企业网络设计方案

AD的理论知识和实际操作技巧大多数朋友想必都很熟悉了，不熟悉的朋友建议先把理论知识学好再来看这个系列的文章。

公司概况

公司简单介绍：

OS公司是一家电子制作型企业，通过公司的运营和管理，发展迅速，现以拥有三家分公司，员工人数已经有10000人左右。为了满足公司未来的发展和

企业运营的需求，公司决定重新部署企业的网络。公司计划部署一个以AD为基础架构的信息系统用于完成企业的资源共享和数据通信。

下面是OS电子公司的分布图：

下面是OS电子公司IT部门的职能划分图

根据OS公司管理模型和其它状况决定采用单域多站点的结构来进行AD部署；

在设计部署AD之前首先要规划好IP地址的划分，子网的划分原则：，为每个分公司分配一个子网，子网数必须能满足今后的发展需求保证以后有足够可用的子网，每个子网有足够的可用Ip地址。

根据公司的现状，以及考虑以后的发展规模决定用一个B类地址172.16.0.0/16来划分子网。

下面是子网划分图

每个子网的掩码是:255.255.252.0

一共可以划分64个子网，每个子网有1022个可用IP，可以满足以后的发展需求。

下面是每个公司网络的IP划分规则

１、每个网络前1-100为用于服务器规划，如珠海总公司172.16.0.1-172.16.0.100/22保留，用于服务器IP地址的划分。

２、每个网络前101-150用于交换机和网络打印机地址规划，如珠海总公司172.16.0.101-172.16.0.150/22用于交换机和网络打印机地址规划。

３、每个网络最后一个254地址用于路由器，如珠海总公司172.16.3.254/22用于和分公司连接的路由器地址。

４、剩下的IP地址用于客户端，或分公司IT自己划分，如珠海总公司172.16.0.151-172.16.3.253/22用于客户端。

以上的IP划分规则所有分公司IT必须严格执行。

好了，第一篇IP的划分就先写到这吧。

在设计站点之前先定义一下AD里对像的命名规则吧。简单的说就是要对AD里的对象制定一套命名规则，每个公司IT部门都要严格按这套命名规则来对自己创建的AD对象进行命名。下面写得不太详细但太概的意思就是这样。

域的名字：os.ad

域的功能级别：windows server 2003

站点命名：地点前两个字母+公司简称，如：珠海总公司（ZHOS），广州分公司（GZOS），南昌分公司（NCOS）；

服务器的命名：地点前两个字母+OS（公司简称）+服务器角色两个字母+IP地址（不足2位前面用0填充），让人通过名字就知道这台DC是那个分公司的，IP 是多少。如珠海的DC（ZHOSDC02），重庆DC（CQOSDC02）

客户端PC的命名：地点前两个字母+OS（公司简称）+W（Workstations的意思）+3位数字编号（不足前面用0填充），如珠海的客户端ZHOSW001,广州的客户端GZOSW001；

用户登录帐号的命名：地点前两个字母+OS（公司简称）+U（Users的意思）+3位数字编号（不足前面用0填充）,如珠海用户ZHOSU001,广州用户GZOSU001；

共享打印机的命名：地点前两个字母+OS（公司简称）+P（Printer的意思）+3位数字编号（不足前面用0填充）,如珠海的打印机ZHOSP001,广州的打印机GZOSP001；

下面进入我们的主题站点的规划，不理解站点的朋友请详细阅读这篇文章

“深刻理解站点和复制（实现站点以管理AD中的复制）”:

下图是公司整个站点及站点复制规划图

AD的FSMO角色规划在珠海总公司，珠海总公司站点（ZHOS）用了3台DC，其中2台用于本地用户的身分验证，1台用于与其它站点间的AD数据复制；

在OS分公司中每个站点都设计了2台DC用于冗余，定义了桥头服务器和至少一台GC。

AD冗余的具体操作请参考这篇文章:“ AD/DNS/DHCP/WINS冗余部署实例”

为么要划分站点？

很简单两个原因：

1、优化AD的复制；DC之间要同步AD数据，假如不划分站点，这个同步每时每刻都在进行，而且数据是不压缩的。如果划分了站点就可以控制站点到站点间的AD复制。

2、优化客户端的登录，当划分了站点以后，DNS会替客户端找本站点内的DC，这样就加快了身份验证过程。经过上面的规划和配置后OS公司用户的身份验证都会点本地站点内的DC完成，比如说，广州分公司的用户会去GZOS站点内的DC去做身份验证，南昌分公司的用户会去NCOS站点内的DC去做身份验证。

现在大家明白之前为什么要去划分IP子网了吧？其实AD站点的划分就是通过IP子网来实现的，在划分AD站点之前首先要规划好你的网络地址。

什么是站点内？什么是站点间？

大至可以这么去理解，站点内是由一组高速带宽连接的网络，站点间是由一组低速带宽连接的网络。

1、站点内的复制

在站点内进行的目录更新可能对本地客户端产生最直接的影响，因此站内复制可实现速度优化。站点内的复制根据更改通知而自动

进行。当在某个域控制器上执行目录更新时，站内复制就开始了。默认情况下，源域控制器等待 15 秒钟，然后将更新通知发送给

最近的复制伙伴。如果源域控制器有多个复制伙伴，在默认情况下将以 3 秒为间隔向每个伙伴相继发出通知。当接收到更改通知

后，伙伴域控制器将向源域控制器发送目录更新请求。源域控制器以复制操作响

应该请求。3 秒钟的通知间隔可避免来自复制伙伴

的更新请求同时到达而使源域控制器应接不暇。

对于站点内的某些目录更新，并不使用 15 秒钟的等待时间，复制会立即发生。这种立即复制称为紧急复制，应用于重要的目录更

新，包括帐户锁定的指派以及帐户锁定策略、域密码策略或域控制器帐户上密码的更改。

2、站点间复制：

可用带宽有限且可能不可靠

所有站点间的复制流量都经过压缩

更改的复制将按手动定义的计划进行

Active Directory 处理站点之间的复制（或称站点间复制）与处理站点内的复制所用方法不同，因为站点之间的带宽通常是有限

的。Active Directory 信息一致性检查器 (KCC) 使用开销最低的跨越树设计建立站点间复制拓扑。站点间复制被优化为最佳的带

宽效率，并且站点之间的目录更新可根据可配置的日程安排自动进行。在站点之间复制的目录更新被压缩以节省带宽。

下面出个题目考考大家，假如你是珠海总公司员工，带着你的笔记本电脑去南昌分公司出差，到了分公司以后，接入分公司网络这个时候你的身分验证是在那里完成的？

回答上一篇的问题，答案是：在南昌的其中一台DC完成身份验证。

分析：

珠海员工到南昌分公司出差办公当笔记本接入南昌分公司的网络后南昌分公司的DHCP服务器会为它分配一个属于南昌网段的IP地址，并配置南昌分公司的DNS及网关地址，然后DNS会去查询本地的DC，最后在本地DC上对用户进行身份验证。

下面进行OS公司的AD的架构设计图