问题结论 #

这是FortiGate DHCP的预期默认行为：FortiGate默认不会主动向Windows AD DNS服务器发送动态DNS（DDNS）更新请求，因此不会自动创建A记录或PTR记录。但可以通过配置FortiGate和Windows DNS服务器来启用该功能。

配置步骤 #

1. FortiGate端配置（支持CLI/GUI两种方式） #

CLI配置示例

config system dhcp server
    edit <你的DHCP服务器ID>  # 比如1，可通过`show system dhcp server`查看ID
        set dns-server <AD_DNS_SERVER_IP>  # 填写你的AD DNS服务器IP
        set ddns-update enable  # 启用DDNS更新
        set ddns-auth enable  # 启用DDNS认证（AD DNS需要）
        set ddns-auth-type microsoft  # 指定认证类型为微软AD格式
        set ddns-username "<DOMAIN\USER>"  # 填写有权限更新DNS的AD域账号，比如corp\dnsadmin
        set ddns-password "<USER_PASSWORD>"  # 对应账号的密码
        set ddns-domain "<YOUR_AD_DOMAIN>"  # 填写你的AD域名，比如corp.com
        set domain-name "<YOUR_AD_DOMAIN>"  # 给客户端分配DNS后缀，确保和AD域名一致
    next
end

GUI配置路径

1. 登录FortiGate管理界面，进入网络 → DHCP服务器
2. 编辑目标DHCP服务器，切换到高级标签页
3. 在动态DNS区域：
   • 勾选启用动态DNS更新
   • 认证类型选择Microsoft
   • 填写AD域账号、密码、AD域名
   • 在DNS服务器字段添加你的AD DNS服务器IP
4. 切换到DNS标签页，设置域名为你的AD域名，保存配置

2. Windows AD DNS端配置 #

开启区域动态更新

1. 打开DNS管理器，右键目标正向查找区域（如corp.com），选择属性
2. 在常规标签页，将动态更新设置为：
   • 测试阶段可选择非安全和安全的
   • 生产环境建议选择安全的（仅允许授权账号更新）
3. 对反向查找区域执行同样操作，确保反向区域已创建并开启动态更新

配置安全更新权限（仅当动态更新设为“安全的”时需要）

1. 右键DNS区域 → 权限 → 添加，输入FortiGate使用的AD域账号并确认
2. 给该账号分配以下权限：
   • 创建所有子对象
   • 写入
   • 删除子对象（可选，用于清理过期记录）
3. 应用并保存权限设置

3. 验证与排障 #

• 客户端执行ipconfig /release和ipconfig /renew重新获取IP
• 查看DNS管理器中的正向/反向区域，确认是否生成对应A/PTR记录
• 检查FortiGate日志（日志与报表 → 事件日志 → 系统），过滤DDNS相关条目，排查认证或连接错误
• 确保FortiGate系统时间与AD域时间同步（时间差超过5分钟会导致Kerberos认证失败）

内容的提问来源于stack exchange，提问作者admin root