IP-Adressverwaltung (IP Address Management, IPAM) (Übersicht)

Betrifft: Windows Server 2012 R2, Windows Server 2012

Dieses Thema enthält eine Übersicht über den IP-Adressverwaltungsserver (IPAM-Server) in Windows Server® 2012 und Windows Server 2012 R2. Detaillierte Informationen finden Sie in den folgenden Themen:

Featurebeschreibung

Bei der IP-Adressverwaltung (IP Address Management, IPAM) in Windows Server® 2012 und Windows Server® 2012 R2 handelt es sich um eine integrierte Suite an Tools zum Ermöglichen der durchgängigen Planung, Bereitstellung, Verwaltung und Überwachung Ihrer IP-Adresseninfrastruktur mit einer umfassenden Benutzeroberfläche. IPAM ermittelt IP-Adresseninfrastrukturserver in Ihrem Netzwerk automatisch und ermöglicht Ihnen, sie auf einer zentralen Oberfläche zu verwalten.

IPAM enthält Komponenten für:

1. Adressraumverwaltung

2. Verwaltung des virtuellen Adressraums*****

3. Multiserververwaltung und -überwachung

4. Netzwerküberwachung

5. Rollenbasierte Zugriffsteuerung******

* Die virtuelle IP-Adressraumverwaltung wird durch die Integration von IPAM mit System Center Virtual Machine Manager aktiviert und steht in Windows Server 2012 R2 und höheren Betriebssystemen zur Verfügung. Dieses Feature steht nicht mit IPAM in Windows Server 2012 zur Verfügung.

** Rollenbasierte Zugriffssteuerung ist in Windows Server 2012 mit lokalen Benutzergruppen auf dem IPAM-Server verfügbar. Dieses Feature wurde in Windows Server 2012 R2 deutlich verbessert und bietet jetzt detaillierte integrierte und benutzerdefinierte rollenbasierte Zugriffsgruppen.

Lesen Sie auch die folgenden Abschnitte im vorliegenden Thema:

• IPAM-Bereitstellungsoptionen: Enthält eine Zusammenfassung der IPAM-Entwurfsoption. Detaillierte Informationen finden Sie unter IPAM-Architektur.

• IPAM-Spezifikationen: Bietet eine Übersicht der Anforderungen und Funktionen für die Bereitstellung von IPAM.

Informationen zu den ersten Schritten mit IPAM finden Sie unter Verwenden der IPAM-Clientkonsole.

Adressraumverwaltung

Das Feature Adressraumverwaltung (Address Space Management, ASM) von IPAM ermöglicht Ihnen, sämtliche Aspekte Ihrer IP-Adresseninfrastruktur von einer einzelnen Konsole aus anzuzeigen. Mit IPAM können Sie eine hochgradig individuelle Hierarchie mit mehreren Adressraumebenen in Ihrem Netzwerk erstellen und diese zum Verwalten Ihrer IPv6-Adressen sowie Ihrer öffentlichen und privaten IPv4-Adressen verwenden. Das ASM-Feature umfasst eine zuverlässige Berichterstellungsfunktionalität, die die detaillierte Nachverfolgung der IP-Adressennutzungstrends mit benutzerdefinierten Schwellenwerten und Warnungen ermöglicht.

Zu den wichtigsten Features von ASM zählen Folgende:

• Integrierte Verwaltung des dynamischen und statischen IP-Adressraums

• Systemübergreifende Erkennung und Verwaltung von Konflikten, Überlappungen und Adressduplikaten

• Hochgradig anpassbare Bestandsansicht des IP-Adressraums

• Zentralisierte Überwachung und Berichterstellung von Adressennutzungsstatistiken und -trends

• Unterstützung der IPv4- und statusfreien IPv6-Adressennutzungsüberwachung

• Automatisierte Ermittlung von IP-Adressbereichen von DHCP-Bereichen

• Exportieren und Importieren von IP-Adressen und IP-Adressbereichen mit Windows PowerShell-Unterstützung

• IP-Adressnutzungswarnungen und -benachrichtigungen mit benutzerdefinierten Schwellenwerten

• Ermittlung und Zuweisung von verfügbaren IP-Adressen

Im folgenden Beispiel wird gezeigt, wie Ihnen das ASM-Feature von IPAM ermöglicht, die IP-Adressennutzung zu überwachen. In diesem Beispiel werden sieben Tage der Nutzungsdaten für den IP-Adressbereich „10.72.144.0/22“ angezeigt.

Weitere Informationen finden Sie unter Verwalten des IP-Adressraums.

Verwaltung des virtuellen Adressraums

IPAM in Windows Server 2012 R2 bietet die Möglichkeit, virtuellen IP-Adressraum zu verwalten, der mit System Center Virtual Machine Manager (VMM) konfiguriert wurde.

Das VASM-Feature (Virtual Address Space Management, Verwaltung des virtuellen Adressraums) von IPAM aktiviert die gleichen Funktionen für Ihre virtuelle IP-Adresseninfrastruktur wie das ASM-Feature für den physischen IP-Adressraum.

Weitere Informationen finden Sie unter Verwalten des virtueller IP-Adressraums.

Multiserververwaltung und -überwachung

Das MSM-Feature (Multi-Server Management, Multiserververwaltung) von IPAM ermöglicht Ihnen, DHCP- und DNS-Server im Netzwerk automatisch zu ermitteln, die Dienstverfügbarkeit zu überwachen und ihre Konfiguration zentral zu verwalten. Mit der Gruppenrichtlinien-Bereitstellungsmethode bietet IPAM eine schnelle und mühelose Bereitstellung der agentfreien IPAM-Zugriffseinstellungen auf verwalteten Servern. Es steht zudem ein manueller Bereitstellungsmodus zur Verfügung.

Zu den wichtigsten Features von MSM zählen Folgende:

• Ermittelt Microsoft DHCP- und DNS-Server automatisch über eine Active Directory-Gesamtstruktur hinweg

• Manuelles Hinzufügen oder Entfernen von verwalteten Servern

• Durchgängige Konfiguration und Verwaltung von DHCP-Servern und -Bereichen

• Unterstützung erweiterter Konstrukte für die Ermöglichung von Vorgängen zum Hinzufügen, Löschen, Überschreiben, Suchen und Ersetzen in mehreren DHCP-Bereichen und -Servern.

• Gleichzeitige Aktualisierung allgemeiner Einstellungen über mehrere DHCP-Bereiche oder DHCP-Server hinweg

• Überwachung der DHCP- und DNS-Dienstverfügbarkeit und der DNS-Zonen

• Verwaltung von Microsoft DHCP- und DNS-Servern mit Windows 2008 oder höheren Betriebssystemen

• Ergänzung von benutzerdefinierten Informationen für Server zum Ermöglichen der Visualisierung mithilfe logischer Gruppen auf Grundlage der Geschäftslogik

• Überwachung der DHCP-Bereichsnutzung

• Automatischer und bedarfsgesteuerter Abruf der Serverdaten von verwalteten DHCP- und DNS-Servern

• DNS-Zonenstatusüberwachung auf Grundlage von DNS-Zonenereignissen

• Klassifizieren ermittelter Server und Rollen als verwaltet oder nicht verwaltet

Im folgenden Beispiel wird gezeigt, wie Ihnen das MSM-Feature von IPAM ermöglicht, die IP-DHCP-Bereiche im Netzwerk zu überwachen. In diesem Beispiel werden detaillierte Daten für den Bereich „US_SEA_zzz3“ angezeigt.

Weitere Informationen finden Sie unter Verwaltung mehrerer Server.

Netzwerküberwachung

Das Überwachungsfeature von IPAM bietet ein zentralisiertes Repository für alle auf den DHCP-Servern und dem IPAM-Server vorgenommenen Konfigurationsänderungen sowie für die im Netzwerk ausgestellten IP-Adressen. IPAM-Überwachungstools ermöglichen Ihnen die Anzeige potenzieller Konfigurationsprobleme auf DHCP-Servern durch das aktive Nachverfolgen und Melden sämtlicher Verwaltungsaktionen. Detaillierte IP-Adressnachverfolgungsdaten werden ebenfalls bereitgestellt, einschließlich Client-IP-Adressen, Client-ID, Hostname und Benutzername. Erweiterte Suchfunktionen ermöglichen Ihnen, gezielt nach Ereignissen zu suchen und Ergebnisse abzurufen, die Benutzeranmeldungen mit bestimmten Geräten und Zeiten in Verbindung bringen.

Zu den wichtigsten Features der Netzwerküberwachung zählen Folgende:

• Abfragen des Ereigniskatalogs für serverübergreifende DHCP-Konfigurationsänderungen von einer einzelnen Konsole aus

• Nachverfolgen von Benutzern, Geräten und IP-Adressen für angegebene Zeiträume mit erweiterten Abfragen mithilfe von DHCP-Leaseprotokollen und Anmeldeereignissen von Domänencontrollern und Netzwerkrichtlinienservern

• Nachverfolgen und Melden von Änderungen, die am IPAM-Server vorgenommen wurden

• Exportieren von Überwachungsergebnissen und Erstellen von Berichten

• Schnelle Behebung von Konfigurationsproblemen und Nachverfolgen von Vereinbarungen zum Servicelevel

Im folgenden Beispiel wird gezeigt, wie Ihnen das Netzwerküberwachungsfeature von IPAM ermöglicht, die IP-Adressen im Netzwerk nachzuverfolgen. In diesem Beispiel werden Details für ein Leaseereignis in der Domäne „contoso.com“ angezeigt.

Weitere Informationen finden Sie unter IP-Adressnachverfolgung und Betriebsereignisverfolgung.

Rollenbasierte Zugriffsteuerung

Das Feature rollenbasierte Zugriffssteuerung ermöglicht das Anpassen der Vorgangstypen und Zugriffsberechtigungen für Benutzer und Gruppen für bestimmte Objekte in IPAM. Die rollenbasierte Zugriffssteuerung in Windows Server 2012 ist weniger differenziert als in Windows Server 2012 R2. Siehe dazu den folgenden Vergleich.

IPAM-Bereitstellungsoptionen

Ein IPAM-Server ist ein Domänenmitgliedscomputer.

Es stehen drei grundlegende Methoden zum Bereitstellen von IPAM-Servern zur Verfügung:

1. Verteilt: An jedem Unternehmensstandort wird ein IPAM-Server bereitgestellt.

2. Zentral: Ein IPAM-Server für ein Unternehmen.

3. Hybrid: Ein zentraler IPAM-Server, der mit dedizierten IPAM-Servern an jedem Standort bereitgestellt wird.

Im folgenden Beispiel wird die verteilte IPAM-Bereitstellungsmethode mit einem IPAM-Server am Hauptsitz des Unternehmens und weiteren in den einzelnen Niederlassungen dargestellt. Es findet keine Kommunikation oder gemeinsamer Zugriff auf eine Datenbank zwischen verschiedenen IPAM-Servern im Unternehmen statt. Werden mehrere IPAM-Server bereitgestellt, können Sie den Ermittlungsgrad jedes einzelnen IPAM-Servers anpassen oder die Liste der verwalteten Server filtern. Ein einzelner IPAM-Server verwaltet möglicherweise eine bestimmte Domäne oder einen bestimmten Standort, eventuell mit einem zweiten, als Sicherheitsserver konfigurierten IPAM-Server.

Die IPAM versucht in regelmäßigen Abständen, DNS- und DHCP-Server im Netzwerk zu ermitteln, die innerhalb des von Ihnen festgelegten Suchbereichs liegen. Sie müssen entscheiden, ob diese Server von IPAM verwaltet werden oder nicht. Auf diese Weise können Sie verschiedene Servergruppen auswählen, die von IPAM verwaltet werden oder nicht.

Damit sie von IPAM verwaltet werden können, müssen die Sicherheitseinstellungen und Firewallports eines Servers so konfiguriert werden, dass der IPAM-Server ausreichend Zugriff hat, um die erforderlichen Überwachungs- und Konfigurationsfunktionen auszuführen. Sie können diese Einstellungen manuell oder automatisch über Gruppenrichtlinienobjekte (Group Policy Objects, GPOs) vornehmen. Wenn Sie die automatische Methode wählen, werden die Einstellungen vorgenommen, wenn ein Server als "verwaltet" markiert wird, und entfernt, wenn er als "nicht verwaltet" markiert wird.

Der IPAM-Server kommuniziert mit den verwalteten Server über eine RPC- oder WMI-Schnittstelle. IPAM überwacht Domänencontroller und NPS-Server für die Nachverfolgung von IP-Adressen. Zusätzlich zu den Überwachungsfunktionen können verschiedene DHCP-Server- und Bereichseigenschaften über die IPAM-Konsole konfiguriert werden. Die Überwachung des Zonenstatus und einige Konfigurationsfunktionen stehen ebenfalls für DNS-Server zur Verfügung. Siehe folgende Abbildung.

Weitere Informationen finden Sie unter IPAM-Architektur.

IPAM-Spezifikationen

Der Ermittlungsgrad für IPAM-Server ist auf eine einzelne Active Directory-Gesamtstruktur beschränkt. Die Gesamtstruktur kann sich aus vertrauenswürdigen und nicht vertrauenswürdigen Domänen zusammensetzen. IPAM erfordert für die Integration mit anderen Serverinstallationen innerhalb der Active Directory-Gesamtstruktur die Mitgliedschaft in einer Active Directory-Domäne sowie eine funktionstüchtige Netzwerkinfrastrukturumgebung.

Für IPAM gelten die folgenden Spezifikationen:

1. IPAM unterstützt nur Microsoft-Domänencontroller sowie DHCP-, DNS- und Netzwerkrichtlinienserver unter Windows Server® 2008 und höher.

2. IPAM unterstützt nur einer Domäne zugeordnete DHCP-, DNS- und Netzwerkrichtlinienserver innerhalb einer einzigen Active Directory-Gesamtstruktur.

3. In der empfohlenen Konfiguration wird IPAM auf einem eigenständigen Server installiert. Sie können IPAM nicht auf einem Domänencontroller installieren. Wenn IPAM auf demselben Server wie der Rollendienst "DHCP-Server" installiert ist, wird die automatische Ermittlung von DHCP-Servern im Netzwerk deaktiviert.

4. IPAM unterstützt nicht die Verwaltung und Konfiguration von Netzwerkelementen anderer Anbieter als Microsoft. Sie können Windows PowerShell jedoch zum Importieren und Verwalten der IP-Adressdaten von Geräten verwenden, die nicht von Microsoft stammen.

5. IPAM unterstützt unter Windows Server 2012 keine externen Datenbanken. Es werden nur interne Windows-Datenbanken unterstützt.

6. Ein einzelner IPAM-Server kann erwiesenermaßen bis zu 150 DHCP-Server und 500 DNS-Server unterstützen.

7. Ein einzelner IPAM-Server kann erwiesenermaßen bis zu 40.000 DHCP-Bereiche und 350 DNS-Zonen unterstützen.

8. IPAM speichert erwiesenermaßen forensische Daten (IP-Adressleases, Host-MAC-Adressen, An-/Abmeldeinformationen der Benutzer) für 100.000 Benutzer 3 Jahre lang in einer internen Windows-Datenbank. Die Daten werden nicht automatisch gelöscht. Sie müssen bei Bedarf manuell von einem Administrator gelöscht werden.

9. IP-Adressen-Nutzungstrends stehen nur für IPv4 zur Verfügung.

10. Die Rücknahme von IP-Adressen steht für IPv4 und IPv6 zur Verfügung.

11. IPAM überprüft nicht die Konsistenz von IP-Adressen mit Routern und Schaltern.

12. IPAM unterstützt nicht die automatische Konfiguration zur Prüfung zustandsloser IPv6-Adressen zur Verfolgung von Benutzern auf nicht verwalteten Computern.

13. IPAM unterstützt die Integration in System Center Virtual Machine Manager (VMM). Dazu wird ein Windows PowerShell-Skript verwendet, das in System Center VMM und standardmäßig mit der Anwendung ausgeliefert wird. Dank dieser Integration können von IPAM ausführliche Nutzungs- und Bestandsdaten für IP-Adressen und IP-Adressbereiche angezeigt werden, die in System Center VMM verwendet werden.

Praktische Anwendung

Die Überwachung und Verwaltung der IP-Adresseninfrastruktur in Unternehmensnetzwerken ist ein wichtiger Bestandteil der Netzwerkadministration und stellt mit zunehmender Dynamik und Komplexität der Netzwerke eine immer größere Herausforderung dar. Viele IT-Administratoren verfolgen die Zuweisung und Nutzung von IP-Adressen immer noch manuell in Tabellen oder Datenbankanwendungen nach. Dies kann sehr zeitaufwändig und ressourcenintensiv sein und ist zudem natürlich fehleranfällig. IPAM unter Windows Server 2012 stellt eine Plattform zum Verwalten der folgenden IP-Verwaltungsanforderungen bereit:

1. Planung: IPAM ersetzt manuelle Tools und Skripte, die zusätzlich Zeit und Geld für den Planungsprozess kosten und diesen uneinheitlich machen, wenn die Geschäfte erweitert oder verändert werden oder wenn neue Technologien oder Szenarien notwendig werden.

2. Verwaltung: IPAM bietet eine einzige Verwaltungsplattform für die IP-Adressadministration innerhalb des Netzwerkes. IPAM bietet außerdem Möglichkeiten für eine optimierte Nutzungs- und Kapazitätsplanung für DHCP- und DNS-Dienste in verteilten Umgebungen.

3. Nachverfolgung: IPAM ermöglicht die Nachverfolgung und Prognose der Verwendung von IP-Adressen. Da die Nachfrage nach öffentlichen IPv4-Adressbereichen in einer Umgebung mit begrenztem Angebot weiterhin steigt, kann dieser Faktor für ein Unternehmen äußerst wichtig werden.

4. Prüfung: IPAM unterstützt Sie hinsichtlich der Umsetzung von Vorschriften, z. B. dem HIPAA und dem Sarbanes-Oxley-Act, und erstellt Berichte mit forensischen Daten und für die Änderungsverwaltung.

Neue und geänderte Funktionalität

Weitere Informationen unter Neues in IPAM.

Informationen zum Server-Manager

Die Installation des IPAM-Serverfeatures kann über den Server-Manager vorgenommen werden. Die folgenden Features und Tools werden bei der Installation von IPAM-Server automatisch installiert:

Siehe auch

Neues in IPAM

Planen und Entwerfen von IPAM

Bereitstellen von IPAM

Verwalten von IPAM

Schritt für Schritt: Konfigurieren von IPAM für die Verwaltung Ihres IP-Adressraums

Exemplarische Vorgehensweise: Vorführen von IPAM in Server 2012 R2