這是一個客戶在做機房搬遷時發生的意外
因為搬遷的意外, 造成客戶的AD主機損毀。
也因為AD的損毀,連帶造成user無法正常連上Exchange。
想當然,user 的 email 也就無法收發。
今天剛好讀到BCP, 就想到,如果搬遷之前,有更詳細的計劃
想好所有的備源機制,或許,user就不會事隔兩天,exchange 還無法上線。
再延伸下來,事情發生後,為何user無法快速的讓email系統上線?
明明還有另一台AD server 可以使用阿~
原因在於,其實user自己對系統也不熟。
那, 為什麼不馬上找廠商來幫忙呢 ?
這~ 我就不知道了。
整個來說,就是"瞎"..
解決Fortigate wan ip 為 Private IP 無法更新的問題
在某些環境, Fortigate Wan 端會是Private IP (192.168.x.x or 10.x.x.x 之類), Lan IP 反而是Public IP。
在這情況下, Fortigate會無法連上Fortiguard server 來做 AV, IPS更新, 連帶 Web-filter & SPAM 也會有問題。
這時候, 我們就需要使用Client override來解決無法更新的問題
最後, 這只是其中一種比較簡單的解法, 另外還有建vdom的方式, 但就麻煩多囉!
在這情況下, Fortigate會無法連上Fortiguard server 來做 AV, IPS更新, 連帶 Web-filter & SPAM 也會有問題。
這時候, 我們就需要使用Client override來解決無法更新的問題
Fortigate #另外, 還要注意, DNS server 要指定客戶內部的DNS主機, 否則還是會有問題喔!!
Fortigate # config system autoupdate clientoverride
Fortigate (clientoverride) # set address 123.123.123.123 (客戶 Fortigate的真實IP)
Fortigate (clientoverride) # set status enable
Fortigate (clientoverride) # end
Fortigate #
Fortigate # config system fortiguard
Fortigate (fortiguard) # set port 8888 (可以不設)
Fortigate (fortiguard) # set client-override-status enable
Fortigate (fortiguard) # set client-override-ip 123.123.123.123 (客戶Fortigate的真實IP)
Fortigate (fortiguard) # set antispam-status enable
Fortigate (fortiguard) # set webfilter-status enable
Fortigate (fortiguard) # end
Fortigate #
最後, 這只是其中一種比較簡單的解法, 另外還有建vdom的方式, 但就麻煩多囉!
Fortigate Anti-Virus Extended AV Database
Fortigate 在 FortiOS v3.0 MR6 新增了 Extended AV Database。
New option scanextended for the ftp and http variables. Scans for viruses and不過, ETDB檔案還真是大, 下載要花好多時間說!
worms using the extended database of virus definitions.
The extended antivirus data is available on newer FortiGate
models with more than one partition, for example:
• FortiGate-50B and FortiWiFi-50B
• FortiGate-60B and FortiWiFi-60B
• FortiGate-310B
• FortiGate-1000A and FortiGate-1000AFA2
• FortiGate-1000A-LENC
• FortiGate-3016B, FortiGate-3600A, and FortiGate-3810A
• FortiGate-5005FA2 and FortiGate-5001A