IP-Adressverwaltung (IP Address Management, IPAM) (Übersicht)
Betrifft: Windows Server 2012 R2, Windows Server 2012
Dieses Thema enthält eine Übersicht über den IP-Adressverwaltungsserver (IPAM-Server) in Windows Server® 2012 und Windows Server 2012 R2. Detaillierte Informationen finden Sie in den folgenden Themen:
Thema |
Leitlinien |
---|---|
Dieses Thema enthält Informationen zu Neuerungen und Änderungen in IPAM in verschiedenen Windows Server-Betriebssystemsversionen. |
|
Es werden schrittweise Verfahren für die Verwendung von IPAM in einer Testumgebung bereitgestellt. |
|
Sie erhalten Informationen zu Architektur und Planung für IPAM. |
|
Enthält eine ausführliche Anleitung (Klick für Klick) zur Bereitstellung von IPAM in einer Testumgebung. |
|
Enthält Anleitungen zum Betrieb, zur Problembehandlung und zu bewährten Methoden für IPAM. |
|
Zwei virtual Labs sind verfügbar für Windows Server 2012: Verwalten einer Netzwerkinfrastruktur mit der IP-Adressverwaltung, ein virtuelles Lab, das nur IPAM veranschaulicht, und Einrichten einer robusten Netzwerkinfrastruktur, ein virtuelles Lab, das IPAM mit DNSSEC und DHCP-Failover in Windows Server 2012 kombiniert.Hinweis: Das Starten der virtuellen Labs kann möglicherweise einige Zeit in Anspruch nehmen. |
|
Stellt eine Liste und Beispiele verfügbarer Windows PowerShell-Cmdlets für den IPAM-Server bereit. |
Featurebeschreibung
Bei der IP-Adressverwaltung (IP Address Management, IPAM) in Windows Server® 2012 und Windows Server® 2012 R2 handelt es sich um eine integrierte Suite an Tools zum Ermöglichen der durchgängigen Planung, Bereitstellung, Verwaltung und Überwachung Ihrer IP-Adresseninfrastruktur mit einer umfassenden Benutzeroberfläche. IPAM ermittelt IP-Adresseninfrastrukturserver in Ihrem Netzwerk automatisch und ermöglicht Ihnen, sie auf einer zentralen Oberfläche zu verwalten.
IPAM enthält Komponenten für:
Adressraumverwaltung
Verwaltung des virtuellen Adressraums*****
Multiserververwaltung und -überwachung
Netzwerküberwachung
Rollenbasierte Zugriffsteuerung******
* Die virtuelle IP-Adressraumverwaltung wird durch die Integration von IPAM mit System Center Virtual Machine Manager aktiviert und steht in Windows Server 2012 R2 und höheren Betriebssystemen zur Verfügung. Dieses Feature steht nicht mit IPAM in Windows Server 2012 zur Verfügung.
** Rollenbasierte Zugriffssteuerung ist in Windows Server 2012 mit lokalen Benutzergruppen auf dem IPAM-Server verfügbar. Dieses Feature wurde in Windows Server 2012 R2 deutlich verbessert und bietet jetzt detaillierte integrierte und benutzerdefinierte rollenbasierte Zugriffsgruppen.
Lesen Sie auch die folgenden Abschnitte im vorliegenden Thema:
IPAM-Bereitstellungsoptionen: Enthält eine Zusammenfassung der IPAM-Entwurfsoption. Detaillierte Informationen finden Sie unter IPAM-Architektur.
IPAM-Spezifikationen: Bietet eine Übersicht der Anforderungen und Funktionen für die Bereitstellung von IPAM.
Informationen zu den ersten Schritten mit IPAM finden Sie unter Verwenden der IPAM-Clientkonsole.
Adressraumverwaltung
Das Feature Adressraumverwaltung (Address Space Management, ASM) von IPAM ermöglicht Ihnen, sämtliche Aspekte Ihrer IP-Adresseninfrastruktur von einer einzelnen Konsole aus anzuzeigen. Mit IPAM können Sie eine hochgradig individuelle Hierarchie mit mehreren Adressraumebenen in Ihrem Netzwerk erstellen und diese zum Verwalten Ihrer IPv6-Adressen sowie Ihrer öffentlichen und privaten IPv4-Adressen verwenden. Das ASM-Feature umfasst eine zuverlässige Berichterstellungsfunktionalität, die die detaillierte Nachverfolgung der IP-Adressennutzungstrends mit benutzerdefinierten Schwellenwerten und Warnungen ermöglicht.
Zu den wichtigsten Features von ASM zählen Folgende:
Integrierte Verwaltung des dynamischen und statischen IP-Adressraums
Systemübergreifende Erkennung und Verwaltung von Konflikten, Überlappungen und Adressduplikaten
Hochgradig anpassbare Bestandsansicht des IP-Adressraums
Zentralisierte Überwachung und Berichterstellung von Adressennutzungsstatistiken und -trends
Unterstützung der IPv4- und statusfreien IPv6-Adressennutzungsüberwachung
Automatisierte Ermittlung von IP-Adressbereichen von DHCP-Bereichen
Exportieren und Importieren von IP-Adressen und IP-Adressbereichen mit Windows PowerShell-Unterstützung
IP-Adressnutzungswarnungen und -benachrichtigungen mit benutzerdefinierten Schwellenwerten
Ermittlung und Zuweisung von verfügbaren IP-Adressen
Im folgenden Beispiel wird gezeigt, wie Ihnen das ASM-Feature von IPAM ermöglicht, die IP-Adressennutzung zu überwachen. In diesem Beispiel werden sieben Tage der Nutzungsdaten für den IP-Adressbereich „10.72.144.0/22“ angezeigt.
Weitere Informationen finden Sie unter Verwalten des IP-Adressraums.
Verwaltung des virtuellen Adressraums
IPAM in Windows Server 2012 R2 bietet die Möglichkeit, virtuellen IP-Adressraum zu verwalten, der mit System Center Virtual Machine Manager (VMM) konfiguriert wurde.
Das VASM-Feature (Virtual Address Space Management, Verwaltung des virtuellen Adressraums) von IPAM aktiviert die gleichen Funktionen für Ihre virtuelle IP-Adresseninfrastruktur wie das ASM-Feature für den physischen IP-Adressraum.
Weitere Informationen finden Sie unter Verwalten des virtueller IP-Adressraums.
Multiserververwaltung und -überwachung
Das MSM-Feature (Multi-Server Management, Multiserververwaltung) von IPAM ermöglicht Ihnen, DHCP- und DNS-Server im Netzwerk automatisch zu ermitteln, die Dienstverfügbarkeit zu überwachen und ihre Konfiguration zentral zu verwalten. Mit der Gruppenrichtlinien-Bereitstellungsmethode bietet IPAM eine schnelle und mühelose Bereitstellung der agentfreien IPAM-Zugriffseinstellungen auf verwalteten Servern. Es steht zudem ein manueller Bereitstellungsmodus zur Verfügung.
Zu den wichtigsten Features von MSM zählen Folgende:
Ermittelt Microsoft DHCP- und DNS-Server automatisch über eine Active Directory-Gesamtstruktur hinweg
Manuelles Hinzufügen oder Entfernen von verwalteten Servern
Durchgängige Konfiguration und Verwaltung von DHCP-Servern und -Bereichen
Unterstützung erweiterter Konstrukte für die Ermöglichung von Vorgängen zum Hinzufügen, Löschen, Überschreiben, Suchen und Ersetzen in mehreren DHCP-Bereichen und -Servern.
Gleichzeitige Aktualisierung allgemeiner Einstellungen über mehrere DHCP-Bereiche oder DHCP-Server hinweg
Überwachung der DHCP- und DNS-Dienstverfügbarkeit und der DNS-Zonen
Verwaltung von Microsoft DHCP- und DNS-Servern mit Windows 2008 oder höheren Betriebssystemen
Ergänzung von benutzerdefinierten Informationen für Server zum Ermöglichen der Visualisierung mithilfe logischer Gruppen auf Grundlage der Geschäftslogik
Überwachung der DHCP-Bereichsnutzung
Automatischer und bedarfsgesteuerter Abruf der Serverdaten von verwalteten DHCP- und DNS-Servern
DNS-Zonenstatusüberwachung auf Grundlage von DNS-Zonenereignissen
Klassifizieren ermittelter Server und Rollen als verwaltet oder nicht verwaltet
Im folgenden Beispiel wird gezeigt, wie Ihnen das MSM-Feature von IPAM ermöglicht, die IP-DHCP-Bereiche im Netzwerk zu überwachen. In diesem Beispiel werden detaillierte Daten für den Bereich „US_SEA_zzz3“ angezeigt.
Weitere Informationen finden Sie unter Verwaltung mehrerer Server.
Netzwerküberwachung
Das Überwachungsfeature von IPAM bietet ein zentralisiertes Repository für alle auf den DHCP-Servern und dem IPAM-Server vorgenommenen Konfigurationsänderungen sowie für die im Netzwerk ausgestellten IP-Adressen. IPAM-Überwachungstools ermöglichen Ihnen die Anzeige potenzieller Konfigurationsprobleme auf DHCP-Servern durch das aktive Nachverfolgen und Melden sämtlicher Verwaltungsaktionen. Detaillierte IP-Adressnachverfolgungsdaten werden ebenfalls bereitgestellt, einschließlich Client-IP-Adressen, Client-ID, Hostname und Benutzername. Erweiterte Suchfunktionen ermöglichen Ihnen, gezielt nach Ereignissen zu suchen und Ergebnisse abzurufen, die Benutzeranmeldungen mit bestimmten Geräten und Zeiten in Verbindung bringen.
Zu den wichtigsten Features der Netzwerküberwachung zählen Folgende:
Abfragen des Ereigniskatalogs für serverübergreifende DHCP-Konfigurationsänderungen von einer einzelnen Konsole aus
Nachverfolgen von Benutzern, Geräten und IP-Adressen für angegebene Zeiträume mit erweiterten Abfragen mithilfe von DHCP-Leaseprotokollen und Anmeldeereignissen von Domänencontrollern und Netzwerkrichtlinienservern
Nachverfolgen und Melden von Änderungen, die am IPAM-Server vorgenommen wurden
Exportieren von Überwachungsergebnissen und Erstellen von Berichten
Schnelle Behebung von Konfigurationsproblemen und Nachverfolgen von Vereinbarungen zum Servicelevel
Im folgenden Beispiel wird gezeigt, wie Ihnen das Netzwerküberwachungsfeature von IPAM ermöglicht, die IP-Adressen im Netzwerk nachzuverfolgen. In diesem Beispiel werden Details für ein Leaseereignis in der Domäne „contoso.com“ angezeigt.
Weitere Informationen finden Sie unter IP-Adressnachverfolgung und Betriebsereignisverfolgung.
Rollenbasierte Zugriffsteuerung
Das Feature rollenbasierte Zugriffssteuerung ermöglicht das Anpassen der Vorgangstypen und Zugriffsberechtigungen für Benutzer und Gruppen für bestimmte Objekte in IPAM. Die rollenbasierte Zugriffssteuerung in Windows Server 2012 ist weniger differenziert als in Windows Server 2012 R2. Siehe dazu den folgenden Vergleich.
Gruppe |
Windows Server 2012 |
Windows Server 2012 R2 |
---|---|---|
Lokale IPAM-Sicherheitsgruppen |
IPAM-Benutzer IPAM-ASM-Administratoren IPAM-MSM-Administratoren IPAM-IP-Überwachungsadministratoren IPAM-Administratoren |
IPAM-Benutzer IPAM-ASM-Administratoren IPAM-MSM-Administratoren IPAM-IP-Überwachungsadministratoren IPAM-Administratoren |
Integrierte rollenbasierte IPAM-Zugriffsgruppen |
Nicht zutreffend |
DNS-Eintragsadministrator IP-Adresseneintragsadministrator IPAM-Administrator IPAM-ASM-Administrator IPAM-DHCP-Administrator IPAM-DHCP-Reservierungsadministrator IPAM-DHCP-Bereichsadministrator IPAM-MSM-Administrator |
Benutzerdefinierte rollenbasierte IPAM-Zugriffsgruppen |
Nicht zutreffend |
Unbegrenzt |
IPAM-Bereitstellungsoptionen
Ein IPAM-Server ist ein Domänenmitgliedscomputer.
Wichtig
Sie können das IPAM-Feature nicht auf einem Active Directory-Domänencontroller installieren.
Es stehen drei grundlegende Methoden zum Bereitstellen von IPAM-Servern zur Verfügung:
Verteilt: An jedem Unternehmensstandort wird ein IPAM-Server bereitgestellt.
Zentral: Ein IPAM-Server für ein Unternehmen.
Hybrid: Ein zentraler IPAM-Server, der mit dedizierten IPAM-Servern an jedem Standort bereitgestellt wird.
Im folgenden Beispiel wird die verteilte IPAM-Bereitstellungsmethode mit einem IPAM-Server am Hauptsitz des Unternehmens und weiteren in den einzelnen Niederlassungen dargestellt. Es findet keine Kommunikation oder gemeinsamer Zugriff auf eine Datenbank zwischen verschiedenen IPAM-Servern im Unternehmen statt. Werden mehrere IPAM-Server bereitgestellt, können Sie den Ermittlungsgrad jedes einzelnen IPAM-Servers anpassen oder die Liste der verwalteten Server filtern. Ein einzelner IPAM-Server verwaltet möglicherweise eine bestimmte Domäne oder einen bestimmten Standort, eventuell mit einem zweiten, als Sicherheitsserver konfigurierten IPAM-Server.
Die IPAM versucht in regelmäßigen Abständen, DNS- und DHCP-Server im Netzwerk zu ermitteln, die innerhalb des von Ihnen festgelegten Suchbereichs liegen. Sie müssen entscheiden, ob diese Server von IPAM verwaltet werden oder nicht. Auf diese Weise können Sie verschiedene Servergruppen auswählen, die von IPAM verwaltet werden oder nicht.
Damit sie von IPAM verwaltet werden können, müssen die Sicherheitseinstellungen und Firewallports eines Servers so konfiguriert werden, dass der IPAM-Server ausreichend Zugriff hat, um die erforderlichen Überwachungs- und Konfigurationsfunktionen auszuführen. Sie können diese Einstellungen manuell oder automatisch über Gruppenrichtlinienobjekte (Group Policy Objects, GPOs) vornehmen. Wenn Sie die automatische Methode wählen, werden die Einstellungen vorgenommen, wenn ein Server als "verwaltet" markiert wird, und entfernt, wenn er als "nicht verwaltet" markiert wird.
Der IPAM-Server kommuniziert mit den verwalteten Server über eine RPC- oder WMI-Schnittstelle. IPAM überwacht Domänencontroller und NPS-Server für die Nachverfolgung von IP-Adressen. Zusätzlich zu den Überwachungsfunktionen können verschiedene DHCP-Server- und Bereichseigenschaften über die IPAM-Konsole konfiguriert werden. Die Überwachung des Zonenstatus und einige Konfigurationsfunktionen stehen ebenfalls für DNS-Server zur Verfügung. Siehe folgende Abbildung.
Weitere Informationen finden Sie unter IPAM-Architektur.
IPAM-Spezifikationen
Der Ermittlungsgrad für IPAM-Server ist auf eine einzelne Active Directory-Gesamtstruktur beschränkt. Die Gesamtstruktur kann sich aus vertrauenswürdigen und nicht vertrauenswürdigen Domänen zusammensetzen. IPAM erfordert für die Integration mit anderen Serverinstallationen innerhalb der Active Directory-Gesamtstruktur die Mitgliedschaft in einer Active Directory-Domäne sowie eine funktionstüchtige Netzwerkinfrastrukturumgebung.
Für IPAM gelten die folgenden Spezifikationen:
IPAM unterstützt nur Microsoft-Domänencontroller sowie DHCP-, DNS- und Netzwerkrichtlinienserver unter Windows Server® 2008 und höher.
IPAM unterstützt nur einer Domäne zugeordnete DHCP-, DNS- und Netzwerkrichtlinienserver innerhalb einer einzigen Active Directory-Gesamtstruktur.
In der empfohlenen Konfiguration wird IPAM auf einem eigenständigen Server installiert. Sie können IPAM nicht auf einem Domänencontroller installieren. Wenn IPAM auf demselben Server wie der Rollendienst "DHCP-Server" installiert ist, wird die automatische Ermittlung von DHCP-Servern im Netzwerk deaktiviert.
IPAM unterstützt nicht die Verwaltung und Konfiguration von Netzwerkelementen anderer Anbieter als Microsoft. Sie können Windows PowerShell jedoch zum Importieren und Verwalten der IP-Adressdaten von Geräten verwenden, die nicht von Microsoft stammen.
IPAM unterstützt unter Windows Server 2012 keine externen Datenbanken. Es werden nur interne Windows-Datenbanken unterstützt.
Ein einzelner IPAM-Server kann erwiesenermaßen bis zu 150 DHCP-Server und 500 DNS-Server unterstützen.
Ein einzelner IPAM-Server kann erwiesenermaßen bis zu 40.000 DHCP-Bereiche und 350 DNS-Zonen unterstützen.
IPAM speichert erwiesenermaßen forensische Daten (IP-Adressleases, Host-MAC-Adressen, An-/Abmeldeinformationen der Benutzer) für 100.000 Benutzer 3 Jahre lang in einer internen Windows-Datenbank. Die Daten werden nicht automatisch gelöscht. Sie müssen bei Bedarf manuell von einem Administrator gelöscht werden.
IP-Adressen-Nutzungstrends stehen nur für IPv4 zur Verfügung.
Die Rücknahme von IP-Adressen steht für IPv4 und IPv6 zur Verfügung.
IPAM überprüft nicht die Konsistenz von IP-Adressen mit Routern und Schaltern.
IPAM unterstützt nicht die automatische Konfiguration zur Prüfung zustandsloser IPv6-Adressen zur Verfolgung von Benutzern auf nicht verwalteten Computern.
IPAM unterstützt die Integration in System Center Virtual Machine Manager (VMM). Dazu wird ein Windows PowerShell-Skript verwendet, das in System Center VMM und standardmäßig mit der Anwendung ausgeliefert wird. Dank dieser Integration können von IPAM ausführliche Nutzungs- und Bestandsdaten für IP-Adressen und IP-Adressbereiche angezeigt werden, die in System Center VMM verwendet werden.
Praktische Anwendung
Die Überwachung und Verwaltung der IP-Adresseninfrastruktur in Unternehmensnetzwerken ist ein wichtiger Bestandteil der Netzwerkadministration und stellt mit zunehmender Dynamik und Komplexität der Netzwerke eine immer größere Herausforderung dar. Viele IT-Administratoren verfolgen die Zuweisung und Nutzung von IP-Adressen immer noch manuell in Tabellen oder Datenbankanwendungen nach. Dies kann sehr zeitaufwändig und ressourcenintensiv sein und ist zudem natürlich fehleranfällig. IPAM unter Windows Server 2012 stellt eine Plattform zum Verwalten der folgenden IP-Verwaltungsanforderungen bereit:
Planung: IPAM ersetzt manuelle Tools und Skripte, die zusätzlich Zeit und Geld für den Planungsprozess kosten und diesen uneinheitlich machen, wenn die Geschäfte erweitert oder verändert werden oder wenn neue Technologien oder Szenarien notwendig werden.
Verwaltung: IPAM bietet eine einzige Verwaltungsplattform für die IP-Adressadministration innerhalb des Netzwerkes. IPAM bietet außerdem Möglichkeiten für eine optimierte Nutzungs- und Kapazitätsplanung für DHCP- und DNS-Dienste in verteilten Umgebungen.
Nachverfolgung: IPAM ermöglicht die Nachverfolgung und Prognose der Verwendung von IP-Adressen. Da die Nachfrage nach öffentlichen IPv4-Adressbereichen in einer Umgebung mit begrenztem Angebot weiterhin steigt, kann dieser Faktor für ein Unternehmen äußerst wichtig werden.
Prüfung: IPAM unterstützt Sie hinsichtlich der Umsetzung von Vorschriften, z. B. dem HIPAA und dem Sarbanes-Oxley-Act, und erstellt Berichte mit forensischen Daten und für die Änderungsverwaltung.
Neue und geänderte Funktionalität
Weitere Informationen unter Neues in IPAM.
Informationen zum Server-Manager
Die Installation des IPAM-Serverfeatures kann über den Server-Manager vorgenommen werden. Die folgenden Features und Tools werden bei der Installation von IPAM-Server automatisch installiert:
Feature oder Tool |
Beschreibung |
---|---|
Remoteserver-Verwaltungstools |
DHCP- und DNS-Servertools und der IPAM-Client für die IP-Adressverwaltung, mit dem die Remote-Verwaltung von DHCP-, DNS- und IPAM-Servern möglich wird. |
Interne Windows-Datenbank |
Bei der internen Windows-Datenbank handelt es sich um einen relationalen Datenspeicher, der nur von Windows-Rollen und -Features verwendet werden kann. |
Windows-Prozessaktivierungsdienst |
Der Windows-Prozessaktivierungsdienst generalisiert das IIS-Prozessmodell und beseitigt dadurch die Abhängigkeit von HTTP. |
Gruppenrichtlinienverwaltung |
Bei der Gruppenrichtlinienverwaltung handelt es sich um eine skriptfähige Microsoft Management Console (MMC), durch die Gruppenrichtlinien über ein einziges Tool verwaltet werden können. |
.NET Framework 4.5-Features |
.NET Framework 4.5 bietet ein Programmiermodell zum Erstellen und Ausführen von Anwendungen, die für mehrere unterschiedliche Plattformen entwickelt wurden. |
Siehe auch
Schritt für Schritt: Konfigurieren von IPAM für die Verwaltung Ihres IP-Adressraums
Exemplarische Vorgehensweise: Vorführen von IPAM in Server 2012 R2