俄勒冈州的波特兰市技术服务局计划采用Windows Server 2003的活动目录技术,我们的工作人员发现,只有通过一个具有实用性的活动目录试验室,才能将这个计划中遇到的问题一一解决。而建立一个能够解决实际问题的活动目录试验室,至少需要两个森林(forest),每个森林包含三个域,并且总共需要16个域控制器。
现在问题出现了:目前没有足够的服务器用来搭建试验室,而购买全新服务器需要至少8万美元,我们也没有这部分预算。因此,我们的技术人员开始研究如何在只有两台服务器的情况下通过VMware GSX Server来实现我们的需求。下面我就来描述一下我们是如何建立这个活动目录试验室的。
设计上的难题
由于企业网络的安全需求,在企业内的两个机构的数据和目录对象必须可以受对方机构保护。而在对方机构中,这种安全需求并不严格。据此,主要存在的问题就是:
1.一个单一的森林结构是否能满足这种安全需求?
2.如果不行,那么势必要采取分离的安全森林结构,这时该如何处理两个森林间互操作的问题,尤其是邮件传递?
3.遇到的问题该如何解决?
4.在森林间使用防火墙会对活动目录造成什么影响?
我们认为寻求答案的最佳途径就是建立一个包含两个森林的网络实验室。在每个森林里,我们会建立一个空的根域以及两个子域。每个森林中的一个子域会包含四个域控制器,而剩下的域则包含两个域控制器。之后我们会建立多种服务器,包括全局目录、域名系统(DNS)、Windows Internet 名称服务(WINS)、 动态主机配置协议(DHCP)以及文件/打印服务器。另外,我们会在每个森林里安装一个Microsoft Exchange 2003 Server、一个Microsoft Identity Integration Server 2003,并安装防火墙(采用Check Point)。
大救星VMware
在一般情况下,上述的网络实验室造价肯定便宜不了,而当采用了VMware GSX Server(VMware许可证售价2500美元),我们可以在一台物理服务器上建立多达八个独立的虚拟服务器。这样,我们只需要使用现有的两台服务器就可以搭建起这个复杂的网络实验室了。
VMware GSX Server通过分区来实现其功能,每个虚拟服务器都处在独立的安全的虚拟机中。每个虚拟机所运行的操作系统和应用软件也都是独立的,系统资源则按需分配给任何有需要的虚拟机。
首先,我们要安装一个叫做"主操作系统(host operating system)"的Vmware,它有针对Windows或Linux的好几个版本,然后我们安装Vmware软件。接着我们就可以创建虚拟机了,并在每个虚拟机上安装所谓的"客户操作系统(guest operating system)",这个系统可以和主机操作系统一致,也可以和它不同。每个独立的客户机操作系统可以是桌面版或服务器版的Windows,Linux或Novell NetWare系统。
在这里唯一需要注意的是,用户创建的虚拟机越多,所需的系统资源就越高。在我们这个例子中,我们为两台服务器各配备了4GB内存,才基本达到我们的要求。记住,内存不光是给虚拟机用的,主操作系统和Vmware自身也对内存有所需求。
实现我们的设计
据IT部门表示,由于企业中不同部门的许多用户(部门主管)需要访问这些构成实验室的虚拟机,因此我们决定开放Windows终端服务(Windows Terminal Services)以便他们访问。为了能让我们的实验室与实际办公网络分开,而又能与办公网络互通,我们在防火墙上采用了网络地址转换(Network Address Translation,NAT)技术。这样每个虚拟机都有一个虚拟网段的IP地址,可以通过Windows终端服务利用相对应的RDP IP地址访问每个虚拟机。
根据这种方案,我们设计了两个森林结构,如图A所示:
两个物理服务器分别都是一个测试台,它们有自己的IP地址,每个服务器上设置了一个森林。同时,每个服务器上都有三个域,每个服务器分配了8个虚拟服务器。
当安装了Vmware软件后,用户可以通过基于网络的VMware 管理界面(VMware Management Interface)来建立和配置虚拟服务器。在Web浏览器中输入Vmware软件所在系统的IP地址并输入默认的Vmware管理端口8222,就可以进入VMware 管理界面了。如图B所示:
登录进管理界面后,屏幕会显示虚拟网络实验室的一个森林中的全部虚拟服务器,如图C所示:
当建立好虚拟服务器后,用户就可以在其上安装客户端操作系统以及其它所需的应用软件了,这和在物理服务器上安装操作系统和软件没有什么区别。
省钱很重要
采用VMware GSX Server后,就好像凭空多出了好几台服务器,我们可以顺利的搭建网络实验室用来进行活动目录的试验。同时,项目的费用也远低于我们最开始设想的。仅仅采用了两台现有的服务器,而不是16台,不但节省了14台服务器的费用,还节省了机架空间,这本来也是一笔不小的开支。另外,两台物理服务器的资源可以说完全被我们利用到了,没有一点浪费
