IP-címkezelés (IPAM) – áttekintés

Érvényes: Windows Server 2012 R2, Windows Server 2012

Ez a témakör összefoglaló információkat ad a Windows Server® 2012 és a Windows Server 2012 R2 IP-címkezelési (IPAM-) kiszolgáló szolgáltatásáról. További tudnivalókat a következő témakörökben talál:

A szolgáltatás leírása

A Windows Server® 2012 és a Windows Server® 2012 R2 rendszerben az IP-címkezelés (IPAM) olyan integrált eszközcsomagot jelent, amelynek segítségével gazdag felhasználói élmény mellett válik lehetővé az IP-címinfrastruktúra végpontok közötti tervezése, telepítése, kezelése és figyelése. IP-címkezelés automatikusan észleli a hálózati IP-címinfrastruktúra kiszolgálóit, és lehetővé teszi azok központi felhasználói felületen keresztüli kezelését.

Az IP-címkezelés a következő tevékenységi körök összetevőit tartalmazza:

1. Címterület-kezelés

2. Virtuális címterület-kezelés*****

3. Többkiszolgálós kezelés és monitorozás

4. Hálózati események naplózása

5. Szerepköralapú hozzáférés-vezérlés******

*****A virtuális IP-címtér kezelése az IPAM és a System Center Virtual Machine Manager szolgáltatás integrálásával valósítható meg, és a Windows Server 2012 R2 vagy újabb operációs rendszerekben érhető el. Ez a szolgáltatás a Windows Server 2012-ben nem érhető el az IPAM-kiszolgálóval.

******A szerepköralapú hozzáférés-vezérlés a Windows Server 2012-ben az IPAM-kiszolgáló helyi felhasználócsoportjainak használatával érhető el. Ez a szolgáltatás a Windows Server 2012 R2-ben jelentős mértékben tovább lett fejlesztve, így részletes beépített és egyéni, szerepköralapú hozzáférési csoportokat is tartalmaz.

A témakör az alábbi szakaszokat is tartalmazza:

• Az IP-címkezelés üzembe helyezési lehetőségei: Összefoglalja az IPAM tervezési szempontjait. Részletes információk: IP-címkezelési architektúra.

• IP-címkezelési specifikációk: Összefoglalja az IPAM telepítési követelményeit és képességeit.

Az IPAM használatának kezdeti lépéseiért lásd: Az IP-címkezelő ügyfélkonzol használata.

Címterület-kezelés

Az IP-címkezelés címterület-kezelési (ASM) funkciójával az IP-címinfrastruktúra megjelenítési lehetőségeinek összes szempontja egyetlen konzolról vezérelhető. Az IP-címkezelés segítségével a címterületek nagy mértékben testre szabott, többszintes – IPv6-címek, valamint nyilvános és magánhálózati IPv4-címek kezeléséhez használható – hierarchiája hozható létre a hálózaton. A címterület-kezelési funkció olyan robusztus jelentéskészítési képességet foglal magában, amely az IP-címkihasználtsági trendek részletes követését teszi lehetővé testre szabott küszöbértékekkel és riasztásokkal.

A címterület-kezelés funkciói a következőket foglalják magukban:

• A dinamikus és statikus IP-címterület integrált kezelése

• Címterületen belüli ütközések, átfedések és ismétlődések észlelése és kezelése a teljes rendszeren belül

• IP-címterület nagy mértékben testre szabható leltárnézete

• Címkihasználtsági statisztikák és trendek központi monitorozása és jelentése

• IPv4- és állapot nélküli IPv6-címek kihasználtságának monitorozási támogatása

• IP-címtartományok automatikus észlelése DHCP-hatókörökből

• IP-címek és IP-címtartományok exportálása és importálása a Windows PowerShell támogatásával

• IP-címhasználati riasztások és értesítések egyéni küszöbökkel

• Elérhető IP-címek felismerése és hozzárendelése

A következő példa bemutatja, hogy az IP-címkezelés címterület-kezelési funkciójával miként monitorozható az IP-címek kihasználtsága. Ebben a példában a 10.72.144.0/22 IP-címtartomány 7 napi kihasználtsági adata látható.

További információ: IP-címtér kezelése.

Virtuális címterület-kezelés

A Windows Server 2012 R2 rendszerben az IPAM képes azon virtuális IP-címtér kezelésére, amely a System Center Virtual Machine Manager (VMM) használatával lett konfigurálva.

Az IP-címkezelés virtuális címterület-kezelési (VASM) funkciója ugyanazokat a funkciókat és képességeket teszi lehetővé a virtuális IP-címinfrastruktúrában, mint amelyekkel a címterület-kezelési funkció is rendelkezik fizikai IP-címterületeken.

További információ: A virtuális IP-címtér kezelése.

Többkiszolgálós kezelés és monitorozás

Az IP-címkezelés többkiszolgálós kezelési (MSM) funkciója lehetővé teszi a DHCP- és DNS-kiszolgálók hálózaton belüli automatikus észlelését, a szolgáltatás elérhetőségének monitorozását, valamint azok konfigurálásának központi kezelését. Az IP-címkezelés a csoportházirendes létesítés mód segítségével az IP-címkezelés ügynökmentes hozzáférési beállításainak gyors és egyszerű létesítését biztosítja kezelt kiszolgálókon. A létesítés manuálisan is elvégezhető.

A címterület-kezelés kulcsfunkciói a következők:

• A Microsoft DHCP- és DNS-kiszolgálóinak az Active Directory-erdőt átfogó automatikus észlelése

• Kezelt kiszolgálók manuális hozzáadása vagy eltávolítása

• DHCP-kiszolgálók és hatókörök végpontok közötti konfigurációja és kezelése

• Fejlett szerkezetek támogatása több DHCP-hatókörön és -kiszolgálón végzendő hozzáadási, törlési, felülírási vagy keresési és csereműveletek engedélyezéséhez

• Általános beállítások egyidejű frissítése több DHCP-hatókörön vagy DHCP-kiszolgálót átfogóan

• A DHCP- és DNS-szolgáltatás, valamint a DNS-zónák rendelkezésre állásának monitorozása

• A Windows Server 2008 rendszerű Microsoft DHCP- és DNS-kiszolgálók vagy annál újabb operációs rendszerek kezelése

• Egyéni adatok hozzáadása kiszolgálókhoz, amely lehetővé teszi a megjelenítést üzleti logikán alapuló logikai csoportok segítségével

• A DHCP-hatókör kihasználtságának monitorozása

• A kiszolgálóadatok automatikus és igény szerinti lekérése kezelt DHCP- és DNS-kiszolgálóktól

• A DNS-zóna állapotának monitorozása a DNS-zóna eseményei alapján

• Észlelt kiszolgálók és szerepkörök osztályozása Kezelt vagy Nem kezelt állapotúként

A következő példa bemutatja, hogy az IP-címkezelés többkiszolgálós kezelési (MSM) funkciója miként teszi lehetővé az IP-alapú DHCP-hatókörök monitorozását a hálózaton. Ebben a példában az US_SEA_zzz3 hatókör részletes adatai láthatók.

További információ: Többkiszolgálós kezelés.

Hálózati események naplózása

Az IP-címkezelés naplózási szolgáltatása központi tárházat biztosít a DHCP-kiszolgálókon és az IP-címkezelési kiszolgálón végrehajtott összes konfigurációs módosításhoz és a hálózaton belül kiadott IP-címekhez. Az IP-címkezelés naplózási eszközei lehetővé teszik a DHCP-kiszolgálókon előforduló lehetséges konfigurációs problémák megjelenítését valamennyi felügyeleti művelet aktív követésével és jelentésével. A rendszer részletes IP-címnyomkövetési adatokat is biztosít, beleértve az ügyfél IP-címeket, ügyfélazonosítókat, az állomásneveket és a felhasználóneveket. A fejlett keresési képességek lehetővé teszik események különválasztott keresését és olyan eredmények elérését, amelyek a felhasználói bejelentkezéseket meghatározott eszközökhöz és időpontokhoz társítják.

A hálózati naplózás kulcsfunkciói következőket foglalják magukban:

• Az eseménykatalógus több kiszolgálót átfogó lekérdezése DHCP-konfigurációs módosítások szempontjából, egyetlen konzolról

• Felhasználók, eszközök és IP-címek meghatározott időközönkénti követése fejlett lekérdezési funkciókkal tartományvezérlők és hálózati házirend-kiszolgálók DHCP-bérletnaplóinak és bejelentkezési eseményeinek segítségével

• Az IP-címkezelési kiszolgáló módosításainak követése és jelentése

• Naplók exportálása és jelentések létrehozása

• Konfigurációs problémák gyors megoldása és a szolgáltatásszint-szerződések követése

A következő példa bemutatja, hogy az IP-címkezelés hálózati eseményekre vonatkozó naplózási funkciója miként teszi lehetővé IP-címek követését a hálózaton. Ebben a példában a kontraktor.hu tartományban előforduló bérletesemény részletei láthatók.

További információ: IP-címkövetés és Működési események követése.

Szerepköralapú hozzáférés-vezérlés

Az IP-címkezelés szerepköralapú hozzáférés-vezérlési funkciója lehetővé teszi a művelettípusok és hozzáférési engedélyek felhasználókra és felhasználócsoportokra vonatkozó testreszabását az IP-címkezelés adott objektumaiban. A Windows Server 2012 rendszerben elérhető szerepköralapú hozzáférés-vezérlés kevésbé részletes, mint a Windows Server 2012 R2 rendszer hasonló szolgáltatása. Ezzel kapcsolatban lásd a következő összehasonlító táblázatot:

Az IP-címkezelés üzembe helyezési lehetőségei

Maga az IP-címkezelés egy tartománytag-számítógép.

Az IP-címkezelési kiszolgálók üzembe helyezésére három általános módszer áll rendelkezésre:

1. Elosztott: A vállalat minden helyszínén telepítenek egy IPAM-kiszolgálót.

2. Központosított: A vállalat egyetlen IPAM-kiszolgálóval rendelkezik.

3. Hibrid: Telepítenek egy központi IPAM-kiszolgálót, illetve dedikált IPAM-kiszolgálókat a vállalat minden helyszínén.

A következő példa az IP-címkezelés elosztott telepítési módszerét mutatja be; a vállalat központjában és minden kirendeltségen is egy-egy IP-címkezelési kiszolgáló található. A vállalaton belül a különböző IP-címkezelési kiszolgálók között nincs kommunikáció vagy adatbázismegosztás. Több IP-címkezelési kiszolgáló üzemeltetése esetén az egyes IP-címkezelési kiszolgálók észlelési hatóköre testre szabható vagy a kezelt kiszolgálók listája szűrhető. Adott tartományt vagy helyet egyetlen IP-címkezelési kiszolgáló kezelhet, míg a második IP-címkezelési kiszolgáló biztonsági másolatkészítőként konfigurálható.

Az IP-címkezelés rendszeres időközönként megkeresi a hálózathoz kapcsolódó, a megadott észlelési hatókörön belül lévő tartományvezérlőket, valamint DNS- és DHCP-kiszolgálókat. Választania kell, hogy ezeket a kiszolgálókat az IP-címkezeléssel szeretné-e kezelni vagy sem. Ehhez a kiszolgálókat különböző csoportokba rendezheti a szerint, hogy kezelésüket az IP-címkezeléssel vagy anélkül szeretné-e ellátni.

Az IP-címkezeléssel történő kezeléshez a kiszolgáló biztonsági beállításait és tűzfalportjait úgy kell konfigurálni, hogy az IP-címkezelési kiszolgáló monitorozási és konfigurációs funkcióinak ellátásához szükséges hozzáférés engedélyezve legyen. Ezek a beállítások csoportházirend-objektumok (GPO) segítségével manuálisan vagy automatikusan konfigurálhatók. Automatikus módszer választása esetén a beállítások akkor lépnek érvénybe, ha a kiszolgáló kezeltként van jelölve; ellenkező esetben a beállítások törlődnek.

Az IP-címkezelési kiszolgáló a kezelt kiszolgálókkal távoli eljáráshívás (RPC) vagy WMI-felületet segítségével kommunikál. Az IP-címkezelés az IP-címek követéséhez tartományvezérlőket és NPS-kiszolgálókat monitoroz. Az IP-címkezelési konzolból a monitorozási funkciók mellett számos DHCP-kiszolgáló és hatókör-tulajdonság konfigurálható. DNS-kiszolgálók esetén zónaállapot-monitorozás és korlátozott konfigurációs funkciók is elérhetők. Ezzel kapcsolatban lásd a következő ábrát:

További információ: IP-címkezelési architektúra.

IP-címkezelési specifikációk

Az IP-címkezelési kiszolgáló észlelésének hatóköre egyetlen Active Directory-erdőre korlátozódik. Maga az erdő megbízható és nem megbízható tartományokból állhat. Az IP-címkezelés Active Directory-tartománybeli tagságot igényel, és a működő hálózatiinfrastruktúra-környezeten keresztül kapcsolódik az Active Directory-erdőben telepített más kiszolgálókhoz.

Az IP-címkezelés specifikációi a következők:

1. Az IPAM kizárólag Windows Server® 2008 és újabb rendszert futtató Microsoft tartományvezérlőket, DHCP-, DNS- és NPS-kiszolgálókat támogat.

2. Az IP-címkezelés csak tartományhoz csatlakoztatott DHCP-, DNS- és NPS-kiszolgálókat támogat egyetlen Active Directory-erdőben.

3. Az IP-címkezelés ajánlott konfigurációja önálló kiszolgálón van telepítve. Az IP-címkezelés tartományvezérlőn nem telepíthető. Ha az IP-címkezelés a DHCP-kiszolgálói szerepkör-szolgáltatással azonos kiszolgálón van telepítve, akkor a hálózati DHCP-kiszolgálók automatikus észlelése tiltva lesz.

4. Az IP-címkezelés csak a Microsoft által biztosított hálózati elemek kezelését és konfigurálását támogatja. Ugyanakkor a Windows PowerShell segítségével nem Microsoft-eszközök IP-címadatai is importálhatók és kezelhetők.

5. A Windows Server 2012 rendszerben az IPAM nem támogatja a külső adatbázisokat. Csak a belső Windows-adatbázist támogatja.

6. Egy teszt alkalmával egyetlen IP-címkezelési kiszolgáló képes volt 150 DHCP-kiszolgáló és 500 DNS-kiszolgáló támogatására.

7. Egy teszt alkalmával egyetlen IP-címkezelési kiszolgáló képes volt 40 000 DHCP-hatókör és 350 DNS-zóna támogatására.

8. Az IP-címkezelés a tesztek alapján képes 3 évre visszamenőleg 100 000 felhasználó eseményadatait (IP-címbérleteket, állomások MAC-címeit, felhasználói bejelentkezések/kijelentkezések adatait) tárolni belső Windows-adatbázisban. Az adatok nem törlődnek automatikusan. A véglegesen törlendő adatokat a rendszergazdának kell igény szerint manuálisan törölni.

9. Az IP-címek kihasználtsági trendjei csak IPv4 esetén érhetők el.

10. IP-címek újraigénylése IPv4 és IPv6 esetén lehetséges.

11. Az IP-címkezelés nem ellenőrzi az IP-címek útválasztókkal és kapcsolókkal való konzisztenciáját.

12. Az IP-címkezelés nem támogatja állapot nélküli IPv6-címek automatikus konfigurálásának nem kezelt gépen való naplózását a felhasználók követéséhez.

13. Az IP-címkezelés támogatja a System Center Virtual Machine Manager (VMM) szolgáltatás integrációját az azzal együtt csomagolt és kiszállított Windows PowerShell-parancsfájlon keresztül. Ez az integráció lehetővé teszi, hogy az IP-címkezelés megjelenítse az IP-címek és a System Center VMM által használt IP-címtartományok részletes kihasználtsági és leltározási adatait.

Gyakorlati alkalmazásmódok

Az IP-címek infrastruktúrájának vállalati hálózaton belüli monitorozása és kezelése a hálózati adminisztráció legkritikusabb feladata, és a hálózatok egyre dinamikusabb növekedésével és komplexitásával egyre nagyobb kihívásokat jelent. Az informatikai rendszergazdák közül sokan még mindig manuálisan, táblázatkezelő programok vagy egyéni adatbázis-alkalmazások segítségével követik az IP-címek hozzárendelését és kihasználtságát. Ez nagyon időigényes és erőforrás-igényes feladattá válhat, és ki van téve a felhasználói tévedések veszélyének. Az IPAM a Windows Server 2012-ben az alábbi IP-címfelügyeleti szükségletek kezeléséhez biztosít platformot.

1. Tervezés: az IPAM használatával felválthatók azok a kézi eszközök és parancsfájlok, amelyek növelik a feldolgozáshoz szükséges időt, valamint nagyobb inkonzisztenciát és költségeket eredményeznek az üzleti bővítések és változások esetén, illetve új technológiák és forgatókönyvek bevezetésekor.

2. Felügyelet: az IPAM egyetlen felügyeleti platformot biztosít a hálózaton történő IP-címkezeléshez. Az IP-címkezelés elosztott környezetek DHCP- és DNS-szolgáltatásainak optimalizált kihasználását és kapacitástervezését is lehetővé teszi.

3. Követés: az IPAM lehetővé teszi az IP-címhasználat követését és előrejelzését. A korlátozott forrásokkal rendelkező környezetek nyilvános IPv4-címterület iránti igénye folyamatosan nő, ami a szervezetek számára kritikussá válhat.

4. Naplózás: az IPAM elősegíti többek között a HIPAA és a Sarbanes-Oxley törvényeknek való megfelelést, valamint jelentéskészítési lehetőséget biztosít a vizsgálatokhoz és a változáskezeléshez.

Új és módosított funkciók

Lásd: Az IPAM újdonságai.

A Kiszolgálókezelő adatai

Az IP-címkezelési kiszolgáló telepítése a Kiszolgálókezelőn keresztül hajtható végre. Az IP-címkezelési kiszolgáló telepítése során a következő funkciók és eszközök is automatikusan települnek:

Lásd még:

Az IPAM újdonságai

Az IPAM megtervezése és kialakítása

IPAM központi telepítése

IPAM kezelése

Bemutató: Az IPAM bemutatása a Windows Server 2012 rendszerben

Bemutató: Az IPAM bemutatása Windows Server 2012 R2 rendszerben