Windows Server 2012 中的 IPAM 是一個新增的內(nèi)置框架��,用于發(fā)現(xiàn)��、監(jiān)視���、審核和管理企業(yè)網(wǎng)絡(luò)上使用的 IP 地址空間�。IPAM 可以對運(yùn)行動態(tài)主機(jī)配置協(xié)議 (DHCP) 和域名服務(wù) (DNS) 的服務(wù)器進(jìn)行管理和監(jiān)視����。IPAM 包括的組件可以:
- 自動化 IP 地址基礎(chǔ)結(jié)構(gòu)發(fā)現(xiàn):IPAM 可發(fā)現(xiàn)所選域中的域控制器、DHCP 服務(wù)器和 DNS 服務(wù)器�����?��?梢酝ㄟ^ IPAM 啟用或禁用對這些服務(wù)器的管理�。
- 自定義 IP 地址空間顯示����、報(bào)告和管理:IP 地址的顯示可高度自定義,并且會提供詳細(xì)的跟蹤和利用率數(shù)據(jù)�����。IPv4 和 IPv6 地址空間將會組織到 IP 地址區(qū)塊�、IP 地址范圍和單獨(dú)的 IP 地址中。IP 地址是分配的內(nèi)置或用戶定義的字段����,可用于進(jìn)一步將 IP 地址空間組織為分層的邏輯組。
- 對服務(wù)器配置更改情況的審核和對 IP 地址使用情況的跟蹤:對于 IPAM 服務(wù)器和托管的 DHCP 服務(wù)器顯示可操作事件�。通過使用從網(wǎng)絡(luò)策略服務(wù)器 (NPS)、域控制器和 DHCP 服務(wù)器中收集的 DHCP 租約事件和用戶登錄事件����,IPAM 還允許 IP 地址跟蹤。跟蹤可用于 IP 地址�����、客戶端 ID、主機(jī)名或用戶名���。
- 對 DHCP 和 DNS 服務(wù)的監(jiān)視和管理:IPAM 允許對林上的 Microsoft DHCP 和 DNS 服務(wù)器的自動服務(wù)可用性進(jìn)行監(jiān)視�����。將會顯示 DNS 區(qū)域運(yùn)行狀況����,并通過 IPAM 控制臺提供詳細(xì)的 DHCP 服務(wù)器和作用域管理�。
IPAM 服務(wù)器是一臺域成員計(jì)算機(jī)。無法在 Active Directory 域控制器上安裝 IPAM 功能�����。
一般通過兩種方法部署 IPAM 服務(wù)器:
- 分布式:在企業(yè)的每個站點(diǎn)上部署一臺 IPAM 服務(wù)器����。
- 集中式:一臺 IPAM 服務(wù)器為整個企業(yè)提供服務(wù)。
以下示例顯示分布式 IPAM 部署方法��,在公司總部有一臺 IPAM 服務(wù)器并且每個分支機(jī)構(gòu)辦公室都有一臺 IPAM 服務(wù)器����。在企業(yè)中不同的 IPAM 服務(wù)器之間沒有通信或數(shù)據(jù)庫共享。如果部署了多臺 IPAM 服務(wù)器,您可以自定義每臺 IPAM 服務(wù)器的發(fā)現(xiàn)作用域�����,或篩選托管服務(wù)器的列表�。一臺 IPAM 服務(wù)器可能管理某個特定的域或位置,并且可能具有配置為備份的另一臺 IPAM 服務(wù)器�����。
IPAM 將定期嘗試查找網(wǎng)絡(luò)上位于您指定的發(fā)現(xiàn)作用域內(nèi)的域控制器���、DNS、DHCP 服務(wù)器�����。你必須選擇這些服務(wù)器是否由 IPAM 管理��。用這種方式��,你可以選擇不同的服務(wù)器組���,可以由 IPAM 管理�����,也可以不由 IPAM 管理�����。
若要由 IPAM 管理��,服務(wù)器安全設(shè)置以及防火墻端口必須配置為允許 IPAM 服務(wù)器訪問����,以執(zhí)行所需的監(jiān)視和配置功能。 你可以手動配置這些設(shè)置��,也可以使用組策略對象 (GPO) 自動配置�。如果您選擇自動的方法,則當(dāng)服務(wù)器標(biāo)記為托管時應(yīng)用設(shè)置�,并且當(dāng)標(biāo)記為非托管時刪除設(shè)置。
IPAM 服務(wù)器將使用 RPC 或 WMI 接口與托管的服務(wù)器通信����。IPAM 為了進(jìn)行 IP 地址跟蹤而監(jiān)視域控制器和 NPS 服務(wù)器。除了監(jiān)視功能之外����,還可以通過 IPAM 控制臺配置多個 DHCP 服務(wù)器和作用域?qū)傩?�。區(qū)域狀態(tài)監(jiān)視以及有限的配置功能集也可用于 DNS 服務(wù)器���。
IPAM 服務(wù)器發(fā)現(xiàn)的作用域僅限一個 Active Directory 林。該林本身可能包含多個信任的以及不信任的域����。IPAM 要求 Active Directory 域的成員身份,并且依賴于某個功能網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)環(huán)境���,以與 AD 林上的其他服務(wù)器安裝集成。
IPAM 具有以下規(guī)范:
- IPAM 僅支持運(yùn)行 Windows Server? 2008 及以上版本的 Microsoft 域控制器��、DHCP��、DNS 和 NPS 服務(wù)器����。
- IPAM 僅支持一個 AD 林中的域成員 DHCP、DNS 以及 NPS 服務(wù)器����。
- IPAM 不支持對非 Microsoft 網(wǎng)絡(luò)元素的管理和配置。
- IPAM 不支持外部數(shù)據(jù)庫����。僅支持 Windows 內(nèi)部數(shù)據(jù)庫�����。
- 一臺 IPAM 服務(wù)器可以支持多達(dá) 150 臺 DHCP 服務(wù)器以及 500 臺 DNS 服務(wù)器��。
- 經(jīng)過測試一臺 IPAM 服務(wù)器可以支持多達(dá) 6000 個 DHCP 作用域以及 150 個 DNS 區(qū)域��。
- IPAM 可為 Windows 內(nèi)部數(shù)據(jù)庫中的 10 萬位用戶存儲 3 年的取證數(shù)據(jù)(IP 地址租約��、主機(jī) MAC 地址����、用戶登錄/注銷信息)���。沒有提供數(shù)據(jù)庫清除策略�����,管理員必須根據(jù)需要手動清除數(shù)據(jù)�。
- 僅對 IPv4 提供 IP 地址利用趨勢����。
- 僅對 IPv4 提供 IP 地址回收支持����。
- 對 IPv6 無狀態(tài)地址自動配置專用擴(kuò)展不執(zhí)行任何特殊處理�����。
- 對虛擬化技術(shù)或虛擬機(jī)遷移不提供任何特殊處理���。
- IPAM 不檢查 IP 地址是否與路由器和交換機(jī)一致��。
- IPAM 不支持非托管計(jì)算機(jī)上用于跟蹤用戶的 IPv6 無狀態(tài)地址自動配置的審核�����。
Windows Server? 2012 中的 IP 地址管理 (IPAM) 是用于在公司網(wǎng)絡(luò)上發(fā)現(xiàn)、監(jiān)視���、管理和審核 IP 空間的框架����。IPAM 提供以下功能:
- 自動 IP 地址基礎(chǔ)結(jié)構(gòu)發(fā)現(xiàn)
- 可高度自定義 IP 地址空間顯示�����、報(bào)告以及管理
- 配置 DHCP 和 IPAM 服務(wù)的更改審核
- DHCP 和 DNS 服務(wù)的監(jiān)視和管理
- IP 地址租約跟蹤
本實(shí)驗(yàn)共涉及到三臺安裝了Windows Server 2012的虛擬機(jī),服務(wù)器dcsrv����,DC,DHCP�����,域名Hbsycsrsj.com;
服務(wù)器IpamSrv和客戶機(jī)Client加入到域�����。
以下操作在虛擬機(jī)上完成�����。
前期各計(jì)算機(jī)的基本配置過程略���。
1����、在dcsrv安裝DHCP�����。新建IPV4作用域Test_Scope,地址范圍192.168.0.1-192.168.0.10/24��,以及相關(guān)的選項(xiàng)設(shè)置�。(過程略)
2、在Ipamsrv上啟動服務(wù)器�,添加IPAM功能。(過程略)
配置IPAM:
一��、連接到IPAM服務(wù)器
在服務(wù)器管理器導(dǎo)航窗格中��,單擊“IPAM”�。將會顯示“IPAM 概述”頁。默認(rèn)情況下�����,IPAM 客戶端會連接到本地服務(wù)器
二��、設(shè)置IPAM服務(wù)器(輸入GPO名稱前綴)
打開任務(wù)程序�,IPAM下新增了如下圖的計(jì)劃任務(wù)
各計(jì)劃任務(wù)的功能如下圖:
三��、配置服務(wù)器發(fā)現(xiàn)(選擇添加)
四���、啟動服務(wù)器發(fā)現(xiàn)
五��、選擇或添加要管理的服務(wù)器并驗(yàn)證 IPAM 訪問權(quán)限
在“IPAM 概述”中����,單擊“選擇或添加要管理的服務(wù)器并驗(yàn)證 IPAM 訪問權(quán)限”。如果未顯示任何服務(wù)器���,單擊通知標(biāo)志旁邊的“刷新 IPv4”圖標(biāo)�����。服務(wù)器的可管理性狀態(tài)將顯示為“未指定”���,而 IPAM 訪問狀態(tài)顯示為“已阻止”。
在服務(wù)器清單出現(xiàn)如下圖結(jié)果
授予IPAMSRV使用組策略對象 (GPO) 管理 DHCP 和 DC 的權(quán)限���。
- 在 IPAMSRV 上��,右鍵單擊“Windows PowerShell”���,再單擊“以管理員身份運(yùn)行”。
- 在 Windows PowerShell 命令提示符下����,鍵入以下命令�,然后按 Enter 鍵��。
Invoke-IpamGpoProvisioning –Domain Hbsycsrsj.com –GpoPrefixName IPAM –IpamServerFqdn ipamSrv.contoso.com
- 當(dāng)系統(tǒng)提示你確認(rèn)操作時�����,按 Enter 鍵�。
打開組策略管理控制臺(GPMC.MSC),查看下圖結(jié)果
在DCSRV運(yùn)行 Gpupdate /Force 更新組策略��。
在IpamSrv修改服務(wù)器的可管理狀態(tài)為”已托管“
六�����、檢索托管服務(wù)器中的數(shù)據(jù)
在“IPAM”>“概述”中����,單擊“檢索托管服務(wù)器中的數(shù)據(jù)”。
單擊“通知”標(biāo)志���,然后等待所有任務(wù)的完成�。
注意:在虛擬機(jī)上操作時��,在更改可管理性狀態(tài)后���,可能需要等一段時間�����,然后刷新 IPAM 控制臺視圖���,讓 IPAM 訪問狀態(tài)在托管服務(wù)器上進(jìn)行更新。
本文出自 “從心開始” 博客�����,請務(wù)必保留此出處http://ycrsjxy.blog.51cto.com/618627/1052360
