IP 地址管理 (IPAM) 概述

适用对象：Windows Server 2012 R2, Windows Server 2012

本主题提供了 Windows Server® 2012 和 Windows Server 2012 R2 中的 IP 地址管理 (IPAM) 服务器功能的摘要。 有关详细信息，请参阅以下主题：

功能描述

Windows Server® 2012 和 Windows Server® 2012 R2 中的 IP 地址管理 (IPAM) 是一套集成工具，支持端到端规划、部署、管理和监视你的 IP 地址基础结构，同时提供丰富的用户体验。 IPAM 自动在你的网络上发现 IP 地址基础结构服务器，并使你能够从中心界面管理它们。

IPAM 包括的组件可以：

1. 地址空间管理

2. 虚拟地址空间管理*****

3. 多服务器管理和监视

4. 网络审核

5. 基于角色的访问控制******

* 通过将 IPAM 与系统中心虚拟机管理器集成来启用虚拟 IP 地址空间管理，它在 Windows Server 2012 R2 及更高版本的操作系统中可用。 此功能不在 Windows Server 2012 中随 IPAM 一起提供。

** 通过在 IPAM 服务器上使用本地用户组，基于角色的访问控制可用于 Windows Server 2012。 该功能在 Windows Server 2012 R2 中已得到显著增强，以包括详细的基于自定义角色的内置访问组。

也可以参阅本主题中的以下部分：

• IPAM 部署选项：提供 IPAM 设计选择的摘要。 有关更多详细信息，请参阅 IPAM 体系结构。

• IPAM 规格：提供 IPAM 部署要求和功能的摘要。

有关如何开始使用 IPAM 的详细信息，请参阅 使用 IPAM 客户端控制台。

地址空间管理

IPAM 的地址空间管理 (ASM) 功能使你能够从单个控制台看到 IP 地址基础结构的所有方面。 借助 IPAM，你可以在网络上创建高度自定义、多级层次结构的地址空间，并使用它来管理 IPv6 地址以及 IPv4 公用和专用地址。 ASM 功能包括强大的报告功能，该功能可使用自定义阈值和警报详细跟踪 IP 地址利用率趋势。

ASM 的主要功能包括以下内容。

• 集成管理动态和静态 IP 地址空间

• 检测和管理跨系统地址空间中的冲突、重叠和重复

• IP 地址空间的高度可自定义清单视图

• 集中监视和报告地址利用率统计信息和趋势

• 支持 IPv4 和无状态 IPv6 地址利用率监视

• 从 DHCP 作用域自动发现 IP 地址范围

• 支持使用 Windows PowerShell 导出和导入 IP 地址和 IP 地址范围

• 带有自定义阈值的 IP 地址使用情况警报和通知

• 检测和分配可用的 IP 地址

以下示例显示 IPAM 的 ASM 功能如何允许你监视 IP 地址利用率。 在此示例中，针对 10.72.144.0/22 IP 地址范围显示 7 天的利用率数据。

有关详细信息，请参阅 管理 IP 地址空间。

虚拟地址空间管理

Windows Server 2012 R2 中的 IPAM 包括管理使用 System Center Virtual Machine Manager (VMM) 配置的虚拟 IP 地址空间。

IPAM 的虚拟地址空间管理 (VASM) 功能为虚拟 IP 地址基础结构启用的功能与 ASM 功能为物理 IP 地址空间启用的功能相同。

有关详细信息，请参阅 管理虚拟 IP 地址空间。

多服务器管理和监视

使用 IPAM 的多服务器管理 (MSM) 功能，你可以在网络上自动发现 DHCP 和 DNS 服务器、监视服务可用性并集中管理其配置。 通过使用组策略设置模式，IPAM 可在托管服务器上快速轻松地设置无代理 IPAM 访问设置。 手动设置模式也可用。

MSM 的主要功能包括以下内容。

• 在整个 Active Directory 林上自动发现 Microsoft DHCP 和 DNS 服务器

• 手动添加或删除托管服务器

• 端到端配置和管理 DHCP 服务器和作用域

• 支持高级构造以在多个 DHCP 作用域和服务器上执行添加、删除、覆盖或者查找和替换操作。

• 跨多个 DHCP 作用域或 DHCP 服务器同时更新公用设置

• 监视 DHCP 和 DNS 服务以及 DNS 区域的可用性

• 管理运行 Windows 2008 或更高版本操作系统的 Microsoft DHCP 和 DNS 服务器

• 根据业务逻辑，使用逻辑组将自定义信息添加到用于启用可视化的服务器

• 监视 DHCP 作用域利用率

• 从托管 DHCP 和 DNS 服务器自动按需检索服务器数据

• 根据 DNS 区域事件监视 DNS 区域状态

• 将发现的服务器和角色分类为托管或非托管

以下示例显示 IPAM 的 MSM 功能如何允许你在网络上监视 IP DHCP 作用域。 在此示例中，为作用域 US_SEA_zzz3 显示详细数据。

有关详细信息，请参阅 多服务器管理。

网络审核

使用 IPAM 的审核功能，可为在 DHCP 服务器和 IPAM 服务器上执行的所有配置更改以及在网络上颁发的 IP 地址提供集中式存储库。 使用 IPAM 审核工具，你可以通过主动跟踪和报告所有管理操作来查看 DHCP 服务器上的潜在配置问题。 还提供详细的 IP 地址跟踪数据，包括客户端 IP 地址、客户端 ID、主机名和用户名。 使用高级搜索功能，你可以有选择性地搜索事件，并获得将用户登录关联到特定设备和时间的结果。

网络审核的主要功能包括以下内容。

• 从单个控制台查询多个服务器上 DHCP 配置更改的事件目录

• 使用 DHCP 租用日志和登录事件，从域控制器和网络策略服务器中借助高级查询以特定时间间隔跟踪用户、设备和 IP 地址

• 跟踪和报告对 IPAM 服务器所做的更改

• 导出审核所发现的结果并创建报告

• 快速解决配置问题并跟踪服务级别协议

以下示例显示 IPAM 的网络审核功能如何允许你在网络上跟踪 IP 地址。 在此示例中，为 contoso.com 域中的租用事件显示详细信息。

有关详细信息，请参阅 IP 地址跟踪和 运行事件跟踪。

基于角色的访问控制

使用 IPAM 的基于角色的访问控制功能，你可以自定义用户和用户组对 IPAM 中特定对象的操作类型与访问权限。Windows Server 2012 中基于角色的访问控制的细化程度小于 Windows Server 2012 R2 中的访问控制。 请参阅以下对比。

IPAM 部署选项

IPAM 服务器是一台域成员计算机。

一般通过三种方法部署 IPAM 服务器：

1. 分布式：在企业的每个站点上部署一台 IPAM 服务器。

2. 集中式：一台 IPAM 服务器为整个企业提供服务。

3. 混合式：在每个站点上使用专用 IPAM 服务器部署的中央 IPAM 服务器。

以下示例显示分布式 IPAM 部署方法，在公司总部有一台 IPAM 服务器并且每个分支机构办公室都有一台 IPAM 服务器。 在企业中不同的 IPAM 服务器之间没有通信或数据库共享。 如果部署了多台 IPAM 服务器，你可以自定义每台 IPAM 服务器的发现作用域，或筛选托管服务器的列表。 一台 IPAM 服务器可能管理某个特定的域或位置，并且可能具有配置为备份的另一台 IPAM 服务器。

IPAM 将定期尝试查找网络上位于你指定的发现作用域内的域控制器、DNS、DHCP 服务器。 你必须选择这些服务器是否由 IPAM 管理。 用这种方式，你可以选择由 IPAM 管理或不由 IPAM 管理的不同服务器组。

若要由 IPAM 管理，服务器安全设置以及防火墙端口必须配置为允许 IPAM 服务器访问，以执行所需的监视和配置功能。 你可以手动配置这些设置，也可以使用组策略对象 (GPO) 自动配置。 如果你选择自动的方法，则当服务器标记为托管时应用设置，并且当标记为非托管时删除设置。

IPAM 服务器将使用 RPC 或 WMI 接口与托管的服务器通信。 IPAM 为了进行 IP 地址跟踪而监视域控制器和 NPS 服务器。 除了监视功能之外，还可以通过 IPAM 控制台配置多个 DHCP 服务器和作用域属性。 区域状态监视以及有限的配置功能集也可用于 DNS 服务器。 参见下图。

有关详细信息，请参阅 IPAM 体系结构。

IPAM 规格

IPAM 服务器发现的作用域仅限一个 Active Directory 林。 该林本身可能包含多个信任的以及不信任的域。 IPAM 要求 Active Directory 域的成员身份，并且依赖于某个功能网络基础结构环境，以与 AD 林上的其他服务器安装集成。

IPAM 具有以下规范：

1. IPAM 仅支持运行 Windows Server 2008 及以上版本的 Microsoft 域控制器、DHCP、DNS 和 NPS 服务器。

2. IPAM 仅支持一个 AD 林中的域成员 DHCP、DNS 以及 NPS 服务器。

3. 在其推荐的配置中，IPAM 安装在独立服务器上。 不能在域控制器上安装 IPAM。 如果 IPAM 安装在具有 DHCP 服务器角色服务的相同服务器上，则将会禁用自动发现网络上的 DHCP 服务器。

4. IPAM 不支持对非 Microsoft 网络元素的管理和配置。 但是，你可以使用 Windows PowerShell 从非 Microsoft 设备导入 IP 地址数据并进行管理。

5. Windows Server 2012 中的 IPAM 不支持外部数据库。 仅支持 Windows 内部数据库。

6. 经过测试一台 IPAM 服务器可以支持多达 150 个 DHCP 服务器以及 500 个 DNS 服务器。

7. 经过测试一台 IPAM 服务器可以支持多达 40,000 个 DHCP 作用域以及 350 个 DNS 区域。

8. 经过测试 IPAM 可为 Windows 内部数据库中的 10 万位用户存储 3 年的取证数据（IP 地址租约、主机 MAC 地址、用户登录/注销信息）。 系统不会自动清除数据。 管理员必须根据需要手动清除数据。

9. 仅对 IPv4 提供 IP 地址利用趋势。

10. 仅对 IPv4 和 IPv6 提供 IP 地址回收支持。

11. IPAM 不检查 IP 地址是否与路由器和交换机一致。

12. IPAM 不支持非托管计算机上用于跟踪用户的 IPv6 无状态地址自动配置的审核。

13. IPAM 支持与使用 Windows PowerShell 脚本的 System Center Virtual Machine Manager (VMM) 集成，该脚本会打包并随 System Center VMM 一起提供。 此集成使 IPAM 可为 System Center VMM 中使用的 IP 地址和 IP 地址范围显示详细的使用情况和清单数据。

实际的应用程序

监视和管理企业网络上的 IP 地址基础结构是网络管理的重要组成部分，并且随着网络不断变化且越来越复杂，网络管理也变得更具挑战性。 很多 IT 管理员仍然使用电子表格或自定义数据库应用程序手动跟踪 IP 地址分配和利用。 这种方法非常耗时且占用大量资源，并且非常容易出现用户错误。Windows Server 2012 中的 IPAM 提供了一个平台，可以管理下列 IP 管理需求。

1. 计划：当出现业务扩展和变更或需要采用新技术和方案时，IPAM 将替换手动工具和脚本，可以将增加的时间、不一致性和开销引入到计划过程。

2. 管理：IPAM 在网络上为 IP 地址管理提供了一个管理平台。 IPAM 还允许为分布式环境中的 DHCP 和 DNS 服务优化利用率和功能计划。

3. 跟踪：IPAM 允许对 IP 地址利用率的跟踪和预测。 随着在供应有限的环境中公共 IPv4 地址空间需求的不断增长，这对于企业而言可能至关重要。

4. 审核：IPAM 协助遵从诸如 HIPAA 和 Sarbanes-Oxley 的要求，并提供用于取证和更改管理的报告。

新功能和更改的功能

请参阅IPAM 中的新增功能。

服务器管理器信息

IPAM 服务器功能的安装可通过服务器管理器执行。 以下功能和工具会在你安装 IPAM 服务器时自动安装：

另请参阅

IPAM 中的新增功能

规划和设计 IPAM

部署 IPAM

管理 IPAM

分步：配置 IPAM 以管理 IP 地址空间

操作实例：演示 Windows Server 2012 R2 中的 IPAM