くっそハマったFortiGateのメモ
https://kb.fortinet.com/kb/documentLink.do?externalID=FD38863
VDOMを複数運用する際、root VDOMがデフォルトでマネジメントVDOMになりますが、マネジメントVDOMは以下を処理します。
・NTP
・FortiGuard(アップデート・クエリ)
・SNMP
・DNS
・リモートログ(FortiAnalyzer、syslog)
WEBフィルタライセンスは、逐次FortiGuardサーバと通信して次FortiGuardサーバと疎通が取れていれば機能します。今回現場でトラブルになったのは、root VDOMがインターネットと通信していない構成だったため、WEBフィルタライセンスが機能せずWEBフィルタ、DNSフィルタの設定でFortiGuardカテゴリ機能を有効化すると、端末はDNS解決ができないという状態に。しかもGUIだと無効化できなくて、CLIで行う必要があったり謎の動作になりました。
↑このようにインターネット通信をするVDOMをマネジメントVDOMにする必要があります。