Exchange 2003 在多域环境中的部署
出处:https://www.doczj.com/doc/801984401.html,/blog 作者:yejunjian 时间:2008-6-16 1:33:52
相信大多数Exchange管理员对单域环境中的部署已经非常熟悉,包括单域单台或者多台Exchange服务器的部署,网络中也有很多此类的教程.但是关于如何在多域环境中部署Exchange的文章非常少,在论坛中偶尔也会有人问到类似环境中的部署问题,所以本人决定大胆献丑一次,将此教程写出来,希望对大家有所帮助,由于自身水平的限制,如有不当之处,欢迎广大网友指出.
在本文章中不再探讨多域环境中的单台Exchange的部署,将探讨的是在森林中多个域部署多台Exchange服务器,并且让组织中的所有Exchange服务器能够相互通讯并且可以对外收发邮件.简单描述一下本实验的环境:
AD站点BJ:
根域: https://www.doczj.com/doc/801984401.html,
GC: https://www.doczj.com/doc/801984401.html, IP:192.168.2.1 网
段:192.168.2.0/24 网关:192.168.2.254 DNS:127.0.0.1
Exchange Server: https://www.doczj.com/doc/801984401.html, (已经部
署) IP:192.168.2.2 掩码: 255.255.255.0 网
关:192.168.2.254 DNS:192.168.2.1
AD站点SH:
根域: https://www.doczj.com/doc/801984401.html,
GC: https://www.doczj.com/doc/801984401.html, IP:192.168.3.1 掩码:
255.255.255.0 网关:192.168.3.254 DNS:127.0.0.1 此站点中没有Exchange服务器
AD站点SZ:
域树: https://www.doczj.com/doc/801984401.html,
GC: https://www.doczj.com/doc/801984401.html, IP:192.168.5.1 掩码:
255.255.255.0 网关:192.168.5.254 DNS:127.0.0.1
Exchange Server: https://www.doczj.com/doc/801984401.html, (准备部
署) IP:192.168.5.2 网段: 192.168.5.0/24 网
关:192.168.5.254 DNS:192.168.5.1
在上面所描述的环境中各个AD站点之间能够通过路由相互通讯,AD自动创建了信任关系,并且在根域中已经部署了一台Exchange 2003,第一台Exchange的部署跟在单域环境中的部署没什么区别,在此不再多说.现在开始在域树https://www.doczj.com/doc/801984401.html, 中部署森林中的第二台 Exchange服务器,以下为详细操作步骤:
委派控制:
要想在域树https://www.doczj.com/doc/801984401.html,部署森林中第二台Exchange服务器,首先必须在Exchange组织中进行权限委派,将权限赋予https://www.doczj.com/doc/801984401.html,中用来进行部署的帐户,这一步操作是必不可少的,否则在部署过程会因为没有权限而失败,以下为委派控制的详细步骤:
打开第一台Exchange服务器的ESM,在ESM窗口中定位到"第一个组织",鼠标右键选择"委派控制",如下图所示:
在弹出的"Exchange 管理委派向导"窗口中单击"下一步",如下图所示:
在"用户或组"窗口中单击"添加"按钮,如下图所示:
在弹出的"委派控制"窗口单击"浏览",如下图所示:
在"选择用户、计算机或组"窗口中单击"位置",如下图所示:
在弹出的"位置"窗口中选择https://www.doczj.com/doc/801984401.html,后单击"确定",如下图所示:
在返回的"选择用户、计算机或组"窗口中选择一个https://www.doczj.com/doc/801984401.html,中用来部署Exchange服务器的帐户后单击"确定",如下图所示:
在返回的"委派控制"窗口中为用户分配一个角色,在此选择"Exchange 管理员(完全控制)",如下图所示:
在返回的"用户或组"窗口中单击"下一步",如下图所示:
在"Exchange 管理委派向导"中单击"完成",至此,权限委派操作顺利完成,如下图所示:
同步活动目录信息:
由于本实验中的环境为多域结构并且划分了多站点,为了能够让实验快速并且顺利进行下去,在此手动触发一下活动目录的复制,详细步骤如下:
森林根域的GC中打开"Active Directory 站点和服务",进行如下图的操作:
为Exchange服务器添加DNS后缀:
在多域环境中部署第二台Exchange服务器的时候需要为Exchange服务器的IP 配置进行一下特殊设置,为服务器添加DNS后缀, 因为在安装的过程中需要查找其他域的域控制和Exchange服务器信息.在没有添加后缀的默认情况下安装过程中只会在本域中去搜索域控制器和 Exchange服务器信息,可能会以失败而告终的,这个问题在微软官方一篇KB文章中有提到:XADM: Exchange 2003 or Exchange 2000 Setup fails with error 0xC0070035,以下为Exchange服务器添加DNS后缀:
在网络配置中进行如下图配置:
Exchange服务器安装:
在完成上面所描述的所有操作之后,现在就可以开始在https://www.doczj.com/doc/801984401.html,中安装第二台Exchange服务器了,关于如何将服务器加入域和安装必需组件,在此略
过,Exchange服务器安装操作如下:
在"Microsoft Exchange Server 2003"界面中选择"Exchange 部署工具",如下图所示:
在"欢迎使用 Exchange Server 部署工具"窗口中选择"在其他服务器上安装Exchange 2003",如下图所示:
在"Exchange Server 部署工具"窗口中选择"立即运行 DomainPrep",因为在森林中部署第一台Exchange服务器的时候已经进行了森林架构扩展,所以在此窗口中并没有看到运行森林架构扩展的选项,这跟部署第一台Exchange 服务器有所区别.
在"欢迎使用Microsoft Exchange 安装向导"窗口中单击"下一步",如下图所示:
在"许可协议"窗口中选择同意后单击"下一步",如下图所示:
在"组件选择"窗口中选择相应操作后单击"下一步",如下图所示:
在弹出的警告窗口中单击"确定",如下图所示:
在"正在完成 Microsoft Exchange 向导"窗口中单击"完成",如下图所示:
在返回的"Exchange Server 部署工具"窗口中选择"立即运行安装程序",如下图所示:
在弹出的"欢迎使用Microsoft Exchange安装向导"窗口中单击"下一步",如下图所示:
在"许可协议"窗口中选择同意之后单击"下一步",如下图所示:
在"组件选择"窗口中选择相应操作后单击"下一步",如下图所示:
在"许可协议"窗口单击"下一步",如下图所示:
第十九章 配置IP 单址路由 本章描述了如何在S3760系列交换机上配置IP 单播路由。 有关本节引用的CLI 命令的详细使用信息及说明,请参照CLI 命令集。 路由概述 配置路由的步骤 配置网络接口的IP 地址 启用和关闭IP 路由 配置RIP 配置OSPF 与协议无关的配置 监控和维护IP 网络 1、路由概述 如果不通过一台三层设备,不同VLAN 内的主机无法相互通讯。(这里说的三层设备,也就是通常说的路由器。而三层交换机中的路由功能,实际上就可以视为一台路由器)。S3760系列交换机可通过三种方式进行路由: z 使用缺省路由 z 使用预先设置的静态路由 z 使用动态路由协议生成的路由 静态路由:手工设定将某些目的IP 地址的报文,发往指定的接口。静态路由很可靠并且使用很少的带宽,但是它不能自动响应网络中的变化,所以可能会导致目的不可达。当网络规模不断扩大时,手工设置静态路由将是一件很烦琐的事。 动态路由:三层交换机通过动态路由协议来计算转发报文的最佳路径。动态路由协议有两种类型: z 距离-矢量协议(例如RIP 协议)通过距离值来维护路由表,并且周期性的将路由表向它们的相邻设备传 送。距离-矢量协议通过跳数单位来计算出最佳路由。距离矢量协议的特点是易于配置和使用。 z 链路状态协议(例如OSPF 协议)维护了一个网络拓朴结构的数据库,该数据库基于路由器之间链路状态 通告(LSA)的交换。LSA 由网络连接的状态变化触发,它加速了响应这些变化所需要的收敛时间。链路状态协议能够快速响应网络拓朴结构的变化,但相对距离矢量协议,它需要更大的带宽和更多的资源。 缺省路由:通过上述方法无法寻径的IP 报文发送到缺省的接口。 S3760系列交换机所支持的距离-矢量协议为路由信息协议(RIP);所支持的链路状态协议为OSPF 协议。 在一些的网络环境中,VLAN 和一个单独的IP 网络关联。从IP 网络角度说,每个IP 子网都映射到一个独立的VLAN 上。通过对VLAN 的配置可以控制广播域的大小,把本子网内部的流量限制在一个VLAN 内。然而,当一个VLAN 中的设备需要和另一个VLAN 中的设备进行通信时,就必须通过VLAN 间的路由实现。用户需要配置一台或多台路由器或三层交换机将报文路由到适当的目的VLAN 中。 图19.1显示了一个典型的路由拓朴。交换机I 在VLAN 1中,交换机II 在VLAN 2中。路由器在每个VLAN 中有一个接口。
路由器-OSPF简单及复杂多域配置OSPF的基本配置 【需求】 两台PC所在网段,通过两台使用OSPF协议的路由器实现互连互通。【组网图】
【验证】 RouterA和RouterB可以通过OSPF学习到对方路由信息,并可以ping通对方网段。RouterA路由表: [RouterA]disp ip routing-table
Routing Table: public net Destination/Mask Protocol Pre Cost Nexthop Interface 1.1.1.1/32 DIRECT 0 0 127.0.0.1 InLoo pBack0 1.1.1.2/32 OSPF 10 1563 20.1.1.2 Seria l0/0 10.1.1.0/24 DIRECT 0 0 10.1.1.1 Ether net0/0 10.1.1.1/32 DIRECT 0 0 127.0.0.1 InLoo pBack0 20.1.1.0/30 DIRECT 0 0 20.1.1.1 Seria l0/0 20.1.1.1/32 DIRECT 0 0 127.0.0.1 InLoo pBack0 20.1.1.2/32 DIRECT 0 0 20.1.1.2 Seria l0/0 30.1.1.0/24 OSPF 10 1563 20.1.1.2 Seria l0/0 127.0.0.0/8 DIRECT 0 0 127.0.0.1 InLoo pBack0 127.0.0.1/32 DIRECT 0 0 127.0.0.1 InLoo pB
AD域的部署方法
公司Windows AD 域架构设计方案 公司: 项目: 时间: XX 有限公司 部署Windows AD 域 2014-08
目录 一前言 (3) 1.1企业IT面临的挑战 (4) 1.2AD域架构的应用给企业管理带来的优势 (5) 1.3域架构设计原则 (6) 二.公司域架构规划 (8) 2.1域架构部署规划 (8) 2.2通过OU、GPO和用户组实现域安全的管理 (10)
一前言 由于Windows 网络系统架构在企业应用中的普及,企业会面临大量客户端及服务器的统一安全管理; AD域的规划架构需要根据企业现有的网络规模布局和IT管理制度,以适应企业当前和长远的发展需求,有效地保护用户的资料,减少用户的风险。 针对整个公司的域架构规划和实施,前期需要先完成企业域规划及部署;实现公司统一的目录服务管理,统一的企业用户信息、安全策略。 Windows 网络架构客户端默认均属于工作组的办公环境,所有的用户账号均保存在本地客户端上,网络共享数据时只能允许所有人everyone 查看的 权限,数据共享及网络安全存在较多的风险。Windows 域架构管理模式可以解决众多网络安全性问题,域环境下可以轻易实现网络用户账号的集中管理,规范客户端密码长度和复杂性;在域环境下,可以实现所有客户端系统的补丁自动更新,有效提高服务器及桌面系统的安全性。 在Windows AD域的办公环境下,并不会太多改变原有的客户端工作组下的办公习惯;域账号登陆默
认缓存功能,用户离开公司网络,同样可以使用域用户账号在本机登陆,不会改变原有工作组的工作习惯。另外企业应用系统中,很多应用系统是基于微软的AD架构,如MS Cluster集群高可用系统、Exchange 邮件系统、OCS及时通讯系统、MOSS 企业门户网站协作系统等等;所以AD域的架构管理不但可以方便企业内部安全管理,还为以后的企业应用扩展提供了系统基础。 1.1工作组环境下企业IT面临的挑战 身份管理 ?大量的用户登录名和目录 ?不牢固的密码 ?安全访问网络和应用资源 ?增加的桌面系统维护费用 服务器和桌面电脑管理 ?如何统一管理服务器和桌面系统安全策略 ?如何统一管理桌面系统的应用 ?如何保持所有系统安全补丁升级到最新
活动目录系列之四:单域环境的实现(多站点)--基本配置 https://www.doczj.com/doc/801984401.html, 2009年01月06日社区交流收藏本文 关键字:多域控制器域控制器安装ADFS Windows Server 2003活动目录服务 在上期我们学习了活动目录系列之二:单域环境的实现(单站点),当时我们实现的是在一个站点的情况下。下面我们来看这样一个场景: **一个企业总部在北京,在上海和广东各有其办公区域,要求实现活动目录域环境。** 一、分析: 对于此企业的现状,在逻辑结构上可以采用多域和单域,比如我们先采用单域(这要取决于你是准备集中管理还是分散管理,在这里我采用集中管理,下个专题我来讲多域多站点的情况)。 如果不采用站点,上海和广东的域用户在客户端登录到域的过程会比较慢(不管你在上海和广东是否放置了DC,都一样),原因是客户端会通过DNS查询本域内的DC,而查到的DC也可能就是北京的(如果是多DC会动态定位),这样就通过WAN连到北京的DC上进行身份验证。此外如果你在每个地区都有DC的话,DC之间的复制也是不可控的,会产生很大流量(关于复制问题,我会在后面的专题来讲解)。兼于此,我们必须划分站点。 划分站点的好处: 1.优化客户端的登录。当域用户在上海或广东的客户端上登录时,DNS会替客户端找本站点内的DC,这样就加快了身份验证过程。 2.优化AD的复制。每个DC之间要同步AD数据库,如果不划分站点,这个同步无时无刻都在进行,而且数据是不压缩的。如果划分了站点这个过程变的可控,特别是在多站点的情况下,优越性更加突出,我会在后面的专题中详细讨论。
附:关于何为站点,实际上就是从物理位置上来区分的,一组高速可靠的一个子网或多个子网。即两点:首先物理位置不同(在一个区域内且高速相连),其次不同站点必须采用相对应的不同子网,即北京是一个子网,上海是另一个子网,广东是第三个子网,当然也可以在北京有多个子网。具体AD的概念请阅读活动目录系列之一:基本概念。 二、搭建过程: 事先规划好各个子网,比如北京子网10.1.1.0/24,上海子网172.16.1.0/24,广东子网:192.168.1.0/ 24. (一)首先在北京把单域创建好,这个过程请参考活动目录系列之二:单域环境的实现(单站点)。 (二)在上海和广东利用dcpromo /adv 完成第二/三台DC的搭建,(关于此参数的使用,请参考活动目录系列之二:单域环境的实现(单站点))。注意此时在默认站点下完成安装。 (三)完成站点的划分和设置: 打开“AD站点和服务”管理工具(或利用命令dssite.msc),如下图所示展开:在default-first-site-name (默认站点)下有三台服务器,当前都在同一个站点。(N1--北京,N2--上海,N3--广东) 利用如下四个操作完成配置过程:
在单林多域的环境下部署Exchange2003服务器(1) sysvole 2009-05-04 12:57:43 作者:汤智靖来源: 环境介绍: 某公司在北京设立了分公司,并为分公司设置了独立的域环境域名为https://www.doczj.com/doc/801984401.html,,分公司的域属于公司整个林中的另一颗域树,总公司的域名为https://www.doczj.com/doc/801984401.html,,总公司和分公司都有自己的邮件服务器,我们希望对这两台邮件服务器进行统一的管理并实现互发邮件功能。下面我将进行操作来实现以上需求,并在此实验中去理解路由组和路由组连接器的概念。 拓扑图如下: 建立环境: https://www.doczj.com/doc/801984401.html,域中Denver是全局编录服务器,把NewYork配置成林中第一台邮件服务器(具体部
署方法已在第一节中介绍了这里就不在阐述了),Beijing为总公司的一台已加入到https://www.doczj.com/doc/801984401.html, 域的客户端用来收发邮件。 b.NanJing是分公司的一台服务器,把它配置成一台DC并为分公司创建一个名为https://www.doczj.com/doc/801984401.html,的 域,此域为公司整个林中的一颗域树(域树的创建方法不是本书的讲述范围请参考其他的专业资料)。 c.SuZhou为分公司的另一台服务器,我们将把此服务器配置成分公司的邮件服务器。 d.由于此实验在VMware中完成为了能近可能虚拟出一个接近真实的环境,我们把总部和分部的 域 分别放在不同的网段中,并用一台启动路由功能的Windows 2003做为路由器连接两个网段,模拟成真实环境中的Internet。 在实验中所有服务器的操作系统为Windows Server2003 R2 Enterprise with SP2;Newyork上安装的Exchange版本为Exchange 2003 Enterprise with SP2;BeiJing的操作系统是Windows XP with SP2。 具体步骤: 1.环境中分公司的域是林中的另一颗域树,默认时两台DC的DNS都指向自己,且无对方的记录, 为使https://www.doczj.com/doc/801984401.html,的DC能与公司的GC正常通讯需在两台DC上做DNS转发,步骤如下: a.到NanJing上,在开始运行中键入dnsmgmt.msc打开DNS编辑器—>右击服务器(NanJing) 单击属性—>在跳出的属性页面中选中转发器选项卡—>点击“新建”按钮—>跳出新转发 器页面,输入https://www.doczj.com/doc/801984401.html,域名,点击确定。
单区域OSPF基本配置 一、实验目的 1.掌握单区域OSPF的配置 2.理解链路状态路由协议的工作过程 3.掌握实验环境中虚拟接口的配置 二、应用环境 在大规模网络中,OSPF作为链路状态路由协议的代表应用非常广泛,具有无自环,收敛快的特点 三、实验设备 DCR-1702 两台 CR-V35MT 一条 CR-V35FC 一条 四、实验拓扑 五、实验要求 ROUTER-A ROUTER-B S1/1 192.168.1.1/24 S1/0 192.168.1.2/24 Loopback0 10.10.10.1/24 Loopback0 10.10.11.1/24 六、实验步骤 第一步:路由器环回接口的配置(其他接口配置请参见实验三) 路由器A: Router-A_config#interface loopback0 Router-A_config_l0#ip address 10.10.10.1 255.255.255.0 路由器B: Router-B#config Router-B_config#interface loopback0 Router-B_config_l0#ip address 10.10.11.1 255.255.255.0 第二步:验证接口配置 Router-B#sh interface loopback0 Loopback0 is up, line protocol is up Hardware is Loopback Interface address is 10.10.11.1/24 MTU 1514 bytes, BW 8000000 kbit, DLY 500 usec
实验六单区域OSPF路由配置 一、实验目的: 1. 了解OSPF协议的工作原理; 2. 熟悉三层交换机的VLAN划分; 3. 掌握三层交换机的路由配置方法 4. 掌握单区域OSPF路由配置方法; 二、实验环境: 本实验在PC机上利用模拟软件进行操作,需要的设备有:PC机,思科路由模拟软件Packet Tracer V5.2。 三、实验内容: 1. 配置路由器接口的IP地址; 2. 配置三层交换机的VLAN; 3. 在三层交换机和路由器中配置单区域OSPF协议。 四、实验步骤: 1. 规划如下的网络拓扑 2. 在三层交换机上划分VLAN 在三层交换机上划分两个VLAN,分别是VLAN 10和VLAN 20,三层交换机的F0/2口连接计算机Server0,F0/1口连接Router0,二者均划分到VLAN 10中,PC2为VLAN 20中的计算机。 (1)在三层交换机上创建VLAN 10 和VLAN 20,使用的命令为: SW(config)#vlan 10 SW(config-vlan)#exit SW(config)#vlan 20 SW(config-vlan)#exit (2)分别为VLAN 10和VLAN 20配置IP地址,使用的命令为: SW(config)# interface vlan 10 SW(config-if)#ip add 172.16.1.1 255.255.255.0 SW(config-if)#no shut SW(config-if)#exit SW(config)#interface vlan 20
SW(config-if)#ip add 172.16.5.1 255.255.255.0 SW(config-if)#no shut SW(config-if)#exit (3)PC2的IP地址为:_172.16.5.254/24______,网关为:_172.16.5.1/24_____ (4)Server0的IP地址为:_172.16.1.254/24____,网关为:__172.16.1.1/24__ 3. 配置路由器各接口IP地址 (1)配置Router0的F0/0接口,使用的命令为:(注意:该接口应和VLAN 10在同一网段) R0(config)#in f0/0 R0(config-if)#ip add 172.16.1.3 255.255.255.0 R0(config-if)#no shut (2)配置Router0的F1/0接口,Router1的F1/0接口和PC0的IP地址及网关,然后把各结点的IP地址归纳在下表中。 4. 配置单区域OSPF协议(三层交换机和路由器均处于一个区域中) (1)查看三层交换机的路由表,记录结果: SW#show ip route 172.16.0.0/24 is subnetted, 2 subnets C 172.16.1.0 is directly connected, Vlan10 C 172.16.5.0 is directly connected, Vlan20
Active Directory 环境中使用组策略管理控制 台9468915501 该逐步式指南提供了在Active Directory 环境中使用组策略治理操纵台(GPMC) 来支持组策略对象(GPO) 的一样性指导。该指南并不提供G PO 实施指导。 本页内容 简介 逐步式指南 Windows Server 2003 部署逐步式指南提供了专门多常见操作系统配置的实际操作体会。本指南第一介绍通过以下过程来建立通用网络结构:安装Windows Server 2003;配置Active Directory?;安装Windows XP Professional 工作站并最后将此工作站添加到域中。后续逐步式指南假定您已建立了此通用网络结构。如果您不想遵循此通用网络结构,则需要在使用这些指南时进行适当的修改。 通用网络结构要求完成以下指南。 ? ?
在配置通用网络结构后,能够使用任何其他的逐步式指南。注意,某些逐步式指南除具备通用网络结构要求外,可能还需要满足额外的先决条件。任何额外的要求都将列在特定的逐步式指南中。 Microsoft Virtual PC 能够在物理实验室环境中或通过虚拟化技术(如Microsoft Virtual PC 2004 或Microsoft Virtual Server 2005)来实施Windows Server 2003 部署逐步式指南。借助于虚拟机技术,客户能够同时在一台物理服务器上运行多个操作系统。Virtual PC 2004 和Virtual Server 2005 确实是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提升工作效率而设计的。 Windows Server 2003 部署逐步式指南假定所有配置差不多上在物理实验室环境中完成的,但大多数配置不经修改就能够应用于虚拟环境。 将这些逐步式指南中提供的概念应用于虚拟环境超出了本文的讨论范畴。 重要讲明 此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构,决不意指,也不应由此臆测任何公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。 此通用基础结构是为在专用网络上使用而设计的。此通用结构中使用的虚拟公司名称和域名系统(DNS) 名称并未注册以便在Internet 上使用。您不应在公共网络或Internet 上使用此名称。 此通用结构的Active Directory 服务结构用于讲明“Windows Server 2003 更换和配置治理”如何与Active Directory 配合使用。不能将其作为任何组织进行Active Directory 配置的模型。 概述 Microsoft 组策略治理操纵台(GPMC) 是一个用于组策略治理的新工具,它通过改进易治理性和提升效率关心治理员更经济有效地治理企业。它包含一个新的Microsoft 治理操纵台(MMC) 治理单元和一组可编程接口。
网络规划与设计课程设计报告 (OSPF) 姓名:______成鹏___________ 学号:____201101050502_____ 班级:___网络工程11-1班___ 指导老师:____王妍凤_______ 完成日期:___2013-12-28_____
一、实验目的 1.了解ospf运作原理,并掌握其配置方法。 2.熟悉中小型网络的规划设计流程。 二、实验要求 1.根据网络需求实例,自行命题设计网络。 2.主要采用ospf动态路由协议。 3.分别设计ospf单区域和多区域。 三、实验内容 第一部分:单区域OSPF 3.1网络需求及需求分析 现有一家小型公司,公司主要由市场部、财务部、人事部、研发部构成,每个部门约有150人。现要为其实现公司内部的网络互联,并能够与外部通信。 为保证网络高效稳定的运行,需要对网络实施高可用性方案,其中最重要的就是要提供足够的冗余以便在网络出现故障时的快速收敛。 3.2网络详细设计 对该公司的网络设计我采用了如下图所示的经典网络拓扑。在该拓扑中,将园区网分为核心层,分布层,接入层三个层次,其中核心层与分布层之间采用的是三层链路,而分布层与接入层之间的链路是二层的。之所以采用分层化模型,是因为其具有以下几点优势:?提供了模块化的设计方案 ?易于理解 ?灵活性强
?易于扩展 ?提高了网络的可预测性 ?降低了排错的难度 在分层化模型的基础上,我又在核心层和分布层中提供了设备的冗余,在这里说明一下,为了使拓扑图看起来更加清晰简单,在此拓扑上我并没有对设备之间的连接使用双链路。下面,我将对该网络的各个功能做详细的分析说明,并附上主要的配置。 单区域ospf拓扑图 IP编址方案 核心层1 F0/1 192.168.1.1/24 F0/2 192.168.2.1/24 F0/5 192.168.5.1/24 核心层2 F0/1 192.168.1.2/24 F0/3 192.168.3.2/24
公司:项目:时间:
目录 一前言 (3) 1.1企业IT面临的挑战 (3) 1.2AD域架构的应用给企业管理带来的优势 (4) 1.3域架构设计原则 (4) 二.公司域架构规划 (5) 2.1域架构部署规划 (5) 2.2通过OU、GPO和用户组实现域安全的管理 (6)
一前言 由于Windows 网络系统架构在企业应用中的普及,企业会面临大量客户端及服务器的统一安全管理; AD域的规划架构需要根据企业现有的网络规模布局和IT管理制度,以适应企业当前和长远的发展需求,有效地保护用户的资料,减少用户的风险。 针对整个公司的域架构规划和实施,前期需要先完成企业域规划及部署;实现公司统一的目录服务管理,统一的企业用户信息、安全策略。 Windows 网络架构客户端默认均属于工作组的办公环境,所有的用户账号均保存在本地客户端上,网络共享数据时只能允许所有人everyone 查看的权限,数据共享及网络安全存在较多的风险。Windows 域架构管理模式可以解决众多网络安全性问题,域环境下可以轻易实现网络用户账号的集中管理,规范客户端密码长度和复杂性;在域环境下,可以实现所有客户端系统的补丁自动更新,有效提高服务器及桌面系统的安全性。 在Windows AD域的办公环境下,并不会太多改变原有的客户端工作组下的办公习惯;域账号登陆默认缓存功能,用户离开公司网络,同样可以使用域用户账号在本机登陆,不会改变原有工作组的工作习惯。另外企业应用系统中,很多应用系统是基于微软的AD架构,如MS Cluster集群高可用系统、Exchange 邮件系统、OCS及时通讯系统、MOSS 企业门户网站协作系统等等;所以AD域的架构管理不但可以方便企业内部安全管理,还为以后的企业应用扩展提供了系统基础。 1.1工作组环境下企业IT面临的挑战 身份管理 大量的用户登录名和目录 不牢固的密码 安全访问网络和应用资源 增加的桌面系统维护费用 服务器和桌面电脑管理 如何统一管理服务器和桌面系统安全策略 如何统一管理桌面系统的应用 如何保持所有系统安全补丁升级到最新
惠州学院《计算机网络》实验报告 实验六单区域OSPF路由配置 实验目的 掌握在路由器上配置OSPF单区域 实验原理 OSPF(open shortext path first,开放式最短路径优先)协议,是目前网络中应用最泛的路由协议之一。属于内部网关路由协议,能够适应各种规模的网络环境,是典型的链路状态(link-state)协议。 OSPF路由协议通过向全网扩散本设备的链路状态信息,使网络中每台设备最终同步一个具有全网链路状态的数据库(LSDB),然后路由器采用SPF算法,以自己为根,计算到达其他网络的最短路径,最终形成全网路由信息。 OSPF属于无类路由协议,支持VLSM(变长子网掩码)。OSPF是以组播的形式进行链路状态的通告的。 在大模型的网络环境中,OSPF支持区域的划分,将网络进行合理规划。划分区域时必须存在area 0(骨干区域)。其他区域和骨干区域直接相连,或通过虚链路的方式连接。 实现功能 实现网络的互连互通,从而实现信息的共享和传递。 实验拓扑 实验步骤 1连接设备 (1)根据拓扑图,用3根直通线将PC1,PC2分别民S1,S2的端口fa0/1相连,S1的fa0/2端口与R1的fa0/1相连 (2)用一根V35线缆将R1的S1/2与R2的S1/2相连,注意DCE的选择。
2 ip规划 表格 1 ip规划 (1)S1的配置 S1>en 14 S1>star //进入特权模式 S1#configure terminal //进入全局配置模式 S1(config)#vlan 10 S1(config-vlan)#name text1 //创建vlan 10 并命名为text1 S1(config-vlan)#vlan 20 S1(config-vlan)#name text2 //创建vlan 20 并命名为text2 S1(config-vlan)#exit S1(config)#interface fa0/1 S1(config-if)#switchport access vlan 20 //将fa0/1划分到vlan 20 S1(config-if)#interface fa0/2 S1(config-if)#switchport access vlan 10 //将fa0/2划分到vlan 10 S1(config-if)#exit S1(config)#interface vlan 20 S1(config-if)#ip address 192.168.20.254 255.255.255.0 //为vlan 20配置ip地址 S1(config-if)#no shutdown S1(config-if0#exit S1(config)#interface vlan 10 S1(config-if)#ip address 192.168.1.2 255.255.255.0 //为vlan 10配置ip地址 S1(config-if)#no shutdown S1(config-if)#exit S1(config)#router ospf //开启ospf协议进程 S1(config-router)#network 192.168.20.0 0.0.0.255 area 0 S1(config-router)#network 192.168.1.0 0.0.0.255 area 0 //申明本设备的直连网段并分配区域号 S1(config-router)#end S1#wr
windows域服务器部署方案
域服务器部署方案 一、网络对办公环境造成的危害 随着Internet接入的普及和带宽的增加,一方面员工上网的条件得到改进,另一方面也给公司带来更高的网络使用危险性、复杂性和混乱,内部员工的不当操作等使信息维护人员疲于奔命。网络对办公环境造成的危害主要表现为: 1. 为给用户电脑提供正常的标准的办公环境,安装操作系统和应用软件已经耗费了信息管理中心人员一定的精力和时间,同时又难以限制用户安装软件,导致管理人员必须花费其50%以上的精力用于维护用户的PC系统,无法集中精力去开发信息系统的深层次功能,提升信息系统价值。 2. 由于使用者的防范意识普遍偏低,防毒措施往往不到位,一旦发生病毒感染,往往扩散到全网络,令网络陷于瘫痪状态,部分致命的蠕虫病毒利用TCP/IP协议的各种漏洞,使得木马、病毒传播迅速,影响规模大,导致网络长时间处于带毒运行,重复发作而维护人员。 3. 部分网站网页含有恶意代码,强行在用户电脑上安装各种网络搜索引擎插件、广告插件或中文域名插件等,增加了办公电脑大量的资源消耗,导致计算机反应缓慢; 4. 个别员工私自安装从网络下载安装的软件,这些从网络上下载的软件安装包多数附带各种插件、木马和病毒,并在安装过程中用户不知情的情况下强行安装在办公电脑上,增加了办公电脑
大量的资源消耗,导致计算机反应缓慢,甚至被远程控制; 5. 局域网共享,包括默认共享(无意),文件共享(有意),一些病毒比如ARP经过广播四处泛滥,影响到整个片区办公电脑的正常工作; 6. 部分员工使用公司计算机上网聊天、听歌、看电影、打游戏,部分员工全天24小时启用P2P软件下载音乐和影视文件,由于flashget、迅雷和BT等软件并发线程多,导致大量带宽被部分员工占用,网络速度缓慢,导致应用软件系统无法正常开展业务,即便是严格的计算机使用管理制度也很难保障企业中的计算机只用于企业业务本身,PC的业务专注性、管控能力不强。 二、网络管理和维护策略 针对以上这些因素,我们能够经过域服务器来统一定义客户端机器的安全策略,规范,引导用户安全使用办公电脑。 域服务器的作用 1.安全集中管理统一安全策略 2.软件集中管理按照公司要求限定所有机器只能运行必须的办公软件。 3.环境集中管理利用AD能够统一客户端桌面,IE,TCP/IP等设置 4.活动目录是企业基础架构的根本,为公司整体统一管理做基础其它isa,exchange,防病毒服务器,补丁分发服务器,文件服务器等服务依赖于域服务器。 建立域管理
公司Windows AD 域架构设计方案 公司: 项目: 时间: XX 部署Windows AD 域 2014-08
目录 一前言 (3) 1.1企业IT面临的挑战 (3) 1.2AD域架构的应用给企业管理带来的优势 (4) 1.3域架构设计原则 (4) 二.公司域架构规划 (5) 2.1域架构部署规划 (5) 2.2通过OU、GPO和用户组实现域安全的管理 (6)
一前言 由于Windows 网络系统架构在企业应用中的普及,企业会面临大量客户端及服务器的统一安全管理; AD域的规划架构需要根据企业现有的网络规模布局和IT管理制度,以适应企业当前和长远的发展需求,有效地保护用户的资料,减少用户的风险。 针对整个公司的域架构规划和实施,前期需要先完成企业域规划及部署;实现公司统一的目录服务管理,统一的企业用户信息、安全策略。 Windows 网络架构客户端默认均属于工作组的办公环境,所有的用户账号均保存在本地客户端上,网络共享数据时只能允许所有人everyone 查看的权限,数据共享及网络安全存在较多的风险。Windows 域架构管理模式可以解决众多网络安全性问题,域环境下可以轻易实现网络用户账号的集中管理,规客户端密码长度和复杂性;在域环境下,可以实现所有客户端系统的补丁自动更新,有效提高服务器及桌面系统的安全性。 在Windows AD域的办公环境下,并不会太多改变原有的客户端工作组下的办公习惯;域账号登陆默认缓存功能,用户离开公司网络,同样可以使用域用户账号在本机登陆,不会改变原有工作组的工作习惯。另外企业应用系统中,很多应用系统是基于微软的AD架构,如MS Cluster集群高可用系统、Exchange 系统、OCS及时通讯系统、MOSS 企业门户协作系统等等;所以AD域的架构管理不但可以方便企业部安全管理,还为以后的企业应用扩展提供了系统基础。 1.1工作组环境下企业IT面临的挑战 身份管理 ?大量的用户登录名和目录 ?不牢固的密码 ?安全访问网络和应用资源 ?增加的桌面系统维护费用 服务器和桌面电脑管理 ?如何统一管理服务器和桌面系统安全策略 ?如何统一管理桌面系统的应用 ?如何保持所有系统安全补丁升级到最新
活动目录AD规划方案 1.1. 活动目录介绍 活动目录是Windows网络体系结构中一个基本且不可分割的部分,它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外,目录服务在网络安全方面也扮演着中心授权机构的角色,从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是,活动目录还担当着系统集成和巩固管理任务的集合点。 活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时,它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成,从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值,同时,降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。 活动目录是微软各种应用软件运行的必要和基础的条件。下图表示出活动目录成为各种应用软件的中心。
1.2. 应用Windows 2012 Server AD的好处 Windows 2012 AD简化了管理,加强了安全性,扩展了互操作性。它为用户、组、安全服务及网络资源的管理提供了一种集中化的方法。 应用Windows 2012 AD之后,企业信息化建设者和网络管理员可以从中获得如下好处: 1、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 2、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。 4、很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。 5、使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。 6、方便用户使用各种资源。 7、SMS(System Management Server)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如Windows Updates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。 8、资源共享 用户和管理员可以不知道他们所需要的对象的确切名称,但是他们可能知道这个对象的一个或多个属性,他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表,通过域使得基于一个或者多个对象属性来查找一个对象变得可能。 9、管理 A、域控制器集中管理用户对网络的访问,如登录、验证、访问目录和共享资源。为了简化管理,所有域中的域控制器都是平等的,你可以在任何域控制器上进行修改,这种更新可以复制到域中所有的其他域控制器上。 B、域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源的单点登录,管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。在NT网络中,当用户一次登陆一个域服务器后,就可以访问该域中已经开放的全部资源,而无需对同一域进行多次登陆。但在需要共享不同域中的服务时,对每个域都必须要登陆一次,否则无法访问未登陆域服务器中的资源或无法获得未登陆域的服务。 10、可扩展性 在活动目录中,目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此,目录可以随着组织的增长而一同扩展,允许用户从一个具有几百个对象的小的安装环境发展
实验六:单区域OSPF配置 ?实验目的 1、在路由器上启动OSPF路由进程 2、启用参与路由协议的接口,并且通告网络及其所在的区域 3、路由id的配置 4、DR选举的控制 5、查看和调试OSPF路由协议 ?实验要求 本实验要达到如下要求: 1、给出具体的实现步骤 2、给出某个路由器上路由表的内容 3、给出各个网段的DR和BDR
?实验拓扑 ?实验设备(环境、软件) 1、路由器3台 2、交叉线若干
实验设计到的基本概念和理论 1. OSPF特性 (1).快速收敛;(2)能够适应大型网络.;(3)能够正确处理错误路由信息;(4)支持无类路由,完全支持超网,可变长子网等无类特性;(5)支持多条路径负载均衡。 2. 链路 链路是路由器接口的另一种说法,因此OSPF也称为接口状态路由协议。OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库,生成最短路径树,每个OSPF路由器使用这些最短路径构造路由表。 3. 链路状态 OSPF路由器收集其所在网络区域上各路由器的连接状态信息,即链路状态信息(Link-State),生成链路状态数据库(Link-State Database)。路由器掌握了该区域上所有路由器的链路状态信息,也就等于了解了整个网络的拓扑状况。OSPF路由器利用“最短路径优先算法(Shortest Path First, SPF)”,独立地计算出到达任意目的地的路由。 4. 自治系统 一种由一个管理实体管理,采用统一的内部选路协议的一组网络所组成的大范围的IP网络。它可以是一个路由器直接连接到一个LAN上,同
时也连到Internet上;它可以是一个由企业骨干网互连的多个局域网。在一个自治系统中的所有路由器必须相互连接,运行相同的路由协议,同时分配同一个自治系统编号。自治系统之间的链接使用外部路由协议。 5. 区域的概念 OSPF协议引入“分层路由”的概念,将网络分割成一个“主干”连接的一组相互独立的部分,这些相互独立的部分被称为“区域”(Area),“主干的部分称为“主干区域”。每个区域就如同一个独立的网络,该区域的OSPF路由器只保存该区域的链路状态。每个路由器的链路状态数据库都可以保持合理的大小,路由计算的时间、报文数量都不会过大。OSPF要求所有普通区域(Regular Area)都要与骨干区域(Transmit Area)直连,也就意味着Area间的流量都必须经过Area 0,这样一方面便于进行流量控制,另一方面也是出于避免环路的考虑。 实验过程和主要步骤 步骤1:3个路由器上接口的配置 Router0: f0/0 192.168.1.1 f1/0 10.168.2.10 Router1: f0/0 192.168.1.23
创建WINDOWS域生成活动目录 实验环境使用2台虚拟机,一台DC(域控制器),一台作为加入域的客户机2003ent分别复制到两个目录DC的IP是192.168.机号.(2-100),DNS地址指向自己,而客户机的IP为192.168.机号. (3-100), DNS指向DC的IP192.168.机号.(2-100)。 1.在DC中使用DCPROMO命令创建域:
选择”新域的域控制器”(见下图)
选择"新林中的第一个域":(见下图) 输入域名”shuac+机器号.shu”(不能重名) 例shuac07.shu 七号机
设置NETBIOS名,为了像WIN98这样的操作系统能够访问此域: ”shuac+机器号”例shuac07 七号机一般自动生成和域名相同。 选择AD数据库和日志文件的存放位置:(可默认)
SYSVOL组策略信息的存放位置(注意:一定要放在NTFS的分区中)(可默认): 注意:AD是离不开DNS服务的,因为客户机加入域和登录域都需要把域名解析为IP地址,这一过程都需要DNS服务器的支持,所以域是离不开DNS的,但反过来是不对的! 因为此时DC没有DNS服务器,所以选择第二项让系统在创建DC的同时把DNS服务随之一起安装上.当然你也可以安装DC后自己手动再安装和配置DNS服务器(需要您会正确配置DNS服务器),不过我还是建议和DC一起让系统帮我们创建,因为省事并不会因为手动错误的配置DNS带来的麻烦.
选择兼容的模式: 设置AD的还原密码(为了以后对AD数据库做完备份,开机按F8进入AD还原模式需要的还原密码,如果在此设置了密码,一定切记):
单区域OSPF 基本配置 一、实验目的 1. 掌握单区域OSPF 的配置 2. 理解链路状态路由协议的工作过程 3. 掌握实验环境中虚拟接口的配置 二、应用环境 1. 在大规模网络中,OSPF 作为链路状态路由协议的代表应用非常广泛 2. 具有无自环,收敛快的特点 三、实验设备 1. DCR-2611 两台 2. CR-V35MT 一条 3. CR-V35FC 一条 四、实验拓扑 五、实验要求 配置要求 六、实验步骤 第一步:路由器环回接口的配置(其他接口配置请参见实验三) 路由器A: Router-A_config#interface loopback0 Router-A_config_l0#ip address 10.10.10.1 255.255.255.0 路由器B: Router-B#config Router-B_config#interface loopback0 Router-B_config_l0#ip address 10.10.11.1 255.255.255.0 第二步:验证接口配置 Router-B#sh interface loopback0 Loopback0 is up, line protocol is up Hardware is Loopback
Interface address is 10.10.11.1/24 MTU 1514 bytes, BW 8000000 kbit, DLY 500 usec Encapsulation LOOPBACK 第三步:路由器的OSPF 配置 A 的配置: Router-A_config#router ospf 2 !启动OSPF 进程,进程号为2 Router-A_config_ospf_1#network 10.10.10.0 255.255.255.0 area 0 !注意要写掩码和区域号 Router-A_config_ospf_1#network 192.168.1.0 255.255.255.0 area 0 B 的配置: Router-B_config#router ospf 1 Router-B_config_ospf_1#network 10.10.11.0 255.255.255.0 area 0 Router-B_config_ospf_1#network 192.168.1.0 255.255.255.0 area 0 第四步:查看路由表 路由器A: Router-A#sh ip route Codes: C - connected, S - static, R - RIP, B - BGP, BC - BGP connected D - BEIGRP, DEX - external BEIGRP, O - OSPF, OIA - OSPF inter area ON1 - OSPF NSSA external type 1, ON2 - OSPF NSSA external type 2 OE1 - OSPF external type 1, OE2 - OSPF external type 2 DHCP - DHCP type, L1 - IS-IS level-1, L2 - IS-IS level-2 VRF ID: 0 C 10.10.10.0/24 is directly connected, Loopback0 O 10.10.11.1/32 [110,1601] via 192.168.1.2(on Serial0/3) !注意到环回接口产生的是主机路由C 192.168.1.0/24 is directly connected, Serial0/3 路由器B: Router-B#show ip route Codes: C - connected, S - static, R - RIP, B - BGP, BC - BGP connected D - BEIGRP, DEX - external BEIGRP, O - OSPF, OIA - OSPF inter area ON1 - OSPF NSSA external type 1, ON2 - OSPF NSSA external type 2 OE1 - OSPF external type 1, OE2 - OSPF external type 2 DHCP - DHCP type, L1 - IS-IS level-1, L2 - IS-IS level-2 VRF ID: 0 O 10.10.10.1/32 [110,1601] via 192.168.1.1(on Serial0/3) !注意管理距离为110 C 10.10.11.0/24 is directly connected, Loopback0 C 192.168.1.0/24 is directly connected, Serial0/3 第五步:其他验证命令 Router-B#sh ip ospf 1 !显示该OSPF 进程的信息 OSPF process: 1, Router ID: 10.10.11.1 Distance: intra-area 110, inter-area 110, external 150 SPF schedule delay 5 secs, Hold time between two SPFs 10 secs SPFTV:0(0), TOs:5, SCHDs:5 All Rtrs support Demand-Circuit. Number of areas is 1 AREA: 0 Number of interface in this area is 2(UP: 2) Area authentication type: None All Rtrs in this area support Demand-Circuit. Router-A#show ip ospf interace !显示OSPF 接口状态和类型 Loopback0 is up, line protocol is up Internet Address: 10.10.10.1/24 Interface index: 6 Nettype: Broadcast !环回接口的网络类型默认为广播 OSPF process is 2, AREA: 0, Router ID: 10.10.10.1 Cost: 1, Transmit Delay is 1 sec, Priority 1 Hello interval is 10, Dead timer is 40, Retransmit is 5