Настройка службы IPAM шаг за шагом

Неотъемлемой частью администрирования сетью является управление IP адресами. До выхода Windows Server 2012 системным админам для всеохватывающего управления всем местом IP адресов, также службами DNS и DHCP, приходилось использовать таблицы, разные посторонние инструменты, писать пользовательские скрипты. С выходом Windows Server 2012 ситуация поменялась – появился IPAM (IP Address Management). Тому, что из себя представляет IPAM, также о том, как настроить эту службу в вашей сети и будет эта статья.

Настройка службы IPAM шаг за шагом

Как ранее говорилось выше, до возникновения IPAM для управления IP –адресами в сети приходилось использовать средства находящиеся под рукой: от посторониих инструментов до перечня адресов в таблице Excel. Как итог, продуктивность администрирования сетью падала, а издержки только росли. Более того, имеющиеся инструменты подходили для решения задачки управления адресами сети в короткосрочной перспективе. Но чем больше становилась сеть и чем подольше с ней работали, тем паче трудозатратной становилась эта задачка.

С выходом Windows Server 2012 появился внутренний инструмент для управления Айпишниками сети – IPAM. IPAM (IP Address Management) – служба управления IP адресами, в первый раз представленная в Windows Server 2012 и Windows Server 2012 R2. Не считая того, изменения-улучшения IPAM стоит ждать и в Windows Server vNext. IPAM представляет собой платформу для обнаружения, мониторинга, управления и аудита для места IP адресов в сети организации.

Посреди главных способностей IPAM можно выделить последующие:

Автоматическое обнаружение инфраструктуры Айпишников
Комфортные и гибкие средства для отображения места Айпишников, также управления ими и составления отчетов
Аудит конфигураций в конфигурациях служб DHCP и IPAM
Наблюдение за службами DHCP и DNS, также управление ими
Отслеживание аренды Айпишников

Основное преимущество IPAM состоит в том, что он предоставляет единую консоль, в какой представлена информация о конфигурациях всех служб DNS и DHCP в лесу. При помощи этой консоли можно изменять опции, к примеру, как одной, так и нескольких зон DHCP, что не просит от сисадмина написания дополнительных скриптов либо ручной опции каждого DHCP-сервера. Дальше мы увидим такую настройку в примере.

Но поначалу мы развернем службу IPAM, также поглядим, как ее можно использовать для наблюдения за службами DNS и DHCP.

Разворачиваем IPAM Server

Для того, что начать работать с IPAM Server его нужно установить – IPAM не заходит в набор служб, устанавливаемых по дефлоту. Выполнить установку можно 2-мя методами. Можно использовать последующую команду PowerShell:

Install-WindowsFeature IPAM –IncludeManagementTools

Также можно использовать мастер установки ролей и компонент сервера:

Настройка службы IPAM шаг за шагом
Прирастить

После того, как процесс установки IPAM завершен, нужно приготовить его к работе. Для этого в Server Manager нужно избрать IPAM и дальше Provision the IPAM server:

Настройка службы IPAM шаг за шагом
Прирастить

Вы сможете выбирать меж 2-мя способами подготовки: вручную (manual) либо на базе групповых политики (grouppolicybased). В чем все-таки разница меж 2-мя этими способами?
Ручной способ подготовкиIPAMсервера рекомендуется использовать в тех случаях, если количество управляемых серверов не достаточно. Если вы выбираете этот способ подготовки, то должны быть готовы к тому, что придется вручную настроить условия доступа для каждого из управляемых серверов. Не считая того, удалять опции также придется вручную, в этом случае, если вам не надо будет больше управлять тем либо другим сервером. Можно использовать групповые политики для того, чтоб использовать нужные опции к управляемым серверам, даже если вы избрали ручной способ подготовки, но все объекты групповой политики должны применяться либо удаляться вручную. В связи с тем, что ручной способ подготовки IPAM сервера более трудозатратный и непростой, желательный использовать способ подготовки при помощи групповых политик.

ПодготовкаIPAMсервера при помощи групповых политик проще и имеет наименьшую возможность ошибок. При использовании этот способа объекты групповой политики используются и удаляются автоматом на управляемых серверах. Конкретно этот способ предлагается использовать по дефлоту в Мастере подготовки IPAM. Вам нужно ввести префикс для имени объектов групповых политик:

Настройка службы IPAM шаг за шагом
Прирастить

Стоит тут отметить, если вы выбираете подготовку IPAM сервера при помощи групповых политик, вы не можете поменять его на ручной способ подготовки. А вот в оборотном случае вы сможете поменять ручной способ подготовки на подготовку при помощи групповых политик, используя командлет Windows PowerShell:

Set-IpamConfiguration

Вернемся сейчас к Мастеру подготовки. Выбрав способ подготовки при помощи групповых политик, мы получаем сообщение о том, что опции будут применяться на управляемые сервера с внедрением последующих объектов групповых политик:

_DHCP: этот объект групповой политики употребляется для внедрения опций, при помощи которых IPAM сумеет следить, управлять и собирать информацию с управляемых DHCP серверов в сети
_DNS: этот объект групповой политики употребляется для внедрения опций, при помощи которых IPAM сумеет следить и собирать информацию с управляемых DNS серверов в сети
_DC_NPS: этот объект групповой политики употребляется для внедрения опций, при помощи которых IPAM сумеет собирать информацию с управляемых контроллеров домена и с серверов политик сети (Network Policy Servers, NPS) в сети для DHCP сервера в сети для отслеживания IP адресов

В нашем случае, объекты групповой политики будут носить имена IPAM_DHCP, IPAM_DNS и IPAM_DC_NPS соответственно. Для окончания подготовки IPAM проверьте, правильно ли указана информация на вкладке Summary и нажмите Apply. Процесс подготовки займет некое время. В конечном итоге вы увидите сообщение о том, что подготовка IPAM удачно выполнена:

Настройка службы IPAM шаг за шагом
Прирастить

Тут принципиально сообщение о последующих шагах. Объекты групповой политики не были сделаны, их необходимо будет сделать дальше при помощи командлеты PowerShell:

Invoke-IpamGpoProvisioning

Это будет чуток позднее. А пока перейдем к Server Manager и настроим обнаружение серверов:

Настройка службы IPAM шаг за шагом
Прирастить

В показавшемся окне необходимо избрать домен для обнаружения. В нашем случае это корневой домен mva.com. После прибавления этого домена, нужно убедиться, что посреди ролей сервера есть контроллер домена, DHCP и DNS сервера. Жмем ОК.

Настройка службы IPAM шаг за шагом

Сейчас начнем обнаружение серверов:

Настройка службы IPAM шаг за шагом
Прирастить

После окончания задачки. Перейдите в Server Manager на вкладку IPAM – SERVER INVERNTORY. Вы увидите, что для серверов dsc01 и DC в столбце «Состояние управления» будут отображаться состояние «Не определено», а в столбце «Состояние доступа» — «Заблокирован». Нужно предоставить IPAM разрешение на управление этими серверам при помощи объектов групповой политики.

Настройка службы IPAM шаг за шагом
Прирастить

Сейчас вспоминаем последующий шаг, который нам рекомендовали сделать после окончания подготовки IPAM. Нам нужно запустить на сервере IPAM Windows PowerShell с правами админа и использовать последующий командлет

Invoke-IpamGpoProvisioning –Domain mva.com –GpoPrefixName IPAM –DelegatedGpoUser Administrator –IpamServerFqdn ipam.mva.com

Настройка службы IPAM шаг за шагом
Прирастить

Сейчас объекты групповой политики сделаны, что можно узреть в оснастке Group Policy Management:

Настройка службы IPAM шаг за шагом

Вернемся к Server Manager. Во вкладке IPAM – SERVER INVENTORY щёлкните правой кнопкой мышки по одному из серверов и изберите EditServer. В показавшемся окне измените пункт «Состояние управления» на «Управляемый» и нажмите ОК. Повторите тоже самое для второго сервера.

Настройка службы IPAM шаг за шагом

Сейчас необходимо, чтоб на серверах DC и dsc01 вступили в силу конфигурации групповых политик. Самым резвым методом будет на каждом из подходящих нам серверов использовать последующий командлет PowerShell:

gpupdate /force

Дождемся окончания выполнения этой команды на каждом из серверов. Вернемся на сервер IPAM в Server Manager – IPAM – SERVER INVENTORY и обновим «IPv4», также обновим статус доступа к серверу, щёлкнув правой кнопкой мыши по каждому и выбрав пункт «Refresh Server Access Status». В конечном итоге мы должны получить для наших серверов статус «Разблокирован» в столбце «Состояние доступа IPAM».

Настройка службы IPAM шаг за шагом
Прирастить

Сейчас вернемся в вкладке IPAM – OVERVIEW и выберем «Retrieve data from managed servers» и дождемся окончания выполнения этой задачки:

Настройка службы IPAM шаг за шагом
Прирастить

Автоматом будут запущены последующие задачки по сбору данных: AddressExpiry, AddressUtilication, Audit, ServerAvailability, ServiceMonitoring, ServerConfiguration.

На этом шаге мы окончили настройку IPAM сервера и дальше поглядим, как его можно использовать в работе. В качестве примера разглядим наблюдение за инфраструктурой и управление ею при помощи IPAM.

Наблюдение за инфраструктурой и управление ею

IPAM позволяет заавтоматизировать и настроить периодичность мониторинга DHCP- и DNS-серверов по всему лесу. Также есть возможность управления несколькими серверами на применение опций автоматом и временами мониторить сервера DHCP и DNS в лесу AD. Не считая того, есть возможность управления несколькими серверами DHCP и опциями областей для распределенных серверов практически одним щелчком мыши.

В качестве примера разглядим, как можно производить наблюдение за DHCP- и DNS-серверами, также управление ими, используя IPAM.

Откроем Server Manager на вкладке IPAM – MONITOR AND MANAGE – DNS and DHCP Servers. Направьте внимание, что в поле «Тип сервера» (1) вы сможете избрать не только лишь DNS и DHCP, да и отсортировать только DNS либо только DHCP. Выбрав один из серверов, можно просмотреть характеристики этого сервера, характеристики и каталог событий (2):

Настройка службы IPAM шаг за шагом
Прирастить

Сейчас давайте выберем в поле «Тип сервера» DHCP, а в поле «Вид» — «Свойства области»:

Настройка службы IPAM шаг за шагом
Прирастить

Щелкните правой кнопкой мыши область DHCP MVA-scope1 и изберите «Дублировать область DHCP». В показавшемся диалоговом окне «Дублирование области DHCP» измените значение поля «Имя области», а в разделе «Общие свойства» введите последующие значения:

Исходный Айпишник: 192.168.1.1
Конечный Айпишник: 192.168.1.254
Маска сабсети: 255.255.255.0

Настройка службы IPAM шаг за шагом
Прирастить

При необходимости, можно поменять и другие характеристики области. После того, как все нужные конфигурации были внесены, нажмите ОК и удостоверьтесь, что в перечне сейчас отображается еще одна область – MVA-scope2.

Настройка службы IPAM шаг за шагом
Прирастить

Та же область появится в консоли DHCP на нашем DHCP-сервере DSC01.

Настройка службы IPAM шаг за шагом

Если вы вернетесь на IPAM сервер и изберите обе области DHCP, щёлкните по ним правой кнопкой мыши, то можете изменять характеристики обеих областей.

Конечно, при помощи IPAM можно выслеживать разные типы событий на DNS- и DHCP-серверах, включая данные как о самих серверах, так и о клиентах. Чтоб просмотреть журнальчики аудита и событие, в меню навигации IPAM необходимо избрать «Каталог событий» (EVENT CATALOG). По дефлоту в нижней области навигации выбрано «События опции IPAM». Вы сможете избрать и другие действия для просмотра, также экспортировать их в файл для предстоящего просмотра и анализа

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.