使用IPAM優(yōu)化地址管理

IPAM是Windows Server 2012引入的新的IP地址管理機制，使管理員能夠?qū)W(wǎng)絡(luò)中的所有IP進行統(tǒng)一有效的管理。利用IPAM可以管理和監(jiān)控企業(yè)網(wǎng)的相關(guān)服務(wù)（例如DHCP、DNS、NPS和活動目錄服務(wù)等），能夠簡化企業(yè)網(wǎng)絡(luò)中的IP地址管理，可以用來追蹤、查詢和預(yù)測IP地址使用量和利用率信息。使用IPAM控制臺，可以配置DHCP作用域，為客戶端分配IP，即無須通過常規(guī)管理DHCP服務(wù)器的方法，而可以直接在IPAM服務(wù)器上針對多臺DHCP服務(wù)器，多作用域的集控管理。使用和IPAM相關(guān)的事件日志，在一個集中存儲庫中查看IP配置變更信息。通過IPAM，可以監(jiān)視企業(yè)網(wǎng)的IP分配狀況，IP地址空間使用情況，監(jiān)視DNS和DHCP等服務(wù)的健康狀態(tài)。

安裝及配置IPAM服務(wù)器

安裝IPAM服務(wù)器

圖1 IPAM配置界面

例如，在域環(huán)境中選擇某臺服務(wù)器（例如名稱為“Dhcpsrv1”），以域管理員身份登錄，在其上打開服務(wù)器管理器，點擊“添加角色和功能”鏈接，在向?qū)Ы缑嬷械慕巧斜碇羞x擇“DHCP服務(wù)器”項，點擊安裝按鈕，在該機上安裝DHCP服務(wù)。在服務(wù)器管理器通知欄中點擊“完成DHCP配置”項，在DHCP安裝后配置向?qū)е悬c擊下一步按鈕，創(chuàng)建DHCP管理員和DHCP用戶，以委派DHCP服務(wù)器管理，并指定用于在AD DS中授權(quán)此DHCP服務(wù)器的憑據(jù)。打開DHCP控制臺，可以看到?jīng)]有設(shè)置任何作用域。當然，要確保DHCP服務(wù)器已經(jīng)被激活并得到授權(quán)，即在其中的“IPv4”和“IPv6”節(jié)點上出現(xiàn)綠色標記。通過域中的一臺IPAM服務(wù)器（名稱為“Server20”），對 DHCP 服務(wù)器進行相關(guān)配置操作，即利用IPAM服務(wù)器對企業(yè)內(nèi)網(wǎng)的IP進行管理，分配以及監(jiān)控IP地址的分配趨勢。在該機上以域管理員身份登錄，在服務(wù)器管理器中點擊“添加角色和功能”連接，在功能列表中選擇“IP地址管理（IPAM）服務(wù)器”項，點擊安裝按鈕，完成IPAM組件的安裝。之后在服務(wù)器管理器左側(cè)選擇“IPAM”項，打開其配置界面（如圖1）。

配置IPAM服務(wù)器

在服務(wù)器管理器左側(cè)點擊“IPAM”項，在右側(cè)的“IPAM服務(wù)器任務(wù)”欄中點擊“連接到IPAM服務(wù)器”項，在彈出窗口中選擇當前主機，點擊確定按鈕即可。點擊“設(shè)置IPAM服務(wù)器”項，在設(shè)置向?qū)Ы缑嬷悬c擊下一步按鈕，默認選擇“Windows內(nèi)部數(shù)據(jù)庫（WID）”項，其路徑為“%WINDOWS%System32IPAMDataBase”。如果存在SQL Server數(shù)據(jù)庫服務(wù)器，可以選擇“Microsoft SQL Server”項，設(shè)置服務(wù)器名稱，數(shù)據(jù)庫名稱以及端口等信息。點擊下一步按鈕，在選擇設(shè)置方法窗口（如圖2）中選擇“基于組策略”項，在“GPO名稱前綴”欄中輸入合適的前綴信息，例如“IPAM”。

對于Active Directory林中的每臺IPAM服務(wù)器來說，該GPO名稱前綴必須是唯一的。使用基于組策略的設(shè)置方法，可以在該IPAM服務(wù)器管理的每個域中創(chuàng)建組策略對象（GPO），IPAM將管理的服務(wù)器添加到相應(yīng)的GPO中，從而自動在該服務(wù)器上進行相關(guān)的配置操作，這適用于比較大型的網(wǎng)絡(luò)環(huán)境。在下一步窗口中點擊應(yīng)用按鈕，可以執(zhí)行設(shè)置IPAM服務(wù)器以使用基于GPO的配置方法，在WID上創(chuàng)建IPAM數(shù)據(jù)庫并配置訪問權(quán)限，在IPAM服務(wù)器上創(chuàng)建計劃任務(wù)以從網(wǎng)絡(luò)中收集數(shù)據(jù)，在IPAM服務(wù)器上創(chuàng)建用于分配管理員角色的本地安全組，在IPAM服務(wù)器上啟用IP地址跟蹤功能等操作。

圖2 設(shè)置IPAM服務(wù)器

點擊“配置服務(wù)器發(fā)現(xiàn)”項，在彈出窗口中的“選擇要發(fā)現(xiàn)的域”列表中默認選擇的是林根域，點擊添加按鈕，在“選擇要發(fā)現(xiàn)的服務(wù)器角色”欄中默認選中域控制器，DHCP服務(wù)器，DNS服務(wù)器等對象。點擊確定按鈕保存配置信息。在“IPAM服務(wù)器任務(wù)”欄中點擊“啟動服務(wù)器發(fā)現(xiàn)”項，執(zhí)行服務(wù)器發(fā)現(xiàn)操作，該過程可能需要幾分鐘時間。點擊“選擇或添加服務(wù)器以管理和驗證IPAM訪問”項，在打開的窗口中顯示可管理狀態(tài)是未指定的，IPAM訪問狀態(tài)是已阻止的。解決方法是打開Windows PowerShell界 面，執(zhí)行“Invoke-IpamGpoProvisioning-domainxxx.com-GpoPrefixName IPAM-Ipam Server Fqdnserver20.xxx.com-Delegated Gpo User administrator”命令，在提示欄中直接回車，執(zhí)行驗證參數(shù)，創(chuàng)建GPO，導(dǎo)入GPO，將用戶導(dǎo)入到委派列表中等配置操作。該命令行中的“xxx.com”為具體的域名，“IPAM”為預(yù)設(shè)的GPO前 綴，“server.xxx.com”為IPAM服務(wù)器的全稱，“DelegatedGpoUser” 參數(shù)后跟委派的組用戶名稱，這里為Administrator。

在上述IPAM管理界面中選擇“服務(wù)器名稱”中的IPAM服務(wù)器名，在其右鍵菜單上點擊“編輯服務(wù)器”，在打開窗口中的“服務(wù)器類型”列表中可以選擇DC，DNS服務(wù)器，DHCP服務(wù)器，NPS服務(wù)器等對象。在“可管理狀態(tài)”列表中選擇“已托管”項，點擊確定按鈕保存配置信息。之后以域管理員身份登錄域控，在組策略管理窗口左側(cè)打開“林”→“域”→“xxx.com”→“組策略對象”項，可以在其下看到創(chuàng)建的名為“IPAM_DHCP”，“IPAM_DNS”，“IPAM_DC_NPS”等GPO。

例如選擇“IPAM_DC_NPS”項，在右側(cè)的“設(shè)置”面板中顯示詳細的描述信息，可以看到其定義的是計算機配置策略，打開其中的“Windows設(shè)置”項，可以看到受限制的組，高級安全Windows防火墻等類別的配置項目。在CMD窗口中執(zhí)行“gpupdate”命令，在域控段應(yīng)用上述策略。對應(yīng)的，在IPAM服務(wù)器上也需要執(zhí)行“gpupdate /force”命令，來應(yīng)用上述組策略。

在IPAM管理界面中可以看到，其可管理性狀態(tài)已經(jīng)變成了“已托管”，但是IPAM訪問狀態(tài)依然為已阻止狀態(tài)，為其在其右鍵菜單上點擊“刷新服務(wù)器訪問狀態(tài)”項，并在工具欄上點擊刷新按鈕，可以看到推薦操作變成了以取消阻止IPAM訪問狀態(tài)，IPAM訪問狀態(tài)也變成了已取消阻止狀態(tài)。在其右鍵菜單上點擊“檢索所有服務(wù)器數(shù)據(jù)”項，重新收集相關(guān)的服務(wù)器數(shù)據(jù)。

在IPAM管理窗口左側(cè)點擊“監(jiān)視和管理”→“DNS和DHCP服務(wù)器”項，因為在域控上已經(jīng)安裝了DNS服務(wù)，所以在窗口右側(cè)會顯示和DNS服務(wù)器角色相關(guān)的項目，點擊工具欄上的刷新按鈕，可以顯示服務(wù)器角色為DHCP的項目，其狀態(tài)為“正在運行”。在該DHCP條目上點擊右鍵，在彈出菜單中顯示和管理DHCP相關(guān)的項目。例如點擊“編輯DHCP服務(wù)器屬性”項，在彈出窗口左側(cè)選擇“DNS憑據(jù)”項，可以輸入DHCP服務(wù)器在使用DNS動態(tài)更新來注冊名稱時所提供的憑據(jù)，包括用戶名，域名以及密碼等信息。

創(chuàng)建和管理DHCP作用域

在上述菜單上點擊“創(chuàng)建DHCP作用域”項，在其右鍵菜單上點擊“啟動MMC”項，在打開窗口（如圖3）中輸入該作用域的名稱，設(shè)置起始IP地址和結(jié)束IP地址，輸入子網(wǎng)掩碼，選擇“限制到”項，可以設(shè)置所需的DHCP客戶端的租約期限。在“啟用DNS動態(tài)更新”和“啟用名稱保護”列表中分別選擇“是”項。在“DHCP作用域選項”部分點擊“新建”按鈕，在“供應(yīng)商類”列表中選擇“DHCP標準選項”項，在“用戶類”列表中選擇“默認用戶類”項，在“選項”列表中提供了大量的項目可供選擇，例如DNS服務(wù)器，日志服務(wù)器，LPR服務(wù)器，主機名，資源定位服務(wù)器，啟動文件大小等。例如選擇“003 路由器”項，輸入路由器的地址，點擊添加配置按鈕，添加該作用域選項。

圖3 創(chuàng)建DHCP作用域

同理，可以創(chuàng)建所需的作用域選項。點擊確定按鈕，完成作用域的配置。當然，利用DHCP策略機制，可以為客戶端指派特定的選項，例如為其分配特定的IP等。選擇目標DHCP作用域，在右鍵菜單上點擊“配置DHCP策略”項，可以針對作用域級別配置策略。在創(chuàng)建DHCP策略窗口（如圖4）中輸入策略的名稱（例如“celue”），設(shè)置合適的租約期限，在“添加”欄中點擊新建按鈕，在“新條件”部分的“條件”列表中內(nèi)置了供應(yīng)商類別，用戶類別，MAC地址，客戶端標識符，完全限定的域名，中繼代理信息等。這里選擇“MAC地址”項，輸入對應(yīng)的MAC地址，注意MAC地址可以使用通配符（例 如“0009fe*”），MAC地址前6個編碼為廠商代號。之后設(shè)置需要分配給客戶端的IP地址范圍，當然，該范圍不能超出該作用域的IP范圍。輸入路由器（默認網(wǎng)關(guān)的地址）點擊確定按鈕，創(chuàng)建該DHCP策略。這樣，當符合條件的客戶端申請IP時，就會得到預(yù)設(shè)的地址。

登錄到到對應(yīng)的DHCP服務(wù)器上，在DHCP控制臺打開“DHCP”→“主機名”→“IPv4”→“作用域”項，可以看到剛才創(chuàng)建的作用域。選擇“地址租用”項，可以看到已經(jīng)分配出去的IP。除了在上述IPAM管理窗口中添加作用域選項外，也可以在這里的“作用域”項的右鍵菜單上點擊“配置選項”項，在打開窗口中配置相應(yīng)的項目，例如分別選擇“003路由器”，“006 DNS服務(wù)器”項，輸入對應(yīng)的IP后，點擊添加按鈕即可。選擇“015 DNS域名”項，在“字符串值”欄中輸入域名信息。例如“xxx.com”。

圖4 配置DHCP策略窗口

注意，如果已經(jīng)配置了DHCP故障轉(zhuǎn)移群集功能，當使用IPAM管理功能在其中某臺DHCP服務(wù)器上創(chuàng)建了作用域之后，在默認情況下，在群集中的其他DHCP服務(wù)器上是得不到該作用域信息的。為此可以在該DHCP服務(wù)器上打開DHCP控制臺，在“IPv4”節(jié)點的右鍵菜單上點擊“配置故障轉(zhuǎn)移群集”項，在向?qū)Ы缑嬷羞x擇“全選”項，在下一步窗口的“伙伴服務(wù)器”欄中點擊“添加服務(wù)器”按鈕，導(dǎo)入群集中的其他服務(wù)器（例如“Dhcpsrv2”），依次點擊下一步按鈕，完成在伙伴服務(wù)器上添加新的作用域操作。

返回IPAM服務(wù)器，在IPAM管理窗口左側(cè)選擇“DHCP作用域”項，可以查看所有作用域的狀態(tài)信息，包括利用率、作用域狀態(tài)、作用域名稱、作用域ID、前綴長度和租用期限，已利用的百分比等內(nèi)容。例如對于利用率不足的情況，其會以黃色圖標進行顯示。在窗口底部可以查看選定的作用域?qū)傩栽敿毿畔ⅲx項，有效的策略，時間目錄等內(nèi)容等內(nèi)容。在左側(cè)點擊“DNS區(qū)域監(jiān)視”項，點擊工具欄上的刷新按鈕，可以查看DNS服務(wù)器的狀態(tài)信息，包括區(qū)域狀態(tài)，在當前狀態(tài)下的持續(xù)時間，區(qū)域名稱，訪問作用域等，據(jù)此可以了解其是否正常工作。在左側(cè)選擇“服務(wù)器組”項，可以查看當前托管的所有服務(wù)器信息。例如選擇其中的目標DHCP服務(wù)器，在其右鍵菜單上點擊“啟用MMC”項，可以直接打開DHCP控制臺，對其進行深入管理。

利用角色控制管理者權(quán)限

如果想實現(xiàn)基于角色管理作用域的功能，例如只允許指定的用戶來管理目標作用域等，可以在IPAM管理界面左側(cè)選擇“訪問控制”項，在右側(cè)可以看到已經(jīng)存在一些默認的內(nèi)置角色。例如DNS記錄管理員角色，IP地址記錄管理員角色，IPAM ASM管理員角色，IPAM DHCP保留管理員角色，IPAM DHCP管理員角色，IPAM DHCP代理管理員角色，IPAM MSM管理員角色，IPAM管理員角色等。當然，可以根據(jù)需要自定義角色。

方法是在左側(cè)的“角色”項的右鍵菜單上點擊“添加用戶角色”項，在添加或編輯角色窗口（如圖5）中輸入角色的名稱（例如“DHCPeditor”），輸入描述信息，在“操作”列表中顯示具體的權(quán)限項目，包括DHCP超級作用域操作，DHCP作用域操作，DHCP服務(wù)器操作，DHCP故障轉(zhuǎn)移操作，DHCP保留操作，DHCP區(qū)域操作等等項目，在其中的每一個項目中又包含很多子項。例如打開“DHCP作用域”項，在其中顯示和管理作用域相關(guān)的子項，包括創(chuàng)建，編輯，刪除DHCP作用域，配置DHCP作用域策略等。

圖5 添加或編輯角色窗口

圖6添加訪問作用域窗口

這里選擇“編輯DHCP作用域”，“激活DHCP作用域”，“編輯DHCP作用域選項”等，在“DHCP保留操作”項中選擇“創(chuàng)建或編輯DHCP保留”，“刪除 DHCP保留”項。這樣，可以讓該角色只能擁有有限的管理DHCP作用域的權(quán)限。點擊確定按鈕，創(chuàng)建該管理角色。僅僅創(chuàng)建了所需的管理角色是不夠的，還需要創(chuàng)建相應(yīng)的域賬戶，使其和該角色加以關(guān)聯(lián)，讓其擁有管理DHCP作用域的權(quán)限。在域控上打開Active Directory用戶和計算機窗口，在左側(cè)點擊“User”容器，在其右鍵菜單上點擊“新建”→“用戶”項，創(chuàng)建一個新的普通域賬戶（例 如“Dhcpuser”）。 在IPAM服務(wù)器上打開其管理界面，在左側(cè)選擇“訪問作用域”項，在其右鍵菜單上點擊“添加訪問作用域”項，在打開窗口（如圖6）中點擊新建按鈕，在“名稱”欄中輸入要管理的DHCP作用域名稱，輸入描述信息，點擊添加按鈕，選擇該作用域名稱，點擊確定按鈕，添加該訪問作用域。

在左側(cè)選擇“訪問策略”項，在其右鍵菜單上點擊“添加訪問策略”項，在彈出窗口（如圖7）中的“用戶別名”欄中點擊“添加”按鈕，在選擇用戶或組窗口中點擊“位置”按鈕，在位置窗口選擇“整個目錄”→“xxx.com”域名，切換到整個域進行查找上述“dhcpuser”賬戶并將其導(dǎo)入進來。在“訪問設(shè)置”欄中點擊新建按鈕，在“新建設(shè)置”欄中的“選擇角色”列表中選擇上述自定義角色。在“為角色選擇訪問作用域”列表中選擇上述訪問作用域，點擊添加設(shè)置按鈕，該賬戶就擁有了訪問目標作用域的特定權(quán)限。

之后在IPAM管理界面左側(cè)選擇“DHCP作用域”項，在右側(cè)選擇域上述作用域，在其右鍵菜單上點擊“設(shè)置訪問作用域”項，在打開窗口中取消“從父項繼承訪問作用域”項，在“選擇訪問作用域”列表中選擇上述作用域，點擊確定按鈕，保存設(shè)置信息。設(shè)置完成后，重啟IPAM服務(wù)器并使用上述“dhcpuser”賬戶進行登錄，就只能按照上述預(yù)設(shè)的權(quán)限，來編輯指定的DHCP作用域（例如添加作用域選項等）。當其試圖針對DHCP作用域執(zhí)行更多的操作，或者試圖操作其他DHCP作用域時，系統(tǒng)會提示“一項或多項任務(wù)失敗” 的提示，并禁止執(zhí)行相關(guān)的操作。

圖7添加訪問策略窗口

管理IP地址空間

在IPAM服務(wù)器上，可以創(chuàng)建IP地址空間。IP地址空間分為幾個較大的部分，稱之為IP地址塊。管理員可以將這些地址塊細分為較小的部分，稱之為IP地址范圍，便于為網(wǎng)絡(luò)上的各種設(shè)備分配地址。通過該功能，可以發(fā)現(xiàn)和監(jiān)視IP的使用情況，為管理員提供管理界面。在左側(cè)點擊“地址塊”項在，在右側(cè)顯示已經(jīng)上述已經(jīng)創(chuàng)建的作用域地址范圍。點擊右上角的“任務(wù)”→“新建IP地址塊”項，在打開窗口（如圖8）中輸入具體的網(wǎng)絡(luò)ID，例如172.16.1.0。在“前綴長度”列表中選擇合適的網(wǎng)絡(luò)位。例如選擇24，表示IP范圍從172.16.1.0到172.16.1.255。點擊確定按鈕，在“當前視圖”列表中選擇“IP地址塊”項，之后點擊工具欄上的刷新按鈕，可以看到創(chuàng)建的新的地址塊。

圖8 添加地址塊窗口

在具體執(zhí)行地址非配操作時，如何才能了解某個IP是否已經(jīng)被使用了呢？在“當前視圖”列表中選擇“IP地址范圍”項，選擇對應(yīng)的IP地址范圍項目，在其右鍵菜單上點擊“查找并非配可用的IP地址”項，在彈出窗口中的“查找可用的IP地址”欄中顯示可用的IP地址，PING答復(fù)狀態(tài)，DNS記錄狀態(tài)等信息，如果“Ping答復(fù)狀態(tài)”列的內(nèi)容為“答復(fù)”，說明該地址已經(jīng)被其他主機使用了。點擊查找下一個按鈕，當出現(xiàn)狀態(tài)為“無答復(fù)”項目時，說明與之對應(yīng)的IP處于可用狀態(tài)。選擇該地址，在“基本配置”標簽中的“IP地址”欄中自動填入該IP，在“MAC地址”欄中輸入目標網(wǎng)絡(luò)設(shè)備的MAC地址，可以將其和該IP綁定。在“設(shè)備”列表中提供了VOIP網(wǎng)關(guān)，WAN優(yōu)化器，主機，切換，打印機，無線AP，無線控制器，終端服務(wù)器，負載平衡器，路由器，防火墻，非Microsoft服務(wù)器等，這里選擇“主機”項。

可以根據(jù)需要設(shè)置分配日期和到期時間，所有者，資產(chǎn)標記，序列號等，選擇“啟用網(wǎng)絡(luò)虛擬化功能”項，表示將其分配給虛擬機使用。在“DNS記錄同步”標簽中的“設(shè)備名稱”欄中數(shù)該網(wǎng)絡(luò)設(shè)備名稱，例如“WebSite Server”。

在“正向查找區(qū)域”列表中選擇“xxx.com”，在“正向查找主服務(wù)器”列表中選擇域控主機。選擇“為此IP地址自動創(chuàng)建DNS記錄”項，表示由IPAM服務(wù)器代替客戶端項DNS服務(wù)器注冊記錄。如果在“地址狀態(tài)”和“分配類型”列表中分別選擇“已保留”項，可以將其作為保留地址處理。在“DHCP保留同步”部分輸入客戶端ID，選擇“將MAC域客戶端ID關(guān)聯(lián)”項，將該ID和上述MAC地址綁定（如圖9）。

在“保留服務(wù)器名稱”列表中選擇當前主機，在“保留作用域名稱”欄中輸入域名，例如“xxx”。輸入保留名稱，選擇保留類型為“DHCP”項。點擊確定按鈕，完成可用地址的查詢和分配操作。在左側(cè)點擊“地址清單”項，可以看到已經(jīng)分配的IP信息。在左側(cè)選擇“DHCP作用域”項，點擊右上角的“任務(wù)→”“檢索服務(wù)器數(shù)據(jù)”項，之后在地址塊窗口地步的“配置詳細信息”面板中查看地址管理的詳細信息的。在“利用率趨勢”面板中在預(yù)設(shè)的時間范圍（從1天到5年）內(nèi)，了解IP地址利用與的變化趨勢。

圖9 設(shè)置保留選項