Integrazione di Active Directory
NxFilter supporta l'integrazione con Active Directory. Abbiamo cercato di renderlo semplice e facile, ma per alcuni è ancora difficile da seguire.
Vogliamo quindi spiegare cos'è l'integrazione di Active Directory per NxFilter e quando usarla, come implementarla a livello concettuale.
come implementarla a livello concettuale.
Cos'è l'integrazione di Active Directory?
Una delle ragioni per cui si desidera integrare NxFilter in Active Directory è che si vogliono applicare criteri di filtraggio basati su Active Directory.
applicare criteri di filtraggio basati su utenti e gruppi di Active Directory. Inoltre, non vogliono
che i loro utenti debbano affrontare un ulteriore passaggio di login, tranne quando il prompt di login è sul loro PC.
Per NxFilter, l'integrazione con Active Directory significa utilizzare lo stesso account utente di Active Directory per differenziare gli utenti su NxFilter.
per differenziare gli utenti su NxFilter e avere il single sign-on con Active Directory.
Importazione utente
Ora sappiamo cos'è l'integrazione di Active Directory e perché ne abbiamo bisogno. Tuttavia, come possiamo implementarla?
La prima cosa da fare è importare gli utenti e i gruppi da Active Directory. È necessario introdurre
utenti e gruppi a NxFilter. È possibile farlo su User > Active Directory.
Dopo aver importato gli utenti e i gruppi, gli utenti potranno utilizzare le loro credenziali di Active Directory nella pagina di login di NxFilter. nella pagina di login di NxFilter. Quindi, abbiamo già raggiunto un certo livello di integrazione con Active Directory.
Se si desidera escludere dall'importazione di AD gli utenti e i gruppi creati in macchina, leggere
Come importare solo gli utenti e i gruppi creati manualmente da Active Directory, escludendo quelli creati dalle macchine
Single sign-on con Active Directory
Anche se gli utenti possono usare le loro credenziali Active Directory nella pagina di login di NxFilter, potrebbero non voler passare attraverso la pagina di login di NxFilter.
pagina di login di NxFilter. Quindi, la prossima cosa da fare è implementare il single sign-on. Ora è necessario che uno dei nostri programmi per agenti
che lavora con NxFilter. Abbiamo diversi agenti: NxLogon, VxLogon, NxMapper, CxLogon. È possibile utilizzare solo uno di essi o combinarli in maniera
di essi in modo che si completino a vicenda.
Per ulteriori informazioni, leggere le parti di questo tutorial dedicate al single sign-on o agli agenti.
Server DNS MS e NxFilter
Quando si distribuisce NxFilter in un ambiente Active Directory, ci si potrebbe preoccupare della possibilità di rompere l'integrità di Active Directory.
di rompere l'integrità di Active Directory, poiché NxFilter è un server DNS e il ruolo di un server DNS in Active Directory è molto importante.
in Active Directory è molto importante. Tuttavia, non disabilitiamo o sostituiamo il server DNS MS esistente.
Il nostro approccio consiste nel lavorare in collaborazione con il server DNS esistente. Pertanto, è necessario mantenere
quindi mantenere il server DNS MS esistente anche se si utilizza NxFilter come server DNS per la rete.
1. Dove installarlo
Alcuni cercano di installare NxFilter sul controller di dominio. Ma il problema è che si dispone già di un server DNS.
lì. Si tratta del server DNS MS. Sarebbe meglio installarlo su un altro sistema per evitare di avere problemi di collisione di porte.
un problema di collisione delle porte.
Se si deve installare NxFilter su un controller di dominio, guardare il nostro video tutorial su Youtube
a questo proposito,
Installare NxFilter su un server Windows senza collisioni di porte DNS
2. Bypassare i domini AD
Il server DNS MS in Active Directory fa molte cose. Consente agli host di Active Directory di trovare
la posizione delle risorse utilizzando le query SRV. Mantiene una zona DNS per ogni host. Esegue l'aggiornamento
aggiornamento dinamico dell'IP dell'host quando si cambia l'indirizzo IP di un sistema. Per far sì che tutte queste cose funzionino, NxFilter bypassa
le query DNS interne per il dominio Active Directory al server DNS MS automaticamente.
Questo bypass automatico funziona in base alla configurazione dell'importazione degli utenti AD. Se non si vuole importare gli utenti da AD o se si vuole farlo manualmente, si può usare il DNS locale.
manualmente, è possibile utilizzare le opzioni DNS locale e Dominio locale su DNS > Setup.
Quando lo si fa manualmente, è necessario bypassare anche il dominio di reverse lookup.
3. Quale server upstream per NxFilter?
Si potrebbe avere un dubbio su quale server DNS utilizzare come server upstream per NxFilter, poiché si dispone già del server DNS MS.
avete già il vostro server DNS MS. In parole povere, si può usare qualsiasi server DNS che si ritiene migliore.
Anche se si utilizza un server DNS pubblico da Internet come server upstream, NxFilter inoltra comunque le query DNS interne di Active Directory a NxFilter.
le query DNS interne di Active Directory al server DNS MS.
4. Impostazione manuale del server DNS MS
Dopo aver importato gli utenti e i gruppi di Active Directory, NxFilter cercherà di connettersi automaticamente al server DNS MS, supponendo che sia sul controller di dominio.
supponendo che si trovi sul controller di dominio. Tuttavia, è possibile che il server MS DNS si trovi su un altro server Windows. Oppure si potrebbe
avere una ridondanza per il server MS DNS. È possibile gestire questi aspetti nella pagina di modifica dell'impostazione di importazione di Active Directory.
di importazione di Active Directory. Per avere una ridondanza, aggiungere più server DNS separati da virgole.
Potrebbe essere necessario consentire l'aggiornamento dinamico non sicuro nelle proprietà della zona DNS MS per consentire a NxFilter di aggiornare gli indirizzi IP degli host nella zona DNS MS.
gli indirizzi IP degli host nella zona MS DNS in modo dinamico.
Filtrare più filiali
È possibile che la vostra Active Directory sia distribuita su più filiali e che vogliate filtrare tutte le filiali con un unico server NxFilter.
È possibile farlo eseguendo NxRelay in ogni filiale.
Per saperne di più, leggere NxRelay per l'intera rete parte.