中小型網絡的域環境搭建(組網方案)

2017-09-27 13:17

 

我所在的城市只能算是個三、四線的小城市。我做IT網絡這行也有十幾年的時間了,在這座小城市裏不管是事業單位還是企業單位有域環境的非常少,幾乎全都是工作組的內網環境。即使有的單位開始組建的是域環境,但隨着時間的推移慢慢的域控服務器就廢棄了,又變回了工作組的模式。

 

 

 

工作組桌面網絡架構確實有安裝簡單、網絡資源消耗低等優點,但缺點太多:

        1、网络安全性低。

        2、集中管理不方便。

        3、公共应用配置繁琐。

        4、无权限配置。

       所以說對於管理人員來說剛開始使用是簡單方便了,但隨着各個應用越來越多,病毒也越來越多,權限設置越來越多的時候,你只能是疲於應付,只到把你累癱爲至。

 域(Domain)环境有哪些优点呢?

        1、管理方便

在域中,每個域用戶賬戶都可以在域中任意一臺允許本地登錄的計算機上登錄域,只要該計算機與DC在同一個網絡中即可。而且用戶的桌面環境及其他賬戶配置不會因在不同計算機上登錄而不同,因爲域支持全局漫遊用戶配置文件。這樣就極大方便了用戶的網絡訪問。

        2、安全性更高。

因爲域的全局用戶賬戶和安全策略都是集中在一臺或者少數幾臺DC上進行配置與管理的,所以相對工作組網絡來說,這些配置的安全性就更高,更不容易被人攻擊和破解。同樣,由於域中的用戶數據可以存放在一臺或者少數幾臺服務器上,企業網絡數據也就更安全。

        3、網絡訪問更方便。

域是採用單點登錄方式,用戶只需要用戶域賬戶登錄一次域,就可以無限地訪問允許訪問的所有網絡資源,而無需反覆輸入不同賬戶信息進行身份驗證。

        我們在域(Domain)環境中權限管理集中後,所有網絡資源,包括用戶,均是在DC(域控制器)上進行維護,便於集中管理。所有用戶只要登入到域,在域內均能進行身份驗證,管理人員可以較好的管理計算機資源,管理網絡的成本大大降低。

       我們可以只允許管理人員在DC(域控制器)上指定某些軟件才能安裝,這樣能增強客戶端安全性、防止未授權人員在客戶端亂裝軟件, 減少客戶端故障,降低維護成本。有利於單位對保密數據資料進行管理,比如某些盤符只能允許授權用戶才能訪問,某些文件可以允許看,但不能刪除或修改。還可以直接在DC(域控制器)上進行系統補丁的升級(如Windows Updates),然後下面的客戶端再連接DC進行系統更新,從而節省大量網絡帶寬。

        當然,域(Domain)環境也不是沒有缺點,它就是前期佈署時有些麻煩,後期的正常維護需要有一定技術水平的網絡管理人員(其實也不需要水平有多高,域環境中出現的問題去問下度娘或買本AD配置指南都有很好的解答)。

       在這裏我就想搭建一箇中小型網絡中的域環境實驗,來初步的教大家認識一下域環境的局域網是怎樣的。首先,我繪製一張域環境的網絡拓撲圖,我以後就根據這張拓撲圖來跟大家講解。如下圖:

   根據這張域環境拓撲圖,我使用了VMware Workstation和eNSP兩種工具,AD域和Web服務器使用win2012 R2操作系統,外網防火牆使用 win2008 R2和TMG來搭建,教學和辦公分別使用win7和winxp來組建,核心交換機使用eNSP來模擬。

   1、在局內網我使用教學(jiaoxue)192.168.20.0/24,辦公(office)192.168.50.0/24。兩個不同的網段來代表不同的部門,在真實的環境中你可以根據不同的部門劃分不同的網段,做不同的權限。

   2、在AD域服務器我使用地址爲10.10.10.2/24,並且還會在上面安裝DNS、DHCP、FTP、CA等角色服務。在真實環境中你也可以把它們安裝在不同的服務器上。

   3、在外網防火牆上我加裝了三塊網卡,分別連接Lan(10.10.10.3/24)區域、DMZ(172.16.17.2/24)區域、Wan(192.168.1.120、24)區域。

   4、WEB服務器我使用地址爲172.16.17.3/24,連接到防火牆的DMZ區。在真實的環境中如果是要對外服務的網站,都建議部署在防火牆的DMZ區域,起到安全防護的作用。

   5、我使用VMware Workstation上的虛擬網絡編輯器來規劃網段,VMnet0(橋接物理網卡192.168.1.0/24)、VMnet1(DMZ區域172.16.17.0/24)、VMnet2(教學區域192.168.20.0/24)、VMnet3(辦公區域192.168.50.0/24)、VMnet4(服務器10.10.10.0/24)。

   6、我使用eNSP中的S5700來模擬核心交換機,分別連接內網中的VMnet2、VMnet3、VMnet4。

   講到這裏呢,我已經介紹完了中、小型域環境的實驗搭建方案,下一季呢我將介紹核心交換機的配置,配置目的可以使用內網各網段可以互通。