我所在的(de)城(chéng)市(shì)隻能(n<∑éng)算(suàn)是(shì)個(gè)三、四線的(de)小(x™→αiǎo)城(chéng)市(shì)。我做(zuò)IT網↑'α絡這(zhè)行(xíng)也(yě)有(yǒπφu)十幾年(nián)的(de)時(shí)間(jiān)了(le)，在這(z♣ε‌hè)座小(xiǎo)城(chéng)市(shì>≠÷‌)裡(lǐ)不(bù)管是(shì)事(shì)業(yèπ¥φ‌)單位還(hái)是(shì)企業(yè)單位有(yǒu)域環境的(de)非↓α∑常少(shǎo)，幾乎全都(dōu)是( ↑shì)工(gōng)作(zuò)組的(de)內>↑←₩(nèi)網環境。即使有(yǒu)的(de)單位開(kāi×€)始組建的(de)是(shì)域環境，但(dàn)随著(zhe)時(s&σ↓hí)間(jiān)的(de)推移慢(màn)慢(màn)的(de↓$)域控服務器(qì)就(jiù)廢棄了(le)，又∑‍ (yòu)變回了(le)工(gōng)作(zuò)組的(∑§de)模式。

工(gōng)作(zuò)組桌面網絡架構确實有(yǒu)安裝♦♥&簡單、網絡資源消耗低(dī)等優點，但(dàn)缺點太多(duō)：

        1、網絡安全性低(dī)。

        2、集中管理(lǐ)£&"不(bù)方便。

        3、公共應用(yòn&>₽£g)配置繁瑣。

        4、無權限配置。

     ↑π    所以說(shuō)對(duì)于管理(¥ <♠lǐ)人(rén)員(yuán)來(lái)說(shuō)剛開(kāi)始¥φ使用(yòng)是(shì)簡單方便了(le)，但(dàn)随著($λ±€zhe)各個(gè)應用(yòng)越來(l‍•ái)越多(duō)，病毒也(yě)越來(lái)越多(duō)，δ§權限設置越來(lái)越多(duō)的(d< e)時(shí)候，你(nǐ)隻能(néng)是(shì)疲于€¥ 應付，隻到(dào)把你(nǐ)累癱為(wèi)至。

 域（Domain）環境有(yǒu)哪些(xiē)∏‌優點呢(ne)？

     &β∏nbsp;  1、管理(lǐ)方便。

在域中，每個(gè)域用(yòng)戶賬戶都‍↑✘(dōu)可(kě)以在域中任意一(yī)台允許本地(d↑∑>ì)登錄的(de)計(jì)算(suàn)®<機(jī)上(shàng)登錄域，隻要(yào)該計(jì)算(suàn)機×↕≈(jī)與DC在同一(yī)個(gè)網絡中即可(kβ‌£ě)。而且用(yòng)戶的(de)桌面環境及其他(tā)賬戶配置不✔ ♥♣(bù)會(huì)因在不(bù)同計(jì)算(suàn)機(jīπβ★÷)上(shàng)登錄而不(bù)同，因為(wèi)域支持全局漫遊用(yònε✘♥∞g)戶配置文(wén)件(jiàn)。這♥£ (zhè)樣就(jiù)極大(dà)方便了(le)用∞‍(yòng)戶的(de)網絡訪問(wèn)。

        2、安全性更高(gāo)。

因為(wèi)域的(de)全局用(yòng)戶賬戶和(hé)安全策略都(d‍★✔ōu)是(shì)集中在一(yī)台或者少•↓→(shǎo)數(shù)幾台DC上(shàng)進行₽₹(xíng)配置與管理(lǐ)的(de)，所α≈★以相(xiàng)對(duì)工(gōng)作(zuò)組網絡來☆↕σ(lái)說(shuō)，這(zhè)些(xiē)配置→∞<的(de)安全性就(jiù)更高(gāo)，更不(bù)φ€πσ容易被人(rén)攻擊和(hé)破解。同樣，由于域中的(de<")用(yòng)戶數(shù)據可(kě)以存放(fàng)在一(yπ★ī)台或者少(shǎo)數(shù)幾台服務器(qì)上↕♣(shàng)，企業(yè)網絡數(shù)據也(yě)就(jiù)更安γΩ全。

        3、網絡訪問(wèn)更方便。

域是(shì)采用(yòng)單點登錄方式，用(yòng)戶隻需α×≤≈要(yào)用(yòng)戶域賬戶登錄一(yī)次域，就§ (jiù)可(kě)以無限地(dì)訪問(wèn)允許訪問(wèn)的(de♣←∞)所有(yǒu)網絡資源，而無需反複輸入不(bù)同賬戶信息進行↕±(xíng)身(shēn)份驗證。

      &nbs&‍↕p; 我們在域（Domain）環境中權限管理(lǐ)集中後π¥‍，所有(yǒu)網絡資源，包括用(yòng)戶，均是(shì)✔÷•Ω在DC（域控制(zhì)器(qì)）上(shàng)進行(xíng)維護≤∑‍$，便于集中管理(lǐ)。所有(yǒu)用(yòng)戶隻要(yào÷↕γ£)登入到(dào)域，在域內(nèi)均能(nén≈•¥g)進行(xíng)身(shēn)份驗證，管理(lǐ)人(rén)員('♣₽yuán)可(kě)以較好(hǎo)的(de)管理(lǐ)計(jì)算'↑↓✔(suàn)機(jī)資源，管理(lǐ)網絡的(de)成本大(d←≠à)大(dà)降低(dī)。

        我們可(kě≠¶✔☆)以隻允許管理(lǐ)人(rén)員(yuán)在DC（域控制(zhì)器(q€σ♦♥ì)）上(shàng)指定某些(xiē)軟εε₽件(jiàn)才能(néng)安裝，這(zhè)樣能(nén★®g)增強客戶端安全性、防止未授權人(rén)員(yuán)在客戶端亂裝軟件♥α≈(jiàn), 減少(shǎo)客戶端故障，降低(dīε>₽)維護成本。有(yǒu)利于單位對(duì♠∞)保密數(shù)據資料進行(xíng)管理(lǐ)，比如(rú)某些&≠(xiē)盤符隻能(néng)允許授權用(yòng)戶才能(néng)訪問•↑←(wèn)，某些(xiē)文(wén)件(jiàn)可(kě)以允許看♦®✘®(kàn)，但(dàn)不(bù)能(néng)≤∏$删除或修改。還(hái)可(kě)以直接在DC（域控制(zhì)器(qì≈×£)）上(shàng)進行(xíng)系統補丁的(d™‌e)升級（如(rú)Windows Updatβ™♥♦es），然後下(xià)面的(de)客戶端再連接DC進行(xíng)系" $統更新，從(cóng)而節省大(dà)量網絡帶寬。

      &nb ✔≈≥sp; 當然，域（Domain）環境也(yě)不(bù)是(π★∑↔shì)沒有(yǒu)缺點，它就(jiù)是(shì)前期布署時£≤∞®(shí)有(yǒu)些(xiē)麻煩，後期的(de)正常維護>¥需要(yào)有(yǒu)一(yī)定技(jì®✔™★)術(shù)水(shuǐ)平的(de)網絡管理(lǐ±‍​₹)人(rén)員(yuán)（其實也(yě)不(bù)需要(y‌∏✔ào)水(shuǐ)平有(yǒu)多(duō)高(gāo)，域環境中出×≠≈現(xiàn)的(de)問(wèn)題去(qù)問(w≤ èn)下(xià)度娘或買本AD配置指南(nán)都(dōu)有Ω♣(yǒu)很(hěn)好(hǎo)的(de)解答(dá)）。

      ★∏¥ε  在這(zhè)裡(lǐ)我就(jiù)想搭建一(yφ€♥ī)個(gè)中小(xiǎo)型網絡中的(de)域環境實驗₩ ，來(lái)初步的(de)教大(dà)家(j ♥ λiā)認識一(yī)下(xià)域環境的(de)局域網是(shì)Ω↕≈怎樣的(de)。首先，我繪制(zhì)一✔‌®(yī)張域環境的(de)網絡拓撲圖，我以後就(jiù)根據這(zhè)張拓撲← ≈圖來(lái)跟大(dà)家(jiā)講解。如(rú)下(xià)♠π圖：

    根據這(zhè)張域環境拓™≤<'撲圖，我使用(yòng)了(le)VMware Workstati©✘on和(hé)eNSP兩種工(gōng)α✔₹‌具，AD域和(hé)Web服務器(qì)使Ωγ‍≥用(yòng)win2012 R2操作(zuò)系統，外(wà♦♥i)網防火(huǒ)牆使用(yòng) win2008 R2和(hδ≠é)TMG來(lái)搭建，教學和(hé)辦公分(fēn)别使用(•♦yòng)win7和(hé)winxp來(lái)組建，÷€↓±核心交換機(jī)使用(yòng)eNSP來(lái)ε₽模拟。

   1、在局內(nèγφ →i)網我使用(yòng)教學（jiaoxue）'♥192.168.20.0/24，辦公（office）192.168.50☆≤.0/24。兩個(gè)不(bù)同的(d÷≥→e)網段來(lái)代表不(bù)同的(de)αα×±部門(mén)，在真實的(de)環境中你(nǐ)可(kě)以根據不(bù ₽¥ )同的(de)部門(mén)劃分(fēn)不(bù)同的(de)網段®★，做(zuò)不(bù)同的(de)權限。

   2、在AD域服務器(qì)我使用(yòng)地(d∞✔≥ì)址為(wèi)10.10.10.2/24，<∏并且還(hái)會(huì)在上(shàng)面安裝DNS、DHCP、σ←>FTP、CA等角色服務。在真實環境中你(nǐ)也(yě)可(kě)以把它們安¶ £裝在不(bù)同的(de)服務器(qì)上(shàng‍₽)。

   3、在外(wài)網防火(huǒ)牆上(shàng↔βλ©)我加裝了(le)三塊網卡，分(fēn)←Ω×™别連接Lan（10.10.10.3/24）區(qū)域、DMZ（172.16.↔∞←↕17.2/24）區(qū)域、Wan（192.168.1.120、24）區$✘↑(qū)域。

   4、WEB服務器(qì)我使用∏♠δ(yòng)地(dì)址為(wèi)172.16.17.3/↓☆24，連接到(dào)防火(huǒ)牆的(de)→≥₹ DMZ區(qū)。在真實的(de)環境中如(rú)果是(sβ δ∏hì)要(yào)對(duì)外(wài)服務的(de)網站(zhàn₽∞π)，都(dōu)建議(yì)部署在防火(huǒ)牆的(de)DMZ區(₽δ>qū)域，起到(dào)安全防護的(de‍‍)作(zuò)用(yòng)。

   5、我使用(yòng)VMware"© Workstation上(shàng)的(de)虛拟網絡編輯器(q ελ>ì)來(lái)規劃網段，VMnet0（±£橋接物(wù)理(lǐ)網卡192.168.1.0/24）、VMnet1（D↔✔λMZ區(qū)域172.16.17.0/24）、VMnet2（教學¶₩區(qū)域192.168.20.0/24）、VMnet3（辦公區(qū)域δ ¶¶192.168.50.0/24）、VMnet4（服務器(qì)10.10.1 ©0.0/24）。

   6、我使用(yòng)eNSP中的(de)S5700↔™<來(lái)模拟核心交換機(jī)，分(fēn)别連接內(nèi)網中σ↑≈的(de)VMnet2、VMnet3、VMnet4。

   講到(dào)這(zhè)裡(lǐ"φ×€)呢(ne)，我已經介紹完了(le)中、小(xiǎo)型↑®¥域環境的(de)實驗搭建方案，下(xià)一(yī)季呢(ne)我将¥♥介紹核心交換機(jī)的(de)配置，配置目的(de)可(kě←φ)以使用(yòng)內(nèi)網各網段可(kě)以互通(tōng)™€₹‍。