中小型网络的域环境搭建－－第一季（组网方案）

  我所在的城市离省会（武汉）虽然说很近，只能算是个3、四线的小城市。我作IT网络这行也有十几年的时间了，在这座小城市里不论是事业单位仍是企业单位有域环境的很是少，几乎全都是工做组的内网环境。即便有的单位开始组建的是域环境，但随着时间的推移慢慢的域控服务器就废弃了，又变回了工做组的模式。

  工做组桌面网络架构确实有安装简单、网络资源消耗低等优势，但缺点太多：

        一、网络安全性低。

        二、集中管理不方便。

        三、公共应用配置繁琐。

        四、无权限配置。

        因此说对于管理人员来讲刚开始使用是简单方便了，但随着各个应用愈来愈多，病毒也愈来愈多，权限设置愈来愈多的时候，你只能是疲于应付，只到把你累瘫为至。

        域（Domain）环境有哪些优势呢？

        一、管理方便。在域中，每一个域用户帐户均可以在域中任意一台容许本地登陆的计算机上登陆域，只要该计算机与DC在同一个网络中便可。并且用户的桌面环境及其余帐户配置不会因在不一样计算机上登陆而不一样，由于域支持全局漫游用户配置文件。这样就极大方便了用户的网络访问。

        二、安全性更高。由于域的全局用户帐户和安全策略都是集中在一台或者少数几台DC上进行配置与管理的，因此相对工做组网络来讲，这些配置的安全性就更高，更不容易被人***和破解。一样，因为域中的用户数据能够存放在一台或者少数几台服务器上，企业网络数据也就更安全。

        三、网络访问更方便。域是采用单点登陆方式，用户只须要用户域帐户登陆一次域，就能够无限地访问容许访问的全部网络资源，而无需反复输入不一样帐户信息进行身份验证。

        咱们在域（Domain）环境中权限管理集中后，全部网络资源，包括用户，均是在DC（域控制器）上进行维护，便于集中管理。全部用户只要登入到域，在域内均能进行身份验证，管理人员能够较好的管理计算机资源，管理网络的成本大大下降。咱们能够只容许管理人员在DC（域控制器）上指定某些软件才能安装，这样能加强客户端安全性、防止未受权人员在客户端乱装软件, 减小客户端故障，下降维护成本。有利于单位对保密数据资料进行管理，好比某些盘符只能容许受权用户才能访问，某些文件能够容许看，但不能删除或修改。还能够直接在DC（域控制器）上进行系统补丁的升级（如Windows Updates），而后下面的客户端再链接DC进行系统更新，从而节省大量网络带宽。

        固然，域（Domain）环境也不是没有缺点，它就是前期布署时有些麻烦，后期的正常维护须要有必定技术水平的网络管理人员（其实也不须要水平有多高，域环境中出现的问题去问下度娘或买本AD配置指南都有很好的解答）。

        在这里我就想搭建一个中小型网络中的域环境实验，来初步的教你们认识一下域环境的局域网是怎样的。首先，我绘制一张域环境的网络拓扑图，我之后就根据这张拓扑图来跟你们讲解。以下图：

    根据这张域环境拓扑图，我使用了VMware Workstation和eNSP两种工具，AD域和Web服务器使用win2012 R2操做系统，外网防火墙使用 win2008 R2和TMG来搭建，教学和办公分别使用win7和winxp来组建，核心交换机使用eNSP来模拟。

   一、在局内网我使用教学（jiaoxue）192.168.20.0/24，办公（office）192.168.50.0/24。两个不一样的网段来表明不一样的部门，在真实的环境中你能够根据不一样的部门划分不一样的网段，作不一样的权限。

   二、在AD域服务器我使用地址为10.10.10.2/24，而且还会在上面安装DNS、DHCP、FTP、CA等角色服务。在真实环境中你也能够把它们安装在不一样的服务器上。

   三、在外网防火墙上我加装了三块网卡，分别链接Lan（10.10.10.3/24）区域、DMZ（172.16.17.2/24）区域、Wan（192.168.1.120、24）区域。

   四、WEB服务器我使用地址为172.16.17.3/24，链接到防火墙的DMZ区。在真实的环境中若是是要对外服务的网站，都建议部署在防火墙的DMZ区域，起到安全防御的做用。

   五、我使用VMware Workstation上的虚拟网络编辑器来规划网段，VMnet0（桥接物理网卡192.168.1.0/24）、VMnet1（DMZ区域172.16.17.0/24）、VMnet2（教学区域192.168.20.0/24）、VMnet3（办公区域192.168.50.0/24）、VMnet4（服务器10.10.10.0/24）。

   六、我使用eNSP中的S5700来模拟核心交换机，分别链接内网中的VMnet二、VMnet三、VMnet4。

   讲到这里呢，我已经介绍完了中、小型域环境的实验搭建方案，下一季呢我将介绍核心交换机的配置，配置目的可使用内网各网段能够互通。

   《未完待续》