Общие сведения об управлении IP-адресами (IPAM)

Применимо к:Windows Server 2012 R2, Windows Server 2012

Этот раздел содержит общие сведения о компоненте "Сервер управления IP-адресами (IPAM)" в Windows Server® 2012 и Windows Server 2012 R2. Дополнительные сведения см. в следующих разделах.

Описание компонента

Управление IP-адресами (IPAM) в Windows Server® 2012 и Windows Server® 2012 R2 — это встроенный набор инструментов для сквозного планирования, развертывания, администрирования и отслеживания инфраструктуры IP-адресов в многофункциональном пользовательском интерфейсе. IPAM автоматически определяет серверы инфраструктуры IP-адресов в вашей сети и позволяет управлять серверами из центрального интерфейса.

Компоненты IPAM позволяют делать следующее.

1. Управление адресным пространством

2. Управление виртуальным адресным пространством*****

3. Отслеживание нескольких серверов и управление ими

4. Аудит сети

5. Управление доступом на основе ролей******

* Управление пространством виртуальных IP-адресов осуществляется за счет интеграции IPAM в System Center Virtual Machine Manager и доступно в Windows Server 2012 R2 и более поздних версиях операционной системы. Данная функция не работает с IPAM в операционной системе Windows Server 2012.

** Контроль доступа на основе ролей доступен в Windows Server 2012 и выполняется с помощью локальных групп пользователей на IPAM-сервере. Эта функция была значительно улучшена в Windows Server 2012 R2 и включает в себя встроенные и пользовательские группы доступа на основе ролей.

См. также следующие подразделы:

• Варианты развертывания IPAM. Сводная информация о вариантах проектирования IPAM. Дополнительные сведения см. в разделе Архитектура IPAM.

• Характеристики IPAM. Сводная информация о возможностях и требованиях развертывания IPAM.

Дополнительные сведения о начале работы с IPAM см. в разделе Использование консоли IPAM-клиента.

Управление адресным пространством

Функция управления адресным пространством (ASM) в IPAM позволяет получить представление обо всех аспектах инфраструктуры IP-адресов из единой консоли. С помощью IPAM можно создавать настраиваемую, многоуровневую иерархию адресных пространств в сети и использовать ее для управления IPv6-адресами, а также общедоступными и частными IPv4-адресами. Функция ASM включает эффективные инструменты для создания отчетов, позволяющие точно отслеживать тенденции в использовании IP-адресов с помощью настраиваемых порогов и оповещений.

Основные функции ASM:

• Централизованное управление пространством динамических и статических IP-адресов.

• Выявление и устранение конфликтов, наложений и дубликатов адресных пространств в различных системах.

• Настраиваемое представление перечня пространства IP-адресов.

• Централизованный контроль статистики и тенденций в использовании адресов и формирование соответствующих отчетов.

• Поддержка наблюдения за использованием IPv4-адресов и IPv6-адресов без учета состояния.

• Автоматическое определение диапазонов IP-адресов в областях DHCP.

• Экспорт и импорт IP-адресов и диапазонов IP-адресов с поддержкой Windows PowerShell.

• Оповещения и уведомления о превышении установленных порогов использования IP-адресов.

• Определение и назначение доступных IP-адресов.

Рассмотрим, каким образом функция ASM в IPAM позволяет контролировать использование IP-адресов. В данном примере показано использование диапазона IP-адресов 10.72.144.0/22 в течение семи дней.

Дополнительные сведения см. в разделе Управление пространством IP-адресов.

Управление виртуальным адресным пространством

IPAM в Windows Server 2012 R2 включает возможность управления пространством виртуальных IP-адресов, которое настроено с помощью System Center Virtual Machine Manager (VMM).

Функция управления виртуальным адресным пространством (VASM) в IPAM позволяет применять к инфраструктуре виртуальных IP-адресов те же функции и возможности, что и к физическим IP-адресам.

Дополнительные сведения см. в разделе Управление пространством виртуальных IP-адресов.

Отслеживание нескольких серверов и управление ими

Функция управления несколькими серверами (MSM) позволяет автоматически находить в сети DHCP- и DNS-серверы, контролировать доступность служб и централизованно настраивать их конфигурации. С помощью режима подготовки групповой политики IPAM позволяет легко и быстро настроить доступ IPAM без использования агента на управляемых серверах. Также доступен режим подготовки вручную.

Основные функции MSM:

• Автоматическое определение DHCP- и DNS-серверов Microsoft в лесу Active Directory.

• Ручное добавление и удаление управляемых серверов.

• Сквозная настройка конфигурации и управление DHCP-серверами и областями.

• Поддержка дополнительных конструкций, позволяющих добавлять, удалять, перезаписывать, а также находить и заменять операции в масштабе сразу нескольких DHCP-серверов и областей.

• Обновление общих настроек сразу для нескольких DHCP-серверов или областей.

• Отслеживание доступности DNS- и DHCP-серверов и зон DNS.

• Администрирование DHCP- и DNS-серверов под управлением Windows 2008 или более поздней версии операционной системы.

• Добавление пользовательской информации о серверах для визуализации с использованием логических групп и бизнес-логики.

• Контроль использования областей DHCP.

• Извлечение данных сервера из управляемых DHCP- и DNS-серверов автоматически и по запросу.

• Наблюдение за состоянием зон DNS на основе соответствующих событий.

• Классификация обнаруженных серверов и ролей как управляемых и неуправляемых.

Рассмотрим, каким образом функция MSM в IPAM позволяет контролировать использование IP-адресов в областях DHCP. В данном примере показаны подробные данные для области US_SEA_zzz3.

Дополнительные сведения см. в разделе Управление несколькими серверами.

Аудит сети

Функция аудита в IPAM образует централизованное хранилище для всех изменений в конфигурации DHCP-серверов и IPAM-сервера, а также для сформированных в сети IP-адресов. Средства аудита IPAM выявляют потенциальные проблемы конфигурации DHCP-серверов, активно отслеживая все административные действия и формируя соответствующие отчеты. Данная функция предоставляет также подробные результаты отслеживания IP-адресов, включая IP-адреса и код клиента, имя узла и имя пользователя. Благодаря возможностям расширенного поиска вы можете выборочно искать события и получать результаты, сопоставляющие события входа пользователей с соответствующими устройствами и временем.

Основные функции аудита сети:

• Запрос каталога событий об изменениях в конфигурации DHCP сразу нескольких серверов из единой консоли.

• Отслеживание пользователей, устройств и IP-адресов за определенные интервалы времени с помощью расширенных запросов по журналам аренды DHCP и событиям входа с контроллеров доменов и серверов политик сети.

• Отслеживание изменений на IPAM-сервере и формирование соответствующих отчетов.

• Экспорт результатов аудита и создание отчетов.

• Быстрое решение проблем конфигурации и отслеживание соглашений об уровне обслуживания.

Рассмотрим, каким образом функция аудита сети в IPAM позволяет отслеживать IP-адреса в сети DHCP. В данном примере показаны данные по событию аренды в домене contoso.com.

Дополнительные сведения см. в статьях Отслеживание IP-адресов и Отслеживание рабочих событий.

Управление доступом на основе ролей

Функция управления доступом на основе ролей в IPAM позволяет настраивать типы операций и разрешения доступа для пользователей и групп пользователей в определенных объектах. В Windows Server 2012 контроль доступа на основе ролей осуществляется не так детально, как в Windows Server 2012 R2. См. приведенное ниже сравнение.

Варианты развертывания IPAM

IPAM-сервер — это компьютер, являющийся членом домена.

Развертывание IPAM-серверов можно осуществить тремя способами.

1. Распределенный: развертывание IPAM-сервера на каждом объекте предприятия.

2. Централизованный: один IPAM-сервер на предприятии.

3. Гибридный способ: развертывание центрального IPAM-сервера с выделенными IPAM-серверами на каждом объекте.

В следующем примере описан метод распределенного развертывания IPAM-серверов, при котором один IPAM-сервер развернут в центральном офисе организации, а остальные — в филиалах. У разных IPAM-серверов на предприятии нет связи или общей базы данных. При развертывании нескольких IPAM-серверов вы можете настроить область обнаружения каждого сервера или отфильтровать список управляемых серверов. Один IPAM-сервер может, например, управлять указанным доменом или расположением, а второй можно настроить в качестве резервного.

IPAM периодически предпринимает попытки найти в сети контроллеры домена и серверы DNS и DHCP, которые входят в заданную вами область обнаружения. Вам необходимо решить, находятся ли эти серверы под управлением IPAM или нет. Таким образом, вы можете выбрать различные группы серверов, управляемые или не управляемые IPAM.

Чтобы сервер управлялся IPAM, его параметры безопасности и порты брандмауэра должны быть настроены так, чтобы разрешить доступ IPAM-серверу для выполнения необходимых функций наблюдения и настройки. Вы можете настроить эти параметры вручную или автоматически, используя объекты групповой политики. Если вы выберете автоматический метод, настройки применяются к серверу, когда он отмечается как управляемый IPAM, и прекращают действовать, когда он отмечается как не управляемый IPAM.

IPAM-сервер связывается с управляемыми серверами с помощью интерфейса RPC или WMI. IPAM наблюдает за контроллерами доменов и NPS-серверами с целью отслеживания IP-адресов. В дополнение к функциям наблюдения некоторые свойства области и сервера DHCP можно настроить с помощью консоли IPAM. Наблюдение за состоянием зоны и ограниченный набор функций конфигурации также доступны на DNS-серверах. См. рисунок ниже.

Дополнительные сведения см. в разделе Архитектура IPAM.

Характеристики IPAM

Область обнаружения IPAM-сервера ограничена одним лесом Active Directory. Сам лес может сочетать в себе домены, являющиеся и не являющиеся доверенными. Для интеграции с установками других серверов в лесу Active Directory IPAM-серверу необходимо быть членом домена Active Directory и использовать функциональную среду сетевой инфраструктуры.

IPAM имеет следующие характеристики.

1. IPAM поддерживает только контроллеры домена, серверы DHCP, DNS и NPS корпорации Майкрософт под управлением Windows Server® 2008 и выше.

2. IPAM поддерживает только присоединенные к домену серверы DHCP, DNS и NPS в одном лесу Active Directory.

3. Рекомендуется конфигурация с установкой IPAM на изолированном сервере. Установка IPAM на контроллере домена невозможна. Если IPAM установлен на том же сервере, что и служба роли DHCP-сервера, автоматическое обнаружение DHCP-серверов в сети будет отключено.

4. IPAM не поддерживает управление и настройку элементов сети сторонних поставщиков. Однако при помощи Windows PowerShell можно импортировать данные IP-адресов с устройств сторонних производителей и управлять этими данными.

5. IPAM в Windows Server 2012 не поддерживает внешние базы данных. Поддерживается только внутренняя база данных Windows.

6. Один IPAM-сервер может поддерживать до 150 DHCP-серверов и до 500 DNS-серверов.

7. Один IPAM-сервер может поддерживать до 40 000 областей DHCP и до 350 зон DNS.

8. IPAM хранит во внутренней базе данных Windows архивные данные за 3 года (арендованные IP-адреса, MAC-адреса узлов, данные о входе и выходе пользователя из системы) для 100 000 пользователей. Данные не удаляются автоматически. По мере необходимости администратору нужно удалять данные вручную.

9. Тренды использования IP-адресов предоставляются только для IPv4.

10. Освобождение IP-адресов поддерживается для протоколов IPv4 и IPv6.

11. IPAM не проверяет согласованность IP-адресов с маршрутизаторами и коммутаторами.

12. IPAM не поддерживает аудит автоконфигурации адресов IPv6 без учета состояния для слежения за действиями пользователя на неуправляемой машине.

13. IPAM поддерживает интеграцию с System Center Virtual Machine Manager (VMM) при помощи сценария Windows PowerShell, который входит в комплект поставки System Center VMM. Благодаря такой интеграции IPAM может показывать подробные сведения об использовании и перечнях IP-адресов, а также диапазоны IP-адресов, используемые в System Center VMM.

Практическое применение

Наблюдение за инфраструктурой IP-адресов и управление ею в корпоративной сети — это важная часть администрирования сети, которая требует все больше внимания, так как сети становятся более сложными и динамичными. Большинство ИТ-администраторов по-прежнему отслеживают выделение и использование IP-адресов вручную с помощью электронных таблиц или настраиваемых приложений базы данных. Это может быть очень трудоемким и ресурсоемким процессом, который изначально подвержен ошибкам пользователей. IPAM в Windows Server 2012 предоставляет платформу для выполнения следующих задач администрирования сетей.

1. Планирование: когда происходит расширение и изменение бизнес-процессов или требуется внедрение новых технологий и сценариев, IPAM заменяет неавтоматизированные средства и сценарии, использование которых приводит к дополнительным затратам времени и средств и несогласованности процесса планирования.

2. Управление: IPAM предоставляет единую платформу для управления администрированием IP-адресов в сети. IPAM также учитывает оптимизированное планирование использования и мощности служб DHCP и DNS в распределенной среде.

3. Отслеживание: IPAM включает отслеживание и прогнозирование использования IP-адресов. В то время как продолжает расти спрос на общедоступные адреса IPv4 в среде с ограниченным их запасом, это может быть критически важным для организации.

4. Аудит: IPAM помогает соответствовать требованиям актов HIPAA и Сарбейнса — Оксли и предоставляет судебную отчетность и менеджмент изменений.

Новые и измененные функции

См. раздел Новые возможности IPAM.

Сведения о диспетчере сервера

Установка компонента IPAM-сервера может быть выполнена с помощью диспетчера сервера. Ниже перечислены компоненты и средства, которые устанавливаются автоматически при установке IPAM-сервера.

См. также:

Новые возможности IPAM

Планирование и проектирование IPAM

Развертывание IPAM

Управление IPAM

Пошаговое руководство по настройке IPAM для управления пространством IP-адресов

Пошаговое руководство: демонстрация IPAM в Windows Server 2012 R2