Udostępnij za pośrednictwem


Zarządzanie adresami IP (IPAM) — omówienie

 

Dotyczy: Windows Server 2012 R2, Windows Server 2012

Ten temat zawiera podsumowanie funkcji serwera zarządzania adresami IP (IPAM) w systemach Windows Server® 2012 i Windows Server 2012 R2. Aby uzyskać szczegółowe informacje, zobacz następujące tematy:

Temat

Wskazówki

Co nowego w usłudze IPAM [przekierowanie]

Ten temat zawiera informacje o nowych funkcjach i zmianach w usłudze IPAM w różnych wersjach systemu operacyjnego Windows Server.

Prezentacja usługi IPAM

Ten temat zawiera procedury krok po kroku dotyczące korzystania z usługi IPAM w środowisku testowym.

Planowanie i projektowanie usługi IPAM

Ten temat zawiera informacje dotyczące architektury i planowania usługi IPAM.

Wdrażanie usługi IPAM

Ten temat zawiera szczegółowe instrukcje krok po kroku dotyczące wdrażania usługi IPAM w środowisku produkcyjnym.

Zarządzanie usługą IPAM

Ten temat zawiera informacje na temat obsługi i rozwiązywania problemów oraz najlepsze rozwiązania dotyczące usługi IPAM.

Wirtualne laboratoria systemu Windows Server 2012

Dla systemu Windows Server 2012 dostępne są dwa wirtualne laboratoria: Zarządzanie infrastrukturą sieci przy użyciu usługi IPAM, w którym zaprezentowano tylko usługę IPAM, oraz Tworzenie niezawodnej infrastruktury sieci, w którym przedstawiono połączenie usługi IPAM z rozszerzeniami DNSSEC oraz trybem failover protokołu DHCP w systemie Windows Server 2012.Uwaga: uruchomienie wirtualnych laboratoriów może wymagać nieco czasu.

Polecenia cmdlet serwera IPAM w programie Windows PowerShell

W tym temacie przedstawiono listę poleceń cmdlet dla serwera IPAM dostępnych w środowisku Windows PowerShell oraz ich przykłady.

Opis funkcji

Zarządzanie adresami IP (IPAM) w systemach Windows Server® 2012 i Windows Server® 2012 R2 to zintegrowany pakiet narzędzi umożliwiających kompleksowe planowanie, wdrażanie i monitorowanie infrastruktury adresów IP oraz zarządzanie nią przy użyciu bogatego interfejsu użytkownika. Usługa IPAM automatycznie wykrywa serwery infrastruktury adresów IP w sieci i umożliwia zarządzanie nimi za pomocą centralnego interfejsu.

Usługa IPAM zawiera składniki umożliwiające wykonywanie następujących zadań:

  1. Zarządzanie przestrzenią adresów

  2. Zarządzanie wirtualną przestrzenią adresów*****

  3. Zarządzanie wieloma serwerami i ich monitorowanie

  4. Inspekcja sieci

  5. Kontrola dostępu oparta na rolach******

* Funkcja zarządzania wirtualną przestrzenią adresów IP, włączana dzięki integracji usługi IPAM z programem System Center Virtual Machine Manager, jest dostępna w systemie Windows Server 2012 R2 i nowszych systemach operacyjnych. Ta funkcja nie jest dostępna w ramach usługi IPAM w systemie Windows Server 2012.

** Funkcja kontroli dostępu opartej na rolach jest dostępna w systemie Windows Server 2012 z zastosowaniem lokalnych grup użytkowników na serwerze usługi IPAM. Ta funkcja została znacznie ulepszona w systemie Windows Server 2012 R2: dodano szczegółowe wbudowane i niestandardowe grupy dostępu oparte na rolach.

Zobacz także następujące sekcje w tym temacie:

  • Opcje wdrażania usługi IPAM: Zawiera podsumowanie opcji do wyboru podczas projektowania usługi IPAM. Aby uzyskać szczegółowe informacje, zobacz artykuł Architektura usługi IPAM.

  • Specyfikacje usługi IPAM: Zawiera omówienie wymagań i możliwości związanych z wdrożeniem usługi IPAM.

Aby uzyskać informacje na temat rozpoczynania pracy z usługą IPAM, zobacz artykuł Używanie konsoli klienta usługi IPAM.

Zarządzanie przestrzenią adresów

Funkcja zarządzania przestrzenią adresów (ASM) usługi IPAM zapewnia wgląd we wszystkie aspekty infrastruktury adresów IP z poziomu jednej konsoli. Za pomocą usługi IPAM można tworzyć wysoce dostosowane, wielopoziomowe hierarchie przestrzeni adresów w sieci oraz zarządzać publicznymi i prywatnymi adresami IPv6 i IPv4. Funkcja zarządzania przestrzenią adresów (ASM) zapewnia zaawansowane możliwości raportowania umożliwiające szczegółowe śledzenie trendów użycia adresów IP z dostosowanymi progami i alertami.

Poniżej przedstawiono najważniejsze cechy funkcji zarządzania przestrzenią adresów (ASM).

  • Zintegrowane zarządzanie dynamiczną i statyczną przestrzenią adresów IP

  • Wykrywanie konfliktów oraz nakładających się i zduplikowanych przestrzeni adresów oraz zarządzanie nimi we wszystkich systemach

  • Widok spisu przestrzeni adresów IP z szerokimi możliwościami dostosowywania

  • Scentralizowane monitorowanie i raportowanie statystyk i trendów użycia adresów

  • Obsługa monitorowania użycia adresów IPv4 i bezstanowych adresów IPv6

  • Automatyczne odnajdowanie zakresów adresów IP w zakresach DHCP

  • Eksportowanie i importowanie adresów IP i zakresów adresów IP z obsługą środowiska Windows PowerShell

  • Alerty i powiadomienia dotyczące użycia adresów IP z progami niestandardowymi

  • Wykrywanie i przydzielanie dostępnych adresów IP

W poniższym przykładzie przedstawiono sposób monitorowania użycia adresów IP za pomocą funkcji ASM usługi IPAM. W tym przykładzie są wyświetlane dane użycia zakresu adresów IP 10.72.144.0/22 z okresu 7 dni.

Trend adresów

Aby uzyskać więcej informacji, zobacz temat Zarządzanie przestrzenią adresów IP.

Zarządzanie wirtualną przestrzenią adresów

Usługa IPAM w systemie Windows Server 2012 R2 umożliwia zarządzanie wirtualną przestrzenią adresów IP skonfigurowaną za pomocą programu System Center Virtual Machine Manager (VMM).

Funkcja zarządzania wirtualną przestrzenią adresów (VASM) usługi IPAM zapewnia te same funkcje i możliwości dotyczące wirtualnej infrastruktury adresów IP, jakie są dostępne w ramach funkcji ASM dla fizycznej przestrzeni adresów IP.

Aby uzyskać więcej informacji, zobacz temat Zarządzanie wirtualną przestrzenią adresów IP.

Zarządzanie wieloma serwerami i ich monitorowanie

Funkcja zarządzania wieloma serwerami (MSM) usługi IPAM umożliwia automatyczne odnajdowanie serwerów DHCP i DNS w sieci, monitorowanie dostępności usług oraz centralne zarządzanie konfiguracją. Dostępny w usłudze IPAM tryb inicjowania obsługi opartego na zasadach grupy zapewnia możliwość szybkiego i bezproblemowego inicjowania obsługi ustawień dostępu usługi IPAM do serwerów zarządzanych bez użycia agentów. Dostępny jest również tryb ręcznego inicjowania obsługi.

Poniżej przedstawiono najważniejsze cechy funkcji zarządzania wieloma serwerami (MSM).

  • Automatyczne wykrywanie serwerów DHCP i DNS firmy Microsoft w całym lesie usługi Active Directory

  • Ręczne dodawanie lub usuwanie serwerów zarządzanych

  • Kompleksowe konfigurowanie serwerów i zakresów DHCP oraz zarządzanie nimi

  • Obsługa zaawansowanych konstrukcji umożliwiających dodawanie, usuwanie, zastępowanie lub znajdowanie i zamienianie operacji w wielu zakresach i serwerach DHCP

  • Jednoczesne aktualizowanie typowych ustawień wielu zakresów lub serwerów DHCP

  • Monitorowanie dostępności usług DHCP i DNS oraz stref DNS

  • Zarządzanie serwerami DHCP i DNS firmy Microsoft z systemem Windows 2008 lub nowszymi systemami operacyjnymi

  • Dodawanie niestandardowych informacji do serwerów w celu umożliwienia wizualizacji przy użyciu grup logicznych opartych na logice biznesowej

  • Monitorowanie użycia zakresów DHCP

  • Automatyczne i na żądanie pobieranie danych z zarządzanych serwerów DHCP i DNS

  • Monitorowanie stanu stref DNS na podstawie zdarzeń tych stref

  • Klasyfikowanie odnajdowanych serwerów i ról jako zarządzanych lub niezarządzanych

W poniższym przykładzie przedstawiono sposób monitorowania zakresów IP DHCP w sieci przy użyciu funkcji MSM usługi IPAM. W tym przykładzie są wyświetlane szczegółowe dane dla zakresu US_SEA_zzz3.

Widok zakresów

Aby uzyskać więcej informacji, zobacz temat Zarządzanie wieloma serwerami.

Inspekcja sieci

Funkcja inspekcji w usłudze IPAM zapewnia scentralizowane repozytorium wszystkich zmian konfiguracji wykonanych na serwerach DHCP i serwerze usługi IPAM oraz wystawionych adresów IP w sieci. Narzędzia inspekcji w usłudze IPAM umożliwiają wyświetlanie potencjalnych problemów dotyczących konfiguracji na serwerach DHCP przez aktywne śledzenie i raportowanie wszystkich akcji administracyjnych. Dostępne są również szczegółowe dane śledzenia adresów IP, w tym adresy IP klientów, identyfikatory klientów, nazwa hosta i nazwa użytkownika. Zaawansowane możliwości wyszukiwania pozwalają selektywnie wyszukiwać zdarzenia i uzyskiwać wyniki, w których dane logowania użytkowników są skojarzone z określonymi urządzeniami i godzinami.

Poniżej przedstawiono najważniejsze cechy funkcji inspekcji sieci.

  • Wysyłanie zapytań do wykazu zdarzeń dotyczących zmian konfiguracji DHCP na wielu serwerach z poziomu jednej konsoli

  • Śledzenie użytkowników, urządzeń i adresów IP w ustalonych interwałach przy użyciu zaawansowanych zapytań na podstawie dzienników dzierżawy DHCP i zdarzeń logowania z kontrolerów domeny i serwerów zasad sieciowych

  • Śledzenie i raportowanie zmian wprowadzonych na serwerze usługi IPAM

  • Eksportowanie wyników inspekcji i tworzenie raportów

  • Szybkie rozwiązywanie problemów z konfiguracją i śledzenie umów dotyczących poziomu usług

W poniższym przykładzie przedstawiono sposób śledzenia adresów IP w sieci przy użyciu funkcji inspekcji w usłudze IPAM. W tym przykładzie wyświetlane są szczegóły zdarzenia dzierżawy w domenie contoso.com.

Śledzenie adresów

Aby uzyskać więcej informacji, zobacz tematy Śledzenie adresów IP oraz Śledzenie zdarzeń operacyjnych.

Kontrola dostępu oparta na rolach

Funkcja kontroli dostępu opartej na rolach usługi IPAM umożliwia dostosowywanie typów operacji i uprawnień dostępu dla użytkowników i grup użytkowników w określonych obiektach w usłudze IPAM. Kontrola dostępu oparta na rolach w systemie Windows Server 2012 jest mniej szczegółowa niż w systemie Windows Server 2012 R2. Zobacz poniższe porównanie.

Grupa

Windows Server 2012

Windows Server 2012 R2

Lokalne grupy zabezpieczeń usługi IPAM

Użytkownicy usługi IPAM

Administratorzy funkcji ASM usługi IPAM

Administratorzy funkcji MSM usługi IPAM

Administratorzy funkcji inspekcji adresów IP usługi IPAM

Administratorzy usługi IPAM

Użytkownicy usługi IPAM

Administratorzy funkcji ASM usługi IPAM

Administratorzy funkcji MSM usługi IPAM

Administratorzy funkcji inspekcji adresów IP usługi IPAM

Administratorzy usługi IPAM

Wbudowane grupy dostępu usługi IPAM oparte na rolach

Brak

Administrator rekordów DNS

Administrator rekordów adresów IP

Administrator usługi IPAM

Administrator funkcji ASM usługi IPAM

Administrator DHCP usługi IPAM

Administrator zastrzeżeń DHCP usługi IPAM

Administrator zakresów DHCP usługi IPAM

Administrator funkcji MSM usługi IPAM

Niestandardowe grupy dostępu usługi IPAM oparte na rolach

Brak

Bez ograniczeń

Opcje wdrażania usługi IPAM

Serwer usługi IPAM należy do domeny.

Ważne

Funkcji IPAM nie można instalować na kontrolerze domeny usługi Active Directory.

Istnieją trzy główne metody wdrażania serwerów usługi IPAM:

  1. Rozproszone: serwer usługi IPAM jest wdrażany w każdej lokacji w przedsiębiorstwie.

  2. Scentralizowane: w przedsiębiorstwie wdrażany jest pojedynczy serwer usługi IPAM.

  3. Hybrydowe: w przedsiębiorstwie wdrażany jest centralny serwer usługi IPAM oraz specjalne serwery IPAM w poszczególnych lokacjach.

W poniższym przykładzie przedstawiono metodę wdrażania rozproszonego usługi IPAM, w której serwer IPAM znajduje się w centrali firmy oraz w poszczególnych oddziałach. Poszczególne serwery usługi IPAM w przedsiębiorstwie nie komunikują się ze sobą ani nie współużytkują bazy danych. W przypadku wdrożenia wielu serwerów usługi IPAM można dostosować zakres odnajdowania dla poszczególnych serwerów usługi IPAM lub zastosować filtr do listy serwerów zarządzanych. Jeden serwer usługi IPAM może zarządzać określoną domeną lub lokalizacją, a drugi serwer można na przykład skonfigurować jako zapasowy.

Architektura usługi IPAM

Usługa IPAM będzie okresowo podejmować próby zlokalizowania kontrolerów domeny oraz serwerów DNS i DHCP w sieci, które znajdują się w określonym zakresie odnajdywania. Należy określić, czy te serwery są zarządzane przez usługę IPAM czy niezarządzane. W ten sposób można wybrać różne grupy serwerów zarządzanych lub niezarządzanych przez usługę IPAM.

W celu umożliwienia zarządzania przez usługę IPAM ustawienia zabezpieczeń i porty zapory na serwerze muszą być skonfigurowane w taki sposób, aby zezwalały na dostęp serwera usługi IPAM i wykonywanie przez niego wymaganych funkcji monitorowania i konfigurowania. Te ustawienia można skonfigurować ręcznie lub automatycznie przy użyciu obiektów zasad grupy. W przypadku wybrania metody automatycznej ustawienia są stosowane, gdy serwer zostanie oznaczony jako zarządzany, i usuwane, gdy serwer zostanie oznaczony jako niezarządzany.

Serwer usługi IPAM będzie komunikować się z serwerami zarządzanymi przy użyciu interfejsu RPC lub WMI. Usługa IPAM monitoruje kontrolery domeny i serwery zasad sieciowych w celu śledzenia adresów IP. Oprócz funkcji monitorowania, z poziomu konsoli usługi IPAM można skonfigurować kilka właściwości serwera i zakresu DHCP. Dla serwerów DNS jest dostępna funkcja monitorowania stanu stref oraz ograniczony zestaw funkcji konfiguracyjnych. Zobacz poniższą ilustrację.

Komunikacja z serwerem usługi IPAM

Aby uzyskać więcej informacji, zobacz temat Architektura usługi IPAM.

Specyfikacje usługi IPAM

Zakres odnajdowania serwera usługi IPAM jest ograniczony do jednego lasu usługi Active Directory. Las może składać się z kombinacji domen zaufanych i niezaufanych. Usługa IPAM wymaga członkostwa w domenie usługi Active Directory i jest zależna od środowiska funkcjonalnej infrastruktury sieci, w ramach którego jest integrowana z innymi instalacjami serwera w całym lesie usługi Active Directory.

Poniżej przedstawiono specyfikację usługi IPAM:

  1. Usługa IPAM obsługuje tylko kontrolery domeny firmy Microsoft oraz serwery DHCP, DNS i NPS z systemem Windows Server® 2008 lub nowszym.

  2. Usługa IPAM obsługuje tylko serwery DHCP, DNS i NPS przyłączone do domeny w jednym lesie usługi Active Directory.

  3. W zalecanej konfiguracji usługa IPAM jest instalowana na autonomicznym serwerze. Usługi IPAM nie można zainstalować na kontrolerze domeny. Jeśli usługa IPAM jest zainstalowana na tym samym serwerze co usługa roli serwera DHCP, automatyczne odnajdowanie serwerów DHCP w sieci zostanie wyłączone.

  4. Usługa IPAM nie obsługuje konfigurowania elementów sieci innych niż firmy Microsoft ani zarządzania takimi elementami. Jednak za pomocą środowiska Windows PowerShell można importować dane adresów IP z urządzeń innych niż firmy Microsoft i zarządzać nimi.

  5. Usługa IPAM w systemie Windows Server 2012 nie obsługuje zewnętrznych baz danych. Obsługiwana jest tylko wewnętrzna baza danych systemu Windows.

  6. Przetestowano obsługę do 150 serwerów DHCP i 500 serwerów DNS przez jeden serwer usługi IPAM.

  7. Przetestowano obsługę do 40 000 zakresów DHCP i 350 stref DNS przez jeden serwer usługi IPAM.

  8. Przetestowano przechowanie danych dowodowych (dzierżaw adresów IP, adresów MAC hostów, informacji o zalogowaniu/wylogowaniu użytkowników) z okresu 3 lat dla 100 000 użytkowników w wewnętrznej bazie danych systemu Windows przy użyciu usługi IPAM. Dane nie są przeczyszczane automatycznie. W razie potrzeby administrator musi ręcznie przeczyścić dane.

  9. Trendy wykorzystania adresów IP są dostępne tylko dla protokołu IPv4.

  10. Obsługa odzyskiwania adresów IP jest dostępna dla protokołów IPv4 i IPv6.

  11. Usługa IPAM nie sprawdza spójności adresów IP z routerami i przełącznikami.

  12. Usługa IPAM nie obsługuje wykonywania inspekcji autokonfiguracji bezstanowych adresów IPv6 na komputerach niezarządzanych w celu śledzenia użytkowników.

  13. Usługa IPAM obsługuje integrację z Menedżerem maszyn wirtualnych (VMM) programu System Center przy użyciu skryptu środowiska Windows PowerShell spakowanego i dostarczanego z Menedżerem maszyn wirtualnych programu System Center. Integracja umożliwia wyświetlanie w usłudze IPAM szczegółowych danych dotyczących użycia i spisu adresów IP oraz zakresów adresów IP używanych w Menedżerze maszyn wirtualnych programu System Center.

Zastosowania praktyczne

Monitorowanie infrastruktury adresów IP w sieci firmowej i zarządzanie nią stanowi krytyczny element zarządzania siecią, który staje się coraz trudniejszy wraz ze wzrostem dynamiki i złożoności sieci. Wielu administratorów IT nadal ręcznie śledzi przydzielanie adresów IP i ich użycie za pomocą arkuszy kalkulacyjnych lub niestandardowych aplikacji bazy danych. Może to być bardzo czasochłonne, wymagać wielu zasobów i jest z założenia podatne na błędy użytkowników. Usługa IPAM w systemie Windows Server 2012 zapewnia platformę zarządzania następującymi potrzebami w zakresie administracji adresami IP.

  1. Planowanie: sługa IPAM zastępuje ręczne narzędzia i skrypty, które mogą wydłużać wymagany czas, powodować niespójności oraz zwiększać koszty w procesie planowania podczas rozwoju i zmian w firmie lub gdy jest wymagane przyjęcie nowych technologii i scenariuszy.

  2. Zarządzanie: usługa IPAM zapewnia pojedynczą platformę zarządzania administracją adresami IP w sieci. Umożliwia również optymalizację użycia i planowanie wydajności dla usług DHCP i DNS w środowisku rozproszonym.

  3. Śledzenie: usługa IPAM umożliwia śledzenie i prognozowanie użycia adresów IP. Wraz ze wzrostem zapotrzebowania na przestrzeń publicznych adresów IPv4 w środowisku o ograniczonych zasobach ta funkcja może mieć krytyczne znaczenie dla organizacji.

  4. Inspekcja: usługa IPAM ułatwia spełnianie wymagań dotyczących zgodności (np. ustaw HIPAA i Sarbanes-Oxley) oraz umożliwia raportowanie danych dowodowych i zarządzanie zmianami.

Nowe i zmienione funkcje

Zobacz artykuł Co nowego w usłudze IPAM.

Informacje o Menedżerze serwera

Funkcję serwera usługi IPAM można zainstalować przy użyciu Menedżera serwera. Podczas instalacji serwera usługi IPAM automatycznie instalowane są następujące funkcje i narzędzia:

Funkcja lub narzędzie

Opis

Narzędzia administracji zdalnej serwera

Narzędzia serwera DHCP i DNS oraz klient usługi IPAM umożliwiają zdalne zarządzanie serwerami DHCP, DNS i IPAM.

Wewnętrzna baza danych systemu Windows

Wewnętrzna baza danych systemu Windows jest relacyjnym magazynem danych, który może być używany tylko przez role i funkcje systemu Windows.

Usługa aktywacji procesów systemu Windows

Usługa aktywacji procesów systemu Windows stanowi uogólnienie modelu procesów usług IIS, eliminujące zależność od protokołu HTTP.

Zarządzanie zasadami grupy

Zarządzanie zasadami grupy jest skryptową przystawką programu Microsoft Management Console (MMC). Jest to pojedyncze narzędzie administracyjne obsługujące zarządzanie zasadami grupy.

Funkcje programu .NET Framework 4.5

Program .NET Framework 4.5 zapewnia model programowania do tworzenia i uruchamiania aplikacji dla kilku różnych platform.

Zobacz też

Co nowego w usłudze IPAM

Planowanie i projektowanie usługi IPAM

Wdrażanie usługi IPAM

Zarządzanie usługą IPAM

Instruktaż: prezentacja usługi IPAM w systemie Windows Server 2012

Przewodnik: Prezentacja usługi IPAM w systemie Windows Server 2012 R2