【简介】当Windows Server 2022域服务器安装及配置好后,就可以和FortiGate防火墙进行边接了,但是在连接之前 ,还有一些准备工作要做。
建立FortiGate专用组
在没有连接FortiGate防火墙之前,域服务器里的组通常是给内网访问权限用的。在很多的情况下并不适用于FortiGate防火墙的需求。这样就需要单独给FortiGate防火墙建立一个组。
① 登录Windows Server 2022,点击左下角视窗图标,弹出菜单选择【Windows管理工具】下的【Active Directory用户和计算机】。
② Active Directory用户和计算机窗口会显示当前的域名,以及域下的内容,前面我们创建了一些组织单元、用户和组,在这里都可以看到,点击组织单位【Research】。
③ 在研发部的组织单位下,我们可以看到研发部的用户及组。注意,通常是每个部门建立一个或多个组。那么问题来了,如果FortiGate防火墙要求公司所有域用户必须通过防火墙进行认证,或者多个部门指定的员工需要通过远程登录认证,那应该怎么办?方法是给FortiGate防火墙单独建立一个专用的组。
④ 点击左边菜单的域名,回到域名,注意这一步非常重要,因为在域名下面建立的组,可以包含组织单位内的组。在右边窗口点击鼠标右键,弹出菜单选择【新建】-【组】。
⑤ 输入组名,其它保持默认,点击【确定】。
⑥ 在右边窗口可以看刚刚建立的组,新建的组是空的,鼠标双击组名。
⑦ 在FortiGate组属性窗口,点击【成员】。
⑧ 新建的FortiGate组没有成员,是空白的,点击【添加...】。
⑨ 这里的对象类型包含了用户和组。我们试着搜索一下研发组,输入部分组名,点击【检查名称】。
⑩ 由于只有一个组符合条件,因此不用选择,直接加入到FortiGate组。我们可以把各个组织单位里组加入到FortiGate组中,这样就可以把所有域用户都加到了FortiGate组了。
⑾ 当然,我们也可以根据需要只加入指定的用户。
⑿ 也可以组和用户并存。
⒀ 记住,FortiGate组需要建立在域下,这样才可以加入其它组织单位下的组。当然如果只对某个部门进行难证,直接用部门下的组也是可以的。
防火墙的连接测试
要想防火墙与域服务器通信,他们必须物理连接,如果没有经过三层交换机的话,防火墙接口与域服务器网卡IP必须在同一网段。
① 防火墙的port7号口是用来连接域服务器的。IP地址设置为172.16.198.1。
③ 域服务器的网卡IP地址是172.16.198.254,网关指向防火墙接口IP地址172.16.198.1。由于建立域服务器的时候自动建立了DNS服务器,把这里DNS服务器IP自动改成127.0.0.1,指向域服务器自己,这是正常的,不影响服务器上网。
④ 测试物理连接通不通,最简单的方式就是Ping包。防火墙的连接域服务器的接口协议启用Ping。
⑤ 从域服务器的命令窗口Ping防火墙port7接口IP,由于他们在相同网段,能够Ping通的话,说明域服务器访问防火墙没有问题。
⑥ 还有一种方法,就是在防火墙上用命令模式,先指定源IP为防火墙的接口IP,再去Ping域服务器IP。如果能Ping通,说明物理连接是正常了。
域服务器启用Ping
在防火墙上Ping域服务器的时候,很多人会发现Ping不通,其实这并不是连接问题,而是域服务器为了防止攻击,默认就关闭了Ping功能。
① 登录Windows Server 2022,点击左下角视窗图标,弹出菜单选择【Windows安全中心】。
② 选择【防火墙和网络保护】。
③ 选择【高级设置】。
④ 点击【入站规则】,双击【文件和打印机共享(回显请求 - ICMPv4-In)】。
⑤ 常规下的【已启动】默认是没有钩选的,把这里钩选上,点击【确定】。这样域服务器的网卡IP就能被Ping通了。
我们在域服务器为FortiGate防火墙建立了专用的组,也测试了域服务器与防火墙的物理连接,下一步就是在防火墙上调用域服务器的用户信息了。
930
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
