Overzicht van IP-adresmanagement (IPAM)
Van toepassing op: Windows Server 2012 R2, Windows Server 2012
Dit onderwerp biedt een overzicht van het onderdeel IPAM (IP Address Management) Server in Windows Server® 2012 en Windows Server 2012 R2. Zie de volgende onderwerpen voor meer informatie:
Onderwerp |
Informatie |
---|---|
Dit onderwerp bevat informatie over toevoegingen en wijzigingen in IPAM in verschillende versies van het Windows Server-besturingssysteem. |
|
Stapsgewijze procedures voor het gebruik van IPAM in een testomgeving. |
|
Informatie over architectuur en planning voor IPAM. |
|
Gedetailleerde implementatie-instructies waarmee u IPAM in een productieomgeving kunt implementeren. |
|
Bevat operationele informatie, oplossingen voor problemen en aanbevolen procedures voor IPAM. |
|
Er zijn twee virtuele labs beschikbaar voor Windows Server 2012, inclusief Managing Your Network Infrastructure with IP Address Management, waarin alleen IPAM wordt gedemonstreerd, en Building a Resilient Network Infrastructure, een virtueel lab waarin IPAM wordt gecombineerd met DNSSEC- en DHCP-failover in Windows Server 2012.Opmerking: het starten van virtuele labs kan enige tijd in beslag nemen. |
|
Een overzicht en voorbeelden van beschikbare Windows PowerShell-cmdlets voor IPAM-servers. |
Functiebeschrijving
IPAM in Windows Server® 2012 en Windows Server® 2012 R2 is een geïntegreerde suite met hulpprogramma's waarmee de end-to-end-planning, implementatie, beheer en controle van uw IP-adresinfrastructuur kan worden verbeterd. IPAM detecteert IP-adresinfrastructuurservers in uw netwerk automatisch en stelt u in staat deze te beheren via een centrale interface.
IPAM omvat onderdelen voor:
Het beheer van adresruimte
Het beheer van virtuele adresruimte*****
Het beheer en de bewaking van meerdere servers
Netwerkcontrole
Toegangsbeheer op basis van rollen******
* Het beheer van virtuele IP-adresruimte wordt ingeschakeld via de integratie van IPAM met System Center Virtual Machine Manager en is beschikbaar in Windows Server 2012 R2 en latere besturingssystemen. Deze functie is niet beschikbaar met IPAM in Windows Server 2012.
** Toegangsbeheer op basis van de functie is beschikbaar in Windows Server 2012 met lokale gebruikersgroepen op de IPAM-server. Dit onderdeel is aanzienlijk verbeterd in Windows Server 2012 R2 om gedetailleerde ingebouwde en aangepaste toegangsgroepen op basis van de functie te bieden.
Zie ook de volgende gedeelten in dit onderwerp:
Opties voor implementatie van IPAM: hier wordt een overzicht gegeven van het gekozen IPAM-ontwerp. Zie IPAM-architectuur voor meer informatie.
IPAM-specificaties: hier wordt een overzicht van IPAM-implementatievereisten en -capaciteiten weergegeven.
Zie De IPAM-clientconsole gebruiken voor informatie om aan de slag te gaan met IPAM.
Het beheer van adresruimte
Met de IPAM-functie voor adresruimtebeheer kunt u vanuit één console inzicht in alle aspecten van uw IP-adresinfrastructuur krijgen. Met IPAM kunt u een zeer aangepaste hiërarchie met meerdere niveaus voor de adresruimte in uw netwerk maken en gebruiken om IPv6-adressen en openbare en persoonlijke IPv4-adressen te beheren. Het onderdeel voor adresruimtebeheer omvat een robuuste rapportagefunctie voor de gedetailleerde tracering van trends in het gebruik van IP-adressen met aangepaste drempelwaarden en waarschuwingen.
Het onderdeel voor adresruimtebeheer biedt de volgende mogelijkheden.
Geïntegreerd beheer van dynamische en statische IP-adresruimte
Detectie en beheer van conflicten, overlappingen en dubbele items in adresruimten op verschillende systemen
Zeer aanpasbare inventarisweergave van IP-adresruimte
Centrale bewaking en rapportage van gebruiksstatistieken en trends voor adressen
Ondersteuning voor de controle van het gebruik van IPv4- en staatloze IPv6-adressen
Automatische detectie van IP-adresbereiken van DHCP-scopes
Exporteren en importeren van IP-adressen en IP-adresbereiken met Windows PowerShell-ondersteuning
Waarschuwingen en meldingen voor het gebruik van IP-adressen met aangepaste drempelwaarden
Detectie en toewijzing van beschikbare IP-adressen
In het volgende voorbeeld ziet u hoe het IPAM-onderdeel voor adresruimtebeheer u in staat stelt het gebruik van IP-adressen te controleren. In dit voorbeeld worden zeven dagen aan gebruiksgegevens weergegeven voor het IP-adresbereik 10.72.144.0/22.
Zie IP-adresruimte beheren voor meer informatie.
Het beheer van virtuele adresruimte
Met IPAM in Windows Server 2012 R2 kunt u virtuele IP-adresruimte beheren die is geconfigureerd met System Center Virtual Machine Manager (VMM).
Het IPAM-onderdeel voor het beheer van virtuele adresruimte biedt u dezelfde functies en mogelijkheden voor uw virtuele IP-adresinfrastructuur als het onderdeel voor adresruimtebeheer voor uw fysieke IP-adresruimte.
Zie Virtuele IP-adresruimte beheren voor meer informatie.
Het beheer en de bewaking van meerdere servers
Met het IPAM-onderdeel voor het beheer van meerdere servers kunt u DHCP- en DNS-servers in het netwerk automatisch detecteren, de servicebeschikbaarheid controleren en de configuratie hiervan centraal beheren. Op basis van de inrichtingsmodus van Groepsbeleid biedt IPAM een snelle en eenvoudige methode voor de inrichting van IPAM-toegangsinstellingen zonder agent op beheerde servers. Een handmatige inrichtingsmodus is ook beschikbaar.
Het onderdeel voor het beheer van meerdere servers biedt de volgende mogelijkheden.
Automatische detectie van Microsoft DHCP en DNS-servers in een Active Directory-forest
Handmatig toevoegen of verwijderen van beheerde servers
End-to-end configuratie en beheer van DHCP-servers en -bereiken
Ondersteuning voor geavanceerde constructs om bewerkingen voor toevoegen, verwijderen, overschrijven, of zoeken en vervangen op meerdere DHCP-scopes en -servers te kunnen uitvoeren
Gelijktijdig bijwerken van algemene instellingen van meerdere DHCP-scopes of -servers
Beschikbaarheidscontrole voor DHCP- en DNS-services en DNS-zones
Beheer van Microsoft DHCP- en DNS-servers met Windows 2008 of latere besturingssystemen
Toevoeging van aangepaste gegevens aan servers om visualisatie met logische groepen op basis van bedrijfsregels in te schakelen
Gebruik van DHCP-scope controleren
Automatisch en op verzoek ophalen van servergegevens van beheerde DHCP- en DNS-servers
Controle van DNS-zonestatus op basis van DNS-zonegebeurtenissen
Gedetecteerde servers en functies classificeren als beheerd of onbeheerd
In het volgende voorbeeld ziet u hoe het IPAM-onderdeel voor het beheer van meerdere servers u in staat stelt DHCP-scopes in het netwerk te controleren. In dit voorbeeld worden gedetailleerde gegevens weergegeven voor de scope US_SEA_zzz3.
Zie Beheer van meerdere servers voor meer informatie.
Netwerkcontrole
Het IPAM-onderdeel voor controle biedt een centrale opslagplaats voor alle configuratiewijzigingen die worden doorgevoerd op DHCP-servers en de IPAM-server, en IP-adressen die zijn uitgegeven in het netwerk. Met IPAM-controleprogramma's kunt u mogelijke configuratieproblemen op DHCP-servers weergeven door alle beheertaken actief bij te houden en te rapporteren. Daarnaast worden gedetailleerde traceringsgegevens voor IP-adressen weergegeven, inclusief IP-adressen van clients, de client-id, hostnaam en gebruikersnaam. Met geavanceerde zoekfuncties kunt u selectief zoeken naar gebeurtenissen en resultaten krijgen waarmee gebruikersaanmeldingen kunnen worden gekoppeld aan specifieke apparaten en tijden.
Het onderdeel voor netwerkcontrole biedt de volgende mogelijkheden.
Vanuit één console de gebeurteniscatalogus controleren op wijzigingen in de DHCP-configuratie op meerdere servers
Gebruikers, apparaten en IP-adressen van domeincontrollers en netwerkbeleidsservers voor opgegeven intervallen volgen met geavanceerde query's op basis van DHCP-leaselogboeken en aanmeldingsgebeurtenissen
Wijzigingen op de IPAM-server bijhouden en rapporteren
Controleresultaten exporteren en rapporten maken
Snel configuratieproblemen oplossen en serviceovereenkomsten bijhouden
In het volgende voorbeeld ziet u hoe het IPAM-onderdeel voor netwerkcontrole u in staat stelt IP-adressen in het netwerk bij te houden. In dit voorbeeld worden details weergegeven voor een lease-gebeurtenis in het domein contoso.com.
Zie voor meer informatie IP-adresactiviteiten bijhouden en Operationele gebeurtenissen bijhouden.
Toegangsbeheer op basis van rollen
Met het IPAM-onderdeel voor toegangsbeheer op basis van functie kunt u de typen bewerkingen en toegangsmachtigingen voor gebruikers en groepen gebruikers voor bepaalde objecten in IPAM aanpassen. Toegangsbeheer op basis van functies in Windows Server 2012 is minder gedetailleerd dan in Windows Server 2012 R2. Bekijk de volgende vergelijking.
Groep |
Windows Server 2012 |
Windows Server 2012 R2 |
---|---|---|
Lokale IPAM-beveiligingsgroepen |
IPAM-gebruikers IPAM ASM-administrators IPAM MSM-administrators IPAM IP Audit-administrators IPAM-administrators |
IPAM-gebruikers IPAM ASM-administrators IPAM MSM-administrators IPAM IP Audit-administrators IPAM-administrators |
Ingebouwde IPAM-toegangsgroepen op basis van functie |
N.v.t. |
DNS-recordadministrator IP-adresrecordadministrator IPAM-administrator IPAM ASM-administrator IPAM DHCP-administrator IPAM DHCP-reserveringsadministrator IPAM DHCP-scopeadministrator IPAM MSM-administrator |
Aangepaste toegangsgroepen op basis van IPAM-functies |
N.v.t. |
Onbeperkt |
Opties voor implementatie van IPAM
Een IPAM-server is een domeinlid (computer).
Belangrijk
U kunt het onderdeel IPAM niet installeren op een Active Directory-domeincontroller.
Er zijn drie algemene methoden om IPAM-servers te implementeren:
Gedistribueerd: op elke site in een onderneming is een IPAM-server geïmplementeerd.
Gecentraliseerd: één IPAM-server in een onderneming.
Hybride: er is een centrale IPAM-server geïmplementeerd met speciale IPAM-servers in elke vestiging.
In het volgende voorbeeld wordt de gedistribueerde methode voor IPAM-implementatie met één IPAM-server op het hoofdkantoor en ook in elke vestiging weergegeven. Er vindt geen communicatie of deling van databases plaats tussen verschillende IPAM-servers. Als er meerdere IPAM-servers zijn geïmplementeerd, kunt u het bereik van detectie voor elke IPAM-server aanpassen of de lijst met beheerde servers filteren. Met één IPAM-server kan een specifiek domein of een locatie worden beheerd, bijvoorbeeld met een tweede IPAM-server geconfigureerd als back-up.
Periodiek wordt in het netwerk gezocht naar domeincontrollers, DNS- en DHCP-servers die zich in de door u opgegeven detectiescope bevinden. U moet opgeven of deze servers worden beheerd door IPAM of niet worden beheerd. Op deze manier kunt u verschillende groepen servers selecteren die al dan niet worden beheerd door IPAM.
Beveiligingsinstellingen en firewallpoorten op een server kunnen alleen door IPAM worden beheerd als deze zijn geconfigureerd om de IPAM-server toegang te bieden zodat vereiste controle- en configuratiefuncties kunnen worden uitgevoerd. U kunt deze instellingen handmatig configureren of automatisch op basis van groepsbeleidsobjecten. Als u voor de automatische methode kiest, worden de instellingen toegepast wanneer een server wordt gemarkeerd als beheerd en worden instellingen verwijderd wanneer de server is gemarkeerd als onbeheerd.
De IPAM-server communiceert met beheerde servers via een RPC- of WMI-interface. Met IPAM worden domeincontrollers en NPS-servers gecontroleerd om IP-adressen bij te houden. Naast controlefuncties kunnen verscheidene DHCP-server- en scope-eigenschappen worden geconfigureerd via de IPAM-console. Voor DNS-servers kan de zonestatus worden gecontroleerd en is een beperkte verzameling configuratiefuncties beschikbaar. Zie de volgende afbeelding.
Zie IPAM-architectuur voor meer informatie.
IPAM-specificaties
Het detectiebereik van de IPAM-server is beperkt tot één Active Directory-forest. De forest zelf kan bestaan uit een combinatie van vertrouwde en niet-vertrouwde domeinen. IPAM vereist lidmaatschap van een Active Directory-domein en is afhankelijk van een functionele netwerkinfrastructuuromgeving om te kunnen worden geïntegreerd met andere serverinstallaties in het AD-forest.
Voor IPAM gelden de volgende specificaties:
IPAM ondersteunt alleen Microsoft-domeincontrollers en DHCP-, DNS- en NPS-servers met Windows Server® 2008 en hoger.
IPAM ondersteunt alleen DHCP-, DNS- en NPS-servers die lid zijn van een domein in één AD-forest.
In de aanbevolen configuratie wordt IPAM geïnstalleerd op een zelfstandige server. U kunt IPAM niet op een domeincontroller installeren. Als IPAM wordt geïnstalleerd op dezelfde server als de functieservice DHCP-server, wordt de automatische detectie van DHCP-servers in het netwerk uitgeschakeld.
IPAM biedt geen ondersteuning voor het beheer en de configuratie van netwerkelementen die niet afkomstig zijn van Microsoft. U kunt Windows PowerShell echter gebruiken om IP-adresgegevens te importeren van niet-Microsoft-apparaten en deze te beheren.
IPAM in Windows Server 2012 ondersteunt geen externe databases. Alleen een interne database van Windows wordt ondersteund.
Eén IPAM-server is getest om maximaal 150 DHCP-servers en 500 DNS-servers te ondersteunen.
Eén IPAM-server kan volgens de tests 40.000 DHCP-bereiken en 350 DNS-zones ondersteunen.
IPAM is getest om drie jaar aan forensische gegevens (IP-adresleases, MAC-adressen van hosts, aan- en afmeldingsgegevens van gebruikers) voor 100.000 gebruikers in een Windows Interne database op te slaan. Gegevens worden niet automatisch verwijderd. Een administrator moet gegevens zo nodig handmatig verwijderen.
Gebruikstrends voor IP-adressen zijn alleen beschikbaar voor IPv4.
Ondersteuning voor het vrijmaken van IP-adressen is beschikbaar voor IPv4 en IPv6.
IPAM controleert niet op consistentie van IP-adressen met routers en switches.
IPAM biedt geen ondersteuning voor de controle van de automatische configuratie van statusloze adressen in IPv6 op een niet-beheerde computer om de gebruiker te achterhalen.
IPAM ondersteunt de integratie met System Center Virtual Machine Manager (VMM) met een Windows PowerShell-script dat wordt verpakt en verzonden met System Center VMM. Dankzij deze integratie kunnen in IPAM gedetailleerde gebruiks- en inventarisgegevens worden weergegeven voor IP-adressen en IP-adresbereiken die worden gebruikt in System Center VMM.
Praktische toepassingen
Het controleren en beheren van de IP-adresinfrastructuur in een bedrijfsnetwerk is een essentieel onderdeel van netwerkbeheer, een onderdeel dat alleen maar lastiger wordt naarmate netwerken dynamischer en complexer worden. Veel IT-administrators houden de toewijzing en het gebruik van IP-adressen nog handmatig bij met spreadsheets of aangepaste databasetoepassingen. Dit kan veel tijd en bronnen kosten. Bovendien is dit proces kwetsbaar voor gebruikersfouten. IPAM in Windows Server 2012 biedt een platform voor het beheren van de volgende behoeften op het gebied van IP-beheer.
Planning: IPAM vervangt handmatige hulpprogramma's en scripts die tijdverlies, inconsistentie en onkosten in het planningsproces kunnen opleveren bij bedrijfsuitbreidingen en -veranderingen of wanneer nieuwe technologie en scenario's vereist zijn.
Beheer: IPAM biedt één beheerplatform voor het beheer van IP-adressen in het netwerk. IPAM biedt tevens mogelijkheden voor een optimale planning van gebruik en capaciteit voor DHCP- en DNS-services in gedistribueerde omgevingen.
Traceren: met IPAM kan het gebruik van IP-adressen worden gevolgd en voorspeld. Wanneer de vraag naar openbare ruimte voor IPv4-adressen blijft toenemen in een omgeving met een beperkte aanvoer, kan dit van essentieel belang zijn voor een organisatie.
Controle: IPAM biedt ondersteuning voor nalevingsvereisten, zoals HIPAA en Sarbanes-Oxley, en biedt rapportagemogelijkheden voor forensisch en wijzigingsbeheer.
Nieuwe en gewijzigde functionaliteit
Serverbeheergegevens
De installatie van de IPAM-server kan worden uitgevoerd via Serverbeheer. De volgende onderdelen en hulpprogramma's worden automatisch geïnstalleerd wanneer u de IPAM-server installeert:
Functie of hulpprogramma |
Beschrijving |
---|---|
Externe-serverbeheerprogramma's |
Met hulpprogramma's voor DHCP, de DNS-server en de IPAM-client (IP Address Management) kunnen DHCP-, DNS- en IPAM-servers extern worden beheerd. |
Interne Windows-database |
Interne Windows-database is een relationele gegevensopslag die alleen kan worden gebruikt door Windows-functies en onderdelen. |
Windows Process Activation-service |
De Windows Process Activation-service generaliseert het IIS-procesmodel, waarmee de afhankelijkheid van HTTP verdwijnt. |
Groepsbeleidsbeheer |
Groepsbeleidsbeheer is een aanpasbare Microsoft Management Console (MMC) dat voorziet in één enkel beheerprogramma voor het beheren van Groepsbeleid. |
Functies van .NET Framework 4.5 |
.NET Framework 4.5 biedt een programmeermodel voor het bouwen en uitvoeren van toepassingen die zijn ontworpen voor verschillende platforms. |