Главная

Monday, 15 February 2021

IPAM – служба управления IP адресами Windows.

Всем привет.

Основной частью администрирования любой сети является управление IP адресами. До выхода Windows Server 2012 системным администраторам для комплексного управления всем пространством IP адресов, а также службами DNS и DHCP, приходилось использовать таблицы, различные сторонние инструменты, писать пользовательские скрипты. С выходом Windows Server 2012 появился внутренний инструмент для управления IP-адресами сети – IPAM. IPAM (IP Address Management) – служба управления IP адресами, впервые представленная в Windows Server 2012 и Windows Server 2012 R2. IPAM представляет собой платформу для обнаружения, мониторинга, управления и аудита для пространства IP адресов в сети организации.

Среди основных возможностей IPAM можно выделить следующие:

  • Автоматическое обнаружение инфраструктуры IP-адресов
  • Удобные и гибкие средства для отображения пространства IP-адресов, а также управления ими и составления отчетов
  • Аудит изменений в конфигурациях служб DHCP и IPAM
  • Наблюдение за службами DHCP и DNS, а также управление ими
  • Отслеживание аренды IP-адресов.

Основное преимущество IPAM заключается в том, что он предоставляет единую консоль, в которой представлена информация о конфигурациях всех служб DNS и DHCP в лесу. С помощью этой консоли можно изменять настройки, например, как одной, так и нескольких зон DHCP, что не требует от системного администратора написания дополнительных скриптов или ручной настройки каждого DHCP-сервера. 

Разворачивается служба IPAM довольно просто вручную. Ежели мы любим все делать с помощью Powershell, то это же можно развернуть буквально за три шага:

  1. Install-WindowsFeature IPAM -IncludeManagementTools
  2. Set-IpamConfiguration -ProvisioningMethod Automatic -GpoPrefix IPAM
  3. Invoke-IpamGpoProvisioning –Domain forza.com –GpoPrefixName IPAM –DelegatedGpoUser Administrator –IpamServerFqdn srv-ipam.forza.com

 где forza.com наш домен, srv-ipam.forza.com наш IPAM-сервер.

Метод подготовки с помощью групповых политик говорит о том, что IPAM-настройки будут применяться на управляемые сервера домена с использованием следующих GPO:

<GPO-prefix>_DHCP: этот объект групповой политики используется для применения настроек, с помощью которых IPAM сможет наблюдать, управлять и собирать информацию с управляемых DHCP серверов в сети

<GPO-prefix>_DNS: этот объект групповой политики используется для применения настроек, с помощью которых IPAM сможет наблюдать и собирать информацию с управляемых DNS серверов в сети

<GPO-prefix>_DC_NPS: этот объект групповой политики используется для применения настроек, с помощью которых IPAM сможет собирать информацию с управляемых контроллеров домена и с серверов политик сети (Network Policy Servers, NPS) в сети для DHCP сервера в сети для отслеживания IP адресов

В этом случае, объекты групповой политики будут носить имена IPAM_DHCP, IPAM_DNS и IPAM_DC_NPS соответственно.

После разворачивания политик вам надо во вкладке IPAM – SERVER INVENTORY для всех обнаруженных серверов  изменить «Состояние управления» на «Управляемый». Кроме этого всех управляемых серверорв надо дождаться чтобы вступили в силу изменения новых групповых политик. Если вы не хотите ждать окончания цикла обновления  то самым быстрым способом будет на каждом из нужных вам серверов использовать команду:
gpupdate /force

После всего этого вам может понадобиться еще раз исключить и заново включить в мониторинг по типу DNS. Плюс к этому еще раз сбросить DNS-зону. Иначе может не завестись.



IPAM-сервис создает ряд задач мониторинга которые работают по расписанию. Увидеть их можно здесь: Task Scheduler(Local) > Task Scheduler Library > Microsoft > Windows > IPAM.

С помощью IPAM можно отслеживать различные типы событий на DNS и DHCP-серверах, включая данные как о самих серверах, так и о клиентах. Чтобы просмотреть журналы аудита и событие, в меню навигации IPAM нужно выбрать «Каталог событий» (EVENT CATALOG).

Собственно вы поняли что IPAM это все управление в одном месте.

Но существуют и ограничения IPAM-сервиса, которые надо учитывать перед его внедрением:
- один IPAM-сервер может обслуживать до 50 DHСР-серверов и до 500 DNS-серверов
- один IРАМ-сервер может обслуживать до 6000 DHСР-областей и до 150 DNS-зон
- IРАМ не поддерживает управление и настройку сетевых элементов, не связанных с продуктами компании Microsoft (WINS, ретрансляции DHСР, прокси-серверы и т.д.)
- тенденции использования IР-адресов доступны только для протокола IРv4
- освобождение IР-адресов поддерживается только для протокола IРv4
- закрытые расширения для автоматической настройки IPv6-адресов без учета состояния не обрабатываются специально
- технологии виртуализации и миграция на виртуальные машины не обрабатываются специально
- IРАМ не проверяет согласованность IР-адресов с помощью маршрутизаторов и коммутаторов
- IРАМ не отслеживает действия пользователя на сторонних компьютерах посредством аудита IPv6-адресов (с автоматической настройкой адресов без учета состояния).

Как вы поняли IPAM  оперирует только с DHCP/DNS-сервисами Windows. Поэтому если у вас  в сети такие сервисы равернуты на другом оборудовании или Linux, то вам IPAM не очень поможет. В этом случае можете обратить ваше внимание на SolarWinds IP Address Manager (очень дорого) или Infobox IPAM Express (бесплатно с ограничениями), или phpIPAM (бесплатно).

Удачи.

3 comments:

  1. Может понадобиться после первого шага:
    Invoke-IpamServerProvisioning

    ReplyDelete

А что вы думаете по этому поводу?