Lesezeit
3 Minuten
Windows Server 2012 R2: IPAM im Praxiseinsatz
Eine Neuerung seit Windows Server 2012 ist der IP-Adressverwaltungsserver – kurz IPAM. Dieser Serverdienst überwacht und steuert zentral DHCP- und DNS-Server im Netzwerk ebenso wie Änderungen daran. Die Hauptaufgabe von IPAM ist sicherlich, die doppelte Vergabe von IP-Adressen im Unternehmen zu verhindern. Daher profitieren vor allem Unternehmen von IPAM, die mehrere DHCP-Server mit unterschiedlichen Bereichen betreiben. Organisationen, die zahlreiche Namensserver verwalten müssen, sollten daher einen Blick auf IPAM werfen. Zudem überwacht der Dienst nicht nur DNS- und DHCP-Server, sondern bietet auch eine effiziente Verwaltungsmöglichkeit dieser Server und zwar in einer gemeinsamen Oberfläche. In diesem Workshop setzen wir einen IPAM-Server auf und integrieren ihn in die Gesamtstruktur.
Die IPAM-Installation erfolgt als Serverfeature, die Verwaltung über Assistenten im Server-Manager. Der mit Windows Server 2012 eingeführte Dienst unterstützt in Windows Server 2012 R2 virtuelle Umgebungen und arbeitet besser mit System Center 2012 R2 zusammen.
Neu ist auch die Möglichkeit, eine rollenbasierte Verwaltung zu konfigurieren. Innerhalb der Verwaltungskonsole können Sie jetzt neue Rollen definieren und so genau delegieren, welche Administratoren Rechte auf die einzelnen Funktionen in IPAM haben. Sie können entweder eigene Rollen anlegen oder Sie verwenden eine der acht vorgefertigten Rollen. Diese weisen Sie den Benutzerkonten über die neuen Zugriffsrichtlinien zu.
Einsatzgebiete von IPAM
Microsoft geht mit der neuen Serverrolle auf die ständig wachsende Anzahl an DNS- und DHCP-Servern in Unternehmen und die damit verbundenen komplizierteren Verwaltung ein. Damit Administratoren einen Überblick über die verschiedenen IP-Adressbereiche und DNS-Domänen erhalten, sind oft Zusatztools oder Excel-Tabellen im Einsatz, in denen die Daten aufgelistet sind. Damit soll IPAM Schluss machen und bringt dazu folgende Funktionen:
IPAM hat seine Grenzen in der Gesamtstruktur. Das heißt, ein Server kann immer nur die Infrastrukturserver einer Gesamtstruktur und aller angebundenen Domänen verwalten. Der Server muss zwingend Mitglied einer Domäne in der Gesamtstruktur sein. Welche das ist, spielt keine Rolle. Außerdem lassen sich mit IPAM nur korrekt konfigurierte und funktionierende Infrastrukturserver (NPS, DC, DNS und DHCP) verwalten und überwachen.
Neben Windows Server 2012 R2 kann IPAM auch Infrastrukturserver mit Windows Server 2008/2008 R2 und Windows Server 2012 anbinden. Externe Geräte, DHCP-Relays oder WINS kann IPAM nicht überwachen. Dies gilt auch für Infrastrukturdienste aus anderen Betriebssystemen. Auch eine Überprüfung der Konsistenz der IP-Adressen mit Routern oder Switches ist nicht möglich.
Ein einzelner IPAM-Server kann bis zu 150 DCHP-Server, 500 DNS-Server, 40.000 DHCP-IP-Adressbereiche, drei Millionen IPv4-Adressen, drei Millionen IPv6-Adressen, 40.000 DNS-Einträge und bis zu 350 DNS-Zonen monitoren. Seine Daten speichert IPAM bis zu drei Jahre lang. Dabei berücksichtigt der Server auch IP-Adress-Leases und An- oder Abmeldevorgänge von Benutzern. Das Löschen der internen Windows-Datenbank von IPAM müssen Administratoren manuell in der Verwaltungskonsole vornehmen.
IPAM einrichten
Um IPAM zu nutzen, installieren das Feature "IP-Anwendungsserver" auf einem Server. Anschließend finden Sie im Server-Manager einen neuen Verwaltungsbereich für IPAM. Hierüber richten Sie den Server mit einem Assistenten ein. Sie können IPAM auch über die Power-Shell mit
Bild 1: Bei der Einrichtung der IPAM-Server geben Administratoren die einzelnen Server und Einstellungen
am besten mit Gruppenrichtlinien weiter.
Belassen Sie auf der Seite zur Einrichtung der Bereitstellung die Option "Gruppenrichtlinienbasiert" und geben Sie unten ein Präfix für die neue Gruppenrichtlinie ein, zum Beispiel "IPAM". Nutzen Sie die gruppenrichtlinienbasierte Einrichtung von IPAM, lassen sich alle Server automatisiert anbinden und Sie müssen nicht alle Einstellungen für jeden IPAM-Server manuell vorgeben. Klicken Sie auf der nächsten Seite auf "Anwenden" und schließen Sie damit die Einrichtung von IPAM ab.
Seite 1: Einsatzgebiete von IPAM und Ersteinrichtung
Seite 2: Klassische Fehler bei der IPAM-Anmeldung vermeiden
Seite 3: IPAM im Betrieb
jp/ln/Thomas Joos
Neu ist auch die Möglichkeit, eine rollenbasierte Verwaltung zu konfigurieren. Innerhalb der Verwaltungskonsole können Sie jetzt neue Rollen definieren und so genau delegieren, welche Administratoren Rechte auf die einzelnen Funktionen in IPAM haben. Sie können entweder eigene Rollen anlegen oder Sie verwenden eine der acht vorgefertigten Rollen. Diese weisen Sie den Benutzerkonten über die neuen Zugriffsrichtlinien zu.
Einsatzgebiete von IPAM
Microsoft geht mit der neuen Serverrolle auf die ständig wachsende Anzahl an DNS- und DHCP-Servern in Unternehmen und die damit verbundenen komplizierteren Verwaltung ein. Damit Administratoren einen Überblick über die verschiedenen IP-Adressbereiche und DNS-Domänen erhalten, sind oft Zusatztools oder Excel-Tabellen im Einsatz, in denen die Daten aufgelistet sind. Damit soll IPAM Schluss machen und bringt dazu folgende Funktionen:
- Automatisches Auffinden der IP-Adress-Infrastruktur im Unternehmen
- Erstellen von Berichten über die IP-Infrastruktur
- Überwachung der Infrastrukturserver im Netzwerk und der vorhandenen IP-Adressen
- Überwachung von Netzwerkzugriffschutzservern
- Monitoring von Domänencontrollern
IPAM hat seine Grenzen in der Gesamtstruktur. Das heißt, ein Server kann immer nur die Infrastrukturserver einer Gesamtstruktur und aller angebundenen Domänen verwalten. Der Server muss zwingend Mitglied einer Domäne in der Gesamtstruktur sein. Welche das ist, spielt keine Rolle. Außerdem lassen sich mit IPAM nur korrekt konfigurierte und funktionierende Infrastrukturserver (NPS, DC, DNS und DHCP) verwalten und überwachen.
Neben Windows Server 2012 R2 kann IPAM auch Infrastrukturserver mit Windows Server 2008/2008 R2 und Windows Server 2012 anbinden. Externe Geräte, DHCP-Relays oder WINS kann IPAM nicht überwachen. Dies gilt auch für Infrastrukturdienste aus anderen Betriebssystemen. Auch eine Überprüfung der Konsistenz der IP-Adressen mit Routern oder Switches ist nicht möglich.
Ein einzelner IPAM-Server kann bis zu 150 DCHP-Server, 500 DNS-Server, 40.000 DHCP-IP-Adressbereiche, drei Millionen IPv4-Adressen, drei Millionen IPv6-Adressen, 40.000 DNS-Einträge und bis zu 350 DNS-Zonen monitoren. Seine Daten speichert IPAM bis zu drei Jahre lang. Dabei berücksichtigt der Server auch IP-Adress-Leases und An- oder Abmeldevorgänge von Benutzern. Das Löschen der internen Windows-Datenbank von IPAM müssen Administratoren manuell in der Verwaltungskonsole vornehmen.
IPAM einrichten
Um IPAM zu nutzen, installieren das Feature "IP-Anwendungsserver" auf einem Server. Anschließend finden Sie im Server-Manager einen neuen Verwaltungsbereich für IPAM. Hierüber richten Sie den Server mit einem Assistenten ein. Sie können IPAM auch über die Power-Shell mit
Install-WindowsFeature IPAM -IncludeManagementToolsinstallieren. Im ersten Schritt klicken Sie auf "Verbindung mit IPAM-Server herstellen". Wählen Sie im Fenster den IPAM-Server aus, den Sie im Unternehmen verwenden wollen. Danach klicken Sie auf "IPAM-Server bereitstellen". So richten Sie die IPAM-Server ein. In Windows Server 2012 R2 haben Sie zudem die Möglichkeit auszuwählen, ob Sie die IPAM-Datenbank auf dem lokalen Server in einer internen Windows-Datenbank (WID) oder auf einem SQL-Server speichern wollen. In den meisten Fällen reicht die interne Windows-Datenbank aber aus. In großen Umgebungen ist diese neue Funktion aber besser geeignet, vor allem wenn schon SQL-Server im Einsatz sind.
Bild 1: Bei der Einrichtung der IPAM-Server geben Administratoren die einzelnen Server und Einstellungen
am besten mit Gruppenrichtlinien weiter.
Belassen Sie auf der Seite zur Einrichtung der Bereitstellung die Option "Gruppenrichtlinienbasiert" und geben Sie unten ein Präfix für die neue Gruppenrichtlinie ein, zum Beispiel "IPAM". Nutzen Sie die gruppenrichtlinienbasierte Einrichtung von IPAM, lassen sich alle Server automatisiert anbinden und Sie müssen nicht alle Einstellungen für jeden IPAM-Server manuell vorgeben. Klicken Sie auf der nächsten Seite auf "Anwenden" und schließen Sie damit die Einrichtung von IPAM ab.
Seite 1: Einsatzgebiete von IPAM und Ersteinrichtung
Seite 2: Klassische Fehler bei der IPAM-Anmeldung vermeiden
Seite 3: IPAM im Betrieb
Seite 1 von 3 | Nächste Seite >> |
jp/ln/Thomas Joos