IP アドレス管理の定義
IP アドレスの割り当ての管理は、Contoso などの大規模なネットワークでは複雑なタスクになる場合があります。 IPAM では、ネットワークの IP アドレス空間を検出、監査、および管理するためのフレームワークを提供します。 IPAM を使用すると、次のような利点があります。
- IPv4 および IPv6 のアドレス空間の計画と割り当て。
- IP アドレス空間の使用率の統計と傾向の監視。
- 静的 IP インベントリ管理、有効期間管理、DHCP および DNS レコードの作成と削除。
- DNS サーバーのサービスとゾーンの監視。
- IP アドレス リースとサインイン イベントの追跡。
IPAM の概要
Contoso のインフラストラクチャ サポート スタッフは、IPAM を使用して次のことを行うことができます。
- DHCP を監視および管理します。
- DNS を監視および管理します。
- 特定の IP アドレスが割り当てられている場所を特定します。
- AD DS ドメイン コントローラーから統計情報を収集します。
- ネットワーク ポリシー サーバー (NPS) サーバーから統計情報を収集します。
ヒント
収集したデータを格納するには、Windows Internal Database (WID) を使用するか、必要に応じて Microsoft SQL Server データベースを使用します。
IPAM の 4 つのモジュール
IPAM は、次の表に示す 4 つのモジュールで構成されています。
モジュール | 説明 |
---|---|
IPAM 検出 | DHCP または DNS がインストールされているサーバー、ドメイン コントローラー、またはサーバーを検出するために AD DS を使用するように IPAM を構成できます。 また、サーバーを手動で追加することもできます。 |
IP アドレス空間管理 | このモジュールを使用して、IP アドレス空間の確認、監視、および管理を行うことができます。 DHCP を使用すると、アドレスを動的に発行したり、静的に割り当てたりすることができます。 また、アドレス使用率を追跡し、重複する DHCP スコープを検出することもできます。 |
複数のサーバーの管理と監視 | このモジュールを使用して、複数の DNS サーバーおよび DHCP サーバーを管理および監視できます。 複数のサーバーで実行するタスクが必要な場合は、マルチサーバー管理を使用します。 たとえば、DHCP のプロパティとスコープを構成および編集したり、DHCP の状態とスコープの使用率を追跡したりできます。 また、複数の DNS サーバーを監視し、権限のある DNS サーバー間の DNS ゾーンの正常性と状態を監視することもできます。 |
運用監査と IP アドレス追跡 | 監査ツールを使用して、構成に関する潜在的な問題を追跡できます。 管理対象 DHCP サーバーから構成の変更の詳細を収集、管理、および確認することができます。 また、DHCP リース ログからアドレス リース追跡を収集し、NPS およびドメイン コントローラーからイベント情報をサインインすることもできます。 |
IPAM トポロジ
IPAM の展開には、次の表で説明する 2 つのコンポーネントが含まれています。
コンポーネント | 説明 |
---|---|
IPAM サーバー | IPAM サーバーでは、管理対象サーバーからデータ収集を実行します。 さらに、IPAM サーバーでは WID または SQL Server データベースを管理し、ロールベースのアクセス制御 (RBAC) を提供します。 |
IPAM クライアント | IPAM クライアントでは、クライアント コンピューター インターフェイスを提供し、IPAM サーバーと対話します。また、Windows PowerShell コマンドレットを呼び出して、リモート管理、DHCP 構成、DNS 監視を実行します。 IPAM クライアントには、Windows クライアント オペレーティング システムまたは Windows Server オペレーティング システムを使用できます。 |
重要
IPAM サーバーは、互いに連携したり、IPAM サーバー間で情報をロール アップしたりすることはありません。
IPAM を展開するときに、Contoso の IT スタッフは、一元化、分散、ハイブリッドのいずれかの利用可能なトポロジ オプションを選択する必要があります。
一元化されたトポロジ
一元化されたトポロジでは、フォレスト全体に 1 つの IPAM サーバーを展開します。 単一の IPAM サーバーでは、IP アドレス指定タスクを一元的に制御し、可視性を提供します。 一元化されたトポロジを使用している場合は、単一のコンソールから IP アドレス指定インフラストラクチャ全体を調べることができます。 双方向の信頼関係がある複数の AD DS フォレストに対して 1 つの IPAM サーバーを使用できます。
次の図は、一元化されたアプローチを使用した IPAM の展開例を示しています。 図には次のようなものが表示されています。
IPAM クライアント。 管理者はサーバー マネージャーを使用して IPAM サーバーにアクセスします。 RBAC によって、管理者が持つアクセスのレベルが制御されます。
ヒント
管理者は、RSAT: IP Address Management (IPAM) クライアント機能をインストールし、別のサーバーまたは Windows 10 クライアントから IPAM を管理することもできます。
IPAM サーバー。 サーバーでは、構成されたデータベースに接続して、IPAM の記憶域を提供します。 スケジュールされたタスクは、IPAM サーバーでも使用できます。
管理対象サーバー。 DNS サーバー、DHCP サーバー、NPS サーバー、およびドメイン コントローラーのコレクションが検出され、IPAM によってアクセスできるようになります。
分散トポロジ
分散トポロジの場合は、フォレスト内の各サイトに IPAM サーバーを展開します。 組織に重要な IP アドレス指定インフラストラクチャを持つ複数のサイトがある場合は、分散トポロジを使用するのが一般的です。 各場所のサーバーは、1 台のサーバーで管理するには大きすぎる可能性があるワークロードを分散するのに役立ちます。
次の図は、分散型アプローチを使用した IPAM の展開例を示しています。 図には次のようなものが表示されています。
- ブランチ オフィス。 ブランチ オフィスには、独自の IPAM サーバーと、ドメイン コントローラー、DHCP サーバー、NPS サーバー、DNS サーバーなどの管理対象サーバーがあります。
- 地域データセンター。 ブランチ オフィスと同様に、地域データセンターには独自の IPAM サーバーと管理対象サーバーがあります。
- 企業データセンター。 この場所は多くの管理対象サーバーをサポートし、独自の IPAM サーバーも備えています。
- システム管理者、フォレンジック管理者、およびネットワーク管理者。 RBAC を使用して制御されたこれらのユーザーは、組織全体の管理対象サーバーに対してさまざまな管理タスクを実行できます。
ヒント
分散トポロジを使用して、個別の場所または事業単位で独自の IP アドレス指定を管理することもできます。
ハイブリッド トポロジ
一元化された IPAM サーバーと各サイトの IPAM サーバーを使用して、ハイブリッド トポロジを実装することもできます。 ローカル IPAM サーバーと一元化された IPAM サーバーの両方で管理対象サーバーを監視します。 一部のサービスを一元的に監視し、各サイトで他のサービスを監視することによって、管理スコープを制御できます。