Professional Documents
Culture Documents
Device Manager
Policy and Objects
Advanced and Additional configuration
Diagnostic and Troubleshooting
external server
LDAP,RADIUS,TACACS and PKI
Fortimanager is operating behing a nat device, by default,Only fortimanager can discover a new device.
Is the FGFM tunnel is down, Only fortiamanager will try restablish the FGFM tunnel.
This because, by default, the nated fortimanager ip address is not configured on fortigate.
How can fortigate annouce iself nated fortimanager, or try to re-estabilish the FGFM tunnel if its down?
You can configure the fortimanager NAted ip address on fortigate under central management!
Configuration. This allow fortigate to annouce itself to fortimanager and try t ore-estabilish the FGFM
tunnel, if it is torn down. Configuring fortimanager nated ip address on fortigate allow both fortimanager
and fortigate to re-estabilish FGFM tunnel. Also if you configure the fortimanager nated.
Question:
If fortimanager is behind a nat device, with one these steps is recommend?
R: configure the Nated IP address of fortimanager with the set mgmt-addr command under the
Config system admin settings.
Havendo falha física do dispositivo , e se for necessário subsitui-lo, é necessário alterar o serinal
number.. o serial number substituiu o dispositivo no fortimanager
Conflict: Se as alterações são feitas localmente no FortiGate e não são recuperadas, mas as alterações
também são feito do FortiManager, o status entra em estado de conflito. Dependendo das mudanças
de configuração, você pode recuperar a configuração ou instalar as alterações do FortiManager.
unknown: O FortiManager não é capaz de determinar o status de sincronização porque o FortiGate está
não alcançável ou devido a uma falha parcial na instalação. É recomendável que você execute uma
recuperação do FortiManager.
---------------------------------------------------------------------------------------------------------
The diagnose dvm device list command provides the list of all devices or VDOMs for managed and
unregistered devices. It also provides information, such as serial number, connecting IP, firmware, HA
mode,
and statuses for device-level and policy package
* connecting IP address
*uptime
* link-levl addresses
You can use the diagnose fgfm session-list command to verify the FGFM tunnel uptime between
FortiManager and FortiGate devices, display the connecting IP addresses of all managed devices, and
show
the link-level addresses assigned by FortiManager to FortiGate devices for management traffic.
Quick install
https://docs.fortinet.com/document/fortimanager/6.0.3/administration-guide/42045/adom-revisions
https://docs.fortinet.com/document/fortimanager/6.0.3/administration-guide/26761/managing-
configuration-revision-history
When the installation is done from FortiManager, the installation log shows the name of the
administrator who
made the change. When an install is performed, the Installation column is automatically filled with
Installed
entry. These are the revisions for which you can view install logs.
TCL scripts are not run via the FGFM tunnel like the CLI scripts. They use ssh and required SSH
authentication to work.
Observe que os scripts TCL não são executados através do túnel FGFM como os scripts CLI. Scripts TCL
usam SSH para encapsular por meio do FGFM e exigem autenticação SSH para fazer isso. Se o
FortiManager não usa o correto credenciais administrativas no Gerenciador de dispositivos, o script TCL
falhará. Os scripts CLI usam o túnel FGFM e o O túnel FGFM é autenticado usando os números de série
FortiManager e FortiGate.
*device database
*policy package, adom database
*remote fortigate direcly (atraves da CLI)
• command parse error:Não foi possível analisar esta linha do seu script em um FortiGate CLI válido
comando. Isso geralmente é causado por palavras-chave digitadas incorretamente ou um formato de
comando incorreto.
• unknown action: geralmente esta mensagem indica que a linha anterior do script não foi executada
fazendo com que os comandos CLI a seguir não sejam executados adequadamente.
Dispositivo <nome> falhou-1: Isso geralmente significa que há um problema com o final do script. O
<name> é o nome do FortiGate no qual o script é executado. Se um script não tem instrução final ou
essa linha contém um erro, você pode ver esta mensagem de erro. Você também pode ver esta
mensagem se o FortiGate a unidade não foi sincronizada ao implantar sua configuração atual.
All objects in an ADOM are managed by a single database that is unique to that ADOM. Objects inside
the
database include firewall objects, security profiles, users, and devices.
three types
* simple search
*columm filter
*find and replace
All objects in an ADOM are managed by a single database unique to the ADOM.
Se um objeto em uso for deletado do fortimanager, ele ira subsitituir o objeto para um objeto none!
• Imported: Indica que um pacote de políticas foi importado com sucesso para um dispositivo
gerenciado
• Never installed: o pacote de políticas nunca foi criado, portanto, nunca foi importado para um
dispositivo gerenciado
• Out-of-sync o pacote de política mais recente não corresponde às políticas e configuração de objeto no
último histórico de revisão por causa das mudanças de configuração feitas localmente no FortiGate ou
em um parcial falha de instalação. Você deve executar uma recuperação e, em seguida, importar as
políticas do FortiManager.
• Conflict: Se você fizer mudanças na configuração da política localmente no FortiGate e não importar as
mudanças para o pacote de políticas, e você também fez as mudanças no FortiManager, o status entra
em estado de conflito. Dependendo das mudanças de configuração, você pode importar um pacote de
políticas ou instalar as mudanças do FortiManager.
Vocês pode usar o workflow de trabalho para controlar a criação, configuração e instalação de políticas e
objetos de firewall.
Quando o Admin A bloqueia o ADOM, um ícone de cadeado verde é exibido. O administrador A tem
acesso de leitura e gravação e cria um nova sessão no painel Política e objetos no ADOM.
O Admin B deve ter permissão de Leitura / Gravação para aprovação do fluxo de trabalho. Admin B então
bloqueia o ADOM e tem acesso de leitura e gravação.
O Admin B abre a lista de sessões e tem a opção de aprovar, rejeitar, descartar ou visualizar diferenças
nas alterações enviadas pelo Admin A.
Se o túnel FGFM ficar DOWN, apenas o FortiManager tentará estabelecer o túnel FGFM. Isso ocorre
porque, por padrão, o endereço IP do FortiManager com NAT não está configurado.
Você pode configurar o endereço IP FortiManager NATed no FortiGate sob gerenciamento central
configuração. Isso permite que o FortiGate se anuncie ao FortiManager e tente restabelecer o FGFM
túnel.
é altamente recomendável que você configure o Endereço IP do FortiManager NAT nas configurações de
administração do sistema FortiManager se o FortiManager for atrás de um dispositivo NAT.
O FortiGate está operando por trás de um dispositivo NAT. O FortiManager pode descobrir o FortiGate
através do Endereço IP do FortiGate com NAT.
Se o túnel FGFM ficar DOWN, apenas o FortiGate tentará restabelecer a conexão. O FortiManager trata o
FortiGate com NAT como um dispositivo inacessível e não tenta restabelecer o túnel.
O FortiManager não tentará restabelecer o túnel FGFM para o Endereço IP do FortiGate NATed, se o
túnel FGFM ficar DOWN Se o endereço IP do FortiManager NAT for configurado no FortiGate sob
configuração de gerenciamento central, o FortiGate tentará restabelecer o Túnel FGFM, se for destruído.
RECOVERY LOGIC
Quando uma instalação é realizada do FortiManager para o FortiGate, o FortiManager sempre tenta
garantir conectividade com o FortiGate.
Se a conexão falhar, o FortiManager tenta recuperar o FGFM túnel desabilitando o comando que causou
a queda do túnel.
FortiManager saves the configuration revisions of a managed device. But what happens if you need to
replace
the standalone managed device because of hardware failure or RMA?
You can replace the faulty standalone device by manually changing the serial number of the faulty device
to
the serial number of the replacement device on FortiManager.
Note that the replacement FortiGate should not contact FortiManager before the execute device
replace sn <devname> <serialnum>
TROUBLESHOOTING
E se o FortiManager estiver demorando muito para concluir uma tarefa? Você pode usar o comando proc
list pode ser usado para identificar qualquer processo ou tarefa que esteja travado.
Uma tarefa paralisada pode impedir que outras tarefas subsequentes sejam processado.
back up:
*all devices
* global databse
* flash configuration