Overzicht van IP-adresmanagement (IPAM)

  • Artikel

 

Van toepassing op: Windows Server 2012 R2, Windows Server 2012

Dit onderwerp biedt een overzicht van het onderdeel IPAM (IP Address Management) Server in Windows Server® 2012 en Windows Server 2012 R2. Zie de volgende onderwerpen voor meer informatie:

Onderwerp

Informatie

Wat is er nieuw in IPAM [omgeleid]

Dit onderwerp bevat informatie over toevoegingen en wijzigingen in IPAM in verschillende versies van het Windows Server-besturingssysteem.

IPAM demonstreren

Stapsgewijze procedures voor het gebruik van IPAM in een testomgeving.

IPAM plannen en ontwerpen

Informatie over architectuur en planning voor IPAM.

IPAM implementeren

Gedetailleerde implementatie-instructies waarmee u IPAM in een productieomgeving kunt implementeren.

IPAM beheren

Bevat operationele informatie, oplossingen voor problemen en aanbevolen procedures voor IPAM.

Virtuele labs voor Windows Server 2012

Er zijn twee virtuele labs beschikbaar voor Windows Server 2012, inclusief Managing Your Network Infrastructure with IP Address Management, waarin alleen IPAM wordt gedemonstreerd, en Building a Resilient Network Infrastructure, een virtueel lab waarin IPAM wordt gecombineerd met DNSSEC- en DHCP-failover in Windows Server 2012.Opmerking: het starten van virtuele labs kan enige tijd in beslag nemen.

Cmdlets voor IPAM-server in Windows PowerShell

Een overzicht en voorbeelden van beschikbare Windows PowerShell-cmdlets voor IPAM-servers.

Functiebeschrijving

IPAM in Windows Server® 2012 en Windows Server® 2012 R2 is een geïntegreerde suite met hulpprogramma's waarmee de end-to-end-planning, implementatie, beheer en controle van uw IP-adresinfrastructuur kan worden verbeterd. IPAM detecteert IP-adresinfrastructuurservers in uw netwerk automatisch en stelt u in staat deze te beheren via een centrale interface.

IPAM omvat onderdelen voor:

  1. Het beheer van adresruimte

  2. Het beheer van virtuele adresruimte*****

  3. Het beheer en de bewaking van meerdere servers

  4. Netwerkcontrole

  5. Toegangsbeheer op basis van rollen******

* Het beheer van virtuele IP-adresruimte wordt ingeschakeld via de integratie van IPAM met System Center Virtual Machine Manager en is beschikbaar in Windows Server 2012 R2 en latere besturingssystemen. Deze functie is niet beschikbaar met IPAM in Windows Server 2012.

** Toegangsbeheer op basis van de functie is beschikbaar in Windows Server 2012 met lokale gebruikersgroepen op de IPAM-server. Dit onderdeel is aanzienlijk verbeterd in Windows Server 2012 R2 om gedetailleerde ingebouwde en aangepaste toegangsgroepen op basis van de functie te bieden.

Zie ook de volgende gedeelten in dit onderwerp:

  • Opties voor implementatie van IPAM: hier wordt een overzicht gegeven van het gekozen IPAM-ontwerp. Zie IPAM-architectuur voor meer informatie.

  • IPAM-specificaties: hier wordt een overzicht van IPAM-implementatievereisten en -capaciteiten weergegeven.

Zie De IPAM-clientconsole gebruiken voor informatie om aan de slag te gaan met IPAM.

Het beheer van adresruimte

Met de IPAM-functie voor adresruimtebeheer kunt u vanuit één console inzicht in alle aspecten van uw IP-adresinfrastructuur krijgen. Met IPAM kunt u een zeer aangepaste hiërarchie met meerdere niveaus voor de adresruimte in uw netwerk maken en gebruiken om IPv6-adressen en openbare en persoonlijke IPv4-adressen te beheren. Het onderdeel voor adresruimtebeheer omvat een robuuste rapportagefunctie voor de gedetailleerde tracering van trends in het gebruik van IP-adressen met aangepaste drempelwaarden en waarschuwingen.

Het onderdeel voor adresruimtebeheer biedt de volgende mogelijkheden.

  • Geïntegreerd beheer van dynamische en statische IP-adresruimte

  • Detectie en beheer van conflicten, overlappingen en dubbele items in adresruimten op verschillende systemen

  • Zeer aanpasbare inventarisweergave van IP-adresruimte

  • Centrale bewaking en rapportage van gebruiksstatistieken en trends voor adressen

  • Ondersteuning voor de controle van het gebruik van IPv4- en staatloze IPv6-adressen

  • Automatische detectie van IP-adresbereiken van DHCP-scopes

  • Exporteren en importeren van IP-adressen en IP-adresbereiken met Windows PowerShell-ondersteuning

  • Waarschuwingen en meldingen voor het gebruik van IP-adressen met aangepaste drempelwaarden

  • Detectie en toewijzing van beschikbare IP-adressen

In het volgende voorbeeld ziet u hoe het IPAM-onderdeel voor adresruimtebeheer u in staat stelt het gebruik van IP-adressen te controleren. In dit voorbeeld worden zeven dagen aan gebruiksgegevens weergegeven voor het IP-adresbereik 10.72.144.0/22.

Adrestrend

Zie IP-adresruimte beheren voor meer informatie.

Het beheer van virtuele adresruimte

Met IPAM in Windows Server 2012 R2 kunt u virtuele IP-adresruimte beheren die is geconfigureerd met System Center Virtual Machine Manager (VMM).

Het IPAM-onderdeel voor het beheer van virtuele adresruimte biedt u dezelfde functies en mogelijkheden voor uw virtuele IP-adresinfrastructuur als het onderdeel voor adresruimtebeheer voor uw fysieke IP-adresruimte.

Zie Virtuele IP-adresruimte beheren voor meer informatie.

Het beheer en de bewaking van meerdere servers

Met het IPAM-onderdeel voor het beheer van meerdere servers kunt u DHCP- en DNS-servers in het netwerk automatisch detecteren, de servicebeschikbaarheid controleren en de configuratie hiervan centraal beheren. Op basis van de inrichtingsmodus van Groepsbeleid biedt IPAM een snelle en eenvoudige methode voor de inrichting van IPAM-toegangsinstellingen zonder agent op beheerde servers. Een handmatige inrichtingsmodus is ook beschikbaar.

Het onderdeel voor het beheer van meerdere servers biedt de volgende mogelijkheden.

  • Automatische detectie van Microsoft DHCP en DNS-servers in een Active Directory-forest

  • Handmatig toevoegen of verwijderen van beheerde servers

  • End-to-end configuratie en beheer van DHCP-servers en -bereiken

  • Ondersteuning voor geavanceerde constructs om bewerkingen voor toevoegen, verwijderen, overschrijven, of zoeken en vervangen op meerdere DHCP-scopes en -servers te kunnen uitvoeren

  • Gelijktijdig bijwerken van algemene instellingen van meerdere DHCP-scopes of -servers

  • Beschikbaarheidscontrole voor DHCP- en DNS-services en DNS-zones

  • Beheer van Microsoft DHCP- en DNS-servers met Windows 2008 of latere besturingssystemen

  • Toevoeging van aangepaste gegevens aan servers om visualisatie met logische groepen op basis van bedrijfsregels in te schakelen

  • Gebruik van DHCP-scope controleren

  • Automatisch en op verzoek ophalen van servergegevens van beheerde DHCP- en DNS-servers

  • Controle van DNS-zonestatus op basis van DNS-zonegebeurtenissen

  • Gedetecteerde servers en functies classificeren als beheerd of onbeheerd

In het volgende voorbeeld ziet u hoe het IPAM-onderdeel voor het beheer van meerdere servers u in staat stelt DHCP-scopes in het netwerk te controleren. In dit voorbeeld worden gedetailleerde gegevens weergegeven voor de scope US_SEA_zzz3.

Weergave Scopes

Zie Beheer van meerdere servers voor meer informatie.

Netwerkcontrole

Het IPAM-onderdeel voor controle biedt een centrale opslagplaats voor alle configuratiewijzigingen die worden doorgevoerd op DHCP-servers en de IPAM-server, en IP-adressen die zijn uitgegeven in het netwerk. Met IPAM-controleprogramma's kunt u mogelijke configuratieproblemen op DHCP-servers weergeven door alle beheertaken actief bij te houden en te rapporteren. Daarnaast worden gedetailleerde traceringsgegevens voor IP-adressen weergegeven, inclusief IP-adressen van clients, de client-id, hostnaam en gebruikersnaam. Met geavanceerde zoekfuncties kunt u selectief zoeken naar gebeurtenissen en resultaten krijgen waarmee gebruikersaanmeldingen kunnen worden gekoppeld aan specifieke apparaten en tijden.

Het onderdeel voor netwerkcontrole biedt de volgende mogelijkheden.

  • Vanuit één console de gebeurteniscatalogus controleren op wijzigingen in de DHCP-configuratie op meerdere servers

  • Gebruikers, apparaten en IP-adressen van domeincontrollers en netwerkbeleidsservers voor opgegeven intervallen volgen met geavanceerde query's op basis van DHCP-leaselogboeken en aanmeldingsgebeurtenissen

  • Wijzigingen op de IPAM-server bijhouden en rapporteren

  • Controleresultaten exporteren en rapporten maken

  • Snel configuratieproblemen oplossen en serviceovereenkomsten bijhouden

In het volgende voorbeeld ziet u hoe het IPAM-onderdeel voor netwerkcontrole u in staat stelt IP-adressen in het netwerk bij te houden. In dit voorbeeld worden details weergegeven voor een lease-gebeurtenis in het domein contoso.com.

Adres bijhouden

Zie voor meer informatie IP-adresactiviteiten bijhouden en Operationele gebeurtenissen bijhouden.

Toegangsbeheer op basis van rollen

Met het IPAM-onderdeel voor toegangsbeheer op basis van functie kunt u de typen bewerkingen en toegangsmachtigingen voor gebruikers en groepen gebruikers voor bepaalde objecten in IPAM aanpassen. Toegangsbeheer op basis van functies in Windows Server 2012 is minder gedetailleerd dan in Windows Server 2012 R2. Bekijk de volgende vergelijking.

Groep

Windows Server 2012

Windows Server 2012 R2

Lokale IPAM-beveiligingsgroepen

IPAM-gebruikers

IPAM ASM-administrators

IPAM MSM-administrators

IPAM IP Audit-administrators

IPAM-administrators

IPAM-gebruikers

IPAM ASM-administrators

IPAM MSM-administrators

IPAM IP Audit-administrators

IPAM-administrators

Ingebouwde IPAM-toegangsgroepen op basis van functie

N.v.t.

DNS-recordadministrator

IP-adresrecordadministrator

IPAM-administrator

IPAM ASM-administrator

IPAM DHCP-administrator

IPAM DHCP-reserveringsadministrator

IPAM DHCP-scopeadministrator

IPAM MSM-administrator

Aangepaste toegangsgroepen op basis van IPAM-functies

N.v.t.

Onbeperkt

Opties voor implementatie van IPAM

Een IPAM-server is een domeinlid (computer).

Belangrijk

U kunt het onderdeel IPAM niet installeren op een Active Directory-domeincontroller.

Er zijn drie algemene methoden om IPAM-servers te implementeren:

  1. Gedistribueerd: op elke site in een onderneming is een IPAM-server geïmplementeerd.

  2. Gecentraliseerd: één IPAM-server in een onderneming.

  3. Hybride: er is een centrale IPAM-server geïmplementeerd met speciale IPAM-servers in elke vestiging.

In het volgende voorbeeld wordt de gedistribueerde methode voor IPAM-implementatie met één IPAM-server op het hoofdkantoor en ook in elke vestiging weergegeven. Er vindt geen communicatie of deling van databases plaats tussen verschillende IPAM-servers. Als er meerdere IPAM-servers zijn geïmplementeerd, kunt u het bereik van detectie voor elke IPAM-server aanpassen of de lijst met beheerde servers filteren. Met één IPAM-server kan een specifiek domein of een locatie worden beheerd, bijvoorbeeld met een tweede IPAM-server geconfigureerd als back-up.

IPAM-architectuur

Periodiek wordt in het netwerk gezocht naar domeincontrollers, DNS- en DHCP-servers die zich in de door u opgegeven detectiescope bevinden. U moet opgeven of deze servers worden beheerd door IPAM of niet worden beheerd. Op deze manier kunt u verschillende groepen servers selecteren die al dan niet worden beheerd door IPAM.

Beveiligingsinstellingen en firewallpoorten op een server kunnen alleen door IPAM worden beheerd als deze zijn geconfigureerd om de IPAM-server toegang te bieden zodat vereiste controle- en configuratiefuncties kunnen worden uitgevoerd. U kunt deze instellingen handmatig configureren of automatisch op basis van groepsbeleidsobjecten. Als u voor de automatische methode kiest, worden de instellingen toegepast wanneer een server wordt gemarkeerd als beheerd en worden instellingen verwijderd wanneer de server is gemarkeerd als onbeheerd.

De IPAM-server communiceert met beheerde servers via een RPC- of WMI-interface. Met IPAM worden domeincontrollers en NPS-servers gecontroleerd om IP-adressen bij te houden. Naast controlefuncties kunnen verscheidene DHCP-server- en scope-eigenschappen worden geconfigureerd via de IPAM-console. Voor DNS-servers kan de zonestatus worden gecontroleerd en is een beperkte verzameling configuratiefuncties beschikbaar. Zie de volgende afbeelding.

Communicatie IPAM-server

Zie IPAM-architectuur voor meer informatie.

IPAM-specificaties

Het detectiebereik van de IPAM-server is beperkt tot één Active Directory-forest. De forest zelf kan bestaan uit een combinatie van vertrouwde en niet-vertrouwde domeinen. IPAM vereist lidmaatschap van een Active Directory-domein en is afhankelijk van een functionele netwerkinfrastructuuromgeving om te kunnen worden geïntegreerd met andere serverinstallaties in het AD-forest.

Voor IPAM gelden de volgende specificaties:

  1. IPAM ondersteunt alleen Microsoft-domeincontrollers en DHCP-, DNS- en NPS-servers met Windows Server® 2008 en hoger.

  2. IPAM ondersteunt alleen DHCP-, DNS- en NPS-servers die lid zijn van een domein in één AD-forest.

  3. In de aanbevolen configuratie wordt IPAM geïnstalleerd op een zelfstandige server. U kunt IPAM niet op een domeincontroller installeren. Als IPAM wordt geïnstalleerd op dezelfde server als de functieservice DHCP-server, wordt de automatische detectie van DHCP-servers in het netwerk uitgeschakeld.

  4. IPAM biedt geen ondersteuning voor het beheer en de configuratie van netwerkelementen die niet afkomstig zijn van Microsoft. U kunt Windows PowerShell echter gebruiken om IP-adresgegevens te importeren van niet-Microsoft-apparaten en deze te beheren.

  5. IPAM in Windows Server 2012 ondersteunt geen externe databases. Alleen een interne database van Windows wordt ondersteund.

  6. Eén IPAM-server is getest om maximaal 150 DHCP-servers en 500 DNS-servers te ondersteunen.

  7. Eén IPAM-server kan volgens de tests 40.000 DHCP-bereiken en 350 DNS-zones ondersteunen.

  8. IPAM is getest om drie jaar aan forensische gegevens (IP-adresleases, MAC-adressen van hosts, aan- en afmeldingsgegevens van gebruikers) voor 100.000 gebruikers in een Windows Interne database op te slaan. Gegevens worden niet automatisch verwijderd. Een administrator moet gegevens zo nodig handmatig verwijderen.

  9. Gebruikstrends voor IP-adressen zijn alleen beschikbaar voor IPv4.

  10. Ondersteuning voor het vrijmaken van IP-adressen is beschikbaar voor IPv4 en IPv6.

  11. IPAM controleert niet op consistentie van IP-adressen met routers en switches.

  12. IPAM biedt geen ondersteuning voor de controle van de automatische configuratie van statusloze adressen in IPv6 op een niet-beheerde computer om de gebruiker te achterhalen.

  13. IPAM ondersteunt de integratie met System Center Virtual Machine Manager (VMM) met een Windows PowerShell-script dat wordt verpakt en verzonden met System Center VMM. Dankzij deze integratie kunnen in IPAM gedetailleerde gebruiks- en inventarisgegevens worden weergegeven voor IP-adressen en IP-adresbereiken die worden gebruikt in System Center VMM.

Praktische toepassingen

Het controleren en beheren van de IP-adresinfrastructuur in een bedrijfsnetwerk is een essentieel onderdeel van netwerkbeheer, een onderdeel dat alleen maar lastiger wordt naarmate netwerken dynamischer en complexer worden. Veel IT-administrators houden de toewijzing en het gebruik van IP-adressen nog handmatig bij met spreadsheets of aangepaste databasetoepassingen. Dit kan veel tijd en bronnen kosten. Bovendien is dit proces kwetsbaar voor gebruikersfouten. IPAM in Windows Server 2012 biedt een platform voor het beheren van de volgende behoeften op het gebied van IP-beheer.

  1. Planning: IPAM vervangt handmatige hulpprogramma's en scripts die tijdverlies, inconsistentie en onkosten in het planningsproces kunnen opleveren bij bedrijfsuitbreidingen en -veranderingen of wanneer nieuwe technologie en scenario's vereist zijn.

  2. Beheer: IPAM biedt één beheerplatform voor het beheer van IP-adressen in het netwerk. IPAM biedt tevens mogelijkheden voor een optimale planning van gebruik en capaciteit voor DHCP- en DNS-services in gedistribueerde omgevingen.

  3. Traceren: met IPAM kan het gebruik van IP-adressen worden gevolgd en voorspeld. Wanneer de vraag naar openbare ruimte voor IPv4-adressen blijft toenemen in een omgeving met een beperkte aanvoer, kan dit van essentieel belang zijn voor een organisatie.

  4. Controle: IPAM biedt ondersteuning voor nalevingsvereisten, zoals HIPAA en Sarbanes-Oxley, en biedt rapportagemogelijkheden voor forensisch en wijzigingsbeheer.

Nieuwe en gewijzigde functionaliteit

Zie Wat is er nieuw in IPAM.

Serverbeheergegevens

De installatie van de IPAM-server kan worden uitgevoerd via Serverbeheer. De volgende onderdelen en hulpprogramma's worden automatisch geïnstalleerd wanneer u de IPAM-server installeert:

Functie of hulpprogramma

Beschrijving

Externe-serverbeheerprogramma's

Met hulpprogramma's voor DHCP, de DNS-server en de IPAM-client (IP Address Management) kunnen DHCP-, DNS- en IPAM-servers extern worden beheerd.

Interne Windows-database

Interne Windows-database is een relationele gegevensopslag die alleen kan worden gebruikt door Windows-functies en onderdelen.

Windows Process Activation-service

De Windows Process Activation-service generaliseert het IIS-procesmodel, waarmee de afhankelijkheid van HTTP verdwijnt.

Groepsbeleidsbeheer

Groepsbeleidsbeheer is een aanpasbare Microsoft Management Console (MMC) dat voorziet in één enkel beheerprogramma voor het beheren van Groepsbeleid.

Functies van .NET Framework 4.5

.NET Framework 4.5 biedt een programmeermodel voor het bouwen en uitvoeren van toepassingen die zijn ontworpen voor verschillende platforms.

Zie ook

Wat is er nieuw in IPAM

IPAM plannen en ontwerpen

IPAM implementeren

IPAM beheren

Demonstratie: IPAM in Windows Server 2012

Demonstratie: IPAM in Windows Server 2012 R2