我所在的城市离省会(武汉)虽说很近,只能算是个三、四线的小城市。我做IT网络这行也有十几年的时间了,在这座小城市里不管是事业单位还是企业单位有域环境的非常少,几乎全都是工作组的内网环境。即使有的单位开始组建的是域环境,但随着时间的推移慢慢的域控服务器就废弃了,又变回了工作组的模式。
工作组桌面网络架构确实有安装简单、网络资源消耗低等优点,但缺点太多:
1、网络安全性低。
2、集中管理不方便。
3、公共应用配置繁琐。
4、无权限配置。
所以说对于管理人员来说刚开始使用是简单方便了,但随着各个应用越来越多,病毒也越来越多,权限设置越来越多的时候,你只能是疲于应付,只到把你累瘫为至。
域(Domain)环境有哪些优点呢?
1、管理方便。在域中,每个域用户账户都可以在域中任意一台允许本地登录的计算机上登录域,只要该计算机与DC在同一个网络中即可。而且用户的桌面环境及其他账户配置不会因在不同计算机上登录而不同,因为域支持全局漫游用户配置文件。这样就极大方便了用户的网络访问。
2、安全性更高。因为域的全局用户账户和安全策略都是集中在一台或者少数几台DC上进行配置与管理的,所以相对工作组网络来说,这些配置的安全性就更高,更不容易被人攻击和破解。同样,由于域中的用户数据可以存放在一台或者少数几台服务器上,企业网络数据也就更安全。
3、网络访问更方便。域是采用单点登录方式,用户只需要用户域账户登录一次域,就可以无限地访问允许访问的所有网络资源,而无需反复输入不同账户信息进行身份验证。
我们在域(Domain)环境中权限管理集中后,所有网络资源,包括用户,均是在DC(域控制器)上进行维护,便于集中管理。所有用户只要登入到域,在域内均能进行身份验证,管理人员可以较好的管理计算机资源,管理网络的成本大大降低。我们可以只允许管理人员在DC(域控制器)上指定某些软件才能安装,这样能增强客户端安全性、防止未授权人员在客户端乱装软件, 减少客户端故障,降低维护成本。有利于单位对保密数据资料进行管理,比如某些盘符只能允许授权用户才能访问,某些文件可以允许看,但不能删除或修改。还可以直接在DC(域控制器)上进行系统补丁的升级(如Windows Updates),然后下面的客户端再连接DC进行系统更新,从而节省大量网络带宽。
当然,域(Domain)环境也不是没有缺点,它就是前期布署时有些麻烦,后期的正常维护需要有一定技术水平的网络管理人员(其实也不需要水平有多高,域环境中出现的问题去问下度娘或买本AD配置指南都有很好的解答)。
在这里我就想搭建一个中小型网络中的域环境实验,来初步的教大家认识一下域环境的局域网是怎样的。首先,我绘制一张域环境的网络拓扑图,我以后就根据这张拓扑图来跟大家讲解。如下图:
根据这张域环境拓扑图,我使用了VMware Workstation和eNSP两种工具,AD域和Web服务器使用win2012 R2操作系统,外网防火墙使用 win2008 R2和TMG来搭建,教学和办公分别使用win7和winxp来组建,核心交换机使用eNSP来模拟。
1、在局内网我使用教学(jiaoxue)192.168.20.0/24,办公(office)192.168.50.0/24。两个不同的网段来代表不同的部门,在真实的环境中你可以根据不同的部门划分不同的网段,做不同的权限。
2、在AD域服务器我使用地址为10.10.10.2/24,并且还会在上面安装DNS、DHCP、FTP、CA等角色服务。在真实环境中你也可以把它们安装在不同的服务器上。
3、在外网防火墙上我加装了三块网卡,分别连接Lan(10.10.10.3/24)区域、DMZ(172.16.17.2/24)区域、Wan(192.168.1.120、24)区域。
4、WEB服务器我使用地址为172.16.17.3/24,连接到防火墙的DMZ区。在真实的环境中如果是要对外服务的网站,都建议部署在防火墙的DMZ区域,起到安全防护的作用。
5、我使用VMware Workstation上的虚拟网络编辑器来规划网段,VMnet0(桥接物理网卡192.168.1.0/24)、VMnet1(DMZ区域172.16.17.0/24)、VMnet2(教学区域192.168.20.0/24)、VMnet3(办公区域192.168.50.0/24)、VMnet4(服务器10.10.10.0/24)。
6、我使用eNSP中的S5700来模拟核心交换机,分别连接内网中的VMnet2、VMnet3、VMnet4。
讲到这里呢,我已经介绍完了中、小型域环境的实验搭建方案,下一季呢我将介绍核心交换机的配置,配置目的可以使用内网各网段可以互通。
《未完待续》