中小型網絡的域環境搭建－－第一季（組網方案）

  我所在的城市離省會（武漢）雖然說很近，只能算是個3、四線的小城市。我作IT網絡這行也有十幾年的時間了，在這座小城市裏不論是事業單位仍是企業單位有域環境的很是少，幾乎全都是工做組的內網環境。即便有的單位開始組建的是域環境，但隨着時間的推移慢慢的域控服務器就廢棄了，又變回了工做組的模式。

  工做組桌面網絡架構確實有安裝簡單、網絡資源消耗低等優勢，但缺點太多：

        一、網絡安全性低。

        二、集中管理不方便。

        三、公共應用配置繁瑣。

        四、無權限配置。

        因此說對於管理人員來講剛開始使用是簡單方便了，但隨着各個應用愈來愈多，病毒也愈來愈多，權限設置愈來愈多的時候，你只能是疲於應付，只到把你累癱爲至。

        域（Domain）環境有哪些優勢呢？

        一、管理方便。在域中，每一個域用戶帳戶均可以在域中任意一臺容許本地登陸的計算機上登陸域，只要該計算機與DC在同一個網絡中便可。並且用戶的桌面環境及其餘帳戶配置不會因在不一樣計算機上登陸而不一樣，由於域支持全局漫遊用戶配置文件。這樣就極大方便了用戶的網絡訪問。

        二、安全性更高。由於域的全局用戶帳戶和安全策略都是集中在一臺或者少數幾臺DC上進行配置與管理的，因此相對工做組網絡來講，這些配置的安全性就更高，更不容易被人***和破解。一樣，因爲域中的用戶數據能夠存放在一臺或者少數幾臺服務器上，企業網絡數據也就更安全。

        三、網絡訪問更方便。域是採用單點登陸方式，用戶只須要用戶域帳戶登陸一次域，就能夠無限地訪問容許訪問的全部網絡資源，而無需反覆輸入不一樣帳戶信息進行身份驗證。

        咱們在域（Domain）環境中權限管理集中後，全部網絡資源，包括用戶，均是在DC（域控制器）上進行維護，便於集中管理。全部用戶只要登入到域，在域內均能進行身份驗證，管理人員能夠較好的管理計算機資源，管理網絡的成本大大下降。咱們能夠只容許管理人員在DC（域控制器）上指定某些軟件才能安裝，這樣能加強客戶端安全性、防止未受權人員在客戶端亂裝軟件, 減小客戶端故障，下降維護成本。有利於單位對保密數據資料進行管理，好比某些盤符只能容許受權用戶才能訪問，某些文件能夠容許看，但不能刪除或修改。還能夠直接在DC（域控制器）上進行系統補丁的升級（如Windows Updates），而後下面的客戶端再鏈接DC進行系統更新，從而節省大量網絡帶寬。

        固然，域（Domain）環境也不是沒有缺點，它就是前期佈署時有些麻煩，後期的正常維護須要有必定技術水平的網絡管理人員（其實也不須要水平有多高，域環境中出現的問題去問下度娘或買本AD配置指南都有很好的解答）。

        在這裏我就想搭建一箇中小型網絡中的域環境實驗，來初步的教你們認識一下域環境的局域網是怎樣的。首先，我繪製一張域環境的網絡拓撲圖，我之後就根據這張拓撲圖來跟你們講解。以下圖：

    根據這張域環境拓撲圖，我使用了VMware Workstation和eNSP兩種工具，AD域和Web服務器使用win2012 R2操做系統，外網防火牆使用 win2008 R2和TMG來搭建，教學和辦公分別使用win7和winxp來組建，核心交換機使用eNSP來模擬。

   一、在局內網我使用教學（jiaoxue）192.168.20.0/24，辦公（office）192.168.50.0/24。兩個不一樣的網段來表明不一樣的部門，在真實的環境中你能夠根據不一樣的部門劃分不一樣的網段，作不一樣的權限。

   二、在AD域服務器我使用地址爲10.10.10.2/24，而且還會在上面安裝DNS、DHCP、FTP、CA等角色服務。在真實環境中你也能夠把它們安裝在不一樣的服務器上。

   三、在外網防火牆上我加裝了三塊網卡，分別鏈接Lan（10.10.10.3/24）區域、DMZ（172.16.17.2/24）區域、Wan（192.168.1.120、24）區域。

   四、WEB服務器我使用地址爲172.16.17.3/24，鏈接到防火牆的DMZ區。在真實的環境中若是是要對外服務的網站，都建議部署在防火牆的DMZ區域，起到安全防禦的做用。

   五、我使用VMware Workstation上的虛擬網絡編輯器來規劃網段，VMnet0（橋接物理網卡192.168.1.0/24）、VMnet1（DMZ區域172.16.17.0/24）、VMnet2（教學區域192.168.20.0/24）、VMnet3（辦公區域192.168.50.0/24）、VMnet4（服務器10.10.10.0/24）。

   六、我使用eNSP中的S5700來模擬核心交換機，分別鏈接內網中的VMnet二、VMnet三、VMnet4。

   講到這裏呢，我已經介紹完了中、小型域環境的實驗搭建方案，下一季呢我將介紹核心交換機的配置，配置目的可使用內網各網段能夠互通。

   《未完待續》