DNS篇(7.0) 03. FortiGate作为Window DNS的备用DNS服务器 ❀ 飞塔

　　【简介】在公司总部，有建立Windows DNS服务器，可以通过域名解析出内网地址来。分公司通过VPN连接总公司，能不能也利用公司总部的DNS服务器来解析内网地址呢？如果可以实现，那么所有分公司都可以利用域名通过VPN来访问总部服务器了。我们可以将FortiGate防火墙作为备用DNS服务器来实现这个功能。

---

　　分公司与总公司用FortiGate防火墙建立IPsec VPN，分公司电脑需要使用总公司的DNS服务器，通过域名解析得到总公司内网服务器IP。 

 Windows DNS服务器

　　我们首先需要配置Windows DNS服务器。　　　　

　　① 登录Windows Server 2022，点击左下角菜单图标，d出菜单选择【Windows管理工具】-【DNS】。

　　② 进入DNS管理器窗口，点击左边菜单的服务器名称。

　　③ 展开菜单，在正向查找区域查找起始授权(SOA)记录，这里鼠标右击【oldmei.com】，d出菜单选择【属性】。 

 　　④ 点击子菜单【区域传送】，启用【允许区域传送】，选择【只允许到下列服务器】，点击【编辑】。

　　⑤ 总部如果只有一台DNS服务器的话，也可以将总部FortiGate防火墙作为备用DNS服务器。这里我们分别输入总部和分部防火墙内网接口IP，点击【确定】。DNS服务器和总部防火墙直接连接，和分部防火墙是能过VPN连接（能互相Ping通），所以他们的验证显示不同。

　　⑥ 区域传送将把副本发送给请求副本的服务器，这里是总部和分公司的两台FortiGate防火墙。点击【确定】。Windows DNS服务器配置完成。

   总部FortiGate

　　我们可以将总部防火墙配置为备用DNS服务器。

　　① 选择菜单【系统管理】-【可见功能】，启用【DNS数据库】。

　　② 选择菜单【网络】-【DNS服务器】，在DNS数据库子项中点击【新建】。

　　③ 类型选择【备用】，查看设置为【Shadow】。输入DNS区域名称和域名，域名可以在DNS服务里看到。主IP输入Windows DNS服务器IP地址。点击【确认】。

　　④ 需要电脑指定防火墙接口，防火墙DNS服务器设置才会起作用。在接口上的DNS服务选项点击【新建】。

　　⑤ 选择内网接品，模式保持默认的【递归】，当需要DNS解析时，会先访问FortiGate DNS服务器，如果没有查询到，则会访问FortiGate 系统DNS。

　　⑥ 总部FortiGate防火墙的DNS服务器配置完成。

　　⑦ 使用命令diagnose test application dnsproxy 8，可以读取到DNS信息。

　　⑧ 总部防火墙port7下连接的电脑，将DNS指向防火墙接口IP。

　　⑨ Ping DNS服务器里的域名，可以正确解析出地址。这是因为port7口设置的是递归模式，当电脑发出DNS解析请求时，先达到防火墙por7口，然后在防火墙的DNS服务器里查询，防火墙的DNS服务器的备用DNS指向了Windows DNS服务器。于是解析得到内网IP地址。如果是公网域名，则会访问FortiGate 系统DNS，也就是转发到公网DNS，最后得到正确IP地址。

  分公司FortiGate

　　分公司的配置和刚才一样。

　　① 登录分公司防火墙，选择菜单【系统管理】-【可见功能】，启用【DNS数据库】。

　　② 选择菜单【网络】-【DNS服务器】，在DNS数据库子项中点击【新建】。

　　③ 类型选择【备用】，查看设置为【Shadow】。输入DNS区域名称和域名，域名可以在DNS服务里看到。主IP输入Windows DNS服务器IP地址。点击【确认】。

　　④ 需要电脑指定防火墙接口，防火墙DNS服务器设置才会起作用。在接口上的DNS服务选项点击【新建】。

　　⑤ 分公司的FortiGate内网接口为【lan】，模式仍然保持默认的【递归】。

　　⑥ 看上去和总公司设置的一样，只是内网接口名称不同。

　　⑦ 使用diagnose test appliction dnsproxy 8命令查看DNS，并没得到长长一串的DNS信息，这说明，分公司防火墙没有读取到Windows DNS服务器的信息。

　　⑧ 是网络不通吗？定义源IP为分公司防火墙内网接口IP，Ping总部DNS服务器IP，可以Ping通，说明VPN连接是正常的。

　　⑨ 既然Ping包需要定义源IP，那么是不是DNS设置也缺少源IP呢？config system dns-databse命令配置DNS数据库，show命令查看数据库内容，找到名称为oldmei的配置。编辑该配置，用set source-ip命令定义源IP，end命令结束并保存。

　　⑩ 再次用diagnose test application dnsproxy 8命令查看，这次有获到DNS服务器信息。

　　⑾ 分公司防火墙下的电脑DNS指向防火墙内网接口IP。

　　⑿ 在电脑的DOS命令窗口输入nslookup oldmei.com命令，可以看到DNS指向192.168.200.1，成功的解析出来oldmei.com的IP。这说明，分公司的电脑通过FortiGate防火墙的DNS服务器得到总公司DNS服务器里的域名解析信息。如果所有分公司都这样配置，那所有人员都可以通过域名访问指定的IP了。

  Windows DNS服务器变更

　　如果总公司Windows DNS服务器变更了，那会怎么样？

　　① 登录Windows Server 2022，打开DNS管理器，鼠标右键点击oldmei.com，d出菜单选择【新建主机】。

 　　② 输入名称和IP地址。自动生成FQDN，点击【添加主机】。

　　③ 显示不能创建指针记录，这个可以忽略，点击【确定】。

　　④ 新的主机创建完成。

　　⑤ 在域服务器，Ping刚建立的域名，可以成功解析出IP地址。

　　⑥ 在分公司的电脑里，无法解析这个新建的域名，这是因为DNS服务器并没有同步域名到FortiGate防火墙，那要怎么办呢？

　　⑦ 最简单的办法就是在分公司的防火墙中，将DNS数据库删除，再重新建立一次。这样就会更新DNS服务器的数据。

　　⑧ 为了直观一些，我们通过CLI命令来 *** 作。首先是配置dns数据库，查看到区域名称。然后是删除原有的配置。

　　⑨ 再用命令重新建一下。

　　⑩ 最后再用diagnose test application dnsproxy 8命令查看，有更新DNS信息。DNS服务器上新建的内容也在。

　　⑾ 最后在分公司的电脑Ping新建的域名，可以成功的解析出IP地址。查看路由，确实是走分公司的防火墙，通过VPN到达总公司的。

---