Descripción
En este ejemplo, FortiGate está en el Sitio A y el servidor DNS de Windows está en el Sitio B. Los dos sitios están conectados mediante una VPN. FortiGate tiene una IP interna de 192.168.2.99 y el servidor DNS de Windows AD tiene una IP de 10.10.54.6.
![](https://todoforti.net/wp-content/uploads/jsorensen_FD36649_tn_FD36649-1.jpg)
Solución
de Windows En el servidor DNS de Windows, inicie el Administrador de DNS. Seleccione la zona DNS en cuestión y busque el registro de inicio de autoridad (SOA). Vaya a la pestaña Transferencias de zona y seleccione ‘Permitir transferencias de zona’ y ‘A cualquier servidor’.
![](https://todoforti.net/wp-content/uploads/jsorensen_FD36649_tn_FD36649-2.jpg)
En FortiGate
, vaya a Sistema -> Configuración -> Características , seleccione mostrar más y active la base de datos DNS (seleccione ‘Aplicar’).
![](/wp-content/uploads/kb_8102_1.jpg)
Vaya a Red -> Servidores DNS y cree una nueva base de datos DNS
Tipo: esclavo
Zona DNS: test_dns_zone
Nombre de dominio: test_dns_zone.loc
IP del maestro: 10.10.54.6
![](/wp-content/uploads/kb_8102_2.jpg)
FortiGate admite los siguientes registros DNS:
A Host
AAAA Host IPv6
CNAME Nombre canónico
MX Intercambio de correo
NS Servidor de nombres
PTR Puntero
PTR_V6 Puntero IPv6
Con Windows AD, un tipo de registro común y necesario es un registro SRV, para resolverlos con FortiGate como servidor DNS, se debe especificar un reenviador en la base de datos dns configurada en FortiGate. Esto se hace usando los siguientes comandos:
# config system dns-database
edit «test_dns_zone»
set forwarder «10.10.54.6»
next
end
Si el servidor DNS está a través de una VPN, que es el caso en este ejemplo, es posible que se deba especificar una IP de origen para que FortiGate la use para obtener su base de datos DNS del servidor AD. Esto se puede hacer con los siguientes comandos:# config system dns-database
edit «test_dns_zone»
set source-ip 192.168.2.99
next
endEn FortiGate, cada vez que se utilice FortiGate como servidor DNS, asegúrese de que la interfaz a la que se hace referencia como servidor tenga un conjunto de servicios DNS.ex.
Si los usuarios conectados a las interfaces internas desean usar FortiGate como su servidor DNS, asegúrese de que los usuarios apunten a una dirección IP de FortiGate local (en este caso, se puede usar la dirección IP interna de FortiGate). En FortiGate, asegúrese de que El servicio DNS también se crea para la interfaz a la que los usuarios harán referencia:
Vaya a Sistema -> Servidores DNS y cree un nuevo Servicio DNS.
Interfaz: interna
Modo: Recursivo
En la CLI, ejecute el siguiente comando en FortiGate para ver la base de datos:# aplicación de prueba de diagnóstico dnsproxy 8
Salida de ejemplo:
# aplicación de prueba de diagnóstico dnsproxy 8
2015-04-23 16:21:08 vfid = 0 nombre = test_dns_zone dominio = test_dns_zone.loc ttl = 86400 autorizado = 1 vista = sombra tipo = serial esclavo = 10 actualización = 900
2015-04-23 16:21:08 reenviador:
2015-04-23 16:21:08 10.10.54.6 seguro=0
2015-04-23 16:21:08 2015-04-23 16:21:08 A: Fortigate_90d.test_dns_zone.loc –>192.168.2.992015-04-23 16:21:08 (3600)2015-04-23 16:21:08
2015-04-23 16:21:08 2015-04-23 16:21:08 A: test1.test_dns_zone.loc–>192.168.2.12015-04-23 16:21:08 (3600)2015-04-23 16:21:08
2015-04-23 16:21:08 2015-04-23 16: 21:08 A: test3.test_dns_zone.loc–>192.168.3.42015-04-23 16:21:08 (3600)2015-04-23 16:21:08
2015-04-23 16:21:08 2015-04-23 16:21:08 SOA: test_dns_zone.loc (principal: dc1.test_dns_zone.loc, contacto: hostmaster@test_dns_zone.loc, serial: 10)
2015-04- 23 16:21:08 2015-04-23 16:21:08 NS: test_dns_zone.loc–>dc1.test_dns_zone.loc2015-04-23 16:21:08 (0)2015-04-23 16:21: 08
2015-04-23 16:21:08 2015-04-23 16:21:08 A: test2.test_dns_zone.loc–>192.168.2.32015-04-23 16:21:08 (3600)2015-04- 23 16:21:08
2015-04-23 16:21:08 2015-04-23 16:21:08 A: dc1.test_dns_zone.loc–>10.10.54.62015-04-23 16:21:08 (3600 )2015-04-23 16:21:08
2015-04-23 16:21:08 2015-04-23 16:21:08 A: lab.test_dns_zone.loc–>192.168.2.22015-04-23 16: 21:08 (3600)2015-04-23 16:21:08
2015-04-23 16:21:08
¿Te ha resultado útil??
0 / 0
![Mila Jiménez](https://todoforti.net/wp-content/uploads/image2.jpeg)
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!