使用IPAM優化地址管理

IPAM是Windows Server 2012引入的新的IP地址管理機制，使管理員能夠對網絡中的所有IP進行統一有效的管理。利用IPAM可以管理和監控企業網的相關服務（例如DHCP、DNS、NPS和活動目錄服務等），能夠簡化企業網絡中的IP地址管理，可以用來追蹤、查詢和預測IP地址使用量和利用率信息。使用IPAM控制臺，可以配置DHCP作用域，為客戶端分配IP，即無須通過常規管理DHCP服務器的方法，而可以直接在IPAM服務器上針對多臺DHCP服務器，多作用域的集控管理。使用和IPAM相關的事件日志，在一個集中存儲庫中查看IP配置變更信息。通過IPAM，可以監視企業網的IP分配狀況，IP地址空間使用情況，監視DNS和DHCP等服務的健康狀態。

安裝及配置IPAM服務器

安裝IPAM服務器

圖1 IPAM配置界面

例如，在域環境中選擇某臺服務器（例如名稱為“Dhcpsrv1”），以域管理員身份登錄，在其上打開服務器管理器，點擊“添加角色和功能”鏈接，在向導界面中的角色列表中選擇“DHCP服務器”項，點擊安裝按鈕，在該機上安裝DHCP服務。在服務器管理器通知欄中點擊“完成DHCP配置”項，在DHCP安裝后配置向導中點擊下一步按鈕，創建DHCP管理員和DHCP用戶，以委派DHCP服務器管理，并指定用于在AD DS中授權此DHCP服務器的憑據。打開DHCP控制臺，可以看到沒有設置任何作用域。當然，要確保DHCP服務器已經被激活并得到授權，即在其中的“IPv4”和“IPv6”節點上出現綠色標記。通過域中的一臺IPAM服務器（名稱為“Server20”），對 DHCP 服務器進行相關配置操作，即利用IPAM服務器對企業內網的IP進行管理，分配以及監控IP地址的分配趨勢。在該機上以域管理員身份登錄，在服務器管理器中點擊“添加角色和功能”連接，在功能列表中選擇“IP地址管理（IPAM）服務器”項，點擊安裝按鈕，完成IPAM組件的安裝。之后在服務器管理器左側選擇“IPAM”項，打開其配置界面（如圖1）。

配置IPAM服務器

在服務器管理器左側點擊“IPAM”項，在右側的“IPAM服務器任務”欄中點擊“連接到IPAM服務器”項，在彈出窗口中選擇當前主機，點擊確定按鈕即可。點擊“設置IPAM服務器”項，在設置向導界面中點擊下一步按鈕，默認選擇“Windows內部數據庫（WID）”項，其路徑為“%WINDOWS%System32IPAMDataBase”。如果存在SQL Server數據庫服務器，可以選擇“Microsoft SQL Server”項，設置服務器名稱，數據庫名稱以及端口等信息。點擊下一步按鈕，在選擇設置方法窗口（如圖2）中選擇“基于組策略”項，在“GPO名稱前綴”欄中輸入合適的前綴信息，例如“IPAM”。

對于Active Directory林中的每臺IPAM服務器來說，該GPO名稱前綴必須是唯一的。使用基于組策略的設置方法，可以在該IPAM服務器管理的每個域中創建組策略對象（GPO），IPAM將管理的服務器添加到相應的GPO中，從而自動在該服務器上進行相關的配置操作，這適用于比較大型的網絡環境。在下一步窗口中點擊應用按鈕，可以執行設置IPAM服務器以使用基于GPO的配置方法，在WID上創建IPAM數據庫并配置訪問權限，在IPAM服務器上創建計劃任務以從網絡中收集數據，在IPAM服務器上創建用于分配管理員角色的本地安全組，在IPAM服務器上啟用IP地址跟蹤功能等操作。

圖2 設置IPAM服務器

點擊“配置服務器發現”項，在彈出窗口中的“選擇要發現的域”列表中默認選擇的是林根域，點擊添加按鈕，在“選擇要發現的服務器角色”欄中默認選中域控制器，DHCP服務器，DNS服務器等對象。點擊確定按鈕保存配置信息。在“IPAM服務器任務”欄中點擊“啟動服務器發現”項，執行服務器發現操作，該過程可能需要幾分鐘時間。點擊“選擇或添加服務器以管理和驗證IPAM訪問”項，在打開的窗口中顯示可管理狀態是未指定的，IPAM訪問狀態是已阻止的。解決方法是打開Windows PowerShell界 面，執行“Invoke-IpamGpoProvisioning-domainxxx.com-GpoPrefixName IPAM-Ipam Server Fqdnserver20.xxx.com-Delegated Gpo User administrator”命令，在提示欄中直接回車，執行驗證參數，創建GPO，導入GPO，將用戶導入到委派列表中等配置操作。該命令行中的“xxx.com”為具體的域名，“IPAM”為預設的GPO前 綴，“server.xxx.com”為IPAM服務器的全稱，“DelegatedGpoUser” 參數后跟委派的組用戶名稱，這里為Administrator。

在上述IPAM管理界面中選擇“服務器名稱”中的IPAM服務器名，在其右鍵菜單上點擊“編輯服務器”，在打開窗口中的“服務器類型”列表中可以選擇DC，DNS服務器，DHCP服務器，NPS服務器等對象。在“可管理狀態”列表中選擇“已托管”項，點擊確定按鈕保存配置信息。之后以域管理員身份登錄域控，在組策略管理窗口左側打開“林”→“域”→“xxx.com”→“組策略對象”項，可以在其下看到創建的名為“IPAM_DHCP”，“IPAM_DNS”，“IPAM_DC_NPS”等GPO。

例如選擇“IPAM_DC_NPS”項，在右側的“設置”面板中顯示詳細的描述信息，可以看到其定義的是計算機配置策略，打開其中的“Windows設置”項，可以看到受限制的組，高級安全Windows防火墻等類別的配置項目。在CMD窗口中執行“gpupdate”命令，在域控段應用上述策略。對應的，在IPAM服務器上也需要執行“gpupdate /force”命令，來應用上述組策略。

在IPAM管理界面中可以看到，其可管理性狀態已經變成了“已托管”，但是IPAM訪問狀態依然為已阻止狀態，為其在其右鍵菜單上點擊“刷新服務器訪問狀態”項，并在工具欄上點擊刷新按鈕，可以看到推薦操作變成了以取消阻止IPAM訪問狀態，IPAM訪問狀態也變成了已取消阻止狀態。在其右鍵菜單上點擊“檢索所有服務器數據”項，重新收集相關的服務器數據。

在IPAM管理窗口左側點擊“監視和管理”→“DNS和DHCP服務器”項，因為在域控上已經安裝了DNS服務，所以在窗口右側會顯示和DNS服務器角色相關的項目，點擊工具欄上的刷新按鈕，可以顯示服務器角色為DHCP的項目，其狀態為“正在運行”。在該DHCP條目上點擊右鍵，在彈出菜單中顯示和管理DHCP相關的項目。例如點擊“編輯DHCP服務器屬性”項，在彈出窗口左側選擇“DNS憑據”項，可以輸入DHCP服務器在使用DNS動態更新來注冊名稱時所提供的憑據，包括用戶名，域名以及密碼等信息。

創建和管理DHCP作用域

在上述菜單上點擊“創建DHCP作用域”項，在其右鍵菜單上點擊“啟動MMC”項，在打開窗口（如圖3）中輸入該作用域的名稱，設置起始IP地址和結束IP地址，輸入子網掩碼，選擇“限制到”項，可以設置所需的DHCP客戶端的租約期限。在“啟用DNS動態更新”和“啟用名稱保護”列表中分別選擇“是”項。在“DHCP作用域選項”部分點擊“新建”按鈕，在“供應商類”列表中選擇“DHCP標準選項”項，在“用戶類”列表中選擇“默認用戶類”項，在“選項”列表中提供了大量的項目可供選擇，例如DNS服務器，日志服務器，LPR服務器，主機名，資源定位服務器，啟動文件大小等。例如選擇“003 路由器”項，輸入路由器的地址，點擊添加配置按鈕，添加該作用域選項。

圖3 創建DHCP作用域

同理，可以創建所需的作用域選項。點擊確定按鈕，完成作用域的配置。當然，利用DHCP策略機制，可以為客戶端指派特定的選項，例如為其分配特定的IP等。選擇目標DHCP作用域，在右鍵菜單上點擊“配置DHCP策略”項，可以針對作用域級別配置策略。在創建DHCP策略窗口（如圖4）中輸入策略的名稱（例如“celue”），設置合適的租約期限，在“添加”欄中點擊新建按鈕，在“新條件”部分的“條件”列表中內置了供應商類別，用戶類別，MAC地址，客戶端標識符，完全限定的域名，中繼代理信息等。這里選擇“MAC地址”項，輸入對應的MAC地址，注意MAC地址可以使用通配符（例 如“0009fe*”），MAC地址前6個編碼為廠商代號。之后設置需要分配給客戶端的IP地址范圍，當然，該范圍不能超出該作用域的IP范圍。輸入路由器（默認網關的地址）點擊確定按鈕，創建該DHCP策略。這樣，當符合條件的客戶端申請IP時，就會得到預設的地址。

登錄到到對應的DHCP服務器上，在DHCP控制臺打開“DHCP”→“主機名”→“IPv4”→“作用域”項，可以看到剛才創建的作用域。選擇“地址租用”項，可以看到已經分配出去的IP。除了在上述IPAM管理窗口中添加作用域選項外，也可以在這里的“作用域”項的右鍵菜單上點擊“配置選項”項，在打開窗口中配置相應的項目，例如分別選擇“003路由器”，“006 DNS服務器”項，輸入對應的IP后，點擊添加按鈕即可。選擇“015 DNS域名”項，在“字符串值”欄中輸入域名信息。例如“xxx.com”。

圖4 配置DHCP策略窗口

注意，如果已經配置了DHCP故障轉移群集功能，當使用IPAM管理功能在其中某臺DHCP服務器上創建了作用域之后，在默認情況下，在群集中的其他DHCP服務器上是得不到該作用域信息的。為此可以在該DHCP服務器上打開DHCP控制臺，在“IPv4”節點的右鍵菜單上點擊“配置故障轉移群集”項，在向導界面中選擇“全選”項，在下一步窗口的“伙伴服務器”欄中點擊“添加服務器”按鈕，導入群集中的其他服務器（例如“Dhcpsrv2”），依次點擊下一步按鈕，完成在伙伴服務器上添加新的作用域操作。

返回IPAM服務器，在IPAM管理窗口左側選擇“DHCP作用域”項，可以查看所有作用域的狀態信息，包括利用率、作用域狀態、作用域名稱、作用域ID、前綴長度和租用期限，已利用的百分比等內容。例如對于利用率不足的情況，其會以黃色圖標進行顯示。在窗口底部可以查看選定的作用域屬性詳細信息，選項，有效的策略，時間目錄等內容等內容。在左側點擊“DNS區域監視”項，點擊工具欄上的刷新按鈕，可以查看DNS服務器的狀態信息，包括區域狀態，在當前狀態下的持續時間，區域名稱，訪問作用域等，據此可以了解其是否正常工作。在左側選擇“服務器組”項，可以查看當前托管的所有服務器信息。例如選擇其中的目標DHCP服務器，在其右鍵菜單上點擊“啟用MMC”項，可以直接打開DHCP控制臺，對其進行深入管理。

利用角色控制管理者權限

如果想實現基于角色管理作用域的功能，例如只允許指定的用戶來管理目標作用域等，可以在IPAM管理界面左側選擇“訪問控制”項，在右側可以看到已經存在一些默認的內置角色。例如DNS記錄管理員角色，IP地址記錄管理員角色，IPAM ASM管理員角色，IPAM DHCP保留管理員角色，IPAM DHCP管理員角色，IPAM DHCP代理管理員角色，IPAM MSM管理員角色，IPAM管理員角色等。當然，可以根據需要自定義角色。

方法是在左側的“角色”項的右鍵菜單上點擊“添加用戶角色”項，在添加或編輯角色窗口（如圖5）中輸入角色的名稱（例如“DHCPeditor”），輸入描述信息，在“操作”列表中顯示具體的權限項目，包括DHCP超級作用域操作，DHCP作用域操作，DHCP服務器操作，DHCP故障轉移操作，DHCP保留操作，DHCP區域操作等等項目，在其中的每一個項目中又包含很多子項。例如打開“DHCP作用域”項，在其中顯示和管理作用域相關的子項，包括創建，編輯，刪除DHCP作用域，配置DHCP作用域策略等。

圖5 添加或編輯角色窗口

圖6添加訪問作用域窗口

這里選擇“編輯DHCP作用域”，“激活DHCP作用域”，“編輯DHCP作用域選項”等，在“DHCP保留操作”項中選擇“創建或編輯DHCP保留”，“刪除 DHCP保留”項。這樣，可以讓該角色只能擁有有限的管理DHCP作用域的權限。點擊確定按鈕，創建該管理角色。僅僅創建了所需的管理角色是不夠的，還需要創建相應的域賬戶，使其和該角色加以關聯，讓其擁有管理DHCP作用域的權限。在域控上打開Active Directory用戶和計算機窗口，在左側點擊“User”容器，在其右鍵菜單上點擊“新建”→“用戶”項，創建一個新的普通域賬戶（例 如“Dhcpuser”）。 在IPAM服務器上打開其管理界面，在左側選擇“訪問作用域”項，在其右鍵菜單上點擊“添加訪問作用域”項，在打開窗口（如圖6）中點擊新建按鈕，在“名稱”欄中輸入要管理的DHCP作用域名稱，輸入描述信息，點擊添加按鈕，選擇該作用域名稱，點擊確定按鈕，添加該訪問作用域。

在左側選擇“訪問策略”項，在其右鍵菜單上點擊“添加訪問策略”項，在彈出窗口（如圖7）中的“用戶別名”欄中點擊“添加”按鈕，在選擇用戶或組窗口中點擊“位置”按鈕，在位置窗口選擇“整個目錄”→“xxx.com”域名，切換到整個域進行查找上述“dhcpuser”賬戶并將其導入進來。在“訪問設置”欄中點擊新建按鈕，在“新建設置”欄中的“選擇角色”列表中選擇上述自定義角色。在“為角色選擇訪問作用域”列表中選擇上述訪問作用域，點擊添加設置按鈕，該賬戶就擁有了訪問目標作用域的特定權限。

之后在IPAM管理界面左側選擇“DHCP作用域”項，在右側選擇域上述作用域，在其右鍵菜單上點擊“設置訪問作用域”項，在打開窗口中取消“從父項繼承訪問作用域”項，在“選擇訪問作用域”列表中選擇上述作用域，點擊確定按鈕，保存設置信息。設置完成后，重啟IPAM服務器并使用上述“dhcpuser”賬戶進行登錄，就只能按照上述預設的權限，來編輯指定的DHCP作用域（例如添加作用域選項等）。當其試圖針對DHCP作用域執行更多的操作，或者試圖操作其他DHCP作用域時，系統會提示“一項或多項任務失敗” 的提示，并禁止執行相關的操作。

圖7添加訪問策略窗口

管理IP地址空間

在IPAM服務器上，可以創建IP地址空間。IP地址空間分為幾個較大的部分，稱之為IP地址塊。管理員可以將這些地址塊細分為較小的部分，稱之為IP地址范圍，便于為網絡上的各種設備分配地址。通過該功能，可以發現和監視IP的使用情況，為管理員提供管理界面。在左側點擊“地址塊”項在，在右側顯示已經上述已經創建的作用域地址范圍。點擊右上角的“任務”→“新建IP地址塊”項，在打開窗口（如圖8）中輸入具體的網絡ID，例如172.16.1.0。在“前綴長度”列表中選擇合適的網絡位。例如選擇24，表示IP范圍從172.16.1.0到172.16.1.255。點擊確定按鈕，在“當前視圖”列表中選擇“IP地址塊”項，之后點擊工具欄上的刷新按鈕，可以看到創建的新的地址塊。

圖8 添加地址塊窗口

在具體執行地址非配操作時，如何才能了解某個IP是否已經被使用了呢？在“當前視圖”列表中選擇“IP地址范圍”項，選擇對應的IP地址范圍項目，在其右鍵菜單上點擊“查找并非配可用的IP地址”項，在彈出窗口中的“查找可用的IP地址”欄中顯示可用的IP地址，PING答復狀態，DNS記錄狀態等信息，如果“Ping答復狀態”列的內容為“答復”，說明該地址已經被其他主機使用了。點擊查找下一個按鈕，當出現狀態為“無答復”項目時，說明與之對應的IP處于可用狀態。選擇該地址，在“基本配置”標簽中的“IP地址”欄中自動填入該IP，在“MAC地址”欄中輸入目標網絡設備的MAC地址，可以將其和該IP綁定。在“設備”列表中提供了VOIP網關，WAN優化器，主機，切換，打印機，無線AP，無線控制器，終端服務器，負載平衡器，路由器，防火墻，非Microsoft服務器等，這里選擇“主機”項。

可以根據需要設置分配日期和到期時間，所有者，資產標記，序列號等，選擇“啟用網絡虛擬化功能”項，表示將其分配給虛擬機使用。在“DNS記錄同步”標簽中的“設備名稱”欄中數該網絡設備名稱，例如“WebSite Server”。

在“正向查找區域”列表中選擇“xxx.com”，在“正向查找主服務器”列表中選擇域控主機。選擇“為此IP地址自動創建DNS記錄”項，表示由IPAM服務器代替客戶端項DNS服務器注冊記錄。如果在“地址狀態”和“分配類型”列表中分別選擇“已保留”項，可以將其作為保留地址處理。在“DHCP保留同步”部分輸入客戶端ID，選擇“將MAC域客戶端ID關聯”項，將該ID和上述MAC地址綁定（如圖9）。

在“保留服務器名稱”列表中選擇當前主機，在“保留作用域名稱”欄中輸入域名，例如“xxx”。輸入保留名稱，選擇保留類型為“DHCP”項。點擊確定按鈕，完成可用地址的查詢和分配操作。在左側點擊“地址清單”項，可以看到已經分配的IP信息。在左側選擇“DHCP作用域”項，點擊右上角的“任務→”“檢索服務器數據”項，之后在地址塊窗口地步的“配置詳細信息”面板中查看地址管理的詳細信息的。在“利用率趨勢”面板中在預設的時間范圍（從1天到5年）內，了解IP地址利用與的變化趨勢。

圖9 設置保留選項