验证篇(7.0) 03. 域服务器与防火墙连接前的准备工作 ❀ 飞塔 (Fortinet) 防火墙

Posted 2022-04-27 meigang2012

　　【简介】当Windows Server 2022域服务器安装及配置好后，就可以和FortiGate防火墙进行边接了，但是在连接之前 ，还有一些准备工作要做。

  建立FortiGate专用组

　　在没有连接FortiGate防火墙之前，域服务器里的组通常是给内网访问权限用的。在很多的情况下并不适用于FortiGate防火墙的需求。这样就需要单独给FortiGate防火墙建立一个组。

　　① 登录Windows Server 2022，点击左下角视窗图标，弹出菜单选择【Windows管理工具】下的【Active Directory用户和计算机】。

　　② Active Directory用户和计算机窗口会显示当前的域名，以及域下的内容，前面我们创建了一些组织单元、用户和组，在这里都可以看到，点击组织单位【Research】。

　　③ 在研发部的组织单位下，我们可以看到研发部的用户及组。注意，通常是每个部门建立一个或多个组。那么问题来了，如果FortiGate防火墙要求公司所有域用户必须通过防火墙进行认证，或者多个部门指定的员工需要通过远程登录认证，那应该怎么办？方法是给FortiGate防火墙单独建立一个专用的组。

　　④ 点击左边菜单的域名，回到域名，注意这一步非常重要，因为在域名下面建立的组，可以包含组织单位内的组。在右边窗口点击鼠标右键，弹出菜单选择【新建】-【组】。

　　⑤ 输入组名，其它保持默认，点击【确定】。

　　⑥ 在右边窗口可以看刚刚建立的组，新建的组是空的，鼠标双击组名。

 　　⑦ 在FortiGate组属性窗口，点击【成员】。

　　⑧ 新建的FortiGate组没有成员，是空白的，点击【添加...】。

　　⑨ 这里的对象类型包含了用户和组。我们试着搜索一下研发组，输入部分组名，点击【检查名称】。

　　⑩ 由于只有一个组符合条件，因此不用选择，直接加入到FortiGate组。我们可以把各个组织单位里组加入到FortiGate组中，这样就可以把所有域用户都加到了FortiGate组了。

　　⑾ 当然，我们也可以根据需要只加入指定的用户。

　　⑿ 也可以组和用户并存。

　　⒀ 记住，FortiGate组需要建立在域下，这样才可以加入其它组织单位下的组。当然如果只对某个部门进行难证，直接用部门下的组也是可以的。

   防火墙的连接测试

　　要想防火墙与域服务器通信，他们必须物理连接，如果没有经过三层交换机的话，防火墙接口与域服务器网卡IP必须在同一网段。

　　① 防火墙的port7号口是用来连接域服务器的。IP地址设置为172.16.198.1。

　　③ 域服务器的网卡IP地址是172.16.198.254，网关指向防火墙接口IP地址172.16.198.1。由于建立域服务器的时候自动建立了DNS服务器，把这里DNS服务器IP自动改成127.0.0.1，指向域服务器自己，这是正常的，不影响服务器上网。

　　④ 测试物理连接通不通，最简单的方式就是Ping包。防火墙的连接域服务器的接口协议启用Ping。

　　⑤ 从域服务器的命令窗口Ping防火墙port7接口IP，由于他们在相同网段，能够Ping通的话，说明域服务器访问防火墙没有问题。

　　⑥ 还有一种方法，就是在防火墙上用命令模式，先指定源IP为防火墙的接口IP，再去Ping域服务器IP。如果能Ping通，说明物理连接是正常了。

   域服务器启用Ping

　　在防火墙上Ping域服务器的时候，很多人会发现Ping不通，其实这并不是连接问题，而是域服务器为了防止攻击，默认就关闭了Ping功能。

　　① 登录Windows Server 2022，点击左下角视窗图标，弹出菜单选择【Windows安全中心】。

　　② 选择【防火墙和网络保护】。

　　③ 选择【高级设置】。

　　④ 点击【入站规则】，双击【文件和打印机共享(回显请求 - ICMPv4-In)】。

　　⑤ 常规下的【已启动】默认是没有钩选的，把这里钩选上，点击【确定】。这样域服务器的网卡IP就能被Ping通了。

　　我们在域服务器为FortiGate防火墙建立了专用的组，也测试了域服务器与防火墙的物理连接，下一步就是在防火墙上调用域服务器的用户信息了。

---

创作打卡挑战赛 赢取流量/现金/CSDN周边激励大奖