IP-címkezelés (IPAM) – áttekintés
Érvényes: Windows Server 2012 R2, Windows Server 2012
Ez a témakör összefoglaló információkat ad a Windows Server® 2012 és a Windows Server 2012 R2 IP-címkezelési (IPAM-) kiszolgáló szolgáltatásáról. További tudnivalókat a következő témakörökben talál:
Témakör |
Útmutatás |
---|---|
Ez a témakör az IP-címkezelés különböző Windows Server operációsrendszer-verziókban elérhető bővítéseiről és módosításairól ad tájékoztatást. |
|
A témakör az IP-címkezelés használatát mutatja be tesztkörnyezetben, lépésekre bontott eljárásokkal. |
|
A témakör szerkezeti és tervezési útmutatással szolgál az IP-címkezeléshez. |
|
Ez a témakör részletes, „kattintásokra bontott” üzembe helyezési utasításokat tartalmaz az IP-címkezelés éles környezetben történő telepítéséhez. |
|
A témakör az IP-címkezelés üzemeltetésével, hibaelhárításával és bevált gyakorlati módszereivel kapcsolatos útmutatásokat tartalmazza. |
|
Két virtuális tesztkörnyezet érhető el a Windows Server 2012 rendszerhez, nevezetesen: Managing Your Network Infrastructure with IP Address Management (A hálózati infrastruktúra kezelése IP-címkezeléssel) – csak az IPAM használatát ismerteti –, valamint Building a Resilient Network Infrastructure (Rugalmas hálózati infrastruktúra kiépítése) – az IPAM, illetve a DNSSEC- és DHCP-feladatátvétel a Windows Server 2012-ben való együttes használatára irányuló virtuális tesztkörnyezet.Megjegyzés: A virtuális tesztkörnyezetek indítása hosszabb időt vehet igénybe. |
|
Ez a témakör az IP-címkezelési kiszolgálóhoz elérhető Windows PowerShell-parancsmagokról ad áttekintést. |
A szolgáltatás leírása
A Windows Server® 2012 és a Windows Server® 2012 R2 rendszerben az IP-címkezelés (IPAM) olyan integrált eszközcsomagot jelent, amelynek segítségével gazdag felhasználói élmény mellett válik lehetővé az IP-címinfrastruktúra végpontok közötti tervezése, telepítése, kezelése és figyelése. IP-címkezelés automatikusan észleli a hálózati IP-címinfrastruktúra kiszolgálóit, és lehetővé teszi azok központi felhasználói felületen keresztüli kezelését.
Az IP-címkezelés a következő tevékenységi körök összetevőit tartalmazza:
Címterület-kezelés
Virtuális címterület-kezelés*****
Többkiszolgálós kezelés és monitorozás
Hálózati események naplózása
Szerepköralapú hozzáférés-vezérlés******
*****A virtuális IP-címtér kezelése az IPAM és a System Center Virtual Machine Manager szolgáltatás integrálásával valósítható meg, és a Windows Server 2012 R2 vagy újabb operációs rendszerekben érhető el. Ez a szolgáltatás a Windows Server 2012-ben nem érhető el az IPAM-kiszolgálóval.
******A szerepköralapú hozzáférés-vezérlés a Windows Server 2012-ben az IPAM-kiszolgáló helyi felhasználócsoportjainak használatával érhető el. Ez a szolgáltatás a Windows Server 2012 R2-ben jelentős mértékben tovább lett fejlesztve, így részletes beépített és egyéni, szerepköralapú hozzáférési csoportokat is tartalmaz.
A témakör az alábbi szakaszokat is tartalmazza:
Az IP-címkezelés üzembe helyezési lehetőségei: Összefoglalja az IPAM tervezési szempontjait. Részletes információk: IP-címkezelési architektúra.
IP-címkezelési specifikációk: Összefoglalja az IPAM telepítési követelményeit és képességeit.
Az IPAM használatának kezdeti lépéseiért lásd: Az IP-címkezelő ügyfélkonzol használata.
Címterület-kezelés
Az IP-címkezelés címterület-kezelési (ASM) funkciójával az IP-címinfrastruktúra megjelenítési lehetőségeinek összes szempontja egyetlen konzolról vezérelhető. Az IP-címkezelés segítségével a címterületek nagy mértékben testre szabott, többszintes – IPv6-címek, valamint nyilvános és magánhálózati IPv4-címek kezeléséhez használható – hierarchiája hozható létre a hálózaton. A címterület-kezelési funkció olyan robusztus jelentéskészítési képességet foglal magában, amely az IP-címkihasználtsági trendek részletes követését teszi lehetővé testre szabott küszöbértékekkel és riasztásokkal.
A címterület-kezelés funkciói a következőket foglalják magukban:
A dinamikus és statikus IP-címterület integrált kezelése
Címterületen belüli ütközések, átfedések és ismétlődések észlelése és kezelése a teljes rendszeren belül
IP-címterület nagy mértékben testre szabható leltárnézete
Címkihasználtsági statisztikák és trendek központi monitorozása és jelentése
IPv4- és állapot nélküli IPv6-címek kihasználtságának monitorozási támogatása
IP-címtartományok automatikus észlelése DHCP-hatókörökből
IP-címek és IP-címtartományok exportálása és importálása a Windows PowerShell támogatásával
IP-címhasználati riasztások és értesítések egyéni küszöbökkel
Elérhető IP-címek felismerése és hozzárendelése
A következő példa bemutatja, hogy az IP-címkezelés címterület-kezelési funkciójával miként monitorozható az IP-címek kihasználtsága. Ebben a példában a 10.72.144.0/22 IP-címtartomány 7 napi kihasználtsági adata látható.
További információ: IP-címtér kezelése.
Virtuális címterület-kezelés
A Windows Server 2012 R2 rendszerben az IPAM képes azon virtuális IP-címtér kezelésére, amely a System Center Virtual Machine Manager (VMM) használatával lett konfigurálva.
Az IP-címkezelés virtuális címterület-kezelési (VASM) funkciója ugyanazokat a funkciókat és képességeket teszi lehetővé a virtuális IP-címinfrastruktúrában, mint amelyekkel a címterület-kezelési funkció is rendelkezik fizikai IP-címterületeken.
További információ: A virtuális IP-címtér kezelése.
Többkiszolgálós kezelés és monitorozás
Az IP-címkezelés többkiszolgálós kezelési (MSM) funkciója lehetővé teszi a DHCP- és DNS-kiszolgálók hálózaton belüli automatikus észlelését, a szolgáltatás elérhetőségének monitorozását, valamint azok konfigurálásának központi kezelését. Az IP-címkezelés a csoportházirendes létesítés mód segítségével az IP-címkezelés ügynökmentes hozzáférési beállításainak gyors és egyszerű létesítését biztosítja kezelt kiszolgálókon. A létesítés manuálisan is elvégezhető.
A címterület-kezelés kulcsfunkciói a következők:
A Microsoft DHCP- és DNS-kiszolgálóinak az Active Directory-erdőt átfogó automatikus észlelése
Kezelt kiszolgálók manuális hozzáadása vagy eltávolítása
DHCP-kiszolgálók és hatókörök végpontok közötti konfigurációja és kezelése
Fejlett szerkezetek támogatása több DHCP-hatókörön és -kiszolgálón végzendő hozzáadási, törlési, felülírási vagy keresési és csereműveletek engedélyezéséhez
Általános beállítások egyidejű frissítése több DHCP-hatókörön vagy DHCP-kiszolgálót átfogóan
A DHCP- és DNS-szolgáltatás, valamint a DNS-zónák rendelkezésre állásának monitorozása
A Windows Server 2008 rendszerű Microsoft DHCP- és DNS-kiszolgálók vagy annál újabb operációs rendszerek kezelése
Egyéni adatok hozzáadása kiszolgálókhoz, amely lehetővé teszi a megjelenítést üzleti logikán alapuló logikai csoportok segítségével
A DHCP-hatókör kihasználtságának monitorozása
A kiszolgálóadatok automatikus és igény szerinti lekérése kezelt DHCP- és DNS-kiszolgálóktól
A DNS-zóna állapotának monitorozása a DNS-zóna eseményei alapján
Észlelt kiszolgálók és szerepkörök osztályozása Kezelt vagy Nem kezelt állapotúként
A következő példa bemutatja, hogy az IP-címkezelés többkiszolgálós kezelési (MSM) funkciója miként teszi lehetővé az IP-alapú DHCP-hatókörök monitorozását a hálózaton. Ebben a példában az US_SEA_zzz3 hatókör részletes adatai láthatók.
További információ: Többkiszolgálós kezelés.
Hálózati események naplózása
Az IP-címkezelés naplózási szolgáltatása központi tárházat biztosít a DHCP-kiszolgálókon és az IP-címkezelési kiszolgálón végrehajtott összes konfigurációs módosításhoz és a hálózaton belül kiadott IP-címekhez. Az IP-címkezelés naplózási eszközei lehetővé teszik a DHCP-kiszolgálókon előforduló lehetséges konfigurációs problémák megjelenítését valamennyi felügyeleti művelet aktív követésével és jelentésével. A rendszer részletes IP-címnyomkövetési adatokat is biztosít, beleértve az ügyfél IP-címeket, ügyfélazonosítókat, az állomásneveket és a felhasználóneveket. A fejlett keresési képességek lehetővé teszik események különválasztott keresését és olyan eredmények elérését, amelyek a felhasználói bejelentkezéseket meghatározott eszközökhöz és időpontokhoz társítják.
A hálózati naplózás kulcsfunkciói következőket foglalják magukban:
Az eseménykatalógus több kiszolgálót átfogó lekérdezése DHCP-konfigurációs módosítások szempontjából, egyetlen konzolról
Felhasználók, eszközök és IP-címek meghatározott időközönkénti követése fejlett lekérdezési funkciókkal tartományvezérlők és hálózati házirend-kiszolgálók DHCP-bérletnaplóinak és bejelentkezési eseményeinek segítségével
Az IP-címkezelési kiszolgáló módosításainak követése és jelentése
Naplók exportálása és jelentések létrehozása
Konfigurációs problémák gyors megoldása és a szolgáltatásszint-szerződések követése
A következő példa bemutatja, hogy az IP-címkezelés hálózati eseményekre vonatkozó naplózási funkciója miként teszi lehetővé IP-címek követését a hálózaton. Ebben a példában a kontraktor.hu tartományban előforduló bérletesemény részletei láthatók.
További információ: IP-címkövetés és Működési események követése.
Szerepköralapú hozzáférés-vezérlés
Az IP-címkezelés szerepköralapú hozzáférés-vezérlési funkciója lehetővé teszi a művelettípusok és hozzáférési engedélyek felhasználókra és felhasználócsoportokra vonatkozó testreszabását az IP-címkezelés adott objektumaiban. A Windows Server 2012 rendszerben elérhető szerepköralapú hozzáférés-vezérlés kevésbé részletes, mint a Windows Server 2012 R2 rendszer hasonló szolgáltatása. Ezzel kapcsolatban lásd a következő összehasonlító táblázatot:
Csoport |
Windows Server 2012 |
Windows Server 2012 R2 |
---|---|---|
Helyi IP-címkezelési biztonsági csoportok |
IPAM-felhasználók IPAM ASM-rendszergazdák IPAM MSM-rendszergazdák IPAM IP-biztonsági rendszergazdák IPAM-rendszergazdák |
IPAM-felhasználók IPAM ASM-rendszergazdák IPAM MSM-rendszergazdák IPAM IP-biztonsági rendszergazdák IPAM-rendszergazdák |
Beépített IP-címkezelési szerepköralapú hozzáférési csoportok |
N.a. |
DNS-rögzítési rendszergazda IP-címrekord rendszergazda IP-címkezelési rendszergazda IP-címkezelési ASM-rendszergazda IP-címkezelési DHCP-rendszergazda IP-címkezelési DHCP-fenntartási rendszergazda IP-címkezelési DHCP-hatóköri rendszergazda IP-címkezelési MSM-rendszergazda |
Egyéni IP-címkezelési szerepköralapú hozzáférési csoportok |
N.a. |
Korlátlan |
Az IP-címkezelés üzembe helyezési lehetőségei
Maga az IP-címkezelés egy tartománytag-számítógép.
Fontos
Az IP-címkezelési funkció Active Directory-tartományvezérlőre nem telepíthető.
Az IP-címkezelési kiszolgálók üzembe helyezésére három általános módszer áll rendelkezésre:
Elosztott: A vállalat minden helyszínén telepítenek egy IPAM-kiszolgálót.
Központosított: A vállalat egyetlen IPAM-kiszolgálóval rendelkezik.
Hibrid: Telepítenek egy központi IPAM-kiszolgálót, illetve dedikált IPAM-kiszolgálókat a vállalat minden helyszínén.
A következő példa az IP-címkezelés elosztott telepítési módszerét mutatja be; a vállalat központjában és minden kirendeltségen is egy-egy IP-címkezelési kiszolgáló található. A vállalaton belül a különböző IP-címkezelési kiszolgálók között nincs kommunikáció vagy adatbázismegosztás. Több IP-címkezelési kiszolgáló üzemeltetése esetén az egyes IP-címkezelési kiszolgálók észlelési hatóköre testre szabható vagy a kezelt kiszolgálók listája szűrhető. Adott tartományt vagy helyet egyetlen IP-címkezelési kiszolgáló kezelhet, míg a második IP-címkezelési kiszolgáló biztonsági másolatkészítőként konfigurálható.
Az IP-címkezelés rendszeres időközönként megkeresi a hálózathoz kapcsolódó, a megadott észlelési hatókörön belül lévő tartományvezérlőket, valamint DNS- és DHCP-kiszolgálókat. Választania kell, hogy ezeket a kiszolgálókat az IP-címkezeléssel szeretné-e kezelni vagy sem. Ehhez a kiszolgálókat különböző csoportokba rendezheti a szerint, hogy kezelésüket az IP-címkezeléssel vagy anélkül szeretné-e ellátni.
Az IP-címkezeléssel történő kezeléshez a kiszolgáló biztonsági beállításait és tűzfalportjait úgy kell konfigurálni, hogy az IP-címkezelési kiszolgáló monitorozási és konfigurációs funkcióinak ellátásához szükséges hozzáférés engedélyezve legyen. Ezek a beállítások csoportházirend-objektumok (GPO) segítségével manuálisan vagy automatikusan konfigurálhatók. Automatikus módszer választása esetén a beállítások akkor lépnek érvénybe, ha a kiszolgáló kezeltként van jelölve; ellenkező esetben a beállítások törlődnek.
Az IP-címkezelési kiszolgáló a kezelt kiszolgálókkal távoli eljáráshívás (RPC) vagy WMI-felületet segítségével kommunikál. Az IP-címkezelés az IP-címek követéséhez tartományvezérlőket és NPS-kiszolgálókat monitoroz. Az IP-címkezelési konzolból a monitorozási funkciók mellett számos DHCP-kiszolgáló és hatókör-tulajdonság konfigurálható. DNS-kiszolgálók esetén zónaállapot-monitorozás és korlátozott konfigurációs funkciók is elérhetők. Ezzel kapcsolatban lásd a következő ábrát:
További információ: IP-címkezelési architektúra.
IP-címkezelési specifikációk
Az IP-címkezelési kiszolgáló észlelésének hatóköre egyetlen Active Directory-erdőre korlátozódik. Maga az erdő megbízható és nem megbízható tartományokból állhat. Az IP-címkezelés Active Directory-tartománybeli tagságot igényel, és a működő hálózatiinfrastruktúra-környezeten keresztül kapcsolódik az Active Directory-erdőben telepített más kiszolgálókhoz.
Az IP-címkezelés specifikációi a következők:
Az IPAM kizárólag Windows Server® 2008 és újabb rendszert futtató Microsoft tartományvezérlőket, DHCP-, DNS- és NPS-kiszolgálókat támogat.
Az IP-címkezelés csak tartományhoz csatlakoztatott DHCP-, DNS- és NPS-kiszolgálókat támogat egyetlen Active Directory-erdőben.
Az IP-címkezelés ajánlott konfigurációja önálló kiszolgálón van telepítve. Az IP-címkezelés tartományvezérlőn nem telepíthető. Ha az IP-címkezelés a DHCP-kiszolgálói szerepkör-szolgáltatással azonos kiszolgálón van telepítve, akkor a hálózati DHCP-kiszolgálók automatikus észlelése tiltva lesz.
Az IP-címkezelés csak a Microsoft által biztosított hálózati elemek kezelését és konfigurálását támogatja. Ugyanakkor a Windows PowerShell segítségével nem Microsoft-eszközök IP-címadatai is importálhatók és kezelhetők.
A Windows Server 2012 rendszerben az IPAM nem támogatja a külső adatbázisokat. Csak a belső Windows-adatbázist támogatja.
Egy teszt alkalmával egyetlen IP-címkezelési kiszolgáló képes volt 150 DHCP-kiszolgáló és 500 DNS-kiszolgáló támogatására.
Egy teszt alkalmával egyetlen IP-címkezelési kiszolgáló képes volt 40 000 DHCP-hatókör és 350 DNS-zóna támogatására.
Az IP-címkezelés a tesztek alapján képes 3 évre visszamenőleg 100 000 felhasználó eseményadatait (IP-címbérleteket, állomások MAC-címeit, felhasználói bejelentkezések/kijelentkezések adatait) tárolni belső Windows-adatbázisban. Az adatok nem törlődnek automatikusan. A véglegesen törlendő adatokat a rendszergazdának kell igény szerint manuálisan törölni.
Az IP-címek kihasználtsági trendjei csak IPv4 esetén érhetők el.
IP-címek újraigénylése IPv4 és IPv6 esetén lehetséges.
Az IP-címkezelés nem ellenőrzi az IP-címek útválasztókkal és kapcsolókkal való konzisztenciáját.
Az IP-címkezelés nem támogatja állapot nélküli IPv6-címek automatikus konfigurálásának nem kezelt gépen való naplózását a felhasználók követéséhez.
Az IP-címkezelés támogatja a System Center Virtual Machine Manager (VMM) szolgáltatás integrációját az azzal együtt csomagolt és kiszállított Windows PowerShell-parancsfájlon keresztül. Ez az integráció lehetővé teszi, hogy az IP-címkezelés megjelenítse az IP-címek és a System Center VMM által használt IP-címtartományok részletes kihasználtsági és leltározási adatait.
Gyakorlati alkalmazásmódok
Az IP-címek infrastruktúrájának vállalati hálózaton belüli monitorozása és kezelése a hálózati adminisztráció legkritikusabb feladata, és a hálózatok egyre dinamikusabb növekedésével és komplexitásával egyre nagyobb kihívásokat jelent. Az informatikai rendszergazdák közül sokan még mindig manuálisan, táblázatkezelő programok vagy egyéni adatbázis-alkalmazások segítségével követik az IP-címek hozzárendelését és kihasználtságát. Ez nagyon időigényes és erőforrás-igényes feladattá válhat, és ki van téve a felhasználói tévedések veszélyének. Az IPAM a Windows Server 2012-ben az alábbi IP-címfelügyeleti szükségletek kezeléséhez biztosít platformot.
Tervezés: az IPAM használatával felválthatók azok a kézi eszközök és parancsfájlok, amelyek növelik a feldolgozáshoz szükséges időt, valamint nagyobb inkonzisztenciát és költségeket eredményeznek az üzleti bővítések és változások esetén, illetve új technológiák és forgatókönyvek bevezetésekor.
Felügyelet: az IPAM egyetlen felügyeleti platformot biztosít a hálózaton történő IP-címkezeléshez. Az IP-címkezelés elosztott környezetek DHCP- és DNS-szolgáltatásainak optimalizált kihasználását és kapacitástervezését is lehetővé teszi.
Követés: az IPAM lehetővé teszi az IP-címhasználat követését és előrejelzését. A korlátozott forrásokkal rendelkező környezetek nyilvános IPv4-címterület iránti igénye folyamatosan nő, ami a szervezetek számára kritikussá válhat.
Naplózás: az IPAM elősegíti többek között a HIPAA és a Sarbanes-Oxley törvényeknek való megfelelést, valamint jelentéskészítési lehetőséget biztosít a vizsgálatokhoz és a változáskezeléshez.
Új és módosított funkciók
Lásd: Az IPAM újdonságai.
A Kiszolgálókezelő adatai
Az IP-címkezelési kiszolgáló telepítése a Kiszolgálókezelőn keresztül hajtható végre. Az IP-címkezelési kiszolgáló telepítése során a következő funkciók és eszközök is automatikusan települnek:
Funkció vagy eszköz |
Leírás |
---|---|
Távoli kiszolgálófelügyelet eszközei |
A DHCP-, DNS- és IP-címkezelési kiszolgálók távoli kezelését DHCP- és DNS-kiszolgálói eszközök és IP-címkezelési (IPAM) ügyfél biztosítja. |
Belső Windows-adatbázis |
A belső Windows-adatbázis csak Windows-szerepkörök és -funkciók által használható relációs adattároló. |
Windows folyamataktivációs szolgáltatás |
A Windows folyamataktivációs szolgáltatás (WAS) az IIS-folyamatmodellt általánosítva megszünteti a HTTP protokolltól való függőséget. |
Csoportházirend kezelése |
A csoportházirend-kezelés a Microsoft Management Console (MMC) parancsfájllal kezelhető szolgáltatása, amely egyszerű felügyeleti eszközt biztosít a csoportházirend kezeléséhez. |
A .NET-keretrendszer 4.5-ös verziójának funkciói |
A .NET-keretrendszer 4.5-ö verziója programozási modellt biztosít számos különböző platformra tervezett alkalmazások kialakításához és futtatásához. |
Lásd még:
Az IPAM megtervezése és kialakítása
Bemutató: Az IPAM bemutatása a Windows Server 2012 rendszerben
Bemutató: Az IPAM bemutatása Windows Server 2012 R2 rendszerben