我所在的城市只能算是個三、四線的小城市。我做IT網(wǎng)絡(luò)這行也有十幾年的時間了�,在這座小城市里不管是事業(yè)單位還是企業(yè)單位有域環(huán)境的非常少�,幾乎全都是工作組的內(nèi)網(wǎng)環(huán)境�����。即使有的單位開始組建的是域環(huán)境,但隨著時間的推移慢慢的域控服務(wù)器就廢棄了����,又變回了工作組的模式��。
工作組桌面網(wǎng)絡(luò)架構(gòu)確實有安裝簡單��、網(wǎng)絡(luò)資源消耗低等優(yōu)點�����,但缺點太多:
1、網(wǎng)絡(luò)安全性低��。
2�����、集中管理不方便�����。
3����、公共應(yīng)用配置繁瑣。
4���、無權(quán)限配置��。
所以說對于管理人員來說剛開始使用是簡單方便了�,但隨著各個應(yīng)用越來越多,病毒也越來越多�����,權(quán)限設(shè)置越來越多的時候���,你只能是疲于應(yīng)付���,只到把你累癱為至。
域(Domain)環(huán)境有哪些優(yōu)點呢���?
1��、管理方便���。
在域中,每個域用戶賬戶都可以在域中任意一臺允許本地登錄的計算機上登錄域��,只要該計算機與DC在同一個網(wǎng)絡(luò)中即可��。而且用戶的桌面環(huán)境及其他賬戶配置不會因在不同計算機上登錄而不同�,因為域支持全局漫游用戶配置文件�。這樣就極大方便了用戶的網(wǎng)絡(luò)訪問��。
2�、安全性更高。
因為域的全局用戶賬戶和安全策略都是集中在一臺或者少數(shù)幾臺DC上進行配置與管理的����,所以相對工作組網(wǎng)絡(luò)來說�����,這些配置的安全性就更高�,更不容易被人攻擊和破解。同樣�����,由于域中的用戶數(shù)據(jù)可以存放在一臺或者少數(shù)幾臺服務(wù)器上����,企業(yè)網(wǎng)絡(luò)數(shù)據(jù)也就更安全。
3�����、網(wǎng)絡(luò)訪問更方便。
域是采用單點登錄方式���,用戶只需要用戶域賬戶登錄一次域�����,就可以無限地訪問允許訪問的所有網(wǎng)絡(luò)資源��,而無需反復(fù)輸入不同賬戶信息進行身份驗證��。
我們在域(Domain)環(huán)境中權(quán)限管理集中后��,所有網(wǎng)絡(luò)資源���,包括用戶,均是在DC(域控制器)上進行維護��,便于集中管理��。所有用戶只要登入到域����,在域內(nèi)均能進行身份驗證,管理人員可以較好的管理計算機資源��,管理網(wǎng)絡(luò)的成本大大降低。
我們可以只允許管理人員在DC(域控制器)上指定某些軟件才能安裝��,這樣能增強客戶端安全性�����、防止未授權(quán)人員在客戶端亂裝軟件, 減少客戶端故障����,降低維護成本。有利于單位對保密數(shù)據(jù)資料進行管理�����,比如某些盤符只能允許授權(quán)用戶才能訪問�����,某些文件可以允許看����,但不能刪除或修改����。還可以直接在DC(域控制器)上進行系統(tǒng)補丁的升級(如Windows Updates)����,然后下面的客戶端再連接DC進行系統(tǒng)更新���,從而節(jié)省大量網(wǎng)絡(luò)帶寬����。
當(dāng)然��,域(Domain)環(huán)境也不是沒有缺點�����,它就是前期布署時有些麻煩�����,后期的正常維護需要有一定技術(shù)水平的網(wǎng)絡(luò)管理人員(其實也不需要水平有多高�,域環(huán)境中出現(xiàn)的問題去問下度娘或買本AD配置指南都有很好的解答)。
在這里我就想搭建一個中小型網(wǎng)絡(luò)中的域環(huán)境實驗�����,來初步的教大家認識一下域環(huán)境的局域網(wǎng)是怎樣的。首先���,我繪制一張域環(huán)境的網(wǎng)絡(luò)拓撲圖���,我以后就根據(jù)這張拓撲圖來跟大家講解。如下圖:
根據(jù)這張域環(huán)境拓撲圖���,我使用了VMware Workstation和eNSP兩種工具����,AD域和Web服務(wù)器使用win2012 R2操作系統(tǒng)��,外網(wǎng)防火墻使用 win2008 R2和TMG來搭建�����,教學(xué)和辦公分別使用win7和winxp來組建����,核心交換機使用eNSP來模擬�����。
1�、在局內(nèi)網(wǎng)我使用教學(xué)(jiaoxue)192.168.20.0/24��,辦公(office)192.168.50.0/24�����。兩個不同的網(wǎng)段來代表不同的部門����,在真實的環(huán)境中你可以根據(jù)不同的部門劃分不同的網(wǎng)段�����,做不同的權(quán)限����。
2、在AD域服務(wù)器我使用地址為10.10.10.2/24�����,并且還會在上面安裝DNS�、DHCP、FTP��、CA等角色服務(wù)。在真實環(huán)境中你也可以把它們安裝在不同的服務(wù)器上�。
3、在外網(wǎng)防火墻上我加裝了三塊網(wǎng)卡�,分別連接Lan(10.10.10.3/24)區(qū)域、DMZ(172.16.17.2/24)區(qū)域���、Wan(192.168.1.120�、24)區(qū)域��。
4��、WEB服務(wù)器我使用地址為172.16.17.3/24����,連接到防火墻的DMZ區(qū)。在真實的環(huán)境中如果是要對外服務(wù)的網(wǎng)站��,都建議部署在防火墻的DMZ區(qū)域����,起到安全防護的作用。
5�、我使用VMware Workstation上的虛擬網(wǎng)絡(luò)編輯器來規(guī)劃網(wǎng)段���,VMnet0(橋接物理網(wǎng)卡192.168.1.0/24)����、VMnet1(DMZ區(qū)域172.16.17.0/24)、VMnet2(教學(xué)區(qū)域192.168.20.0/24)���、VMnet3(辦公區(qū)域192.168.50.0/24)����、VMnet4(服務(wù)器10.10.10.0/24)��。
6�����、我使用eNSP中的S5700來模擬核心交換機����,分別連接內(nèi)網(wǎng)中的VMnet2、VMnet3���、VMnet4�。
講到這里呢�����,我已經(jīng)介紹完了中、小型域環(huán)境的實驗搭建方案���,下一季呢我將介紹核心交換機的配置��,配置目的可以使用內(nèi)網(wǎng)各網(wǎng)段可以互通��。
