Windows Server 2012 新特性:IPAM的配置

Windows Server 2012 中的 IPAM 是一個新增的內置框架，用於發現、監視、審覈和管理企業網絡上使用的 IP 地址空間。IPAM 能夠對運行動態主機配置協議 (DHCP) 和域名服務 (DNS) 的服務器進行管理和監視。IPAM 包括的組件能夠：

• 自動化 IP 地址基礎結構發現：IPAM 可發現所選域中的域控制器、DHCP 服務器和 DNS 服務器。能夠經過 IPAM 啓用或禁用對這些服務器的管理。
• 自定義 IP 地址空間顯示、報告和管理：IP 地址的顯示可高度自定義，而且會提供詳細的跟蹤和利用率數據。IPv4 和 IPv6 地址空間將會組織到 IP 地址區塊、IP 地址範圍和單獨的 IP 地址中。IP 地址是分配的內置或用戶定義的字段，可用於進一步將 IP 地址空間組織爲分層的邏輯組。
• 對服務器配置更改狀況的審覈和對 IP 地址使用狀況的跟蹤：對於 IPAM 服務器和託管的 DHCP 服務器顯示可操做事件。經過使用從網絡策略服務器 (NPS)、域控制器和 DHCP 服務器中收集的 DHCP 租約事件和用戶登陸事件，IPAM 還容許 IP 地址跟蹤。跟蹤可用於 IP 地址、客戶端 ID、主機名或用戶名。
• 對 DHCP 和 DNS 服務的監視和管理：IPAM 容許對林上的 Microsoft DHCP 和 DNS 服務器的自動服務可用性進行監視。將會顯示 DNS 區域運行情況，並經過 IPAM 控制檯提供詳細的 DHCP 服務器和做用域管理。

IPAM 服務器是一臺域成員計算機。沒法在 Active Directory 域控制器上安裝 IPAM 功能。

通常經過兩種方法部署 IPAM 服務器：

1. 分佈式：在企業的每一個站點上部署一臺 IPAM 服務器。
2. 集中式：一臺 IPAM 服務器爲整個企業提供服務。

如下示例顯示分佈式 IPAM 部署方法，在公司總部有一臺 IPAM 服務器而且每一個分支機構辦公室都有一臺 IPAM 服務器。在企業中不一樣的 IPAM 服務器之間沒有通訊或數據庫共享。若是部署了多臺 IPAM 服務器，您能夠自定義每臺 IPAM 服務器的發現做用域，或篩選託管服務器的列表。一臺 IPAM 服務器可能管理某個特定的域或位置，而且可能具備配置爲備份的另外一臺 IPAM 服務器。

IPAM 將按期嘗試查找網絡上位於您指定的發現做用域內的域控制器、DNS、DHCP 服務器。你必須選擇這些服務器是否由 IPAM 管理。用這種方式，你能夠選擇不一樣的服務器組，能夠由 IPAM 管理，也能夠不禁 IPAM 管理。

若要由 IPAM 管理，服務器安全設置以及防火牆端口必須配置爲容許 IPAM 服務器訪問，以執行所需的監視和配置功能。 你能夠手動配置這些設置，也可使用組策略對象 (GPO) 自動配置。若是您選擇自動的方法，則當服務器標記爲託管時應用設置，而且當標記爲非託管時刪除設置。

IPAM 服務器將使用 RPC 或 WMI 接口與託管的服務器通訊。IPAM 爲了進行 IP 地址跟蹤而監視域控制器和 NPS 服務器。除了監視功能以外，還能夠經過 IPAM 控制檯配置多個 DHCP 服務器和做用域屬性。區域狀態監視以及有限的配置功能集也可用於 DNS 服務器。

IPAM 服務器發現的做用域僅限一個 Active Directory 林。該林自己可能包含多個信任的以及不信任的域。IPAM 要求 Active Directory 域的成員身份，而且依賴於某個功能網絡基礎結構環境，以與 AD 林上的其餘服務器安裝集成。

IPAM 具備如下規範：

1. IPAM 僅支持運行 Windows Server? 2008 及以上版本的 Microsoft 域控制器、DHCP、DNS 和 NPS 服務器。
2. IPAM 僅支持一個 AD 林中的域成員 DHCP、DNS 以及 NPS 服務器。
3. IPAM 不支持對非 Microsoft 網絡元素的管理和配置。
4. IPAM 不支持外部數據庫。僅支持 Windows 內部數據庫。
5. 一臺 IPAM 服務器能夠支持多達 150 臺 DHCP 服務器以及 500 臺 DNS 服務器。
6. 通過測試一臺 IPAM 服務器能夠支持多達 6000 個 DHCP 做用域以及 150 個 DNS 區域。
7. IPAM 可爲 Windows 內部數據庫中的 10 萬位用戶存儲 3 年的取證數據（IP 地址租約、主機 MAC 地址、用戶登陸/註銷信息）。沒有提供數據庫清除策略，管理員必須根據須要手動清除數據。
8. 僅對 IPv4 提供 IP 地址利用趨勢。
9. 僅對 IPv4 提供 IP 地址回收支持。
10. 對 IPv6 無狀態地址自動配置專用擴展不執行任何特殊處理。
11. 對虛擬化技術或虛擬機遷移不提供任何特殊處理。
12. IPAM 不檢查 IP 地址是否與路由器和交換機一致。
13. IPAM 不支持非託管計算機上用於跟蹤用戶的 IPv6 無狀態地址自動配置的審覈。

Windows Server? 2012 中的 IP 地址管理 (IPAM) 是用於在公司網絡上發現、監視、管理和審覈 IP 空間的框架。IPAM 提供如下功能：

• 自動 IP 地址基礎結構發現
• 可高度自定義 IP 地址空間顯示、報告以及管理
• 配置 DHCP 和 IPAM 服務的更改審覈
• DHCP 和 DNS 服務的監視和管理
• IP 地址租約跟蹤

本實驗共涉及到三臺安裝了Windows  Server 2012的虛擬機，服務器dcsrv，DC，DHCP，域名Hbsycsrsj.com;

服務器IpamSrv和客戶機Client加入到域。

如下操做在虛擬機上完成。

前期各計算機的基本配置過程略。

一、在dcsrv安裝DHCP。新建IPV4做用域Test_Scope，地址範圍192.168.0.1-192.168.0.10/24，以及相關的選項設置。（過程略）

二、在Ipamsrv上啓動服務器，添加IPAM功能。（過程略）

配置IPAM：

1、鏈接到IPAM服務器

在服務器管理器導航窗格中，單擊「IPAM」。將會顯示「IPAM 概述」頁。默認狀況下，IPAM 客戶端會鏈接到本地服務器

2、設置IPAM服務器（輸入GPO名稱前綴）

 

打開任務程序，IPAM下新增了以下圖的計劃任務

各計劃任務的功能以下圖：

3、配置服務器發現（選擇添加）

4、啓動服務器發現

5、選擇或添加要管理的服務器並驗證 IPAM 訪問權限

在「IPAM 概述」中，單擊「選擇或添加要管理的服務器並驗證 IPAM 訪問權限」。若是未顯示任何服務器，單擊通知標誌旁邊的「刷新 IPv4」圖標。服務器的可管理性狀態將顯示爲「未指定」，而 IPAM 訪問狀態顯示爲「已阻止」。

在服務器清單出現以下圖結果

授予IPAMSRV使用組策略對象 (GPO) 管理 DHCP 和 DC 的權限。

1. 在 IPAMSRV 上，右鍵單擊「Windows PowerShell」，再單擊「以管理員身份運行」。
2. 在 Windows PowerShell 命令提示符下，鍵入如下命令，而後按 Enter 鍵。

Invoke-IpamGpoProvisioning –Domain Hbsycsrsj.com –GpoPrefixName IPAM –IpamServerFqdn ipamSrv.contoso.com

1. 當系統提示你確認操做時，按 Enter 鍵。

打開組策略管理控制檯（GPMC.MSC），查看下圖結果

在DCSRV運行 Gpupdate /Force 更新組策略。

在IpamSrv修改服務器的可管理狀態爲」已託管「

6、檢索托管服務器中的數據

在「IPAM」>「概述」中，單擊「檢索托管服務器中的數據」。 
單擊「通知」標誌，而後等待全部任務的完成。

 

 

注意：在虛擬機上操做時，在更改可管理性狀態後，可能須要等一段時間，而後刷新 IPAM 控制檯視圖，讓 IPAM 訪問狀態在託管服務器上進行更新。