iT邦幫忙

0

改用FortiGate VLAN後DC DNS失效、伺服器無法PING到其他伺服器

防火牆 : FortiGate 81E
韌體 : 6.4.0

DC : Windows Server 2016
其他伺服器 : Server 2012 R2 / Server 2012 / Server 2008

原本DC掌控AD/DHCP/DNS,DHCP網段只有一個192.168.0.0/24
因購入新Forti防火牆和Forti交換器,為加強內網安全切成使用者網段LAN 192.168.1.0/24和伺服器網段LAN 192.168.0.0/24還有WIFI LAN。
伺服器因網段一樣,所以IP未變減少部分作業。
VLAN由防火牆控制,DHCP指派權交由VLAN,然後伺服器VLAN不開DHCP,IP全部手動指定。
DC伺服器解除DHCP委派,剩AD/DNS。

新的伺服器VLAN網段未變,伺服器變更Gateway後理應要通的網路變成驚嘆號,
在一陣嘗試後發現手動在DNS補上外部公開DNS 8.8.8.8就通了,
發現是DC的DNS有問題,全部伺服器變更完就剩AD的網路驚嘆號無法消除,
在各種嘗試中,把DNS多補上8.8.8.8也一樣驚嘆號,最後把網路PORT1關閉,網路線改接網路PORT2,IPv4指定也全部一樣就通了!
網路介面卡故障?

但即使AD能正常通外面網路而且DNS的轉譯FQDN也能正常解析出來,
其他伺服器依舊無法從DC上查詢DNS,就連內部DNS也反查不到,
導致內網伺服器服務無法正常運作。

網域也沒有變更,對伺服器而言應該只有Gateway有變動,
但結果卻是其他同伺服器VLAN的伺服器連DC Server的IP都PING不到。

整個伺服器VLAN的伺服器都無法互PING,但VLAN是允許PING的,我可以從使用者VLAN PING到伺服器VLAN上的伺服器。

該怎麼做才能正常呢?
解除完DC網路驚嘆號後就差不多該離開了,
明天可能先從為何不能互PING開始想辦法解決。

有大神知道我這狀況該如何解決嗎?

看更多先前的討論...收起先前的討論...
補覺鳴詩 iT邦研究生 4 級 ‧ 2020-05-05 21:51:49 檢舉
版號 a.b.c
我忘了在哪邊看到的
a.b 是大版號新增功能 c 是小版號 修 BUG
原廠的討論區有建議版號 c > 4 再升 不然 BUG 真的很多
直上 6.0.0 真的猛

forti switch 我還沒用過,沒辦法給建議
這種問題你應該可以找當初賣的人看看能不能幫忙
mathewkl iT邦新手 2 級 ‧ 2020-05-05 21:57:00 檢舉
因為6.2.3真的母湯,login page的帳號密碼中文還能亂碼
mytiny iT邦大師 1 級 ‧ 2020-05-06 08:15:15 檢舉
樓主大大都知道6.2.3母湯了,為何還要用6.4.0
如果只是要做security facbric(資安鐵三角)
用6.0.9就應該可以滿足現況了,以後再升級
mathewkl iT邦新手 2 級 ‧ 2020-05-06 14:32:31 檢舉
因為以後就不會升級了XD
另外發現6.4.0不接受FortiClient VPN程式來連線,要用裡面給的FortiClient Enterprise 6.0.9才連得上
規矩變嚴了QQ
mytiny iT邦大師 1 級 ‧ 2020-05-06 16:41:39 檢舉
因為以後就不會升級了XD << 天哪! 徹底被嚇到
為了老大的前途
請務必要定時升級OS

1 個回答

1
mytiny
iT邦大師 1 級 ‧ 2020-05-05 21:22:17
最佳解答

首先,讚嘆樓主的勇氣,佩服!
FortiOS 6.4.0 這麼新的韌體版本都拿來公司用
在下目前都還沒敢給任何一個客戶使用

因為沒有截圖,沒有config
在下就姑且猜一下吧
可能性A: VLAN不小心開啟了Access VLAN
結果:同網段電腦不能互PING通
可能性B: VLAN的DNS主機位址設為與系統DNS相同
而系統DNS並不是DC
可能性C: OS的BUG,請詢問購買廠家解決

看更多先前的回應...收起先前的回應...
mathewkl iT邦新手 2 級 ‧ 2020-05-05 21:23:24 檢舉

原來Access VLAN會有這個問題
因為預設都是ON就沒調整了
明天來試試...
因為原本的版本BUG有點多,6.4.0的NOTE解了很多BUG,已知BUG很少,所以才決定升

mathewkl iT邦新手 2 級 ‧ 2020-05-05 21:36:54 檢舉

系統DNS我也是設DC和8.8.8.8,但是右邊的DNS PING是找不到DC的狀態

mytiny iT邦大師 1 級 ‧ 2020-05-05 21:39:36 檢舉

Access VLAN會造成同網段不通
如果是這個狀況,當然同網段其他主機是連不到DC

mytiny iT邦大師 1 級 ‧ 2020-05-05 21:41:24 檢舉

當初Access VLAN的設計
是為了讓同網段每一個IP都需要經過Fortigate才能互通
這裡面還有其他配合的設定才行

echochio iT邦高手 1 級 ‧ 2020-05-05 22:02:12 檢舉

Access VLAN 這個擋 ARP 攻擊的利器 ....
但有時還會造成難以 debug

mathewkl iT邦新手 2 級 ‧ 2020-05-06 09:45:48 檢舉

取消Access VLAN後everthing work!

我要發表回答

立即登入回答