Всем привет.
Основной частью администрирования любой сети является управление IP адресами. До выхода Windows Server 2012 системным администраторам для комплексного управления всем пространством IP адресов, а также службами DNS и DHCP, приходилось использовать таблицы, различные сторонние инструменты, писать пользовательские скрипты. С выходом Windows Server 2012 появился внутренний инструмент для управления IP-адресами сети – IPAM. IPAM (IP Address Management) – служба управления IP адресами, впервые представленная в Windows Server 2012 и Windows Server 2012 R2. IPAM представляет собой платформу для обнаружения, мониторинга, управления и аудита для пространства IP адресов в сети организации.
Среди основных возможностей IPAM можно выделить следующие:
- Автоматическое обнаружение инфраструктуры IP-адресов
- Удобные и гибкие средства для отображения пространства IP-адресов, а также управления ими и составления отчетов
- Аудит изменений в конфигурациях служб DHCP и IPAM
- Наблюдение за службами DHCP и DNS, а также управление ими
- Отслеживание аренды IP-адресов.
Основное преимущество IPAM заключается в том, что он предоставляет единую консоль, в которой представлена информация о конфигурациях всех служб DNS и DHCP в лесу. С помощью этой консоли можно изменять настройки, например, как одной, так и нескольких зон DHCP, что не требует от системного администратора написания дополнительных скриптов или ручной настройки каждого DHCP-сервера.
Разворачивается служба IPAM довольно просто вручную. Ежели мы любим все делать с помощью Powershell, то это же можно развернуть буквально за три шага:
- Install-WindowsFeature IPAM -IncludeManagementTools
- Set-IpamConfiguration -ProvisioningMethod Automatic -GpoPrefix IPAM
- Invoke-IpamGpoProvisioning –Domain forza.com –GpoPrefixName IPAM –DelegatedGpoUser Administrator –IpamServerFqdn srv-ipam.forza.com
где forza.com наш домен, srv-ipam.forza.com наш IPAM-сервер.
Метод подготовки с помощью групповых политик говорит о том, что IPAM-настройки будут применяться на управляемые сервера домена с использованием следующих GPO:
<GPO-prefix>_DHCP: этот объект групповой политики используется для применения настроек, с помощью которых IPAM сможет наблюдать, управлять и собирать информацию с управляемых DHCP серверов в сети
<GPO-prefix>_DNS: этот объект групповой политики используется для применения настроек, с помощью которых IPAM сможет наблюдать и собирать информацию с управляемых DNS серверов в сети
<GPO-prefix>_DC_NPS: этот объект групповой политики используется для применения настроек, с помощью которых IPAM сможет собирать информацию с управляемых контроллеров домена и с серверов политик сети (Network Policy Servers, NPS) в сети для DHCP сервера в сети для отслеживания IP адресов
В этом случае, объекты групповой политики будут носить имена IPAM_DHCP, IPAM_DNS и IPAM_DC_NPS соответственно.
После разворачивания политик вам надо во вкладке IPAM – SERVER INVENTORY для всех обнаруженных серверов изменить «Состояние управления» на «Управляемый». Кроме этого всех управляемых серверорв надо дождаться чтобы вступили в силу изменения новых групповых политик. Если вы не хотите ждать окончания цикла обновления то самым быстрым способом будет на каждом из нужных вам серверов использовать команду:
gpupdate /force
После всего этого вам может понадобиться еще раз исключить и заново включить в мониторинг по типу DNS. Плюс к этому еще раз сбросить DNS-зону. Иначе может не завестись.
IPAM-сервис создает ряд задач мониторинга которые работают по расписанию. Увидеть их можно здесь: Task Scheduler(Local) > Task Scheduler Library > Microsoft > Windows > IPAM.
С помощью IPAM можно отслеживать различные типы событий на DNS и DHCP-серверах, включая данные как о самих серверах, так и о клиентах. Чтобы просмотреть журналы аудита и событие, в меню навигации IPAM нужно выбрать «Каталог событий» (EVENT CATALOG).
Собственно вы поняли что IPAM это все управление в одном месте.
Но существуют и ограничения IPAM-сервиса, которые надо учитывать перед его внедрением:
- один IPAM-сервер может обслуживать до 50 DHСР-серверов и до 500 DNS-серверов
- один IРАМ-сервер может обслуживать до 6000 DHСР-областей и до 150 DNS-зон
- IРАМ не поддерживает управление и настройку сетевых элементов, не связанных с продуктами компании Microsoft (WINS, ретрансляции DHСР, прокси-серверы и т.д.)
- тенденции использования IР-адресов доступны только для протокола IРv4
- освобождение IР-адресов поддерживается только для протокола IРv4
- закрытые расширения для автоматической настройки IPv6-адресов без учета состояния не обрабатываются специально
- технологии виртуализации и миграция на виртуальные машины не обрабатываются специально
- IРАМ не проверяет согласованность IР-адресов с помощью маршрутизаторов и коммутаторов
- IРАМ не отслеживает действия пользователя на сторонних компьютерах посредством аудита IPv6-адресов (с автоматической настройкой адресов без учета состояния).
Как вы поняли IPAM оперирует только с DHCP/DNS-сервисами Windows. Поэтому если у вас в сети такие сервисы равернуты на другом оборудовании или Linux, то вам IPAM не очень поможет. В этом случае можете обратить ваше внимание на SolarWinds IP Address Manager (очень дорого) или Infobox IPAM Express (бесплатно с ограничениями), или phpIPAM (бесплатно).
Удачи.
NetBox!
ReplyDeleteМожет понадобиться после первого шага:
ReplyDeleteInvoke-IpamServerProvisioning
+1 netbox
ReplyDelete