Windows Server 2012 新特性:IPAM的配置

Windows Server 2012 中的 IPAM 是一個新增的內置框架，用於發現、監視、審核和管理企業網絡上使用的 IP 地址空間。IPAM 可以對運行動態主機配置協議 (DHCP) 和域名服務 (DNS) 的服務器進行管理和監視。IPAM 包括的組件可以：

• 自動化 IP 地址基礎結構發現：IPAM 可發現所選域中的域控制器、DHCP 服務器和 DNS 服務器。可以通過 IPAM 啟用或禁用對這些服務器的管理。
• 自定義 IP 地址空間顯示、報告和管理：IP 地址的顯示可高度自定義，並且會提供詳細的跟蹤和利用率數據。IPv4 和 IPv6 地址空間將會組織到 IP 地址區塊、IP 地址范圍和單獨的 IP 地址中。IP 地址是分配的內置或用戶定義的字段，可用於進一步將 IP 地址空間組織為分層的邏輯組。
• 對服務器配置更改情況的審核和對 IP 地址使用情況的跟蹤：對於 IPAM 服務器和托管的 DHCP 服務器顯示可操作事件。通過使用從網絡策略服務器 (NPS)、域控制器和 DHCP 服務器中收集的 DHCP 租約事件和用戶登錄事件，IPAM 還允許 IP 地址跟蹤。跟蹤可用於 IP 地址、客戶端 ID、主機名或用戶名。
• 對 DHCP 和 DNS 服務的監視和管理：IPAM 允許對林上的 Microsoft DHCP 和 DNS 服務器的自動服務可用性進行監視。將會顯示 DNS 區域運行狀況，並通過 IPAM 控制台提供詳細的 DHCP 服務器和作用域管理。

IPAM 服務器是一台域成員計算機。無法在 Active Directory 域控制器上安裝 IPAM 功能。

一般通過兩種方法部署 IPAM 服務器：

1. 分布式：在企業的每個站點上部署一台 IPAM 服務器。
2. 集中式：一台 IPAM 服務器為整個企業提供服務。

以下示例顯示分布式 IPAM 部署方法，在公司總部有一台 IPAM 服務器並且每個分支機構辦公室都有一台 IPAM 服務器。在企業中不同的 IPAM 服務器之間沒有通信或數據庫共享。如果部署了多台 IPAM 服務器，您可以自定義每台 IPAM 服務器的發現作用域，或篩選托管服務器的列表。一台 IPAM 服務器可能管理某個特定的域或位置，並且可能具有配置為備份的另一台 IPAM 服務器。

IPAM 將定期嘗試查找網絡上位於您指定的發現作用域內的域控制器、DNS、DHCP 服務器。你必須選擇這些服務器是否由 IPAM 管理。用這種方式，你可以選擇不同的服務器組，可以由 IPAM 管理，也可以不由 IPAM 管理。

若要由 IPAM 管理，服務器安全設置以及防火牆端口必須配置為允許 IPAM 服務器訪問，以執行所需的監視和配置功能。 你可以手動配置這些設置，也可以使用組策略對象 (GPO) 自動配置。如果您選擇自動的方法，則當服務器標記為托管時應用設置，並且當標記為非托管時刪除設置。

IPAM 服務器將使用 RPC 或 WMI 接口與托管的服務器通信。IPAM 為了進行 IP 地址跟蹤而監視域控制器和 NPS 服務器。除了監視功能之外，還可以通過 IPAM 控制台配置多個 DHCP 服務器和作用域屬性。區域狀態監視以及有限的配置功能集也可用於 DNS 服務器。

IPAM 服務器發現的作用域僅限一個 Active Directory 林。該林本身可能包含多個信任的以及不信任的域。IPAM 要求 Active Directory 域的成員身份，並且依賴於某個功能網絡基礎結構環境，以與 AD 林上的其他服務器安裝集成。

IPAM 具有以下規范：

1. IPAM 僅支持運行 Windows Server? 2008 及以上版本的 Microsoft 域控制器、DHCP、DNS 和 NPS 服務器。
2. IPAM 僅支持一個 AD 林中的域成員 DHCP、DNS 以及 NPS 服務器。
3. IPAM 不支持對非 Microsoft 網絡元素的管理和配置。
4. IPAM 不支持外部數據庫。僅支持 Windows 內部數據庫。
5. 一台 IPAM 服務器可以支持多達 150 台 DHCP 服務器以及 500 台 DNS 服務器。
6. 經過測試一台 IPAM 服務器可以支持多達 6000 個 DHCP 作用域以及 150 個 DNS 區域。
7. IPAM 可為 Windows 內部數據庫中的 10 萬位用戶存儲 3 年的取證數據（IP 地址租約、主機 MAC 地址、用戶登錄/注銷信息）。沒有提供數據庫清除策略，管理員必須根據需要手動清除數據。
8. 僅對 IPv4 提供 IP 地址利用趨勢。
9. 僅對 IPv4 提供 IP 地址回收支持。
10. 對 IPv6 無狀態地址自動配置專用擴展不執行任何特殊處理。
11. 對虛擬化技術或虛擬機遷移不提供任何特殊處理。
12. IPAM 不檢查 IP 地址是否與路由器和交換機一致。
13. IPAM 不支持非托管計算機上用於跟蹤用戶的 IPv6 無狀態地址自動配置的審核。

Windows Server? 2012 中的 IP 地址管理 (IPAM) 是用於在公司網絡上發現、監視、管理和審核 IP 空間的框架。IPAM 提供以下功能：

• 自動 IP 地址基礎結構發現
• 可高度自定義 IP 地址空間顯示、報告以及管理
• 配置 DHCP 和 IPAM 服務的更改審核
• DHCP 和 DNS 服務的監視和管理
• IP 地址租約跟蹤

本實驗共涉及到三台安裝了Windows  Server 2012的虛擬機，服務器dcsrv，DC，DHCP，域名Hbsycsrsj.com;

服務器IpamSrv和客戶機Client加入到域。

以下操作在虛擬機上完成。

前期各計算機的基本配置過程略。

1、在dcsrv安裝DHCP。新建IPV4作用域Test_Scope，地址范圍192.168.0.1-192.168.0.10/24，以及相關的選項設置。（過程略）

2、在Ipamsrv上啟動服務器，添加IPAM功能。（過程略）

配置IPAM：

一、連接到IPAM服務器

在服務器管理器導航窗格中，單擊“IPAM”。將會顯示“IPAM 概述”頁。默認情況下，IPAM 客戶端會連接到本地服務器

二、設置IPAM服務器（輸入GPO名稱前綴）

 

打開任務程序，IPAM下新增了如下圖的計划任務

各計划任務的功能如下圖：

三、配置服務器發現（選擇添加）

四、啟動服務器發現

五、選擇或添加要管理的服務器並驗證 IPAM 訪問權限

在“IPAM 概述”中，單擊“選擇或添加要管理的服務器並驗證 IPAM 訪問權限”。如果未顯示任何服務器，單擊通知標志旁邊的“刷新 IPv4”圖標。服務器的可管理性狀態將顯示為“未指定”，而 IPAM 訪問狀態顯示為“已阻止”。

在服務器清單出現如下圖結果

授予IPAMSRV使用組策略對象 (GPO) 管理 DHCP 和 DC 的權限。

1. 在 IPAMSRV 上，右鍵單擊“Windows PowerShell”，再單擊“以管理員身份運行”。
2. 在 Windows PowerShell 命令提示符下，鍵入以下命令，然后按 Enter 鍵。

Invoke-IpamGpoProvisioning –Domain Hbsycsrsj.com –GpoPrefixName IPAM –IpamServerFqdn ipamSrv.contoso.com

1. 當系統提示你確認操作時，按 Enter 鍵。

打開組策略管理控制台（GPMC.MSC），查看下圖結果

在DCSRV運行 Gpupdate /Force 更新組策略。

在IpamSrv修改服務器的可管理狀態為”已托管“

六、檢索托管服務器中的數據

在“IPAM”>“概述”中，單擊“檢索托管服務器中的數據”。 
單擊“通知”標志，然后等待所有任務的完成。

 

 

注意：在虛擬機上操作時，在更改可管理性狀態后，可能需要等一段時間，然后刷新 IPAM 控制台視圖，讓 IPAM 訪問狀態在托管服務器上進行更新。