網(wǎng)絡管理新利器IPAM

想要讓內(nèi)部網(wǎng)絡中的DHCP地址管理與DNS服務維運更加容易，身為IT專家的您必須懂得善用由Windows Server 2012 R2所內(nèi)置提供 的 IPAM（IP Address Management）功能，來幫助您讓企業(yè)IP地址的管理工作化繁為簡。

同樣是Active Directory域環(huán)境，在規(guī)模越大的企業(yè)之中所要維護與監(jiān)控的DNS與DHCP服務器就越多，它們可能分散在各點的分支辦公區(qū)域中，來提供當?shù)乜蛻舳擞嬎銠C的網(wǎng)絡聯(lián)機服務。然而這兩類的服務器配置看似簡單，但卻是需要無時無刻不間斷地提供服務，否則將會導致一切協(xié)同運作中止。

如今企業(yè)中所使用的DHCP與DNS服務器，盡管大部分都已是使用Windows Server來設(shè)置，管理起來也相當容易。但是一旦數(shù)量很多且又分散在各地時，從發(fā)現(xiàn)、監(jiān)控到審核等管理操作便會變得相當復雜與困難，若管理不當，可能會造成公司營運的損失，想要輕松管理好卻又苦于沒有理想的解決方案，該如何是好呢？

如今您只要善用IPAM（IP Address Managememt）這項網(wǎng)絡管理工具，便可以大幅減輕追蹤IP地址使用狀況的問題，以及同時幫您監(jiān)控好DHCP和DNS服務的運行，它是Windows Server 2012與Windows Server 2012 R2中所提供的一項網(wǎng)絡功能。

IPAM基礎(chǔ)設(shè)置與使用

接下來就讓我們開始來學習一下，如何在現(xiàn)有的Active Directory網(wǎng)絡環(huán)境中，來設(shè)置與使用IPAM功能。首先請在“服務器管理員”接口中點擊開啟“新增角色及功能向?qū)А?，然后連續(xù)點擊“下一步”進入“選取功能”頁面，勾選“IP地址管理(IPAM)服務器”項勾并點擊“完成”。

注意：您無法在Active Directory域控制器的服務器上安裝IPAM功能。

完成了IPAM功能的安裝之后，接下來便可以從“服務器管理員”接口看到多出了“IPAM”的管理標簽頁。我們必須完成有關(guān)于IPAM的相關(guān)設(shè)置。在“概觀”頁面中點擊“聯(lián)機至IPAM服務器”連接。在“聯(lián)機至IPAM服務器”頁面中，可以選擇目前可用的IPAM服務器來進行聯(lián)機管理。當您目前只有一部IPAM服務器，這項設(shè)置步驟是可以省略的。點擊“確定”。再回到面板中的“IPAM服務器工作”頁面，點擊“部署IPAM服務器”連接繼續(xù)。在“在您開始前”頁面中，可以看到關(guān)于IPAM功能的介紹。點擊“下一步”。

圖11 新增或編輯服務器

在“設(shè) 置 數(shù) 據(jù) 庫”頁面中，可以選擇使用默認的“Windows內(nèi) 部 數(shù) 據(jù) 庫（WID）”，或是使用指定的現(xiàn)有“Microsoft SQL Server”實例聯(lián)機。如果選擇后者，請正確設(shè)置服務器名稱、數(shù)據(jù)庫名稱、端口。點擊“下一步”。在“選擇部署方法”頁面中，可以選擇要采用“手動”還是“組策略型”的方式來集中管理服務器，這些服務器所指的便是DNS、DHCP以及NPS服務器。在此我以最簡單的“組策略型”方式，來部署與應用所需要的網(wǎng)絡共享、安全設(shè)置以及防火墻規(guī)則的設(shè)置。請輸入“GPO名稱前綴”，后續(xù)將以此名稱來做為建立IPAM的組策略對象之開頭命名。點擊“下一步”。在“摘要”頁面中，可以看到即將建立的各項組策略對象名稱，以及即將在本機內(nèi)部數(shù)據(jù)庫系統(tǒng)建立IPAM的專屬數(shù)據(jù)庫。點擊“應用”。

再一次回到面板中的“IPAM服務器工作”頁面，點擊“設(shè)置服務器發(fā)現(xiàn)”連接繼續(xù)。在“設(shè)置服務器發(fā)現(xiàn)”頁面中，將可以選取所要發(fā)現(xiàn)的域并且點擊“新增”按鈕，然后在從指定的域中勾選后續(xù)所要發(fā)現(xiàn)的服務器類型，在此我們勾選域控制器、DHCP服務器、DNS服務器。點擊“確定”。

注意：IPAM針對域服務器的發(fā)現(xiàn)是有固定計劃的，您可以自行開啟Windows Server 2012 R2在附屬應用程序之中的計劃任務，然后修改位于MicrosoftWindowsIPAMServerDiscovery的默認計劃設(shè)置。

接著再回到面板中的“IPAM服務器工作”頁面，點擊“啟動服務器發(fā)現(xiàn)任務”，這項功能將于目前的域之中尋找所有即將被集中監(jiān)控服務器，這包括擔任DNS、DHCP以及DC角色的服務器。在服務器發(fā)現(xiàn)任務的過程中，我們?nèi)绾沃滥壳暗娜蝿者M度呢？很簡單，只要開啟“Overview工作詳細信息”頁面即可查看到。在成功完成IPAM對于服務器的發(fā)現(xiàn)任務之后，我們便可以在面板的上方看到相關(guān)的提示信息。請點選“選取或新增要管理及驗證IPAM存取的服務器”連接。在“服務器清單”頁面中，看到目前所連接的域控制器服務器狀態(tài)，這包括了IPAM的存取狀態(tài)以及數(shù)據(jù)捕獲狀態(tài)。

完成IPAM組策略部署

由于在初步連接時IPAM的存取狀態(tài)是“已封鎖”，因此接下來我們還必須完成一些設(shè)置操作，才能夠讓它們之間的連接正常運行。請先切換到面板的“所有服務器”頁面，然后針對IPAM服務器項目點擊鼠標右鍵，選擇“Windows PowerShell”。 在 開 啟 了Windows PowerShell命令控制臺之后，執(zhí)行以下命令與參數(shù)，來完成IPAM組策略的部署，其中GpoPrefixName參數(shù)值必須是當時所設(shè)置的組策略前綴，至于IpamServerFqdn的值則必須是IPAM服務器的完整服務器名稱。

Invoke-Ipam Gpo Provisioning -Domain lab01-GpoPrefixName IPAM01-IpamServerFqdn IPAM01.lab01.com

在完成了IPAM組策略的設(shè)置之后，請開啟組策略管理接口，便可以看見位于“組策略對象”節(jié)點下，已經(jīng)自動完成建立的相關(guān)IPAM組策略對象。緊接著您還可以在DNS服務器的管理接口，開啟服務器屬性。在“安全”頁面中，將可以發(fā)現(xiàn)系統(tǒng)已授權(quán)一個讀取權(quán)限給專屬的IPAMUG系統(tǒng)賬戶。

再回到IPAM“服務器清單”頁面，在選取目前服務器項目之后，點擊鼠標右鍵，選擇“編輯服務器”。在如圖11所示的“新增或編輯服務器”頁面中，確認已經(jīng)將“服務器類型”中的DC、DNS、DHCP項目勾選，然后再從“管理性狀態(tài)”下拉選單中，選取“受管理的”。點擊“確定”。接著，在每一部受管理的域服務器中，開啟命令行執(zhí)行g(shù)roupdate /force命令，以完成最新組策略的應用。

使用IPAM監(jiān)視NPS運行

未來如果想要加入對于NPS服務器的管理時該怎么做呢？很簡單，只要在IPv4的節(jié)點上點擊鼠標右鍵，點擊“新增服務器”。接著在“新增或編輯服務器”頁面中，先輸入NPS的完整服務器名稱并且點擊“驗證”按鈕，然后再惟一勾選“NPS服務器”以及將管理性狀態(tài)選擇為“受管理的”。點擊“確定”即可。

完成了NPS服務器的新增設(shè)置之后，接下來我們可以再開啟“組策略管理”窗口，便可以在組策略對象的“安全性篩選”設(shè)置中，看到加入了對于NPS服務器的應用。在成功完成了IPAM對于DC、DNS、DHCP以及NPS服務器的發(fā)現(xiàn)與聯(lián)機之后，我們便可以在“服務器清單”頁面中，查看到目前對于這些服務器的IPAM存取已經(jīng)不存在，并且正處于受管理的狀態(tài)下運行。在“詳細數(shù)據(jù)”頁面中，則可以看到目前此服務器的完整網(wǎng)絡信息以及相關(guān)服務的存取狀態(tài)。

對于大型企業(yè)的IT部門來說，網(wǎng)絡管理工作一直以來都是一件相當復雜的工作，因此肯定需要許多好用的網(wǎng)管工具，來協(xié)助IT人員輕松解決各式各樣的管理需求。以Microsoft Windows為基礎(chǔ)的網(wǎng)絡環(huán)境來說，使用Microsoft自家內(nèi)置的功能或自家另外提供的解決方案，是最為合適的。而目前從Windows Server 2012 R2版本開始所內(nèi)置的IPAM功能，盡管目前已經(jīng)有一些相當不錯的管理功能，但相信在未來肯定還有更多的發(fā)展空間，可以加入更多更好的功能，來幫助企業(yè)解決更多IP地址的管理問題，這包括了與硬件廠商的整合管理機制等。