IP 位址管理 (IPAM) 概觀

適用於: Windows Server 2012 R2, Windows Server 2012

本主題提供 Windows Server® 2012 和 Windows Server 2012 R2 中 IP 位址管理 (IPAM) 伺服器功能的摘要。 如需詳細資訊，請參閱下列主題：

功能說明

Windows Server® 2012 和 Windows Server® 2012 R2 中的 IP 位址管理 (IPAM) 是一個整合的工具套件，能夠在您 IP 位址基礎結構的端對端規劃、部署、管理及監視上提供豐富的使用者體驗。 IPAM 會自動探索您網路上的 IP 位址基礎結構伺服器，並可讓您從中央介面管理這些伺服器。

IPAM 包含下列項目的元件：

1. 位址空間管理

2. 虛擬位址空間管理*****

3. 多伺服器管理與監視

4. 網路稽核

5. 角色型存取控制******

* 虛擬 IP 位址空間管理是透過將 IPAM 與系統中心虛擬機器管理員整合來啟用，在 Windows Server 2012 R2 和更新版作業系統中都有提供這項功能。 在 Windows Server 2012 中的 IPAM 沒有這項功能。

******使用 IPAM 伺服器上的本機使用者群組，就可在 Windows Server 2012 進行角色型存取控制。 這項功能已在 Windows Server 2012 R2 中大幅增強，以包含詳細的內建和自訂角色型存取群組。

另請參閱此主題的下列各節：

• IPAM 部署選項：提供 IPAM 設計選擇的摘要。 如需詳細資訊，請參閱 IPAM 架構。

• IPAM 規格：提供 IPAM 部署需求和功能的摘要。

如需開始使用 IPAM 的詳細資訊，請參閱使用 IPAM 用戶端主控台。

位址空間管理

IPAM 的位址空間管理 (ASM) 功能可讓您從單一主控台看見您 IP 位址基礎結構的所有層面。 使用 IPAM 便可以在網路上建立高度自訂、多層的位址空間階層，並使用它來管理 IPv6 位址及 IPv4 公用與私人位址。 ASM 功能包含健全的報告功能，能夠以自訂的閾值和警示進行詳細的 IP 位址使用趨勢追蹤。

ASM 的主要功能包含下列各項。

• 以整合方式管理動態與靜態 IP 位址空間

• 偵測和管理各系統間位址空間中的衝突、重疊及重複項目

• 可高度自訂 IP 位址空間清查檢視

• 集中監視和報告位址使用情況統計資料與趨勢

• 支援 IPv4 與無狀態 IPv6 的位址使用情況監視

• 以自動化方式從 DHCP 領域探索 IP 位址範圍

• 支援以 Windows PowerShell 來匯出和匯入 IP 位址與 IP 位址範圍

• 使用自訂閾值設定 IP 位址使用狀況警示與通知

• 偵測和指派可用的 IP 位址

下列範例示範 IPAM 的 ASM 功能如何讓您監視 IP 位址使用情況。 在這個範例中，會顯示 10.72.144.0/22 IP 位址範圍的 7 天使用資料。

如需詳細資訊，請參閱管理 IP 位址空間。

虛擬位址空間管理

Windows Server 2012 R2 中的 IPAM 具有管理虛擬 IP 位址空間的能力，這些位址空間是以 System Center Virtual Machine Manager (VMM) 設定。

IPAM 的虛擬位址空間管理 (VASM) 功能為虛擬 IP 位址基礎結構啟用的功能和處理能力，與 ASM 功能對實體 IP 位址空間啟用的功能和處理能力相同。

如需詳細資訊，請參閱管理虛擬 IP 位址空間。

多伺服器管理與監視

IPAM 的多伺服器管理 (MSM) 功能可讓您自動探索網路上的 DHCP 和 DNS 伺服器、監視服務可用性，以及集中管理它們的設定。 使用群組原則佈建模式時，IPAM 可以既快速又輕鬆的方式在受管理伺服器上佈建無代理程式 IPAM 存取設定。 您也可以使用手動佈建模式。

MSM 的主要功能包含下列各項。

• 自動在 Active Directory 樹系探索 Microsoft DHCP 與 DNS 伺服器

• 手動新增或移除受管理伺服器

• 以端對端方式設定和管理 DHCP 伺服器與領域

• 支援可讓您在多個 DHCP 領域與伺服器上新增、刪除、覆寫或尋找及取代操作的進階建構

• 同時在多個 DHCP 領域或 DHCP 伺服器更新一般設定

• 監視 DHCP 與 DNS 服務及 DNS 區域的可用性

• 管理執行 Windows 2008 或更新版作業系統的 Microsoft DHCP 與 DNS 伺服器

• 根據商務邏輯使用邏輯群組將自訂資訊新增到啟用視覺效果的伺服器

• 監視 DHCP 領域使用情況

• 從受管理的 DHCP 與 DNS 伺服器自動及視需要抓取伺服器資料

• 根據 DNS 區域事件監視 DNS 區域狀態

• 將探索到的伺服器與角色分成受管理或未受管理

下列範例示範 IPAM 的 MSM 功能如何讓您監視網路上的 IP DHCP 領域。 在這個範例中，顯示了 US_SEA_zzz3 領域的詳細資料。

如需詳細資訊，請參閱多伺服器管理。

網路稽核

IPAM 的稽核功能為在 DHCP 伺服器和 IPAM 伺服器上執行的所有設定變更，以及在網路上發行的 IP 位址，提供一個集中的存放庫。 IPAM 稽核工具可藉由主動追蹤和報告所有系統管理動作，讓您檢視 DHCP 伺服器上可能的設定問題。 它也提供詳細的 IP 位址追蹤資料，包括用戶端 IP 位址、用戶端識別碼、主機名稱及使用者名稱。 進階搜尋功能可讓您選擇性地搜尋事件，並取得與使用者登入的特定裝置和時間關聯的結果。

網路稽核的主要功能包含下列各項。

• 從單一主控台查詢多部伺服器之 DHCP 設定變更的事件目錄

• 透過進階查詢使用 DHCP 租用記錄和登入事件，依指定的時間間隔從網域控制站和網路原則伺服器追蹤使用者、裝置及 IP 位址

• 追蹤和報告對 IPAM 伺服器所做的變更

• 匯出稽核調查結果並建立報告

• 快速解決設定問題並追蹤服務等級協定

下列範例示範 IPAM 的網路稽核功能如何讓您追蹤網路上的 IP 位址。 在這個範例中，顯示了 contoso.com 網域中租用事件的詳細資料。

如需詳細資訊，請參閱 IP 位址追蹤和 操作事件追蹤。

角色型存取控制

IPAM 的角色型存取控制功能可讓您為使用者和使用者群組自訂對 IPAM 中特定物件的操作類型和存取權限。 相較於 Windows Server 2012 R2，Windows Server 2012 中的角色型存取控制較不精細。 請參閱以下的比較。

IPAM 部署選項

IPAM 伺服器是一部網域成員電腦。

部署 IPAM 伺服器一般有三種方法：

1. 分散式：在企業中的每個站台部署 IPAM 伺服器。

2. 集中式：只在企業中部署一個 IPAM 伺服器。

3. 混合式：在每個站台上使用專用 IPAM 伺服器部署集中式 IPAM 伺服器。

以下範例顯示分散式 IPAM 部署方法，企業總部和每間分公司都有一個 IPAM 伺服器。 企業中的不同 IPAM 伺服器之間不會互相通訊，也不會共用資料庫。 如果部署多部 IPAM 伺服器，您可以自訂每部 IPAM 伺服器的探索範圍，或篩選受管理伺服器的清單。 單一 IPAM 伺服器可以管理特定的網域或位置，也許可以再加上一部設為備份的次要 IPAM 伺服器。

IPAM 會在您指定探索範圍內的網路上，定期嘗試找出網域控制站、DNS 和 DHCP 伺服器。 您必須選擇這些伺服器由 IPAM 管理或未受管理。 透過這個方式，您可以選擇由 IPAM 管理或未受管理的不同伺服器群組。

若要由 IPAM 管理，伺服器上的安全性設定和防火牆連接埠必須設定成允許 IPAM 存取，這樣 IPAM 才能執行必要的監控與設定功能。 您可以手動設定這些設定，或是使用群組原則物件 (GPO) 自動設定。 如果您選擇自動化方法，當伺服器標記為受管理時就會套用設定，當標記為未受管理時就會移除設定。

IPAM 伺服器會使用 RPC 或 WMI 介面與受管理的伺服器通訊。 為了追蹤 IP 位址，IPAM 會監控網域控制站和 NPS 伺服器。 除了監控功能，也可以從 IPAM 主控台上設定數個 DHCP 伺服器和領域內容。 DNS 伺服器還可以使用區域狀態監視和一組有限的設定功能。 請參閱下圖。

如需詳細資訊，請參閱IPAM 架構。

IPAM 規格

IPAM 伺服器探索的領域限於單一 Active Directory 樹系。 樹系本身可能同時包含信任的和不信任的網域。 IPAM 需要 Active Directory 網域的成員資格，並且依賴功能網路基礎結構環境來與跨 AD 樹系的其他伺服器安裝整合。

IPAM 有下列規格：

1. IPAM 只支援執行 Windows Server® 2008 或以上版本的 Microsoft 網域控制站、DHCP、DNS 和 NPS 伺服器。

2. IPAM 只支援在單一 AD 樹系中加入網域的 DHCP、DNS 和 NPS 伺服器。

3. 在建議的設定中，IPAM 安裝在獨立的伺服器上。 您不能將 IPAM 安裝在網域控制站上。 如果將 IPAM 與 DHCP 伺服器角色服務安裝在相同的伺服器上，網路上的 DHCP 伺服器自動探索功能將會停用。

4. IPAM 不支援非 Microsoft 網路元素的管理和設定。 然而，您可以使用 Windows PowerShell 從非 Microsoft 裝置匯入和管理 IP 位址資料。

5. Windows Server 2012 中的 IPAM 不支援外部資料庫。 只支援 Windows 內部資料庫。

6. 單一 IPAM 伺服器已經過測試，可支援最多 150 個 DHCP 伺服器和 500 個 DNS 伺服器。

7. 單一 IPAM 伺服器已經過測試，可支援最多 40,000 個 DHCP 領域和 350 個 DNS 區域。

8. IPAM 已經過測試，可在 Windows 內部資料庫存放 100,000 位使用者 3 年的鑑證資料 (IP 位址租用、主機 MAC 位址、使用者登入/登出資訊)。 資料不會自動清除。 系統管理員必須視需要手動清除資料。

9. 只提供 IPv4 的 IP 位址使用率趨勢。

10. 提供 IPv4 和 IPv6 的 IP 位址回收支援。

11. IPAM 不會檢查路由器和交換器的 IP 位址一致性。

12. IPAM 不支援在未受管理的機器上稽核 IPv6 無狀態位址自動設定來追蹤使用者。

13. IPAM 支援使用 System Center Virtual Machine Manager (VMM) 封裝和隨附的 Windows PowerShell 指令碼進行 System Center VMM 整合。 這項整合可讓 IPAM 顯示 System Center VMM 所使用之 IP 位址和 IP 位址範圍的詳細使用量及清查資料。

實際應用

在公司網路監控和管理 IP 位址基礎結構是網路管理很重要的一部分，而且隨著網路日益動態和複雜，這項工作越來越不容易執行。 許多 IT 系統管理員仍然使用試算表或自訂資料庫應用程式手動追蹤 IP 位址配置和使用率。 這可能會花很長的時間並消耗大量資源，並出現原來就很容易發生的使用者錯誤。Windows Server 2012 的 IPAM 可提供讓您管理下列 IP 系統管理需求的平台。

1. 規劃：IPAM 可取代手動工具和指令碼，這些手動工具和指令碼會在業務擴展和變動期間，或是需要採用新技術和案例時，增加規劃程序所需的時間、不一致性和費用。

2. 管理：IPAM 提供單一的管理平台，來管理網路上的 IP 位址。 IPAM 也可以在分散式環境中最佳化 DHCP 和 DNS 服務的使用率和容量計劃。

3. 追蹤：IPAM 可讓您追蹤和預測 IP 位址使用率。 在這個公用 IPv4 位址空間需求日益增加且供應量有限的環境中，這對組織而言是極為重要的一件事。

4. 稽核：IPAM 可協助符合法規需求，例如 HIPAA 和沙氏法案，以及提供鑑證和變更管理的報告。

新功能和變更的功能

請參閱IPAM 的新功能。

伺服器管理員資訊

可以透過 [伺服器管理員] 來安裝 IPAM 伺服器功能。 安裝 IPAM 伺服器時，會自動安裝下列功能和工具：

另請參閱

IPAM 的新功能

規劃和設計 IPAM

部署 IPAM

管理 IPAM

逐步指南：設定 IPAM 管理您的 IP 位址空間

逐步解說：在 Windows Server 2012 R2 示範 IPAM