我所在的(de)城(chéng)市(shì)隻能(nénπ∏g)算(suàn)是(shì)個(gè)三、四線的(de)小(xiǎo)≠₽®城(chéng)市(shì)。我做(zuò)IT網絡這(zhè)行(<↕xíng)也(yě)有(yǒu)十幾年(nián)的(de)時(∏∏​÷shí)間(jiān)了(le)，在這(zhè)座小(xiǎo)城(chén€ πg)市(shì)裡(lǐ)不(bù)管是(shì)事(shì)業(yè)‌σ單位還(hái)是(shì)企業(yè)單位有(yǒu)域環境的(γ'"≈de)非常少(shǎo)，幾乎全都(dōu)是(shì)工¥®Ω(gōng)作(zuò)組的(de)內(≥πnèi)網環境。即使有(yǒu)的(de)單位開(kāi)始‌♥組建的(de)是(shì)域環境，但(dàn)随著(zhe)時(shí←&₩)間(jiān)的(de)推移慢(màn)慢±©♥&(màn)的(de)域控服務器(qì)就(jiù)廢棄了(le)，又>↔δ₹(yòu)變回了(le)工(gōng)作(zuò)組的(de)模式。

工(gōng)作(zuò)組桌面網絡架構确實 ÷₽有(yǒu)安裝簡單、網絡資源消耗低(dī)等優點，但(σ≤α≠dàn)缺點太多(duō)：

      &±"βnbsp; 1、網絡安全性低(dī)。

      &nb₹≤sp; 2、集中管理(lǐ)不(bù)方便。

       ♥¥ 3、公共應用(yòng)配置繁瑣。

        ₹€λ4、無權限配置。

        所以說(shuō)對(≥♦↕duì)于管理(lǐ)人(rén)員(yuán)來(lái)說(shuō)剛開∑​≤(kāi)始使用(yòng)是(shì)簡單方便≥ ↕了(le)，但(dàn)随著(zhe)各個(gè)應用(yòng)♦ε™越來(lái)越多(duō)，病毒也(yě)越來(lái)越多(du★®‍÷ō)，權限設置越來(lái)越多(duō)的(de)時(sh®¶í)候，你(nǐ)隻能(néng)是(sh€φì)疲于應付，隻到(dào)把你(nǐ)累癱為(wèi) €  至。

 域（Domain）環境有(yǒu)哪些(xiē)優點呢(neσ§)？

        1、管理(lǐ)方便。

在域中，每個(gè)域用(yòng)戶賬戶都(dōu)可(kě)以在域₩∑↓☆中任意一(yī)台允許本地(dì)登錄的(₽β de)計(jì)算(suàn)機(jī)上(shàng)÷®±登錄域，隻要(yào)該計(jì)算(s↕πuàn)機(jī)與DC在同一(yī)個(gè)網絡中即可(kě)。而且用(y$γ≤òng)戶的(de)桌面環境及其他(tā)賬戶配置不(bù)會(h↓'♥βuì)因在不(bù)同計(jì)算(su☆¥​àn)機(jī)上(shàng)登錄而不(bù)同，因為(wèi)↔★¥域支持全局漫遊用(yòng)戶配置文(wén)件→<φφ(jiàn)。這(zhè)樣就(jiù)極大(dà)方₩®便了(le)用(yòng)戶的(de)網絡訪問(w‌™‍←èn)。

     &±₩±   2、安全性更高(gāo)。

因為(wèi)域的(de)全局用(yòng)戶賬戶和(hé)安全策略都(dōu®φβ₩)是(shì)集中在一(yī)台或者少(shǎo)數(shù)幾×δ↕↕台DC上(shàng)進行(xíng)配置與管理(lǐ)的(de)，Ω∑≤↔所以相(xiàng)對(duì)工(gōng)作(zuò)組網絡來(lái​§λ)說(shuō)，這(zhè)些(xiē)>∏α配置的(de)安全性就(jiù)更高(gāo)，更不(bù)容易被人(réφ¥→σn)攻擊和(hé)破解。同樣，由于域中的(de)用(yòng)戶數(shù ‌)據可(kě)以存放(fàng)在一(yī)台或者少(shǎo)數↓♦φ£(shù)幾台服務器(qì)上(shàng)，企業(yè)網絡♠£®×數(shù)據也(yě)就(jiù)更安全。

        3、網絡訪問(wèn)更方便。

域是(shì)采用(yòng)單點登錄方式，用(yòng)戶σ✔>•隻需要(yào)用(yòng)戶域賬戶登錄一(yī)次域，就(ji☆✔∞★ù)可(kě)以無限地(dì)訪問(wèn)允許訪問✘λ(wèn)的(de)所有(yǒu)網絡資源，而無需反複輸入不(bù &)同賬戶信息進行(xíng)身(shēn)份‍‌±÷驗證。

      &∏×nbsp; 我們在域（Domain）環境中權限管理(lǐ)集中後，所ε©有(yǒu)網絡資源，包括用(yòng)戶，均是(shì)在DC（域控制(‌ zhì)器(qì)）上(shàng)進行(x☆γ™‌íng)維護，便于集中管理(lǐ)。所有(yǒu)用(yòΩ>ng)戶隻要(yào)登入到(dào)域，在域內(nèi)均能™βα(néng)進行(xíng)身(shēn)份驗證，管理(↓≥×∏lǐ)人(rén)員(yuán)可(kě)以較好(hǎo∏€₽)的(de)管理(lǐ)計(jì)算(suàn)機(jī)資源∑♣&γ，管理(lǐ)網絡的(de)成本大(dà)大(dà)降©&低(dī)。

      &♥  我們可(kě)以隻允許管理(lǐ)'↓§€人(rén)員(yuán)在DC（域控制(zhì)¥₹ 器(qì)）上(shàng)指定某些(xiē)軟件(jiàn←↕₽¥)才能(néng)安裝，這(zhè)樣能(néng)增強β↔↕✘客戶端安全性、防止未授權人(rén)員("♦→αyuán)在客戶端亂裝軟件(jiàn),&nbs≈≤≠p;減少(shǎo)客戶端故障，降低(dī)維護成本。≈☆ 有(yǒu)利于單位對(duì)保密數(s₹ hù)據資料進行(xíng)管理(lǐ)，比如(rú)某些(x ∞≥₩iē)盤符隻能(néng)允許授權用(yòng)戶才能(nén↔÷‍$g)訪問(wèn)，某些(xiē)文(wén)件(jiàn)<σ可(kě)以允許看(kàn)，但(dàn)↓β§不(bù)能(néng)删除或修改。還(hái)可(kě)以直接在D&£ •C（域控制(zhì)器(qì)）上(shàng)進行(xíng)系統補丁的( ←₽de)升級（如(rú)Windows U‌​→pdates），然後下(xià)面的(de)客戶端再連接DC ®€進行(xíng)系統更新，從(cóng)而節省大(dà)量網絡帶寬。

     ¶σ   當然，域（Domain）環境也(®®δyě)不(bù)是(shì)沒有(yǒu)缺點，它就(jiù)是(©Ω<shì)前期布署時(shí)有(yǒu)些(xi‍ ē)麻煩，後期的(de)正常維護需要(yào)有(yǒu)一(yī÷Ω✔)定技(jì)術(shù)水(shuǐ)βε平的(de)網絡管理(lǐ)人(rén)員(yu✘±→án)（其實也(yě)不(bù)需要(yào)水(shuǐ)平有(yǒuαε ₽)多(duō)高(gāo)，域環境中出現(xiàn)的(de)問(‌©Ωwèn)題去(qù)問(wèn)下(xià)度娘或買本AD配置指南(n£± án)都(dōu)有(yǒu)很(hěn)好(hǎo)的¶♥(de)解答(dá)）。

        在這(zhè)裡(•₹§lǐ)我就(jiù)想搭建一(yī)個(gè)中小(xiǎo)型網絡α★≥Ω中的(de)域環境實驗，來(lái)初步的(de‍®)教大(dà)家(jiā)認識一(yī)下(xià)♦✔∞域環境的(de)局域網是(shì)怎樣的(de)£♦。首先，我繪制(zhì)一(yī)張域環境的γ‌≥(de)網絡拓撲圖，我以後就(jiù)根據這(zhè)張拓撲圖來(láβ÷i)跟大(dà)家(jiā)講解。如(rú)下 ≤₹>(xià)圖：

    根據這(zhè)張域環境拓撲圖，我使用(yòng₹∑♦∞)了(le)VMware Workstation和(hé)eN$★SP兩種工(gōng)具，AD域和(hé)Web服務器(qì)使用(yòng)‌₽¶win2012 R2操作(zuò)系統，外(wài)網防火(huǒ ‍)牆使用(yòng) win2008 R2和(hé)TMG來(lái)≠•搭建，教學和(hé)辦公分(fēn)别使用(™δyòng)win7和(hé)winxp來(lái)組建，核心交換機(jī✘σ)使用(yòng)eNSP來(lái)模拟 ↓≤λ。

   1、在局內(nèi)網我使用(yòng)教學（jiaλ↓♥oxue）192.168.20.0/24，辦公（office）1★±><92.168.50.0/24。兩個(gè)不(bù€®)同的(de)網段來(lái)代表不(bù)同的(₽∞​‌de)部門(mén)，在真實的(de)環境中你(nǐ)可(kě)以根據不(γ䱩bù)同的(de)部門(mén)劃分(fēn)不(bù)同的(de)網段，做®ε↓(zuò)不(bù)同的(de)權限。

   2、在AD域服務器(qì)我α♥使用(yòng)地(dì)址為(wèi)10.10.∞‍₹10.2/24，并且還(hái)會(huì)在上(shàng)面安裝σ>σ≠DNS、DHCP、FTP、CA等角色服務。在真實環境中你(nǐ)也(yě)可≤ ♥(kě)以把它們安裝在不(bù)同的(de)服務器(qì)上™ε>(shàng)。

   3、在外(wài)網防火(huǒ)☆≈$牆上(shàng)我加裝了(le)三塊網卡，分(f₩↕§ēn)别連接Lan（10.10.10.3/24）區(qū€★)域、DMZ（172.16.17.2/2☆¶"☆4）區(qū)域、Wan（192.168.1.120、24）區(qū←♥δ)域。

   4、WEB服務器(qì)我使用(y£✔"♠òng)地(dì)址為(wèi)172.16.17.3/24，連接到(dào♥&¥)防火(huǒ)牆的(de)DMZ區(qū)。在真實的(de)環境中如(r×±↓ú)果是(shì)要(yào)對(duì)外≥¥•(wài)服務的(de)網站(zhàn)，都(dōu≥∏♥α)建議(yì)部署在防火(huǒ)牆的(de♠☆)DMZ區(qū)域，起到(dào)安全防護的(de)作(zuò)用(yòngβδα<)。

   5、我使用(yò₹✘♠ng)VMware Workstation上(shàng)的(de)虛拟網絡編>λ→輯器(qì)來(lái)規劃網段，VMnet0（橋接物(w÷​ù)理(lǐ)網卡192.168.1.0/24）、VMn₽ βet1（DMZ區(qū)域172.16.17.0/24）、VMnet2（© 教學區(qū)域192.168.20.0/24）、VMnet3（辦公區(<'qū)域192.168.50.0/24）、VMnet4↔α（服務器(qì)10.10.10.0/24）。

   6、我使用(yòng)eNSP中的(d​"e)S5700來(lái)模拟核心交換機(jī)，分(fēn)别連接內(nèi₹♣)網中的(de)VMnet2、VMnet3、VMnet4。

   講到(dào)這(zhè)裡(lǐ'↑)呢(ne)，我已經介紹完了(le)中、小(x↔≥£iǎo)型域環境的(de)實驗搭建方案，下(xià♥ ≤)一(yī)季呢(ne)我将介紹核心交換機(jī)的(de)配置，配置目的(d∑↓e)可(kě)以使用(yòng)內(nèi)網各網段可(kě)以互通(tōn ☆™☆g)。