地址管理功能
1.IPAM發現
IPAM發現要求訪問Active Directory,以便發現網路基礎結構伺服器。此發現不必啟用IPAM服務。發現讓管理員可以枚舉運行Windows Server® 2008或更高版本且安裝了DNS伺服器、DHCP伺服器和AD DS角色服務的伺服器。管理員還可以手動添加或刪除伺服器,以定義管理控制項的自定義作用域。發現的作用域可通過選擇或刪除域以及特定伺服器角色進行實時修改。
2.IPAM地址空間管理
IPAM地址空間管理(ASM)功能提供在網路上有效查看、監視和管理IP位址空間的能力。ASM支持IPv4公用地址和專用地址,而且IP位址可以在網路上動態發布或作為靜態IP位址提供。可基於自定義欄位(如區域、區域網際網路註冊管理機構(RIR)、設備類型或客戶名稱)進行排序。網路管理員不僅可以跟蹤IP位址利用率和閾值交叉點狀態,還可以顯示利用趨勢。IPAM ASM工具通過確保更好地計畫、問責和控制,能夠解決不斷增長的分散式環境下的IP位址空間管理問題。IPAM還可讓管理員檢測不同DHCP伺服器上指定的重疊的IP位址範圍,找到某個範圍內的免費IP位址,創建DHCP保留,並創建DNS記錄。
3.多伺服器管理和監視
IPAM允許管理員監視和管理多個DHCP伺服器,以及監視遍布於集中式控制台中各個區域的多個DNS伺服器。管理任務經常在多台伺服器之間重複出現。跨伺服器統一執行這些任務,可減少涉及的工作和錯誤的可能性。多伺服器管理(MSM)功能允許管理員在組織中輕鬆編輯和配置多台DHCP伺服器和作用域的關鍵屬性。IPAM還有利於監視和跟蹤DHCP服務狀態和DHCP作用域的利用率。IPAM還允許對伺服器標記內置和用戶定義的自定義欄位值,同時允許對這些伺服器進行虛擬化並將其分組到邏輯組和子組中。通過顯示所有權威DNS伺服器中某個區域的聚合狀態,IPAM可幫助監視多個DNS伺服器上DNS區域的運行狀況。IPAM還可在網路上跟蹤DNS和DHCP伺服器的服務狀態。
4.可操作審核和IP位址跟蹤
審核工具允許跟蹤IP基礎結構伺服器上可能存在的配置問題。IPAM能夠對託管的DHCP伺服器和IPAM伺服器的統一配置更改進行查看。會跟蹤詳細信息,如伺服器名稱、用戶名以及配置更改發生的日期和時間。IP位址租約跟蹤通過收集DHCP、DC和NPS伺服器中的租約日誌可用於協助調查取證。IPAM允許IP位址租約和用戶登錄的歷史記錄跟蹤。這將允許對與MAC地址、用戶名、主機名和其他參數相關的IP位址活動進行跟蹤。
體系結構
IPAM伺服器是一台域成員計算機。你無法在Active Directory域控制器上安裝IPAM。
一般通過兩種方法部署IPAM伺服器:
分散式:企業的每個站點都部署IPAM伺服器。
集中式:企業僅部署一台IPAM伺服器。
在企業中不同的IPAM伺服器之間沒有通信或資料庫共享。如果部署了多台IPAM伺服器,你可以自定義每台IPAM伺服器的發現作用域,或篩選託管伺服器的列表。一台IPAM伺服器可能管理某個特定的域或位置,並且可能具有配置為備份的另一台IPAM伺服器。
IPAM將嘗試定期在網路上查找指定發現作用域內的網路策略伺服器、域控制器、DNS伺服器和DHCP伺服器。你必須選擇這些伺服器是否由IPAM管理。用這種方式,你可以選擇由IPAM管理或不由IPAM管理的不同伺服器組。若要由IPAM管理,伺服器安全設定以及防火牆連線埠必須配置為允許IPAM伺服器訪問,以執行所需的監視和配置功能。你可以選擇手動配置這些設定,也可以使用組策略對象(GPO)自動配置。如果你選擇自動的方法,則當伺服器標記為託管時套用設定,並且當標記為非託管時刪除設定。IPAM伺服器將使用RPC或WMI接口與託管的伺服器通信。IPAM為了進行IP位址跟蹤而監視域控制器和NPS伺服器。除了監視功能之外,還可以使用IPAM配置多個DHCP伺服器和作用域屬性。區域狀態監視以及有限的配置功能集也可用於DNS伺服器。
安全組
IPAM用戶:這個組的成員可以查看伺服器發現、IP位址空間和伺服器管理方面的所有信息。他們可以查看IPAM和DHCP伺服器可操作事件,但不能查看IP位址跟蹤信息。
IPAM MSM管理員:IPAM多伺服器管理(MSM)管理員具有IPAM用戶許可權,並且可以執行IPAM常見管理任務和伺服器管理任務。
IPAM ASM管理員:IPAM地址空間管理(ASM)管理員具有IPAM用戶許可權,並且可以執行IPAM常見管理任務和IP位址空間任務。
IPAM IP審核管理員:這個組的成員具有IPAM用戶許可權,並且可以執行IPAM常見管理任務和查看IP位址跟蹤信息。
IPAM管理員:IPAM管理員具有查看所有IPAM數據和執行所有IPAM任務的許可權。
任務
任務名稱 | 描述 | 默認頻率 | 持續時間 |
Discovery Task | 自動發現所選域中的DC、DHCP和DNS伺服器。 | 1天 | 未定義 |
Address Utilization Collection Task | 收集DHCP伺服器中的地址空間利用率數據。 | 2小時 | 未定義 |
Audit Task | 收集DHCP和IPAM伺服器中的審核信息,還可收集NPS和DC伺服器中的IP租約審核日誌。 | 1天 | 未定義 |
Configuration Task | 為ASM和MSM收集DHCP和DNS伺服器中的配置信息。 | 6小時 | 未定義 |
Server Availability Task | 收集DHCP和DNS伺服器的服務可用性狀態。 | 15分鐘 | 未定義 |
要求
IPAM伺服器發現的作用域僅限一個Active Directory林。該林可能包含多個信任的以及不信任的域。IPAM要求Active Directory域的成員身份,並且依賴於某個必備的功能網路基礎結構環境,以便與林上的現有DHCP、DNS、域控制器以及網路策略伺服器安裝相集成。
IPAM具有以下規範:
IPAM僅支持運行Windows Server® 2008和更高版本的Microsoft DHCP、DNS、域控制器和網路策略伺服器。
IPAM僅支持一個Active Directory林中的域成員伺服器。
一台IPAM伺服器可以支持多達150台DHCP伺服器以及500台DNS伺服器。
一台IPAM伺服器可以支持多達6000個DHCP作用域以及150個DNS區域。
IPAM可為Windows內部資料庫中的10萬個用戶存儲3年的取證數據(IP位址租約、主機MAC地址、用戶登錄和註銷信息)。沒有提供資料庫清除策略,管理員必須根據需要手動清除數據。
IPAM不支持對非Microsoft網路元素(WINS、DHCP中繼、代理程式等)的管理和配置。
IPAM僅支持Windows內部資料庫。不支持任何外部資料庫。
僅對IPv4提供IP位址利用趨勢。
僅對IPv4提供IP位址回收支持。
對IPv6無狀態地址自動配置專用擴展不執行任何特殊處理。
對虛擬化技術或虛擬機遷移不提供任何特殊處理。
IPAM不檢查IP位址是否與路由器和交換機一致。
IPAM不支持非託管計算機上用於跟蹤用戶的IPv6地址(無狀態地址自動配置)的審核。
解決方案
有兩種常見方法可以實現域名系統(DNS)、動態主機配置協定(DHCP)和IPAM(DDI)解決方案:更換與疊加。
如果是在一個預算充足的大型組織,那么IP位址交付基礎架構更換可能是最佳選擇。那些由於兼併和收購(M&A)而擁有混合技術、地址空間、供應商和團隊的組織尤其適合採用這種方法,因為進行部分系統的遷移與整合更容易獲得主管批准。採用更換方法,保證獲得業務運營部門、預算部門、各級IT管理部門和實現團隊的廣泛支持是成功的關鍵。
然而,在大多數環境中,IPAM疊加更為高效且更容易實現。一般而言,那些已經使用DHCP和DNS可靠交付日常服務的組織更可能會選擇IPAM疊加方法。在他們的現有技術,他們通常缺少的是變更管理、新子網配置和IP預訂。當然,他們也希望增加自動網路發現、報告、警報和規劃工具。通常以軟體形式出現的IPAM疊加產品會與現有DHCP和DNS組件相連線。
疊加策略的主要優勢在於分階段部署,它只需要較少的人力,而且風險也較低,因為服務交付組件仍然在原來的位置正常工作。此外,IPAM疊加產品也可以採用分階段的網路重設計。因為疊加產品必須整合各種供應商和服務商,所以在IP子網、伺服器或園區網路中,最新部署和發現的相同自動化特性也可以用於整合碎裂的網路。