Підтримка для розгортання Hyper-V, розширений порту списки керування доступом у System Center 2012 R2 VMM з зведене оновлення

ВАЖЛИВО! Ця стаття перекладена засобами машинного перекладу Microsoft. Статтю можна редагувати в середовищі Community Translation Framework (CTF). Щоб якомога швидше перекласти всі статті у своїй базі знань різними мовами, компанія Microsoft не лише звертається до професійних перекладачів, але й вдається до машинного перекладу, який потім редагується спільнотою. Такі статті можуть містити лексичні, синтаксичні та граматичні помилки. Microsoft не несе відповідальності за будь-які неточності, помилки або збитки, до яких може призвести неправильний переклад статей або їх використання. Докладніше про CTF див. на веб-сторінці http://support.microsoft.com/gp/machine-translation-corrections/uk-ua.

Клацніть тут, щоб переглянути цю статтю англійською мовою: 3101161
Підсумки
Адміністратори з Microsoft системи центр 2012 R2 Virtual Machine Manager (VMM) може тепер централізовано створювати та керувати Hyper-V порту списки керування доступом (ACL) у VMM.
Додаткові відомості
Щоб отримати додаткові відомості про зведене оновлення для System Center 2012-R2 Virtual Machine Manager клацніть номер статті в базі знань Microsoft Knowledge Base:

3096389 Пакет поновлення 8 для System Center 2012-R2 Virtual Machine Manager

Словник термінів

Вдосконалено об'єктної моделі Virtual Machine Manager, додавши такі нові концепції в області керування в мережі.
  • Порт список керування доступом (ACL порт.)
    Об'єкт, який приєднано до різних VMM основні мережі для опису безпеки мережі. Порт ACL служить набір елементи керування доступом, або правила для списку керування доступом. Списку керування доступом, може бути підключений до будь-якої (нуль або більше) VMM, основні, Віртуальну мережу, віртуальної машини підмережі, віртуальний мережний адаптер або самого сервера керування VMM з мережею. Списку керування доступом, може містити будь-якій кількості (нуль або більше) список керування доступом правила. Кожного сумісний VMM мереж первісної (Віртуальну мережу, віртуальної машини підмережі, віртуальний мережний адаптер або VMM керування сервером), можуть мати або одного порту, що додається в список керування доступом, або немає.
  • запис А керування доступом у порт або правила для списку керування доступом
    Об'єкт, який описує фільтрації політику. Кілька правил для списку керування доступом у той самий порт список керування доступом і застосування на їх пріоритет. Кожен список керування доступом, правило відповідає лише один порт список керування доступом.
  • Глобальні настройки
    Віртуальний поняття, що описує порт список керування доступом, що застосовується для всіх адаптерів віртуальна глобальна мережа віртуальної машини інфраструктури. Існує немає окремого об'єкта типу глобальні настройки. Замість цього порту глобальні настройки список керування доступом вкладення до самого сервера керування VMM. Об'єкт сервера керування VMM може мати, або один порт список керування доступом, або немає.
Щоб отримати відомості про об'єкти в області керування в мережі, які раніше опубліковані див. Virtual Machine Manager мережі об'єкт основи.

Що зробити цю функцію?

За допомогою інтерфейсу PowerShell у VMM, тепер можна виконати наведені нижче дії:
  • Визначення портів ACL і їх правила для списку керування доступом.
    • Правила застосовуються до віртуального перемикач порти на сервери Hyper-V як "додатковий порт ACL" (VMNetworkAdapterExtendedAcl) Hyper-V термінології. Це означає, що вони застосовуються лише до Windows Server 2012 R2 (і Hyper-V Server 2012, R2)-сервери.
    • VMM не буде створено "legacy" Hyper-V порту списки керування доступом (VMNetworkAdapterAcl). Таким чином, неможливо застосувати ACL-порту на сервери Windows Server 2012 (або Hyper-V Server 2012) за допомогою VMM.
    • Всі порт ACL правила, визначені на VMM за допомогою цієї функції, які повноцінної (для TCP). Не вдається створити громадянства правила для списку керування доступом TCP за допомогою VMM.
    Щоб отримати додаткові відомості про функцію ACL порт розширеної у Windows Server 2012, R2 Hyper-V див. Створення політики безпеки з розширеного порт-списки керування доступом, для ОС Windows Server 2012 R2..
  • Підключається до порту список керування доступом глобальні настройки. Це стосується це усі адаптери для віртуальна глобальна мережа віртуальної машини. Вона доступна лише для адміністраторів, що повний.
  • Підключення до порту списки керування доступом, які створюються Віртуальну мережу, підмережі для віртуальної машини або віртуальні адаптерів у віртуальну Машину. Це повне адміністраторів, клієнта адміністраторів та самообслуговування користувачів (SSUs).
  • Перегляд та оновлення правил порт список керування доступом, які налаштовано на окремих vNIC на віртуальну Машину.
  • Видалити порт ACL і їх правила для списку керування доступом.
Кожен із цих дій розглядається більш докладно далі в цій статті.

Майте на увазі, що ця функція доступний тільки за допомогою командлети PowerShell і не будуть відображені у VMM консоль інтерфейсу користувача (за винятком стан "Відповідність").

Що я не можу з ним?

  • Керування або оновлення окремих правила в одному екземплярі після того, як спільно з ACL серед кілька разів. Всі правила, централізовано керувати в межах своїх батьків ACL і застосування там, де ACL-файлу, що додається.
  • Вкладати більше одного ACL сутності.
  • Стосується порт ACL віртуальна глобальна мережа, адаптерів (vNICs) в Hyper-V батьківського розділу (керування операційної системи).
  • Створення правила для списку керування доступом портів, які містять рівень IP-протоколів (за винятком TCP або UDP).
  • Інсталюйте порт ACL логічних мереж, сайти в мережі (логічний мережі визначення), підмережі vLANs та інші VMM мережі основні, не перелічені вище.

сценарій виконання функції

Визначення новий порт ACL-файлів і їх правила для портів список керування доступом

Тепер можна створювати списки ACL і їх список керування доступом, правила безпосередньо з у VMM за допомогою командлети PowerShell.

Створення створити новий список

Додано такі нові командлети PowerShell:

Новий, SCPortACL -ім'ярядок> [-Описрядок>]

-Ім'я: Ім'я порту список керування доступом

– Опис: Опис порт ACL (Необов'язковий параметр)

Get-SCPortACL

Завантажує всі списки ACL порту

– Ім'я: Додатково фільтрування ім'я

-КОД: фільтрування за потреби ID

Приклади команд

New-SCPortACL -Name Samplerule -Description SampleDescription 

$acl = Get-SCPortACL -Name Samplerule 


Визначення правила для портів ACL порту список керування доступом
Кожен порт ACL полягає в тому, колекції правила для портів список керування доступом. Кожне правило, містить різні параметри.

  • Ім'я
  • Опис
  • Тип: Вхідні/вихідне (напрямок, у якому буде застосовано до ACL)
  • Дія: Дозволити або заборонити (дія список керування доступом, або на трафік або блокувати трафік)
  • SourceAddressPrefix:
  • SourcePortRange:
  • DestinationAddressPrefix:
  • DestinationPortRange:
  • Протокол: TCP/Udp/будь-якого (Примітка: порт списки керування доступом, які визначаються VMM рівень IP-протоколи не підтримуються. Вони підтримують лише Hyper-V.)
  • Пріоритет: 1-65535 (найменше число має найвищий пріоритет). Цей пріоритет в тому, щодо рівня, в яких застосовується. (Щоб отримати додаткові відомості про те, як список керування доступом правила застосовуються на основі пріоритет і об'єкта, до якого ACL-файлу додається слід.)

Нові командлети PowerShell, що додаються

Нові SCPortACLrule - PortACLPortACL>-Ім'ярядок> [-Опис <string>]-тип <Inbound |="" outbound="">-дія <Allow |="" deny="">-пріоритет <uint16>-протокол <Tcp |="" udp="" |="" any="">[-SourceAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-SourcePortRange <string:X|X-Y|Any>] [-DestinationAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-DestinationPortRange <string:X|X-Y|Any>]

Get-SCPortACLrule

Завантажує всі правила порт список керування доступом.

</string:X|X-Y|Any></string:></string:X|X-Y|Any></string:></Tcp></uint16></Allow></Inbound></string>
  • Ім'я: Фільтрування за потреби ім'я
  • КОД: Фільтрування за потреби ID
  • PortACL: За потреби фільтрування порт список керування доступом
Приклади команд

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 

New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 

New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 

New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

Підключення та відключення ACL-порт



Списки керування доступом, може бути підключений до такого:
  • Глобальні настройки (застосовується до всіх віртуальної машини мережних адаптерів. Лише адміністратори на повну це можна зробити.)
  • Віртуальну мережу (повний адміністраторів DHCP-клієнта адміністратори/SSUs це можна зробити.)
  • Віртуальної машини підмережі (повний адміністраторів DHCP-клієнта адміністратори/SSUs це можна зробити.)
  • Віртуальний адаптерів (повний адміністраторів DHCP-клієнта адміністратори/SSUs це можна зробити.)

Глобальні настройки

Ці правила для портів список керування доступом стосується всіх віртуальної машини віртуального мережних адаптерів, інфраструктури.

Нові параметри для підключення та відключення порт ACL було оновлено наявний бездротовий командлети PowerShell.

Set-SCVMMServer -VMMServerVMMServer> [-PortACLNetworkAccessControlList> | -RemovePortACL]
  • PortACL: Новий додатковий параметр, налаштовує зазначеного порту ACL глобальні настройки.
  • RemovePortACL: Новий додатковий параметр, що будь-який настроєно, порт список керування доступом у глобальні настройки.
Get-SCVMMServer: Повертає об'єкт повертає налаштованому порту список керування доступом.

Приклади команд

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL 

Віртуальну мережу


Ці правила буде застосовано до всіх віртуальної машини адаптерів віртуальна глобальна мережа, підключених до мережі віртуальної машини.

Нові параметри для підключення та відключення порт ACL було оновлено наявний бездротовий командлети PowerShell.

Нові SCVMNetwork [-PortACLNetworkAccessControlList>] [інші параметри]

-PortACL: новий додатковий параметр, який дає змогу вказати порт список керування доступом до мережі у віртуальну Машину, під Вільний час створення.

Set-SCVMNetwork. [-PortACLNetworkAccessControlList> | -RemovePortACL] [інші параметри]

-PortACL: новий додатковий параметр, який дає змогу встановити Віртуальну мережу порт список керування доступом.

-RemovePortACL: новий додатковий параметр, що будь-які настроєно на порт список керування доступом від мережі, віртуальної машини.

Get-SCVMNetwork: Повертає об'єкт повертає налаштованому порту список керування доступом.

Приклади команд

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL 

Віртуальної машини підмережі.


Ці правила буде застосовано усі адаптери віртуальної машини віртуальна глобальна мережа, підключених до цієї підмережі для віртуальної машини.

Наявні доступом командлети PowerShell, було оновлено за допомогою нового параметра для підключення та відключення ACL-порт.

Нові SCVMSubnet [-PortACLNetworkAccessControlList>] [інші параметри]

-PortACL: новий додатковий параметр, який дає змогу вказати порт список керування доступом до віртуальної машини підмережі, під Вільний час створення.

Set-SCVMSubnet. [-PortACLNetworkAccessControlList> | -RemovePortACL] [інші параметри]

-PortACL: новий додатковий параметр, який дає змогу встановити на порт список керування доступом до віртуальної машини підмережі.

-RemovePortACL: новий додатковий параметр, що будь-які настроєно на порт ACL з віртуальної машини-підмережі.

Get-SCVMSubnet: Повертає об'єкт повертає налаштованому порту список керування доступом.

Приклади команд

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL 

Віртуальний адаптер віртуальної машини (vmNIC)


Нові параметри для підключення та відключення порт ACL було оновлено наявний бездротовий командлети PowerShell.

Нові SCVirtualNetworkAdapter [-PortACLNetworkAccessControlList>] [інші параметри]

-PortACL: новий додатковий параметр, який дає змогу вказати порт список керування доступом на віртуальний мережний адаптер, під Вільний час створення до нового vNIC.

Set-SCVirtualNetworkAdapter. [-PortACLNetworkAccessControlList> | -RemovePortACL] [інші параметри]

-PortACL: новий додатковий параметр, який дає змогу встановити порт ACL віртуальний мережний адаптер.

-RemovePortACL: новий додатковий параметр, що будь-які настроєно на порт список керування доступом у віртуальний мережний адаптер.

Get-SCVirtualNetworkAdapter: Повертає об'єкт повертає налаштованому порту список керування доступом.

Приклади команд

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL 

Застосування правила для портів список керування доступом

Під Вільний час оновлення до-віртуальних машин, після того, як підключення до порту, списки керування доступом, ви помітите, стан на-віртуальні машини, що відображається як "Несумісності" в поданні віртуальної машини структура робочої області. (Для переходу до режиму на віртуальній машині потрібно спочатку Огляд вузла Логічних мереж "або" Логічний перемикачі вузла робочої області тканини). Зауважте, що віртуальної машини оновлення відбувається автоматично у фоновому режимі (на графіка). Таким чином, навіть якщо віртуальні машини не оновити явно, вони піде несумісні стані зрештою.



На цьому етапі ACL-порту не ще не застосовані на віртуальних машин і їх відповідні віртуального адаптерів. Щоб застосувати ACL-порт, слід викликати процес, який є виправленням. Це не відбувається автоматично і має явно роботи за запитом користувача.

Щоб розпочати відновлення, ви виберіть Remediate на стрічці або запустити командлет для Відновлення, SCVirtualNetworkAdapter . Існує немає конкретних зміни синтаксис команди, для цієї функції.

Відновлення, SCVirtualNetworkAdapter - VirtualNetworkAdapterVirtualNetworkAdapter>

Remediating ці-віртуальних машин, буде позначено як сумісний і переконайтеся, що додатковий порт ACL застосовуються. Майте на увазі, що порт ACL не застосовується для будь-якого віртуальних машин, в області, поки ви їх усунення, явно.

Перегляд правила для портів список керування доступом

Щоб переглянути список керування доступом та списки керування доступом правила, на такі командлети PowerShell можна використовувати.

Нові командлети PowerShell, що додаються

Отримання ACL-порт

Установіть для параметра 1. Усі або ім'я: Get-SCPortACL [-ім'я <> </>]

Установіть для параметра 2. Отримати ID: Get-SCPortACL -код <> [-ім'я <> </>]

Отримати список керування доступом правила для портів

Установіть для параметра 1. Усі або ім'я: Get-SCPortACLrule [-ім'я <> </>]

Установіть для параметра 2. На код: Get-SCPortACLrule -код <>

Установіть для параметра 3. список керування доступом об'єкта: Get-SCPortACLrule -PortACLNetworkAccessControlList>

Оновлення порту ACL правил

Під Вільний час оновлення, що список керування доступом, який приєднано до мережних адаптерів, ці зміни відображаються у всіх мережний адаптер екземплярів, використовуйте цей ACL. Для списку керування доступом, який приєднано до віртуальної машини підмережі, або Віртуальну мережу усі мережний адаптер екземплярів, підключених до підмережі, що оновлюється змін.

Примітка. Паралельно у схемі краще, спрямованих один, спробуйте виконується оновлення ACL правила окремих мережних адаптерів. "Безпека incompliant" позначені адаптери, які не вдалося оновити будь-якої причини, і завдання буде завершено, протокол IMAP про помилку, в якому зазначено, що мережні адаптери не було оновлено належним чином. "Безпека incompliant" тут означає невідповідність належним чином, і фактичні правила для списку керування доступом. Адаптер матимуть стану відповідності "Несумісності" разом з відповідними помилок. Переглянути попереднього розділу, щоб дізнатися більше про ліквідацію несумісні віртуальних машин.
Нові команди PowerShell, додано
Set-SCPortACL - PortACLPortACL> [-Ім'яІм'я>] [-Опис <>n >]

Set-SCPortACLrule - PortACLrulePortACLrule> [-Ім'яім'я>] [-Описрядок>] [-ТипPortACLRuleDirection> {Вхідний | Вихідне}] [-дійPortACLRuleAction> {Дозволити | Забороняти}] [-SourceAddressPrefixрядок>] [-SourcePortRangeрядок>] [-DestinationAddressPrefixрядок>] [-DestinationPortRangeрядок>] [-ПротоколPortACLruleProtocol> {Tcp | UDP | Будь-які}]

Set-SCPortACL: зміни порту Опис список керування доступом.
  • Опис: Оновлення в описі.

Set-SCPortACLrule: зміни параметрів правило порт список керування доступом.
  • Опис: Оновлення в описі.
  • Тип: Оновлення в напрямку, які застосовуються до ACL.
  • Дія: Оновлення, інтерактивні елементи ACL-файлу.
  • Протокол: Оновлення для протоколу, до якого буде застосовано ACL-файлу.
  • Пріоритет: Оновлення, пріоритет.
  • SourceAddressPrefix: Оновлення, префікс Джерело адрес.
  • SourcePortRange: Оновлення, вихідний діапазон портів.
  • DestinationAddressPrefix: Оновлення для призначення адреси префікса.
  • DestinationPortRange: Оновлення для призначення діапазон портів.

Видалення порт ACL та правила для портів список керування доступом

ACL можна видалити тільки якщо залежність завдання, не додається до нього. залежність завдання, містять віртуальної машини мережі/віртуальної машини підмережі/віртуальний мережний адаптер/глобальні параметри, які додаються до ACL-файлу. Під Вільний час спроби видалити порт список керування доступом за допомогою команду PowerShell, командлет виявлятиме чи порт ACL підключений до будь-якої залежність завдання та видасть відповідних помилок.

Видалення ACL-порт

Додано новий доступом командлети PowerShell:

Видалення та SCPortACL - PortACLNetworkAccessControlList>

Видалення правила для портів список керування доступом

Додано новий доступом командлети PowerShell:

Видалення та SCPortACLRule - PortACLRuleNetworkAccessControlListRule>

Майте на увазі, що видалення у Віртуальну мережу підмережі/віртуальної машини, / мережний адаптер, автоматично видаляє зв'язок з цього ACL.

ACL також можна пов'язана із мережі або мережного адаптера, віртуальної машини підмережі/віртуальної машини, змінивши відповідного об'єкта мережі VMM. Для цього використовуйте команду Set- разом із switch - RemovePortACL , як описано в попередніх розділах. У цьому випадку порт ACL буде від'єднано відповідних мережі об'єкта, але не буде видалено з VMM інфраструктура. Таким чином, його можна використовувати пізніше.

Вихід із групи зміни правил для списку керування доступом

Якщо ми роблять з діапазону (OOB) зміни правил для списку керування доступом Hyper-V від віртуального перемикач (за допомогою власних командлети Hyper-V, наприклад, Інсталяція, VMNetworkAdapterExtendedAcl), віртуальної машини, оновлення буде відображено мережний адаптер, як "Incompliant із безпеки". мережний адаптер може потім remediated з VMM, як описано в розділі "Застосування порт ACL". Проте виправленням перезапише всі порт ACL правила, визначені за межами VMM з тим, що як очікується VMM.

Порт ACL правило пріоритет та застосування пріоритет (додатково)

Основні концепції

Кожного правила для порту список керування доступом у списку керування доступом порт, має властивість, яка називається "Пріоритет." Правила застосовуються в порядку, залежно від їх пріоритет. Основні принципи, визначення правил пріоритетів:
  • Нижче пріоритет номер, є вище в перевагу. Якщо кілька правил порт-список керування доступом, суперечать один одного, отримує нижче пріоритет правила.
  • Дія правила не впливає на перевагу. Тобто, на відміну від NTFS, списки керування доступом (наприклад,) тут ми не маємо поняття, як "Заборонити завжди має пріоритет над дозволити".
  • На тому ж пріоритет (ж числове значення), ви не можете мати два правила в одному напрямку. Ця поведінка може зробити гіпотетична ситуація, коли з рівні пріоритету, можна визначити правила "Заборонити" та "Дозволити", оскільки це призведе до двозначності або конфлікти.
  • Конфлікт, визначається як два або більше правила, які мають однакові пріоритет і в одному напрямку. Конфлікт може статися, є два правила ACL порт з тією ж пріоритет і напрямок два списки керування доступом, застосовані на різні рівні і частково накладаються на цих рівнів. Тобто, може бути об'єкта (наприклад, vmNIC), який потрапляє у межах двох рівнів. Типовим прикладом, що перекриваються, є Віртуальну мережу, так і віртуальної машини підмережі в одній мережі.

Застосування кількох ACL-порт, до об'єкта

Через те, що порт списки керування доступом, можна застосувати різні VMM з мережею об'єктів (або на різні рівні, як описано вище), один віртуальної машини віртуальний мережний адаптер (vmNIC) можна увійти обсяг кілька ACL-порту. У цьому випадку порт ACL правила, з усіх порту списки ACL застосовуються. Проте вищий пріоритет, ці правила можуть відрізнятися залежно від кілька нових VMM, доопрацювання параметри, наведені далі в цій статті.

Параметри реєстру

Ці параметри визначають як параметри типу Dword, у реєстрі Windows у такому ключі на сервері керування VMM:
HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Settings

Зверніть увагу, всі ці параметри впливає поведінку ACL-порту через весь VMM інфраструктура.

Правило пріоритет ефективне порт-список керування доступом

У цьому розглянуто фактичний пріоритет порт ACL правил застосовано кілька порту списки керування доступом до об'єкта як ефективний правила. Зверніть увагу, що існує окрема корегувати або об'єкт VMM, можна визначати та переглядати ефективне правило, пріоритет. Визначається виконання.

Існує два режими глобального, через яку може визначається ефективне правило, пріоритет. Режими перемикаються на параметр реєстру:
PortACLAbsolutePriority

Методи значення цього параметра є або 0 (нуль), або 1, де 0 вказує, змінює поведінку за промовчанням.

Відносний пріоритет (змінює поведінку за промовчанням)

Щоб увімкнути цей режим, установіть для властивості PortACLAbsolutePriority реєстру значення 0 (нуль). Цей режим, який стосується, якщо параметр не визначено в реєстрі (тобто, якщо властивість не створюється).

У цьому режимі принципи застосування, окрім основні концепції, які були наведені вище:
  • Зберігаються пріоритет у той самий порт список керування доступом. Таким чином, значення пріоритету, визначені для кожного правила сприймаються як відносно протягом ACL-файлу.
  • Якщо застосувати кілька ACL-порт, їх правила застосовуються в набори. Правила ж список керування доступом (додається до вказаного об'єкта) використовуються разом в межах одного сегмента. До пріоритету, зокрема, набори залежить від об'єкта, до якого підключено порт список керування доступом.
  • Правила, визначені на глобальні настройки список керування доступом (незалежно від власних пріоритет, як визначено в порт ACL) завжди вищий пріоритет над правила, визначені у списку керування доступом, що застосовується для vmNIC і т. д. Інакше кажучи, рівень роздільник організації.

Зрештою, ефективне правило, пріоритет, може відрізнятися від числове значення, які визначають, у властивостях правило порту до списку керування доступом. Щоб отримати додаткові відомості про те, як це єдиного входу, а також як можна змінити його логіки відповідає.

  1. Порядку, в якому три рівні "стосується об'єкта" (тобто vmNIC, віртуальної машини підмережі та Віртуальну мережу), вищий пріоритет, може бути змінено.

    1. Не можна змінити порядок глобальні настройки. Завжди потрібно високий пріоритет (або = 0).
    2. Для інших три рівні ви можете встановити такі параметри числове значення від 0 до 3, де 0 високий пріоритет, (дорівнює глобальні параметри) і 3 найнижчий пріоритет:
      • PortACLVMNetworkAdapterPriority
        (за промовчанням – 1)
      • PortACLVMSubnetPriority
        (за промовчанням – 2)
      • PortACLVMNetworkPriority
        (за промовчанням – 3)
    3. Якщо ж значення (від 0 до 3) цих кілька параметрів у реєстрі або потрібно призначити значення поза діапазоном 0 до 3, VMM не вдасться до змінює поведінку за промовчанням.
  2. Спосіб, що замовлення застосовується, полягає в тому, що ефективне правило, пріоритет змінюється так, що список керування доступом, правила, визначені на рівень вище, отримати більш високий пріоритет (тобто менше числове значення). Після того, як ефективний ACL визначається, всі значення відносно правило-пріоритет є "зіткнувся" на рівні та рівні значення або "крок."
  3. Значення для певного рівня – це "крок", що відокремлює різні рівні. За промовчанням розмір "крок" 10000 а також за такого розділу реєстру:
    PortACLLayerSeparation
  4. Це означає, що, у цьому режимі, будь-який пріоритет правило, в межах ACL (тобто, правила, які розглядаються як відносно) не може перевищувати значення такий параметр:
    PortACLLayerSeparation
    (за промовчанням, 10000)
Конфігурація приклад.
Припустімо, що всі настройки, має значення за промовчанням. (Ці описаних вище.)
  1. У нас є у списку керування доступом, який приєднано до vmNIC (PortACLVMNetworkAdapterPriority = 1).
  2. Ефективне пріоритет для всіх правил, визначених у цьому ACL зіткнувся, на 10000 (PortACLLayerSeparation значення).
  3. Ми правила в цей список керування доступом, який має вищий пріоритет, який має значення 100.
  4. Ефективне пріоритет правило було б 10000 + 100 = 10100.
  5. Правило буде мати пріоритет, через інші правила, у тому самому список керування доступом, для яких пріоритет перевищує 100.
  6. Правило завжди буде мати пріоритет над будь-які правила, визначені на списки керування доступом, які додаються на Віртуальну мережу та віртуальної машини підмережі рівень. (Це відбувається тому, що ті вважається "зниження").
  7. Правило не буде мати пріоритет над будь-які правила, визначені на глобальні параметри список керування доступом.
Переваги цього режиму
  • Існує підвищення безпеки у клієнта в багатьох випадках через те, що правила для списку керування доступом портів, визначені адміністратором "Структура" (на рівні глобальні настройки) завжди мати пріоритет за будь-які правила, визначені орендарями, себе.
  • Автоматично через рівень роздільник запобігти будь-який порт конфлікт правил список керування доступом (тобто неясності). Це дуже просто прогнозування, які можна буде чинною та причини.
Попереджає, що в цьому режимі
  • Менше можливостей. Якщо у вас правила (наприклад, "заборонити весь трафік на порт 80") на глобальні параметри, не можна створити більш зернистою-виняток з цього правила на нижній шар (наприклад, "Дозволити порт 80 лише на цьому віртуальної машини, яка легітимних веб-сервер").

Пріоритетності

Щоб увімкнути цей режим, установіть для властивості PortACLAbsolutePriority в реєстрі значення 1.

У цьому режимі принципи застосування, окрім основних понять, описаних вище:
  • Якщо об'єкт в рамках кілька списки керування доступом (наприклад, Віртуальну мережу та віртуальної машини підмережі), всі правила, визначені на будь-який підключений ACL застосувати того, що єдиний (або в одному сегмент пам'яті). Існує рівня поділу а не "натикаючись" взагалі.
  • Всі правила, пріоритетів вважаються абсолютний, так само, як визначено в пріоритету для правила. Інакше кажучи, ефективна пріоритет для кожного правила, так само, як те, що визначено у правилі і не змінюється VMM системою, перш ніж вона застосовується.
  • Усі інші параметри реєстру, які описано в попередньому розділі, є не діє.
  • У цьому режимі для будь-якого пріоритет правило, у списку керування доступом (тобто правило-пріоритет, обробляється як абсолютне) не може перевищувати 65535.
Конфігурація приклад.
  1. У списку керування доступом глобальні параметри ви правила встановлено, пріоритет 100.
  2. У ACL, який приєднано до vmNIC ви правила, пріоритет має значення 50.
  3. Правило, яке визначається на рівні vmNIC має вищий пріоритет, тому що він має вищий пріоритет (тобто нижче числове значення).
Переваги цього режиму
  • Більше можливостей. Створіть "одноразові" звільнення від правил глобальні параметри низького рівня (наприклад, для віртуальної машини підмережі або vmNIC).
Попереджає, що в цьому режимі
  • Планування можуть стати більш складні через те, що рівні поділу. І може бути правило на рівні, що скасовує інші правила, визначені на інші об'єкти.
  • У багатьох компонентів середовища безпеки може впливати через те, що у клієнта, можна створити правило на рівні підмережі віртуальної машини, що скасовує політики, який визначається структура адміністратора на рівні глобальні настройки.
  • Конфлікт правил, (тобто неясності) не усунуто автоматично і може статися. VMM, можна запобігти конфлікти, лише на тому ж рівні список керування доступом. Це не заважає конфлікти, через списки керування доступом, які додаються до об'єктів. У випадках конфлікт через те, що VMM не вдається вирішити конфлікт автоматично, він зупинить застосування правила та видасть протокол IMAP про помилку.

Попередження. Цю статтю переведено автоматично

Thuộc tính

ID Bài viết: 3101161 - Xem lại Lần cuối: 10/30/2015 09:29:00 - Bản sửa đổi: 2.0

Microsoft System Center 2012 R2 Virtual Machine Manager

  • kbqfe kbsurveynew kbmt KB3101161 KbMtuk
Phản hồi