Översikt över IPAM (IP Address Management

  • Artikel

 

Gäller för: Windows Server 2012 R2, Windows Server 2012

Det här avsnittet innehåller en sammanfattning av funktionen IPAM-server (IP Address Management) i Windows Server® 2012 och Windows Server 2012 R2. Mer information finns i följande avsnitt:

Ämne

Vägledning

Nyheter i IPAM [omdirigeras]

Det här avsnittet innehåller information om tillägg och ändringar i IPAM för olika versioner av Windows Server-operativsystemet.

Visa IPAM

Stegvisa anvisningar om att använda IPAM i en testmiljö.

Planering och utforma IPAM

Information om arkitektur och planering för IPAM.

Distribuera IPAM

Innehåller detaljerade stegvisa anvisningar om att distribuera IPAM i en produktionsmiljö.

Hantera IPAM

Vägledning för drift, felsökning och bästa praxis för IPAM.

Windows Server 2012 Virtual Labs

Det finns två virtuella labb för Windows Server 2012, inklusive Hantera din nätverksinfrastruktur med IP Address Management, som endast visar IPAM och Skapa en stabil nätverksinfrastruktur, ett virtuellt labb som kombinerar IPAM med DNSSEC- och DHCP-redundans i Windows Server 2012.Obs! Virtuella labb kan ta lite tid att starta.

IPAM-server-cmdletar i Windows PowerShell

En lista och exempel på tillgängliga Windows PowerShell-cmdlet:ar för IPAM-servrar.

Funktionsbeskrivning

IPAM i Windows Server® 2012 och Windows Server® 2012 R2 är en integrerad uppsättning med verktyg för bästa möjliga upplevelse och komplett planering, distribution, hantering och övervakning av IP-infrastrukturen. IPAM identifierar automatiskt infrastrukturservrar för IP-adress i nätverket och gör att du kan hantera dem från ett centralt gränssnitt.

IPAM innehåller komponenter för:

  1. Hantering av adressutrymme

  2. Hantering av virtuellt adressutrymme*****

  3. Hantering och övervakning av flera servrar

  4. Nätverksgranskning

  5. Rollbaserad åtkomstkontroll******

* Hantering av virtuella IP-adresser aktiveras genom integrering av IPAM med System Center Virtual Machine Manager och är tillgänglig i Windows Server 2012 R2 och senare operativsystem. Den här funktionen är inte tillgänglig med IPAM i Windows Server 2012.

** Rollbaserad åtkomstkontroll finns i Windows Server 2012 med hjälp av lokala användargrupper på IPAM-servern. Den här funktionen har avsevärt förbättrats i Windows Server 2012 R2 och innehåller detaljerade inbyggda och anpassade rollbaserade åtkomstgrupper.

Se även följande avsnitt i det här avsnittet:

  • IPAM-distributionsalternativ: Innehåller en sammanfattning av IPAM-designvalen. Detaljerad information finns i IPAM-arkitektur.

  • Specifikationer för IPAM: Innehåller en översikt över funktioner och krav för IPAM-distribution.

Information om att komma igång med IPAM finns i Använda klientkonsolen för IPAM.

Hantering av adressutrymme

Funktionen hantering av adressutrymme för IPAM mer dig insyn i alla aspekter av din IP-adressinfrastruktur från en enda konsol. Med IPAM kan du skapa en anpassad hierarki i flera nivåer för adressutrymmet i nätverket och hantera IPv6-adresser och offentliga och privata IPv4-adresser. Funktionen för hantering av adressutrymme innehåller en robust rapporteringsfunktion som möjliggör detaljerad uppföljning av trender för användningen av IP-adressen med anpassade tröskelvärden och varningar.

Viktiga funktioner i ASM.

  • Integrerad hantering av dynamiska och statiska IP-adressutrymmen

  • Identifiering och hantering av konflikter, överlappningar och dubbletter i adressutrymmen i olika system

  • Anpassningsbar lagervy för IP-adressutrymmet

  • Centraliserad övervakning och rapportering av statistik och trender för adressanvändning

  • Stöd för övervakning av användning av IPv4-adresser och tillståndslösa IPv6-adresser

  • Automatisk identifiering av IP-adressintervall från DHCP-scope

  • Export och import av IP-adresser och IP-adressintervall med stöd för Windows PowerShell

  • Varningar och meddelanden för IP-adressanvändning med anpassade tröskelvärden

  • Identifiering och tilldelning av tillgängliga IP-adresser

I följande exempel visas hur funktionen för hantering av adressutrymmen för IPAM kan användas för att övervaka användningen av IP-adresser. I det här exemplet visas användningsdata för 7 dagar för IP-adressintervallet 10.72.144.0/22.

Adresstrend

Mer information finns i Hantera IP-adressutrymmen.

Hantering av virtuellt adressutrymme

I IPAM i Windows Server 2012 R2 ingår möjligheten att hantera virtuella IP-adressutrymmen som har konfigurerats med System Center Virtual Machine Manager (VMM).

VASM-funktionen i IPAM innehåller samma funktioner och möjligheter för din virtuella IP-adressinfrastruktur som ASM-funktionen för fysiska IP-adressutrymmen.

Mer information finns i Hantera virtuellt IP-adressutrymme.

Hantering och övervakning av flera servrar

Med MSM-funktionen i IPAM kan du automatiskt upptäcka DHCP- och DNS-servrar i nätverket, övervakar tjänstetillgängligheten och hantera konfigurationen centralt. Med hjälp av etableringsläget för grupprincip kan du med IPAM snabbt och problemfritt etablera agentlösa IPAM-åtkomstinställningar på hanterade servrar. Det finns även ett manuellt etableringsläge.

Viktiga funktioner i MSM.

  • Automatisk identifiering av Microsoft DHCP- och DNS-servrar i en Active Directory-skog

  • Lägg till eller ta bort hanterade servrar manuellt

  • Komplett konfiguration och hantering av DHCP-servrar och -scope

  • Stöd för avancerade konstruktioner för att lägga till, ta bort, ersätta eller sök och ersätt-åtgärder i flera DHCP-scope och -servrar

  • Samtidig uppdatering av vanliga inställningar i flera DHCP-scope eller DHCP-servrar

  • Tillgänglighetsövervakning för DHCP- och DNS-tjänster och DNS-zoner

  • Hantering av Microsoft DHCP- och DNS-servrar som kör operativsystemet Windows 2008 eller senare

  • Möjlighet att lägga till anpassad information till servrar för visualisering med logiska grupper baserade på affärslogik

  • Övervakning av användningen av DHCP-scope

  • Automatisk och behovsanpassad hämtning av serverdata från hanterade DHCP- och DNS-servrar

  • Statusövervakning för DNS-zonen baserat på DNS-zonhändelser

  • Klassificering av identifierade servrar och roller som hanterad eller icke hanterad

I följande exempel visas hur MSM-funktionen i IPAM kan användas för att övervaka IP DHCP-scope i nätverket. I det här exemplet visas detaljerad information för scope US_SEA_zzz3.

Vyn Scope

Mer information finns i Hantering av flera servrar.

Nätverksgranskning

Granskningsfunktionen i IPAM innehåller en centraliserad databas för alla konfigurationsändringar som utförs på DHCP-servrarna och IPAM-servern, och för IP-adresser som utfärdats i nätverket. Med IPAM-granskningsverktygen kan du visa potentiella konfigurationsproblem på DHCP-servrar med aktiv spårning och rapportering för alla administrativa åtgärder. Dessutom går det att detaljerat spåra data för IP-adresser, inklusive klienternas IP-adresser, klient-ID, värdnamn och användarnamn. Med de avancerade sökfunktionerna kan du selektivt söka efter händelser och visa resultat som kopplar användarinloggningar till specifika enheter och tider.

Viktiga funktioner i nätverksgranskningen.

  • Fråga händelsekatalogen för DHCP-konfigurationsändringar på flera servrar från en enda konsol

  • Spåra användare, enheter och IP-adresser för angivna intervall med avancerade frågemöjligheter med hjälp av DHCP-leaseloggar och -inloggningshändelser från domänkontrollanter och nätverkspolicyservrar

  • Spåra och rapportera ändringar på IPAM-servern

  • Exportera granskningsresultat och skapa rapporter

  • Snabbt lösa konfigurationsproblem och spåra servicenivåavtal

I följande exempel visas hur nätverksgranskningsfunktionen i IPAM kan användas för att spåra IP-adresser i nätverket. I det här exemplet visas information för en leasehändelse i domänen contoso.com.

Adresspårning

Mer information finns i IP-adresspårning och Operativ händelsespårning.

Rollbaserad åtkomstkontroll

Funktionen för rollbaserad åtkomstkontroll i IPAM gör att du kan anpassa driftstyper och åtkomstbehörigheter efter användare och grupper för specifika objekt i IPAM. Den rollbaserade åtkomstkontrollen i Windows Server 2012 är mindre detaljerad än i Windows Server 2012 R2. Se följande jämförelse.

Grupp

Windows Server 2012

Windows Server 2012 R2

Lokala säkerhetsgrupper för IPAM

IPAM-användare

IPAM ASM-administratörer

IPAM MSM-administratörer

IPAM IP-granskningsadministratörer

IPAM-administratörer

IPAM-användare

IPAM ASM-administratörer

IPAM MSM-administratörer

IPAM IP-granskningsadministratörer

IPAM-administratörer

Inbyggda IPAM-rollbaserade åtkomstgrupper

Saknas

DNS-postadministratör

IP-adresspostadministratör

IPAM-administratör

IPAM ASM-administratör

IPAM DHCP-administratör

IPAM-administratör för DHCP-reservationer

IPAM-administratör för DHCP-scope

IPAM MSM-administratör

Anpassade IPAM-rollbaserade åtkomstgrupper

Saknas

Obegränsad

IPAM-distributionsalternativ

En IPAM-server är en domänmedlemsdator.

Viktigt

Du kan inte installera IPAM-funktionen på en Active Directory-domänkontrollant.

Det finns tre allmänna metoder för att distribuera IPAM-servrar:

  1. Distribuerad: En IPAM-server distribueras på varje plats i företaget.

  2. Centraliserad: En IPAM-server i ett företag.

  3. Hybrid: En central IPAM-server distribueras med dedikerade IPAM-servrar på varje plats.

I följande exempel visas den distribuerade IPAM-distributionsmetoden med en IPAM-server på företagets huvudkontor, och en vid varje lokalkontor. Det finns ingen kommunikation eller databasdelning mellan de olika IPAM-servrarna i företaget. Om flera IPAM-servrar distribueras, kan identifieringsomfattningen anpassas för varje IPAM-server och listan med hanterade servrar kan filtreras. En IPAM-server kan hantera en viss domän eller plats, och eventuellt ha en andra IPAM-server konfigurerad som reserv.

IPAM-arkitektur

IPAM försöker regelbundet hitta domänkontrollanter, DNS- och DHCP-servrar i nätverket som är inom den angivna räckvidden för identifiering. Du måste välja om dessa servrar hanteras av IPAM eller är ohanterade. På så sätt kan du välja olika servergrupper som hanteras eller inte hanteras av IPAM.

Om de ska hanteras med IPAM måste säkerhetsinställningarna och brandväggsportarna på servern konfigureras att ge IPAM-servern åtkomst så att den kan utföra övervaknings- och konfigurationsfunktionerna. Du kan konfigurera dessa inställningar manuellt eller automatiskt med hjälp av grupprincipobjekt (GPO). Om du väljer den automatiska metoden tillämpas inställningarna när en server markeras som hanterad och inställningarna tas bort när den markeras som ej hanterad.

IPAM-servern kommunicerar med hanterade servrar med hjälp av ett RPC- eller WMI-gränssnitt. IPAM övervakar domänkontrollanter och NPS-servrar för IP-adresspårning. Förutom övervakningsfunktionerna kan flera egenskaper för DHCP-server och -scope konfigureras från IPAM-konsolen. Det finns även zonstatusövervakning och en begränsad uppsättning funktioner för konfiguration av DNS-servrar. Se följande figur.

Serverkommunikation i IPAM

Mer information finns i IPAM-arkitektur.

Specifikationer för IPAM

Omfattningen för identifiering av IPAM-servrar är begränsad till en Active Directory-skog. Skogen kan bestå av en blandning av betrodda och ej betrodda domäner. IPAM kräver medlemskap i en Active Directory-domän och bygger på en fungerande nätverksinfrastruktur som integreras med andra serverinstallationer i AD-skogen.

IPAM har följande specifikationer:

  1. IPAM stöder endast Microsoft-domänkontrollanter, DHCP-, DNS- och NPS-servrar som kör Windows Server® 2008 och senare.

  2. IPAM stöder endast domänanslutna DHCP-, DNS- och NPS-servrar i en enda AD-skog.

  3. I den rekommenderade konfigurationen installeras IPAM på en fristående server. Det går inte att installera IPAM på en domänkontrollant. Om IPAM är installerat på samma server som rolltjänsten DHCP-server inaktiveras den automatiska identifieringen av DHCP-servrar i nätverket.

  4. IPAM stöder inte hantering och konfiguration av nätverkselement som inte är från Microsoft. Du kan dock använda Windows PowerShell och importera och hantera IP-adressdata från enheter som inte kommer från Microsoft.

  5. IPAM i Windows Server 2012 har inte stöd för externa databaser. Endast en Intern Windows-databas stöds.

  6. Tester med en IPAM-server har genomförts och den stöder upp till 150 DHCP-servrar och 500 DNS-servrar.

  7. Tester med en enda IPAM-server har genomförts och den stöder upp till 40 000 DHCP-scope och 350 DNS-zoner.

  8. IPAM har testats för att lagra 3 års forensikdata (IP-adressleasningar, MAC-värdadresser, information om användarinloggningar/-utloggningar) för 100 000 användare i en Intern Windows-databas. Data tas inte bort automatiskt. En administratör måste manuellt ta bort data vid behov.

  9. Trender för IP-adressanvändning tillhandahålls endast för IPv4.

  10. Stöd för återtagning av IP-adresser tillhandahålls för IPv4 och IPv6.

  11. IPAM kontrollerar inte IP-adressöverensstämmelse för routrar och växlar.

  12. IPAM stöder inte granskning av automatiska konfigurationer av tillståndslösa IPv6-adresser på ej hanterade datorer för att spåra användaren.

  13. IPAM stöder integration med System Center Virtual Machine Manager (VMM) med hjälp av ett Windows PowerShell-skript som är paketerat och ingår i System Center VMM. Integreringen gör att IPAM kan visa detaljerade data om användning och lager för IP-adresser och IP-adressintervall som används i System Center VMM.

Praktiska tillämpningar

Övervakning och hantering av IP-adressinfrastrukturen i ett företagsnätverk är en viktig del av nätverksadministrationen och den har blivit allt svårare allteftersom nätverket växer mer dynamisk och blir allt komplexare. Många IT-administratörer spårar fortfarande IP-adressallokering och -användning manuellt med hjälp av kalkylblad eller anpassade databasprogram. Detta kan kräva både tid och resurser och det uppstår lätt fel. IPAM i Windows Server 2012 tillhandahåller en plattform för att hantera följande IP-administrationsbehov.

  1. Planering: IPAM ersätter manuella verktyg och skript som kan medföra extra tid, inkonsekvenser och utgifter i planeringsprocessen när företaget expanderar eller förändras, eller när nya tekniker och scenarion måste införas.

  2. Hantering: IPAM tillhandahåller en enda hanteringsplattform för IP-adressadministration i nätverket. IPAM kan även användas för optimerad användning och kapacitetsplanering för DHCP- och DNS-tjänster i en distribuerad miljö.

  3. Spårning: IPAM kan spåra och skapa prognoser för IP-adressanvändningen. I takt med att behovet för det offentliga IPv4-adressutrymmet växer i en miljö med begränsad tillgång kan det vara av avgörande betydelse för en organisation.

  4. Granskning: IPAM hjälper till med krav på efterlevnad som HIPAA och Sarbanes-Oxley och tillhandahåller rapporter för dataforensik och ändringshantering.

Nya och ändrade funktioner

Se Nyheter i IPAM.

Information om Serverhanteraren

Installationen av IPAM-servern kan göras via Serverhanteraren. Följande funktioner och verktyg installeras automatiskt när du installerar IPAM-servern:

Funktion eller verktyg

Beskrivning

Fjärradministrationsverktyg för server

DHCP- och DNS-serververktyg och IPAM-klienten möjliggör fjärrhantering av DHCP-, DNS- och IPAM-servrar.

Intern Windows-databas

Internt Windows-databas är ett relationsdatalager som endast kan användas med Windows-roller och -funktioner.

Windows Process Activation

Windows Process Activation Service är en generalisering av IIS-processmodellen som eliminerar HTTP-beroendet.

Grupprinciphantering

Grupprinciphantering är en MMC-modul (Microsoft Management Console) som kan köras med skript och som fungerar som företagets administrativa verktyg för hantering av grupprinciper.

Funktioner i .NET Framework 4.5

.NET Framework 4.5 är en programmeringsmodell för att skapa och köra program som utvecklats för flera olika plattformar.

Se även

Nyheter i IPAM

Planering och utforma IPAM

Distribuera IPAM

Hantera IPAM

Genomgång: Demonstration av IPAM i Windows Server 2012

Genomgång: Demonstration av IPAM i Windows Server 2012 R2