие основные принципы определения правил приоритета:
  • Низкий приоритет номер, тем выше приоритет. Если несколько правил порта ACL противоречат друг с другом, выигрывает правила с более низким приоритетом.
  • Действие правила не влияет на приоритет. В отличие от списков управления доступом NTFS (например), здесь у нас нет концепции, как «Запретить всегда имеет приоритет над разрешить».
  • На том же приоритет (же числовое значение), не может иметь два правила в одном направлении. Это предотвращает гипотетическую ситуацию, в которой одно определение правила «Запретить» и «Разрешить» с одинаковым приоритетом, так как в результате неоднозначности или конфликт.
  • Конфликт определяется как два или более правил с таким же приоритетом и направлении. Конфликт может произойти, если два правила порта список управления Доступом с тем же приоритетом и направление в двух списках ACL, применяемых на различных уровнях, и если эти уровни частично перекрываются. То есть может быть объект (например, vmNIC), которые попадают в область действия обоих уровней. Распространенным примером перекрывающиеся является виртуальной Машины сети и подсети виртуальных Машин в одной сети.

Применение нескольких портов ACL к одной сущности

Поскольку порт ACL можно применить различные сетевые объекты VMM (или на различных уровнях, как описано выше), одной виртуальной Машины виртуального сетевого адаптера (vmNIC) может находиться в области нескольких портов ACL. В этом случае применяются правила для портов ACL из всех списков ACL порта. Тем не менее порядок выполнения этих правил может отличаться, в зависимости от нескольких новых VMM тонкой настройки, описанные далее в этой статье.

Параметры реестра

Эти параметры определяются как Dword значения в реестре Windows на сервере управления VMM в следующем разделе:
HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Settings

Имейте в виду, что эти параметры будут влиять на поведение ACL порта по всей инфраструктуре VMM.

Приоритет правила эффективных портов ACL

В этом разделе мы опишем фактический приоритет правила для портов ACL при применении нескольких портов ACL к одной сущности как действующие правила приоритета. Имейте в виду, что нет отдельного параметра или объекта в VMM для определения или просмотра эффективных правил приоритета. Он вычисляется во время выполнения.

Существует два глобального режима, в которых можно вычислить действующие правила приоритета. Режимы переключаются с помощью параметра реестра:
PortACLAbsolutePriority

Допустимыми значениями этого параметра являются 0 (ноль) или 1, где 0 обозначает поведение по умолчанию.

Относительный приоритет (по умолчанию)

Чтобы включить этот режим, задайте свойство PortACLAbsolutePriority в значение 0 (ноль). Этот режим также применяется, если параметр не определен в реестре (то есть, если свойство не создается).

В этом режиме только основные понятия, описанные выше применяются следующие принципы:
  • Приоритет в один и тот же порт ACL сохраняется. Таким образом приоритет значения, определенные в каждом правиле, рассматриваются как относительный, в список управления Доступом.
  • При применении нескольких портов ACL, их правила применяются в сегменты. Правила из того же списка управления Доступом (вложенного к данному объекту) применяются вместе в одном сегменте. Приоритет конкретного сегментов зависит от объекта, к которому присоединен порт ACL.
  • Здесь все правила, определенные в глобальные параметры списка управления Доступом (независимо от их собственные приоритет, определенный в порт ACL) всегда имеют приоритет над правилами, которые определены в списке ACL, который применяется к vmNIC и т. д. Другими словами применяется разделение слоев.

В конечном счете действующие правила приоритета может отличаться от числовое значение, определить в порте правило списка управления Доступом. Дополнительные сведения о применении этой проблемы и как можно изменить логику следует.

  1. Можно изменить порядок, в котором три уровня «конкретным объектом» (т.е., vmNIC, виртуальной Машины подсети и Виртуальная сеть) имеют более высокий приоритет.

    1. Нельзя изменить порядок глобальных параметров. Он всегда имеет наивысший приоритет (или заказа = 0).
    2. Для других трех уровней в числовое значение от 0 до 3, где 0 имеет наивысший приоритет (равно глобальные параметры), а 3 — самый низкий приоритет можно установить следующие параметры:
      • PortACLVMNetworkAdapterPriority
        (по умолчанию — 1)
      • PortACLVMSubnetPriority
        (по умолчанию используется 2)
      • PortACLVMNetworkPriority
        (значение по умолчанию — 3)
    3. Если одно и то же значение (от 0 до 3) назначить несколько параметров реестра или присвоения значения за пределами диапазона 0-3, VMM произойдет сбой поведение по умолчанию.
  2. Соблюдение порядка можно, вступления в силу правила приоритетов изменяется таким образом, правила списка управления Доступом, определенные на более высоком уровне имеют больший приоритет (то есть, меньше числовое значение). При расчете эффективным Доступом каждого значения приоритета правила относительно «увеличить один» на уровне конкретного значения или «шаг».
  3. Значение определенного уровня — «шаг», разделяющий уровни. По умолчанию размер «шаг» составляет 10 000 и настраивается следующий параметр реестра:
    PortACLLayerSeparation
  4. Это означает, что в этом режиме, любого отдельного правила приоритета в ACL (то есть правила, считается относительным) не может превышать значение следующего параметра:
    PortACLLayerSeparation
    (по умолчанию: 10000)
Пример конфигурации
Предполагается, что все параметры имеют значения по умолчанию. (Они описаны выше.)
  1. У нас есть список управления Доступом, присоединенного к vmNIC (PortACLVMNetworkAdapterPriority = 1).
  2. Увеличить эффективный приоритета для всех правил, которые определены в этом ACL один по 10000 (значение PortACLLayerSeparation).
  3. Определим правило в этот список управления Доступом с приоритетом, равным 100.
  4. 10000 + 100 = 10100 бы эффективным приоритет для этого правила.
  5. Правило будет иметь приоритет над другими правилами в рамках того же ACL, для которой приоритет больше, чем 100.
  6. Правило будет всегда иметь приоритет над все правила, определенные в списках ACL, вложенные в сети виртуальной Машины и уровне подсети виртуальной Машины. (Это значение true, так как те, считаются «более низкий» уровни).
  7. Это правило никогда не будет иметь приоритет над все правила, определенные в глобальные параметры списка управления Доступом.
Преимущества этого режима
  • Нет более высокий уровень безопасности в сценариях многопользовательскую так как правила для портов ACL, определенные администратором ткани (на уровне глобальных параметров) всегда будет иметь приоритет над все правила, которые определяются владельцы недвижимости, сами по себе.
  • Любые конфликты ACL правило порта (то есть неоднозначностей) автоматически запрещена из-за разделения слоев. Очень легко предсказать, какие правила будут эффективны и почему.
Меры предосторожности в этом режиме
  • Меньше возможностей. При определении правила (например, "запретить весь трафик на порт 80") в глобальных настройках никогда не создаются более детализированные исключения из этого правила на более низком слое (например, "Разрешить порт 80 на этой виртуальной Машины, работающей легального веб-сервер").

Относительный приоритет

Чтобы включить этот режим, задайте свойство PortACLAbsolutePriority в значение 1.

В этом режиме Кроме описанных выше основных понятий применяются следующие принципы:
  • Если объект попадает в область нескольких списков управления доступом (например, виртуальная машина сети и подсети VM), все правила, определенные в любых вложенных списков управления доступом применяются в единый порядок (или одного сегмента). Нет, не уровень разделения и не «bumping» ни при каких обстоятельствах.
  • Все приоритеты правил рассматриваются как абсолютный, так, как они определены в каждой приоритет правила. Другими словами эффективное приоритета для каждого правила является так же, как то, что определено в само правило и не отражается ядром VMM перед их применением.
  • Все параметры реестра, описанные в предыдущем разделе не оказывают влияния.
  • В этом режиме любого отдельного правила приоритета в список управления Доступом (то есть, приоритет правила, рассматривается как абсолютный) не может превышать 65535.
Пример конфигурации
  1. В глобальных настройках ACL определение правила, приоритет имеет значение 100.
  2. В списке управления Доступом, присоединенного к vmNIC определить правило с приоритетом, равным 50.
  3. Правила, определенные на уровне vmNIC имеет более высокий приоритет, поскольку он имеет более высокий приоритет (то есть, низкий числовое значение).
Преимущества этого режима
  • Гибкость. Можно создать «одноразовых» исключений из правила глобальные параметры на более низких уровнях (например, vmNIC или подсети виртуальной Машины).
Меры предосторожности в этом режиме
  • Планирование может становятся более сложными, поскольку нет уровень разделения. И на любом уровне, который переопределяет другие правила, определенные для других объектов может быть правило.
  • В многопользовательской среде безопасности может измениться, так как владелец может создать правило на уровне подсети виртуальной Машины, который переопределяет политику, определенные администратором ткани на уровне глобальных параметров.
  • Конфликт правил (т.е., неоднозначность) не удаляются автоматически и может произойти. VMM может предотвратить конфликты только на том же уровне ACL. Он не может предотвратить конфликты через списки управления доступом, которые присоединены к различным объектам. При наличии конфликта поскольку VMM не может устранить конфликт автоматически, он будет остановить применение правил и возникнет ошибка.

Внимание! Эта статья переведена автоматически

Свойства

Номер статьи: 3101161 — последний просмотр: 10/30/2015 09:24:00 — редакция: 2.0

Microsoft System Center 2012 R2 Virtual Machine Manager

  • kbqfe kbsurveynew kbmt KB3101161 KbMtru
Отзывы и предложения