我所在的城市只能算是個(gè)三���、四線的小城市。我做IT網(wǎng)絡(luò)這行也有十幾年的時(shí)間了����,在這座小城市里不管是事業(yè)單位還是企業(yè)單位有域環(huán)境的非常少,幾乎全都是工作組的內(nèi)網(wǎng)環(huán)境�����。即使有的單位開始組建的是域環(huán)境,但隨著時(shí)間的推移慢慢的域控服務(wù)器就廢棄了���,又變回了工作組的模式�。
工作組桌面網(wǎng)絡(luò)架構(gòu)確實(shí)有安裝簡(jiǎn)單����、網(wǎng)絡(luò)資源消耗低等優(yōu)點(diǎn),但缺點(diǎn)太多:
1�����、網(wǎng)絡(luò)安全性低����。
2、集中管理不方便��。
3�����、公共應(yīng)用配置繁瑣。
4���、無(wú)權(quán)限配置��。
所以說(shuō)對(duì)于管理人員來(lái)說(shuō)剛開始使用是簡(jiǎn)單方便了�����,但隨著各個(gè)應(yīng)用越來(lái)越多�����,病毒也越來(lái)越多���,權(quán)限設(shè)置越來(lái)越多的時(shí)候,你只能是疲于應(yīng)付���,只到把你累癱為至�����。
域(Domain)環(huán)境有哪些優(yōu)點(diǎn)呢?
1���、管理方便���。
在域中���,每個(gè)域用戶賬戶都可以在域中任意一臺(tái)允許本地登錄的計(jì)算機(jī)上登錄域,只要該計(jì)算機(jī)與DC在同一個(gè)網(wǎng)絡(luò)中即可��。而且用戶的桌面環(huán)境及其他賬戶配置不會(huì)因在不同計(jì)算機(jī)上登錄而不同����,因?yàn)橛蛑С秩致斡脩襞渲梦募_@樣就極大方便了用戶的網(wǎng)絡(luò)訪問(wèn)���。
2��、安全性更高��。
因?yàn)橛虻娜钟脩糍~戶和安全策略都是集中在一臺(tái)或者少數(shù)幾臺(tái)DC上進(jìn)行配置與管理的���,所以相對(duì)工作組網(wǎng)絡(luò)來(lái)說(shuō),這些配置的安全性就更高���,更不容易被人攻擊和破解��。同樣�,由于域中的用戶數(shù)據(jù)可以存放在一臺(tái)或者少數(shù)幾臺(tái)服務(wù)器上,企業(yè)網(wǎng)絡(luò)數(shù)據(jù)也就更安全�����。
3�、網(wǎng)絡(luò)訪問(wèn)更方便。
域是采用單點(diǎn)登錄方式�,用戶只需要用戶域賬戶登錄一次域,就可以無(wú)限地訪問(wèn)允許訪問(wèn)的所有網(wǎng)絡(luò)資源���,而無(wú)需反復(fù)輸入不同賬戶信息進(jìn)行身份驗(yàn)證���。
我們?cè)谟颍―omain)環(huán)境中權(quán)限管理集中后,所有網(wǎng)絡(luò)資源�����,包括用戶����,均是在DC(域控制器)上進(jìn)行維護(hù),便于集中管理��。所有用戶只要登入到域����,在域內(nèi)均能進(jìn)行身份驗(yàn)證,管理人員可以較好的管理計(jì)算機(jī)資源����,管理網(wǎng)絡(luò)的成本大大降低。
我們可以只允許管理人員在DC(域控制器)上指定某些軟件才能安裝�����,這樣能增強(qiáng)客戶端安全性����、防止未授權(quán)人員在客戶端亂裝軟件, 減少客戶端故障,降低維護(hù)成本�。有利于單位對(duì)保密數(shù)據(jù)資料進(jìn)行管理,比如某些盤符只能允許授權(quán)用戶才能訪問(wèn)���,某些文件可以允許看���,但不能刪除或修改。還可以直接在DC(域控制器)上進(jìn)行系統(tǒng)補(bǔ)丁的升級(jí)(如Windows Updates)�����,然后下面的客戶端再連接DC進(jìn)行系統(tǒng)更新,從而節(jié)省大量網(wǎng)絡(luò)帶寬���。
當(dāng)然����,域(Domain)環(huán)境也不是沒(méi)有缺點(diǎn)����,它就是前期布署時(shí)有些麻煩,后期的正常維護(hù)需要有一定技術(shù)水平的網(wǎng)絡(luò)管理人員(其實(shí)也不需要水平有多高�,域環(huán)境中出現(xiàn)的問(wèn)題去問(wèn)下度娘或買本AD配置指南都有很好的解答)。
在這里我就想搭建一個(gè)中小型網(wǎng)絡(luò)中的域環(huán)境實(shí)驗(yàn)�����,來(lái)初步的教大家認(rèn)識(shí)一下域環(huán)境的局域網(wǎng)是怎樣的�。首先,我繪制一張域環(huán)境的網(wǎng)絡(luò)拓?fù)鋱D����,我以后就根據(jù)這張拓?fù)鋱D來(lái)跟大家講解。如下圖:
根據(jù)這張域環(huán)境拓?fù)鋱D�,我使用了VMware Workstation和eNSP兩種工具��,AD域和Web服務(wù)器使用win2012 R2操作系統(tǒng)�,外網(wǎng)防火墻使用 win2008 R2和TMG來(lái)搭建�,教學(xué)和辦公分別使用win7和winxp來(lái)組建,核心交換機(jī)使用eNSP來(lái)模擬��。
1���、在局內(nèi)網(wǎng)我使用教學(xué)(jiaoxue)192.168.20.0/24,辦公(office)192.168.50.0/24�。兩個(gè)不同的網(wǎng)段來(lái)代表不同的部門,在真實(shí)的環(huán)境中你可以根據(jù)不同的部門劃分不同的網(wǎng)段���,做不同的權(quán)限��。
2�����、在AD域服務(wù)器我使用地址為10.10.10.2/24����,并且還會(huì)在上面安裝DNS���、DHCP��、FTP�����、CA等角色服務(wù)�����。在真實(shí)環(huán)境中你也可以把它們安裝在不同的服務(wù)器上���。
3��、在外網(wǎng)防火墻上我加裝了三塊網(wǎng)卡��,分別連接Lan(10.10.10.3/24)區(qū)域����、DMZ(172.16.17.2/24)區(qū)域�����、Wan(192.168.1.120、24)區(qū)域�����。
4��、WEB服務(wù)器我使用地址為172.16.17.3/24�����,連接到防火墻的DMZ區(qū)�����。在真實(shí)的環(huán)境中如果是要對(duì)外服務(wù)的網(wǎng)站���,都建議部署在防火墻的DMZ區(qū)域,起到安全防護(hù)的作用�。
5、我使用VMware Workstation上的虛擬網(wǎng)絡(luò)編輯器來(lái)規(guī)劃網(wǎng)段����,VMnet0(橋接物理網(wǎng)卡192.168.1.0/24)、VMnet1(DMZ區(qū)域172.16.17.0/24)�����、VMnet2(教學(xué)區(qū)域192.168.20.0/24)、VMnet3(辦公區(qū)域192.168.50.0/24)�����、VMnet4(服務(wù)器10.10.10.0/24)��。
6���、我使用eNSP中的S5700來(lái)模擬核心交換機(jī)���,分別連接內(nèi)網(wǎng)中的VMnet2、VMnet3�、VMnet4。
講到這里呢����,我已經(jīng)介紹完了中、小型域環(huán)境的實(shí)驗(yàn)搭建方案��,下一季呢我將介紹核心交換機(jī)的配置����,配置目的可以使用內(nèi)網(wǎng)各網(wǎng)段可以互通。
