【正文】 它使管理員能夠在 Microsoft Exchange Server 目錄與活動目錄間復制目錄對象的層次。 必需的驗證機制： 允許管理員要求訪問者進行 Kerberos 、 認證或 NTLM 所需的特定類型的登錄。 可傳遞域信任：可傳遞信任委托協(xié)議大大減少了在 Windows 域之間進行管理信任關(guān)系的數(shù)量。 自動化軟件分發(fā)： 通過活動目錄特性，管理員能夠針對用戶在公司中角色為他們自動分發(fā)應用程序 授權(quán)管理： Windows Server 使管理員能夠?qū)⒁惶滋囟ǖ墓芾韮?yōu)限授予公司中的適當人員，并為他們指定在目錄中不同對象集合和對象個體之上享有的特定權(quán)力。 華南資訊科技有限公司 報社 網(wǎng)絡改造 33 全局目錄： 全局目錄包括來自 Windows Server 服務器目錄中所有域的全部對象，以及每個對象屬性的子集。管理員能夠為在活動目錄中的任一站點、域或組織單元設定組策略。 這張示意圖很好的總結(jié)了目錄服務用戶端和管理端兩方面的功能 活動目錄的 優(yōu)勢 完全集成到 Windows Server 服務器版中的活動目錄為網(wǎng)絡管理員、開發(fā)者和用戶提供了訪問目錄服務的能力，這樣可以： ? 簡化管理任務 集中管理： 活動目錄通過單一、穩(wěn)定 的管理界面集中管理 Windows 用戶、客戶端和服務器，以減少冗余、降低維護成本。這個過程通過 SSO 插件透明進行，從而實現(xiàn) SSO 。 這種方式的實現(xiàn)原理是：應用的登錄信息存儲在目錄數(shù)據(jù)庫（ AD ）中，通過 AD 的用戶認證得到保護。 在利用企業(yè)網(wǎng)的目錄管理服務提供單一的用戶身份驗證方面，總的來說，存在兩方面的應用連接方式： C/S 應用的連接方式 WEB 應用的連接方式 其中， WEB 應用的連接方式 比較統(tǒng)一，解決方法也比較成熟，而 C/S 應用的連接方式就比較復雜，需要根據(jù)特定的應用具體分析，舉例來說， Domino/Notes 系統(tǒng)就是典型的 C/S 應用。所有的小組策略設 置都包含在組策略對象（ Group Policy Object ，簡稱 GPO ）中，它可以應用與活動目錄站點、域或組織單元中。 ? 靈活的查詢 用戶和管理員可以使用 開始 菜單上的 查詢 命令、桌面上的 我的網(wǎng)絡 圖標或者 活動目錄用戶和計算機連接 插件來根據(jù)對象的屬性快速的查找網(wǎng)絡上的對象。模式包括每一個對象類和對象類屬性的定義，它們可以存儲在目錄中。正是具有了這個特性，才能夠?qū)崿F(xiàn)在企業(yè)內(nèi)只要一套用戶認證系統(tǒng)就可以實現(xiàn)所有應用系統(tǒng)的單一認證問題。 DNS 記錄也可以集成到目錄中，隨著目錄復制而達到 DNS 復制的目的。 DNS 域和 Windows Server 的域自然而有機的結(jié)合在一起，使得整個目錄結(jié)構(gòu)成樹型分布，具有了 DNS 的層次感覺，也使得 Windows Server 系統(tǒng)能夠支撐龐大的目錄結(jié)構(gòu)，是的目錄對象涵蓋了整個網(wǎng)絡元素：用戶，計算機，打印機，共享文件夾，應用程序，管理策略等。 Windows Server 活動目錄的優(yōu)點 Windows Server 活動目錄產(chǎn)品融合了一些新的技術(shù)特點，使我們有理由相信我們推薦的企業(yè)網(wǎng)目錄管理服務方案最能適合企業(yè)的應用，這些特點包括： ? DNS 集成 活動目錄使用域名系統(tǒng)（ Domain Name System ，簡稱 DNS ）。當網(wǎng)絡中對象的數(shù)目增加時，目錄服務變得很重要。另外，目錄服務在網(wǎng)絡安全方面也扮演著中心授權(quán)機構(gòu)的角色，從而使操作系統(tǒng)可以輕松地驗證用戶身份并控制其對網(wǎng)絡資源的訪問。 活動目錄是 Windows Server 網(wǎng)絡體系結(jié)構(gòu)中一個基本且不可分割的部分。多種應用共享一套資源信息 ， 避免了管理上的重復操作和多系統(tǒng)間的不協(xié)調(diào) ， 提高了應用系統(tǒng)的身份驗證安全等級。未來的多種網(wǎng)絡系統(tǒng)可能采用同一種事實標準的目錄服務作為操作系統(tǒng)本身資源管理或是附加的資源管理。 華南資訊科技有限公司 報社 網(wǎng)絡改造 28 網(wǎng)絡管理的設計 華南資訊科技有限公司 報社 網(wǎng)絡改造 29 第三章 網(wǎng)絡安全解決方案 活動目錄 的設計 活動目錄的設計 目錄服務的一個重大發(fā)展趨勢是跨平臺發(fā)展和跨應用發(fā)展。如下圖所示，企業(yè)內(nèi)部有一主機，其 IP 地址為，該主機要訪問 INTERNET 上的節(jié)點 ，當 IP 數(shù)據(jù)包到達邊界路由器時，路由器將 IP 地址轉(zhuǎn)為公網(wǎng)的 ，然后再送往目的地。 NAT 技術(shù)使專用網(wǎng)絡能夠連接到 INTERNET 網(wǎng)上。用這種地址是不可以訪問 INTERNET 的。其地址是全球唯一的。 地址翻譯 NAT 為了彌補 IP 地址的不足，大多數(shù)網(wǎng)絡的 IP 地址分為兩部分：一是具有全球連通性的 IP 地址 公網(wǎng)地址；二是只能在企業(yè)內(nèi)部用的 IP 地址 私有地址。 從以上對設備和技術(shù)的描述可以看出，本系統(tǒng)提出的解決方案和采用的設備技術(shù)和支持的協(xié)議，完全可以作到對網(wǎng)絡傳送速率的良好保證，同時可以有效的華南資訊科技有限公司 報社 網(wǎng)絡改造 27 在交換機之間建立 VLAN 和傳送 VLAN，而且可以作到鏈路的冗余，同時可以作到負載均衡。如下圖： 華南資訊科技有限公司 報社 網(wǎng)絡改造 26 如下圖，在本系統(tǒng)網(wǎng)絡解決方案中，如果兩臺交換機 之間的兩條鏈路其中一路失效，通過 STP（生成樹）技術(shù)和 TRUNK 技術(shù)可以使網(wǎng)絡運送和負載轉(zhuǎn)到另外一路良好的鏈路上，可以避免一路失效帶來的網(wǎng)絡癱瘓。 如下圖所示， VLAN1 和 VLAN2 通過 兩臺 3750 之間 的一對交換機端口，通過 VLAN TRUNK 技術(shù)（ ），不同的 VLAN 通過不同的標識來區(qū)分，也就是說，在入口交換機（譬如 下面的 3750）上給 VLAN 打上標記，不同的 VLAN通過一對交換機端口的一條鏈路到達出口（譬如 上面的 3750）交換機時，在 上華南資訊科技有限公司 報社 網(wǎng)絡改造 25 面的 3750 交換機上區(qū)分出不同的 VLAN（通 過標識），這種解決方案可以有效的利用交換機的寶貴的端口資源，節(jié)約投資，同樣達到系統(tǒng)要求的效果。這樣如果存在更多的 VLAN 就需要占用更多的交換機端口，無疑這種解決方式是需要耗費大量交換機端口資源的。 VLAN Trunk的建議 以上我們提到，采用 VLAN TRUNK 和 STP、 GEC 等技術(shù)可以節(jié)約端口和提供冗余線路，以下通過圖例解釋如何實現(xiàn)。 下圖表示的是采用這樣的路由方法的網(wǎng)絡邏輯結(jié)構(gòu)示意圖。 華南資訊科技有限公司 報社 網(wǎng)絡改造 23 VLAN之間路由實現(xiàn) 在劃分了 VLAN 的環(huán)境下，各 VLAN 成員之間不能直接訪問，不同 VLAN之間的流量必須經(jīng)過路由，這一功能可以由三層以太網(wǎng)交換機的多層交換引擎來完成。限制未授權(quán)的用戶訪問重要的服務器和數(shù)據(jù)庫。因為如果將部門 A 全部劃分到一個 VLAN 中，而這些 VLAN 又跨越了網(wǎng)絡主干，分布在眾多不同的交換機上，這樣如果有廣播包時，這些廣播包必然會在網(wǎng)絡的主干上傳輸，然后到達相 應的交換機上，也就占用了網(wǎng)絡主干的帶寬，容易造成其他業(yè)務的時延。 另外，如果某個部門需要跨越很多建筑物，分布范圍比較廣，例如部門 A分布的很散，在很多交換機上都預留了部門 A 的信息點，我們則可以按照交換機的位置來設置 VLAN，這樣，部門 A 就可能對應多個 VLAN，如果部門 A 所對應的 VLAN 之間需要通信的話，我們可以通過 VLAN 間的路由來實現(xiàn)。網(wǎng)絡管理人員可以通過創(chuàng)建虛擬局域網(wǎng)把需要訪問關(guān)鍵信息的用戶與普通用戶區(qū)別開來組成獨立的虛擬網(wǎng)，使重要數(shù)據(jù)免受外界侵害。 支持多種物理拓撲結(jié) 構(gòu) VLAN 技術(shù)可以在任何網(wǎng)絡物理拓撲結(jié)構(gòu)的基礎(chǔ)之上，將不同區(qū)域的設備連接在一起，建立一個虛擬的獨立廣播域，而且對網(wǎng)絡的擴展和升級具有良好的支持功能。 易于管理和維護 VLAN 技術(shù)可以根據(jù)變化的網(wǎng)絡環(huán)境隨時對邏輯分組進行調(diào)節(jié)和改進，簡單，靈活，成本低廉。此外，通過邏輯網(wǎng)絡對用戶進行分組可以把功能或應用相近的設備或用戶組合在一起，限制廣播流量，提升網(wǎng)絡性能?；蛘哒f，虛擬網(wǎng)絡技術(shù)，就是把一組用戶分配在同一個廣播域，在該廣播域上的廣播流量只有其成員才能收 到。類似的實例還可舉出許多。雖然，這些財務部門的終端用戶，實際上是連接在各自所屬分公司的網(wǎng)絡上，現(xiàn)在他們卻被“ 集中 ” 在一個財務 “ 辦公室 ” 里。又如，將分別屬于各個分公司財 務部門的終端用戶組合在一起，使他們在 工作 時，使用相同的財務服務器，接收總公司有關(guān)財務的電子郵件廣播。例如，將所有分屬于各 部門 的 終端用戶 組合在一起，使他們在做公共課的作業(yè)時，可以使用相同的服務器，構(gòu)成一個虛擬的 工作組 。 華南資訊科技有限公司 報社 網(wǎng)絡改造 21 172 16 節(jié)點標識符 （ 4Bit） 下屬 部門（ 4Bit) 用戶可用 地址范圍 1 0 1 0 1 1 0 0 0 0 0 1 0 0 0 0 0 0 1 0 VLAN 設計 我們可以通過本次改造新上的核心、接入層交換機對整個網(wǎng)絡各個部門科室進行 VLAN 的劃分， 所謂 “ 虛擬 （ V）” ，就是用軟件的方法，把一些屬于不同網(wǎng)段的終端用戶組合成一個工作群體。其余 2432 位作為用戶可用的網(wǎng)絡地址。假設用戶使用，也就是 —。這里僅僅說明分配的原則。 對于日報社新辦公大樓局域網(wǎng)網(wǎng)絡地址的詳細分配，需要確定更多的客戶需求，并根據(jù)實際的客戶需求，調(diào)整 VLAN 的大小，有待于在工程實施前做詳細設計。 2) 點到點的廣域網(wǎng)鏈路，需要 30 位最小的子網(wǎng) 3) 用戶端地址根據(jù)需要可以分配不同的掩碼，但對于每一個接入節(jié)點 和會聚節(jié)點，地址要求連續(xù)分配。可以從號碼上識別出應用和功能； 根據(jù)日報社新辦公大樓局域網(wǎng)的具體地址空間，可以給出每個區(qū)域和接入層的地址空間。 在地址劃分時需要考慮網(wǎng)絡的接入層的擴 展；需要為網(wǎng)絡的擴展預留地址空間。 在本方案中，我們建議新建的網(wǎng)絡部分使用 RFC1918 中規(guī)定的 B 類保留地址段進行分配（如果不影響應用的情況下）。具體來說， IP 地址規(guī)劃應該遵循以下原則： 可擴展性： IP 地址的規(guī)劃與劃分應該考慮到城域網(wǎng)的業(yè)務 飛速發(fā)展，能夠滿足未來發(fā)展的需要；即要滿足本期工程對 IP 地址的需求，同時要充分考慮未來業(yè)務發(fā)展，預留相應的地址段； ? 唯一性： 一個 IP 網(wǎng)絡中不能有兩個主機采用相同的 IP 地址； ? 簡單性： 地址分配應簡單、易于管理，降低網(wǎng)絡擴展的復雜性，簡化路由表的款項； ? 靈活性： IP 地址的分配需要有足夠的靈活性，能夠滿足用戶不同的聯(lián)網(wǎng)需要； ? 連續(xù)性： 連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡中易于進行路徑疊合，大大縮減路由表，提高路由算法的效率。 另一類服務器屬于對外服務器，它們 將直接連接到對外連接防火墻的 DMZ區(qū)，如果對外服務器數(shù)目超出防火墻接口預想范圍，可以通過添加交換機的方法進行連接。 接入層交換機基本配置： a、 host name b、密碼 c、管理地址 d、啟用 tel e、劃分 vlan 參考命令（不全） Switchconfigure terminal Switch(config)vlan 10 Switch(configvlan)exit Switch(config)interface range fastEther 0/112 Switch(configifrange)switchport access vlan 10 Switch(configifrange)exit f、 設置 trunk 端口 g、啟用端口安全特性，做 mac 地址綁定 參考命令（不全） Switchconfigure Switch(config)interface fastEther 0/1 Switch(config)switchport mode access Switch(configif)switchport portsecurity 手工配置 PC1 的 MAC 地址為安全 MAC 地址 Switch(configif)switchport portsecurity macaddress