Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Microsoft Windows Server 2012/2012 R2 Настройка службы IPAM шаг за шагом RSS

Настройка службы IPAM шаг за шагом

Текущий рейтинг: 4.33 (проголосовало 3)
 Посетителей: 1613 | Просмотров: 3386 (сегодня 1)  Шрифт: - +

Неотъемлемой частью администрирования сетью является управление IP адресами. До выхода Windows Server 2012 системным администраторам для комплексного управления всем пространством IP адресов, а также службами DNS и DHCP, приходилось использовать таблицы, различные сторонние инструменты, писать пользовательские скрипты. С выходом Windows Server 2012 ситуация изменилась – появился IPAM (IP Address Management). Тому, что из себя представляет IPAM, а также о том, как настроить эту службу в вашей сети и будет эта статья.

*

Как уже отмечалось выше, до появления IPAM для управления IP –адресами в сети приходилось использовать подручные средства: от сторонних инструментов до списка адресов в таблице Excel. Как результат, продуктивность администрирования сетью падала, а затраты только возрастали. Более того, имеющиеся инструменты подходили для решения задачи управления адресами сети в краткосрочной перспективе. Но чем больше становилась сеть и чем дольше с ней работали, тем более трудоемкой становилась эта задача.

С выходом Windows Server 2012 появился внутренний инструмент для управления IP-адресами сети – IPAM. IPAM (IP Address Management) – служба управления IP адресами, впервые представленная в Windows Server 2012 и Windows Server 2012 R2. Кроме того, изменения-улучшения IPAM стоит ожидать и в Windows Server vNext. IPAM представляет собой платформу для обнаружения, мониторинга, управления и аудита для пространства IP адресов в сети организации.

Среди основных возможностей IPAM можно выделить следующие:

  • Автоматическое обнаружение инфраструктуры IP-адресов
  • Удобные и гибкие средства для отображения пространства IP-адресов, а также управления ими и составления отчетов
  • Аудит изменений в конфигурациях служб DHCP и IPAM
  • Наблюдение за службами DHCP и DNS, а также управление ими
  • Отслеживание аренды IP-адресов

Основное преимущество IPAM заключается в том, что он предоставляет единую консоль, в которой представлена информация о конфигурациях всех служб DNS и DHCP в лесу. С помощью этой консоли можно изменять настройки, например, как одной, так и нескольких зон DHCP, что не требует от системного администратора написания дополнительных скриптов или ручной настройки каждого DHCP-сервера. Далее мы увидим такую настройку в примере.

Но сначала мы развернем службу IPAM, а также посмотрим, как ее можно использовать для наблюдения за службами DNS и DHCP.

Разворачиваем IPAM Server

Для того, что начать работать с IPAM Server его необходимо установить – IPAM не входит в набор служб, устанавливаемых по умолчанию. Выполнить установку можно двумя способами. Можно использовать следующую команду PowerShell:

Install-WindowsFeature IPAM –IncludeManagementTools

Также можно использовать мастер установки ролей и компонентов сервера:

*
Увеличить


После того, как процесс установки IPAM завершен, необходимо подготовить его к работе. Для этого в Server Manager необходимо выбрать IPAM и далее Provision the IPAM server:

*
Увеличить


Вы можете выбирать между двумя методами подготовки: вручную (manual) или на основе групповых политики (grouppolicybased). В чем же разница между двумя этими методами?
Ручной метод подготовкиIPAMсервера рекомендуется использовать в тех случаях, если количество управляемых серверов мало. Если вы выбираете этот метод подготовки, то должны быть готовы к тому, что придется вручную настроить условия доступа для каждого из управляемых серверов. Кроме того, удалять настройки также придется вручную, в том случае, если вам не нужно будет больше управлять тем или иным сервером. Можно использовать групповые политики для того, чтобы применять необходимые настройки к управляемым серверам, даже если вы выбрали ручной метод подготовки, но все объекты групповой политики должны применяться или удаляться вручную. В связи с тем, что ручной метод подготовки IPAM сервера более трудоемкий и сложный, предпочтительный использовать метод подготовки с помощью групповых политик.

ПодготовкаIPAMсервера с помощью групповых политик проще и имеет меньшую вероятность ошибок. При использовании этот метода объекты групповой политики применяются и удаляются автоматически на управляемых серверах. Именно этот метод предлагается использовать по умолчанию в Мастере подготовки IPAM. Вам необходимо ввести префикс для имени объектов групповых политик:

*
Увеличить


Стоит здесь отметить, если вы выбираете подготовку IPAM сервера с помощью групповых политик, вы не сможете изменить его на ручной метод подготовки. А вот в обратном случае вы можете изменить ручной метод подготовки на подготовку с помощью групповых политик, используя командлет Windows PowerShell:

Set-IpamConfiguration


Вернемся теперь к Мастеру подготовки. Выбрав метод подготовки с помощью групповых политик, мы получаем сообщение о том, что настройки будут применяться на управляемые сервера с использованием следующих объектов групповых политик:

  • <GPO-prefix>_DHCP: этот объект групповой политики используется для применения настроек, с помощью которых IPAM сможет наблюдать, управлять и собирать информацию с управляемых DHCP серверов в сети
  • <GPO-prefix>_DNS: этот объект групповой политики используется для применения настроек, с помощью которых IPAM сможет наблюдать и собирать информацию с управляемых DNS серверов в сети
  • <GPO-prefix>_DC_NPS: этот объект групповой политики используется для применения настроек, с помощью которых IPAM сможет собирать информацию с управляемых контроллеров домена и с серверов политик сети (Network Policy Servers, NPS) в сети для DHCP сервера в сети для отслеживания IP адресов


В нашем случае, объекты групповой политики будут носить имена IPAM_DHCP, IPAM_DNS и IPAM_DC_NPS соответственно. Для завершения подготовки IPAM проверьте, верно ли указана информация на вкладке Summary и нажмите Apply. Процесс подготовки займет некоторое время. В итоге вы увидите сообщение о том, что подготовка IPAM успешно выполнена:

*
Увеличить


Здесь важно сообщение о дальнейших шагах. Объекты групповой политики не были созданы, их нужно будет создать далее с помощью командлеты PowerShell:

Invoke-IpamGpoProvisioning


Это будет чуть позже. А пока перейдем к Server Manager и настроим обнаружение серверов:

*
Увеличить


В появившемся окне нужно выбрать домен для обнаружения. В нашем случае это корневой домен mva.com. После добавления этого домена, необходимо убедиться, что среди ролей сервера есть контроллер домена, DHCP и DNS сервера. Нажимаем ОК.

*


Теперь начнем обнаружение серверов:

*
Увеличить

После завершения задачи. Перейдите в Server Manager на вкладку IPAM – SERVER INVERNTORY. Вы увидите, что для серверов dsc01 и DC в столбце «Состояние управления» будут отображаться состояние «Не определено», а в столбце «Состояние доступа» — «Заблокирован». Необходимо предоставить IPAM разрешение на управление этими серверам с помощью объектов групповой политики.

*
Увеличить

Теперь вспоминаем следующий шаг, который нам рекомендовали сделать после завершения подготовки IPAM. Нам необходимо запустить на сервере IPAM Windows PowerShell с правами администратора и использовать следующий командлет

Invoke-IpamGpoProvisioning –Domain mva.com –GpoPrefixName IPAM –DelegatedGpoUser Administrator –IpamServerFqdn ipam.mva.com

*
Увеличить


Теперь объекты групповой политики созданы, что можно увидеть в оснастке Group Policy Management:

*


Вернемся к Server Manager. Во вкладке IPAM – SERVER INVENTORY щёлкните правой кнопкой мышки по одному из серверов и выберите EditServer. В появившемся окне измените пункт «Состояние управления» на «Управляемый» и нажмите ОК. Повторите тоже самое для второго сервера.

*


Теперь нужно, чтобы на серверах DC и dsc01 вступили в силу изменения групповых политик. Самым быстрым способом будет на каждом из нужных нам серверов использовать следующий командлет PowerShell:

gpupdate /force


Дождемся завершения выполнения этой команды на каждом из серверов. Вернемся на сервер IPAM в Server Manager – IPAM – SERVER INVENTORY и обновим «IPv4», а также обновим статус доступа к серверу, щёлкнув правой кнопкой мыши по каждому и выбрав пункт «Refresh Server Access Status». В итоге мы должны получить для наших серверов статус «Разблокирован» в столбце «Состояние доступа IPAM».

*
Увеличить


Теперь вернемся в вкладке IPAM – OVERVIEW и выберем «Retrieve data from managed servers» и дождемся завершения выполнения этой задачи:

*
Увеличить


Автоматически будут запущены следующие задачи по сбору данных: AddressExpiry, AddressUtilication, Audit, ServerAvailability, ServiceMonitoring, ServerConfiguration.

На этом этапе мы завершили настройку IPAM сервера и далее посмотрим, как его можно использовать в работе. В качестве примера рассмотрим наблюдение за инфраструктурой и управление ею с помощью IPAM.

Наблюдение за инфраструктурой и управление ею

IPAM позволяет автоматизировать и настроить периодичность мониторинга DHCP- и DNS-серверов по всему лесу. Также есть возможность управления несколькими серверами на применение настроек автоматически и периодически мониторить сервера DHCP и DNS в лесу AD. Кроме того, есть возможность управления несколькими серверами DHCP и настройками областей для распределенных серверов буквально одним щелчком мыши.

В качестве примера рассмотрим, как можно осуществлять наблюдение за DHCP- и DNS-серверами, а также управление ими, используя IPAM.

Откроем Server Manager на вкладке IPAM – MONITOR AND MANAGE – DNS and DHCP Servers. Обратите внимание, что в поле «Тип сервера» (1) вы можете выбрать не только DNS и DHCP, но и отсортировать только DNS или только DHCP. Выбрав один из серверов, можно просмотреть свойства этого сервера, параметры и каталог событий (2):

*
Увеличить


Теперь давайте выберем в поле «Тип сервера» DHCP, а в поле «Вид» — «Свойства области»:

*
Увеличить


Щелкните правой кнопкой мыши область DHCP MVA-scope1 и выберите «Дублировать область DHCP». В появившемся диалоговом окне «Дублирование области DHCP» измените значение поля «Имя области», а в разделе «Общие свойства» введите следующие значения:

  • Начальный IP-адрес: 192.168.1.1
  • Конечный IP-адрес: 192.168.1.254
  • Маска подсети: 255.255.255.0

*
Увеличить


По мере необходимости, можно изменить и другие свойства области. После того, как все нужные изменения были внесены, нажмите ОК и убедитесь, что в списке теперь отображается еще одна область – MVA-scope2.

*
Увеличить


Та же область появится в консоли DHCP на нашем DHCP-сервере DSC01.

*


Если вы вернетесь на IPAM сервер и выберите обе области DHCP, щёлкните по ним правой кнопкой мыши, то сможете изменять параметры обеих областей.

Конечно же, с помощью IPAM можно отслеживать различные типы событий на DNS- и DHCP-серверах, включая данные как о самих серверах, так и о клиентах. Чтобы просмотреть журналы аудита и событие, в меню навигации IPAM нужно выбрать «Каталог событий» (EVENT CATALOG). По умолчанию в нижней области навигации выбрано «События настройки IPAM». Вы можете выбрать и другие события для просмотра, а также экспортировать их в файл для дальнейшего просмотра и анализа

Автор: Мария Берзинь  •  Иcточник: technet.microsoft.com  •  Опубликована: 17.04.2015
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:   IPAM.


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.