Windows Server 2012 中的 IPAM 是一個新增的內(nèi)置框架��,用于發(fā)現(xiàn)����、監(jiān)視、審核和管理企業(yè)網(wǎng)絡(luò)上使用的 IP 地址空間���。IPAM 可以對運行動態(tài)主機配置協(xié)議 (DHCP) 和域名服務(wù) (DNS) 的服務(wù)器進行管理和監(jiān)視�����。IPAM 包括的組件可以:
- 自動化 IP 地址基礎(chǔ)結(jié)構(gòu)發(fā)現(xiàn):IPAM 可發(fā)現(xiàn)所選域中的域控制器��、DHCP 服務(wù)器和 DNS 服務(wù)器��??梢酝ㄟ^ IPAM 啟用或禁用對這些服務(wù)器的管理。
- 自定義 IP 地址空間顯示����、報告和管理:IP 地址的顯示可高度自定義,并且會提供詳細的跟蹤和利用率數(shù)據(jù)�����。IPv4 和 IPv6 地址空間將會組織到 IP 地址區(qū)塊��、IP 地址范圍和單獨的 IP 地址中����。IP 地址是分配的內(nèi)置或用戶定義的字段,可用于進一步將 IP 地址空間組織為分層的邏輯組�����。
- 對服務(wù)器配置更改情況的審核和對 IP 地址使用情況的跟蹤:對于 IPAM 服務(wù)器和托管的 DHCP 服務(wù)器顯示可操作事件����。通過使用從網(wǎng)絡(luò)策略服務(wù)器 (NPS)���、域控制器和 DHCP 服務(wù)器中收集的 DHCP 租約事件和用戶登錄事件,IPAM 還允許 IP 地址跟蹤���。跟蹤可用于 IP 地址、客戶端 ID���、主機名或用戶名�����。
- 對 DHCP 和 DNS 服務(wù)的監(jiān)視和管理:IPAM 允許對林上的 Microsoft DHCP 和 DNS 服務(wù)器的自動服務(wù)可用性進行監(jiān)視����。將會顯示 DNS 區(qū)域運行狀況���,并通過 IPAM 控制臺提供詳細的 DHCP 服務(wù)器和作用域管理���。
IPAM 服務(wù)器是一臺域成員計算機。無法在 Active Directory 域控制器上安裝 IPAM 功能����。
一般通過兩種方法部署 IPAM 服務(wù)器:
- 分布式:在企業(yè)的每個站點上部署一臺 IPAM 服務(wù)器��。
- 集中式:一臺 IPAM 服務(wù)器為整個企業(yè)提供服務(wù)����。
以下示例顯示分布式 IPAM 部署方法����,在公司總部有一臺 IPAM 服務(wù)器并且每個分支機構(gòu)辦公室都有一臺 IPAM 服務(wù)器。在企業(yè)中不同的 IPAM 服務(wù)器之間沒有通信或數(shù)據(jù)庫共享����。如果部署了多臺 IPAM 服務(wù)器,您可以自定義每臺 IPAM 服務(wù)器的發(fā)現(xiàn)作用域���,或篩選托管服務(wù)器的列表�。一臺 IPAM 服務(wù)器可能管理某個特定的域或位置�,并且可能具有配置為備份的另一臺 IPAM 服務(wù)器。
IPAM 將定期嘗試查找網(wǎng)絡(luò)上位于您指定的發(fā)現(xiàn)作用域內(nèi)的域控制器����、DNS、DHCP 服務(wù)器�����。你必須選擇這些服務(wù)器是否由 IPAM 管理。用這種方式�,你可以選擇不同的服務(wù)器組,可以由 IPAM 管理���,也可以不由 IPAM 管理��。
若要由 IPAM 管理,服務(wù)器安全設(shè)置以及防火墻端口必須配置為允許 IPAM 服務(wù)器訪問�,以執(zhí)行所需的監(jiān)視和配置功能。 你可以手動配置這些設(shè)置��,也可以使用組策略對象 (GPO) 自動配置��。如果您選擇自動的方法��,則當服務(wù)器標記為托管時應(yīng)用設(shè)置��,并且當標記為非托管時刪除設(shè)置�����。
IPAM 服務(wù)器將使用 RPC 或 WMI 接口與托管的服務(wù)器通信���。IPAM 為了進行 IP 地址跟蹤而監(jiān)視域控制器和 NPS 服務(wù)器����。除了監(jiān)視功能之外,還可以通過 IPAM 控制臺配置多個 DHCP 服務(wù)器和作用域?qū)傩?����。區(qū)域狀態(tài)監(jiān)視以及有限的配置功能集也可用于 DNS 服務(wù)器�。
IPAM 服務(wù)器發(fā)現(xiàn)的作用域僅限一個 Active Directory 林。該林本身可能包含多個信任的以及不信任的域���。IPAM 要求 Active Directory 域的成員身份��,并且依賴于某個功能網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)環(huán)境���,以與 AD 林上的其他服務(wù)器安裝集成。
IPAM 具有以下規(guī)范:
- IPAM 僅支持運行 Windows Server? 2008 及以上版本的 Microsoft 域控制器���、DHCP���、DNS 和 NPS 服務(wù)器。
- IPAM 僅支持一個 AD 林中的域成員 DHCP���、DNS 以及 NPS 服務(wù)器�。
- IPAM 不支持對非 Microsoft 網(wǎng)絡(luò)元素的管理和配置。
- IPAM 不支持外部數(shù)據(jù)庫�。僅支持 Windows 內(nèi)部數(shù)據(jù)庫。
- 一臺 IPAM 服務(wù)器可以支持多達 150 臺 DHCP 服務(wù)器以及 500 臺 DNS 服務(wù)器�。
- 經(jīng)過測試一臺 IPAM 服務(wù)器可以支持多達 6000 個 DHCP 作用域以及 150 個 DNS 區(qū)域。
- IPAM 可為 Windows 內(nèi)部數(shù)據(jù)庫中的 10 萬位用戶存儲 3 年的取證數(shù)據(jù)(IP 地址租約���、主機 MAC 地址���、用戶登錄/注銷信息)。沒有提供數(shù)據(jù)庫清除策略�,管理員必須根據(jù)需要手動清除數(shù)據(jù)�。
- 僅對 IPv4 提供 IP 地址利用趨勢。
- 僅對 IPv4 提供 IP 地址回收支持�����。
- 對 IPv6 無狀態(tài)地址自動配置專用擴展不執(zhí)行任何特殊處理��。
- 對虛擬化技術(shù)或虛擬機遷移不提供任何特殊處理�����。
- IPAM 不檢查 IP 地址是否與路由器和交換機一致。
- IPAM 不支持非托管計算機上用于跟蹤用戶的 IPv6 無狀態(tài)地址自動配置的審核�。
Windows Server? 2012 中的 IP 地址管理 (IPAM) 是用于在公司網(wǎng)絡(luò)上發(fā)現(xiàn)、監(jiān)視���、管理和審核 IP 空間的框架����。IPAM 提供以下功能:
- 自動 IP 地址基礎(chǔ)結(jié)構(gòu)發(fā)現(xiàn)
- 可高度自定義 IP 地址空間顯示�、報告以及管理
- 配置 DHCP 和 IPAM 服務(wù)的更改審核
- DHCP 和 DNS 服務(wù)的監(jiān)視和管理
- IP 地址租約跟蹤
本實驗共涉及到三臺安裝了Windows Server 2012的虛擬機,服務(wù)器dcsrv��,DC����,DHCP,域名Hbsycsrsj.com;
服務(wù)器IpamSrv和客戶機Client加入到域�����。
以下操作在虛擬機上完成����。
前期各計算機的基本配置過程略。
1��、在dcsrv安裝DHCP。新建IPV4作用域Test_Scope����,地址范圍192.168.0.1-192.168.0.10/24,以及相關(guān)的選項設(shè)置���。(過程略)
2�����、在Ipamsrv上啟動服務(wù)器�,添加IPAM功能���。(過程略)
配置IPAM:
一���、連接到IPAM服務(wù)器
在服務(wù)器管理器導(dǎo)航窗格中��,單擊“IPAM”��。將會顯示“IPAM 概述”頁�����。默認情況下,IPAM 客戶端會連接到本地服務(wù)器
二��、設(shè)置IPAM服務(wù)器(輸入GPO名稱前綴)
打開任務(wù)程序���,IPAM下新增了如下圖的計劃任務(wù)
各計劃任務(wù)的功能如下圖:
三�����、配置服務(wù)器發(fā)現(xiàn)(選擇添加)
四��、啟動服務(wù)器發(fā)現(xiàn)
五��、選擇或添加要管理的服務(wù)器并驗證 IPAM 訪問權(quán)限
在“IPAM 概述”中���,單擊“選擇或添加要管理的服務(wù)器并驗證 IPAM 訪問權(quán)限”。如果未顯示任何服務(wù)器���,單擊通知標志旁邊的“刷新 IPv4”圖標����。服務(wù)器的可管理性狀態(tài)將顯示為“未指定”�����,而 IPAM 訪問狀態(tài)顯示為“已阻止”。
在服務(wù)器清單出現(xiàn)如下圖結(jié)果
授予IPAMSRV使用組策略對象 (GPO) 管理 DHCP 和 DC 的權(quán)限�。
- 在 IPAMSRV 上,右鍵單擊“Windows PowerShell”�,再單擊“以管理員身份運行”。
- 在 Windows PowerShell 命令提示符下��,鍵入以下命令���,然后按 Enter 鍵�。
Invoke-IpamGpoProvisioning –Domain Hbsycsrsj.com –GpoPrefixName IPAM –IpamServerFqdn ipamSrv.contoso.com
- 當系統(tǒng)提示你確認操作時�,按 Enter 鍵。
打開組策略管理控制臺(GPMC.MSC)���,查看下圖結(jié)果
在DCSRV運行 Gpupdate /Force 更新組策略�。
在IpamSrv修改服務(wù)器的可管理狀態(tài)為”已托管“
六�����、檢索托管服務(wù)器中的數(shù)據(jù)
在“IPAM”>“概述”中���,單擊“檢索托管服務(wù)器中的數(shù)據(jù)”。
單擊“通知”標志�����,然后等待所有任務(wù)的完成。
注意:在虛擬機上操作時�,在更改可管理性狀態(tài)后,可能需要等一段時間�����,然后刷新 IPAM 控制臺視圖����,讓 IPAM 訪問狀態(tài)在托管服務(wù)器上進行更新。
本文出自 “從心開始” 博客�����,請務(wù)必保留此出處http://ycrsjxy.blog.51cto.com/618627/1052360
