Windows Server 2012 新功能：IPAM 配置

Windows Server 2012 中的 IPAM 是一个新增的内置框架，用于发现、监视、审核和管理企业网络上使用的 IP 地址空间。IPAM 可以对运行动态主机配置协议 (DHCP) 和域名服务 (DNS) 的服务器进行管理和监视。

 IPAM 具有以下规范：

1. IPAM 仅支持运行 Windows Server® 2008 及以上版本的 Microsoft 域控制器、DHCP、DNS 和 NPS 服务器。
    
2. IPAM 仅支持一个 AD 林中的域成员 DHCP、DNS 以及 NPS 服务器。
    
3. IPAM 不支持对非 Microsoft 网络元素的管理和配置。
    
4. IPAM 不支持外部数据库。仅支持 Windows 内部数据库。
    
5. 一台 IPAM 服务器可以支持多达 150 台 DHCP 服务器以及 500 台 DNS 服务器。
    
6. 经过测试一台 IPAM 服务器可以支持多达 6000 个 DHCP 作用域以及 150 个 DNS 区域。
    
7. IPAM 可为 Windows 内部数据库中的 10 万位用户存储 3 年的取证数据（IP 地址租约、主机 MAC 地址、用户登录/注销信息）。没有提供数据库清除策略，管理员必须根据需要手动清除数据。
    
8. 仅对 IPv4 提供 IP 地址利用趋势。
    
9. 仅对 IPv4 提供 IP 地址回收支持。
    
10. 对 IPv6 无状态地址自动配置专用扩展不执行任何特殊处理。
     
11. 对虚拟化技术或虚拟机迁移不提供任何特殊处理。
     
12. IPAM 不检查 IP 地址是否与路由器和交换机一致。
     
13. IPAM 不支持非托管计算机上用于跟踪用户的 IPv6 无状态地址自动配置的审核。

 

IPAM 配置过程：

 

我的测试环境里有两台服务器

win2012-1.demo.local (IPAM 服务器)

win2012-2.demo.local (DC, DNS,DHCP)

我们配置好IPAM服务器然后管理DNS, DHCP服务器。

 

在IPAM 服务器 Server Manager, 安装IPAM 功能。

 

在Server Manager, 找到IPAM 控制台，会显示配置IPAM 有6步：

1. Connect To IPAM Server

2. Provision The IPAM Server

3. Configure Server Discovery

4. Start Server Discovery

5. Select Or Add Servers To Manage And Verify IPAM Access

6. Retrieve Data From Managed Servers

 

如果是在IPAM 服务器上打开这个控制台，可以看到第一步，IPAM服务器已经连接成功。

 

点击第二步 “provision the IPAM server”, 选择 ‘Group Policy based’（基于组策略配置） ,新建一个名字作为 GPO name prefix.

 向导会自动创建3条组策略，确认配置信息，点击应用。

 

 

第二步IPAM provisioning 完成。

 

在IPAM 控制台，点击第三步“configure server discovery”，选择域，添加。然后勾选需要发现的服务器角色。

 

在IPAM 控制台，点击第四步 “ start server discovery”

 

从提示上可以看到，发现（discovery）已经完成

 

在IPAM overview, 点击第五步 “Select Or Add Servers To Manage And Verify IPAM Access”

 

 

我们看到需要被管理的服务器的访问状态时 “blocked”

 

这是因为创建的3条组策略还没有被创建。

在Power Shell 运行如下命令：

Invoke-IpamGpoProvisioning [-Domain] <String> [-GpoPrefixName] <String> [-IpamServerFqdn] <String> [-DelegatedGpoUser] <String>

Invoke-IpamGpoProvisioning -Domain demo.local -GpoPrefixName IPAM -IpamServerFqdn win2012-1.demo.local -DelegatedGpoUser administrator

然后选择Y 执行。

 

现在打开组策略管理控制台，我们可以看到有3条组策略已经被创建了。

 

但是我们在  security Filtering 里，发现这三条组策略没有被应用在任何的计算机上。

 

在 server inventory, 右键需要被管理的服务器，选择edit server.

 

勾选需要被管理的服务器类型，然后在管理状态 managebility status 选择 "Managed",点击OK。

 

现在在组策略管理控制台，可以看到这3条组策略已经应用到需要被管理的服务器上了。

 

运行 “gpupdate /force”强制更新组策略。

 

 

 

然后在IPAM inventory,右键需要被管理的服务器，刷新 refresh server access status。过一会就可以看见图标变成绿色的了。

 

右键点击 “Retrieve all server data”获取所有服务器相关数据

 

 

现在就可以在监控和管理标签下面，看到各个服务器的相关数据了。

 

 

 

 

本文出自 “Raymond” 博客，谢绝转载！