IP アドレス管理 (IPAM) の概要

適用対象: Windows Server 2012 R2,Windows Server 2012

このトピックでは、Windows Server® 2012 および Windows Server 2012 R2 の IP アドレス管理 (IPAM) サーバーの機能の概要を説明します。 詳細については、以下のトピックを参照してください。

機能の説明

Windows Server® 2012 と Windows Server® 2012 R2 の IP アドレス管理 (IPAM) はツールを統合したスイートであり、IP アドレスのインフラストラクチャをエンドツーエンドで計画、展開、管理、監視できます。非常に使いやすい仕様になっています。 IPAM はネットワークにある IP アドレス インフラストラクチャを自動的に検出し、中央のインターフェイスからそれらを管理できます。

IPAM には次のコンポーネントが含まれます。

1. アドレス空間管理

2. 仮想アドレス空間管理*****

3. 複数のサーバーの管理と監視

4. ネットワーク監査

5. ロール基準のアクセス制御******

* 仮想 IP アドレス空間管理は IPAM と System Center Virtual Machine Manager の統合により可能になり、Windows Server 2012 R2 以降のオペレーティング システムで利用できます。 この機能は Windows Server 2012 の IPAM ではご利用いただけません。

******Windows Server 2012 では、IPAM サーバーのローカル ユーザー グループを使用した役割に基づいたのアクセス制御があります。Windows Server 2012 R2 では、この機能は大幅に拡張され、組み込みのおよびカスタマイズした役割基準のアクセス グループを含むようになっています。

このトピックの以下のセクションも参照してください。

• IPAM の展開オプション: IPAM の設計の選択肢がまとめられています。 詳細については、「IPAM アーキテクチャ」を参照してください。

• IPAM の仕様: IPAM の展開の要件と機能の概要を示します。

IPAM の概要については、「IPAM クライアント コンソールの使用」を参照してください。

アドレス空間管理

IPAM のアドレス空間管理 (ASM) 機能を利用すると、1 箇所のコンソールから IP アドレス インフラストラクチャのあらゆるデータを表示できます。 IPAM を利用すると、高度にカスタマイズされた、多層のアドレス空間をネットワークに作成し、それを利用して IPv6 アドレス、IPv4 アドレス、プライベート アドレスを管理できます。 ASM 機能には強力なレポート機能があります。これを利用すると、しきい値とアラートをカスタマイズし、IP アドレスの利用傾向を詳しく追跡できます。

ASM の主な機能には以下があります。

• 動的 IP アドレス空間と静的 IP アドレス空間を統合して管理する

• システム全体でアドレス空間の競合と重複を検出し、管理する

• IP アドレス空間のインベントリを詳細にカスタマイズして表示する

• アドレス使用の統計と傾向を 1 箇所で監視し、報告する

• IPv4 アドレスとステートレス IPv6 アドレスの使用を監視する

• DHCP スコープから IP アドレス範囲を自動検出する

• Windows PowerShell を利用し、IP アドレスと IP アドレス範囲をエクスポートし、インポートする

• しきい値をカスタマイズして IP アドレスの使用率を警告し、通知する

• 利用可能な IP アドレスを検出し、割り当てる

次の例は、IPAM の ASM 機能で IP アドレスの使用率を監視する仕組みを示したものです。 この例では、10.72.144.0/22 IP アドレス範囲に 7 日間の使用率データが表示されています。

詳細については、「IP アドレス空間の管理」を参照してください。

仮想アドレス空間管理

Windows Server 2012 R2 の IPAM には、System Center Virtual Machine Manager (VMM) を使用して構成する仮想 IP アドレス空間を管理する機能があります。

IPAM の仮想アドレス空間管理 (VASM) 機能を利用すると、ASM 機能を利用したときに物理的な IP アドレス空間に有効になる同じ機能を仮想 IP アドレス インフラストラクチャに対して有効にできます。

詳細については、「仮想 IP アドレス空間の管理」を参照してください。

複数のサーバーの管理と監視

IPAM のマルチサーバー管理 (MSM) 機能を利用すると、ネットワーク上の DHCP サーバーと DNS サーバーを自動的に検出し、サービスの可用性を監視し、1 箇所で構成を管理できます。 グループ ポリシーのプロビジョニング モードを利用し、IPAM は管理対象サーバーにエージェントレスの IPAM アクセス設定をすばやく簡単にプロビジョニングします。 手動のマニュアル モードも利用できます。

MSM には次のような主要機能があります。

• Active Directory フォレスト全体で Microsoft の DHCP サーバーと DNS サーバーを自動検出する

• 管理対象サーバーを手動で追加または削除する

• DHCP のサーバーとスコープをエンドツーエンドで構成し、管理する

• 高度な構成要素をサポートし、DHCP の複数のスコープとサーバーに対して追加、削除、上書き、検索、置換操作を実行する

• 複数の DHCP スコープまたは DHCP サーバーの共通設定を同時に更新する

• DHCP サービス、DNS サービス、DNS ゾーンの可用性を監視する

• Windows 2008 以降のオペレーティング システムを実行する Microsoft の DHCP サーバーおよび DNS サーバーを管理する

• サーバーにカスタム情報を追加し、ビジネス ロジックに基づく論理グループを利用して仮想化する

• DHCP スコープの使用率を監視する

• 管理対象の DHCP サーバーと DNS サーバーからサーバー データを自動または必要に応じて取得する

• DNS ゾーン イベントに基づき DNS ゾーンの状態を監視する

• 検出したサーバーとロールを管理対象と管理対象外に分類する

次の例は、IPAM の MSM 機能を利用し、ネットワークの IP DHCP スコープを監視する方法を示しています。 この例では、スコープ US_SEA_zzz3 の詳細データが表示されています。

詳細については、「マルチサーバー管理」を参照してください。

ネットワーク監査

IPAM の監査機能は、DHCP サーバーと IPAM サーバーで実行されるすべての構成変更とネットワークで発行される IP アドレスのための中央リポジトリが提供されます。 IPAM 監査ツールを利用すると、すべての管理行動をアクティブに追跡し、報告することで、DHCP サーバーの構成に潜んでいる問題を表示できます。 クライアント IP アドレス、クライアント ID、ホスト名、ユーザー名を含む、詳細な IP アドレス追跡データも提供されます。 高度な検索機能を利用すれば、イベントを選択的に検索し、ユーザーのログオンを特定のデバイスと時刻に関連付けた結果を取得できます。

ネットワーク監査の主な機能には次のようなものがあります。

• 1 つのコンソールから複数のサーバーを対象に DHCP 構成変更についてイベント カタログに問い合わせる

• ドメイン コントローラーとネットワーク ポリシー サーバーの DHCP リース ログとログオン イベントを利用した高度な問い合わせにより、特定の間隔でユーザー、デバイス、IP アドレスを追跡する

• IPAM サーバーの変更を追跡し、報告する

• 監査の発見事項をエクスポートし、レポートを作成する

• 構成上の問題をすばやく解消し、サービス レベル契約を追跡する

次の例は、IPAM のネットワーク監査機能を利用し、ネットワークの IP アドレスを追跡する方法を示しています。 この例では、contoso.com ドメインのリース イベントの詳細が表示されています。

詳細については、「IP アドレスの追跡」と「操作イベント追跡」を参照してください。

ロール基準のアクセス制御

IPAM のロール基準アクセス制御を利用すると、IPAM の特定のオブジェクトに対する操作とアクセス許可の種類をユーザーまたはユーザー グループごとにカスタマイズできます。Windows Server 2012 のロール基準アクセス制御は Windows Server 2012 R2 の場合に比べて詳細度が低くなります。 次の比較をご覧ください。

IPAM の展開オプション

IPAM サーバーはドメイン メンバー コンピューターです。

IPAM サーバーを展開する一般的な方法には次の 3 種類があります。

1. 分散: エンタープライズ内のすべてのサイトに IPAM サーバーが展開されます。

2. 集中: 1 つの IPAM サーバーでエンタープライズ全体に対応します。

3. ハイブリッド: 1 つの中央 IPAM サーバーと各サイトの専用 IPAM サーバーが展開されます。

次の例では、分散 IPAM 展開方法を示しています。この例では、IPAM サーバーが企業の本社に 1 つ、各ブランチ オフィスにも 1 つずつあります。 エンタープライズ内の各 IPAM サーバー間で通信は行われず、データベースも共有されていません。 複数の IPAM サーバーを展開する場合、各 IPAM サーバー用の検出スコープのカスタマイズや、管理されたサーバーの一覧のフィルター処理を行うことができます。 たとえば、ある IPAM サーバーで特定のドメインまたは場所を管理し、別の IPAM サーバーをバックアップとして構成することが考えられます。

IPAM では、ネットワーク上で、指定した検出スコープ内にあるドメイン コントローラー、DNS、DHCP サーバーの検出が定期的に試行されます。 これらのサーバーについて、IPAM の管理対象にするかどうかを選択する必要があります。 このようにして、IPAM で管理されるサーバー グループと管理されないサーバー グループを選択できます。

また、IPAM の管理対象にするには、IPAM サーバーがこれらのサーバーにアクセスして必要な監視機能と構成機能を実行できるように、サーバーのセキュリティ設定およびファイアウォール ポートを構成する必要があります。 これらの設定は、グループ ポリシー オブジェクト (GPO) を使用して、手動または自動で構成できます。 自動構成を行う場合、サーバーが管理対象として指定されたときに設定が適用され、管理対象外として指定されたときに設定が削除されます。

IPAM サーバーは、管理対象サーバーと RPC インターフェイスまたは WMI インターフェイスを使用して通信します。 IPAM では、ドメイン コントローラーおよび NPS サーバーを監視して IP アドレスを追跡します。 IPAM コンソールでは、監視だけでなく、DHCP サーバーおよびスコープの一部のプロパティを構成することもできます。 DNS サーバーに対しては、ゾーンの状態の監視と、構成の一部を行うこともできます。 次の図をご覧ください。

詳細については、「IPAM アーキテクチャ」を参照してください。

IPAM の仕様

IPAM サーバーの検出スコープは、単一の Active Directory フォレストに限定されます。 そのフォレストの中に、信頼されているドメインと信頼されていないドメインが混在している場合があります。 IPAM には、Active Directory ドメイン内のメンバーシップが必要です。また、Active Directory フォレスト内の他のサーバー インストールと統合するには、機能しているネットワーク インフラストラクチャ環境が必要です。

IPAM の仕様は次のとおりです。

1. Windows Server® 2008 以降が実行されている Microsoft ドメイン コントローラー、DHCP サーバー、DNS サーバー、および NPS サーバーのみがサポートされます。

2. 単一の Active Directory フォレスト内に存在する、ドメインに参加した DHCP サーバー、DNS サーバー、および NPS サーバーのみがサポートされます。

3. 推奨される構成では、IPAM はスタンドアロン サーバーにインストールされます。 IPAM をドメイン コントローラーにインストールすることはできません。 DHCP サーバーの役割サービスと同じサーバーに IPAM をインストールした場合、ネットワーク上の DHCP サーバーを自動検出する機能は無効になります。

4. Microsoft 以外が提供するネットワーク要素の管理および構成はサポートされません。 ただし、Windows PowerShell を使用し、Microsoft 以外のデバイスから IP アドレス データをインポートして管理することはできます。

5. Windows Server 2012 の IPAM では、外部データベースはサポートされていません。 Windows Internal Database のみがサポートされます。

6. テストによれば、1 つの IPAM サーバーで最大 150 台の DHCP サーバーおよび最大 500 台の DNS サーバーがサポート可能でした。

7. テストによれば、1 つの IPAM サーバーで最大 40,000 個の DHCP スコープおよび最大 350 個の DNS ゾーンがサポート可能でした。

8. テストによれば、10 万人のユーザーの 3 年分のデータ (科学捜査に使用できる、IP アドレスのリース、ホストの MAC アドレス、ユーザーのログイン情報およびログオフ情報) が Windows Internal Database に保存されます。 データは自動的には消去されません。 必要に応じて、管理者が手動でデータを消去する必要があります。

9. IP アドレスの使用率の傾向は、IPv4 についてのみ調べられます。

10. IPv4 および IPv6 に対して IP アドレスの解放がサポートされます。

11. ルーターおよびスイッチと IP アドレスとの整合性に対するチェックは行われません。

12. 管理されていないコンピューターでの IPv6 ステートレス アドレス自動構成によるユーザーの追跡はサポートされません。

13. IPAM では、System Center Virtual Machine Manager (VMM) との統合がサポートされます。これには、System Center VMM の出荷時のパッケージに含まれている Windows PowerShell スクリプトが使用されます。 この統合により、IPAM では、IP アドレスの詳細な使用率およびインベントリ データと、System Center VMM で使用されている IP アドレスの範囲を表示できるようになります。

実際の適用例

企業ネットワークの IP アドレス インフラストラクチャの監視および管理はネットワーク管理の重要な部分ですが、ネットワークが動的で複雑になってきたことに伴い、困難な作業になってきています。 多くの IT 管理者は今でもスプレッドシートまたはカスタム データベース アプリケーションを使って、IP アドレスの割り当ておよび使用率を手動で追跡しています。 これは、時間がかかり、リソースを大量に消費し、ユーザー エラーが発生する可能性の高い作業です。Windows Server 2012 の IPAM は、次の IP 管理ニーズを管理するためのプラットフォームを実現します。

1. 計画: 企業組織の拡張や変更が発生した場合、または新しいテクノロジおよびシナリオを採用する必要がある場合に、計画プロセスの不統一の原因となり、時間とコストの増大を招く可能性がある手動ツールやスクリプトに置き換わります。

2. 管理: ネットワークでの IP アドレス管理のための、一元的管理プラットフォームを実現します。 また、分散環境での DHCP サービスと DNS サービスの使用率および容量計画を最適化することもできます。

3. 追跡: IP アドレスの使用率の追跡と予測を実行できます。 パブリック IPv4 アドレス空間の需要が増大する一方、その供給が限られている状況で、この機能は組織にとって重要な意味を持つ可能性があります。

4. 監査: HIPAA、Sarbanes-Oxley などのコンプライアンスの要件に関して管理者を支援し、科学捜査や変更管理のためのレポートを作成できます。

新機能と変更された機能

「IPAM の新機能」を参照してください。

サーバー マネージャー情報

IPAM サーバー機能は、サーバー マネージャーを使用してインストールできます。 IPAM サーバーをインストールすると、次の機能およびツールが自動的にインストールされます。

関連項目

IPAM の新機能

IPAM の計画と設計

IPAM の展開

IPAM の管理

ステップ バイ ステップ: IP アドレス空間を管理するための IPAM の構成

チュートリアル: Windows Server 2012 R2 の IPAM のデモ