Wer einen ersten Blick auf den Windows Server 2012 von Microsoft wirft, wird zunächst einmal die neue Oberfläche in Stil von Windows 8 und die damit verbundenen Hürden bemerken, die sich für Anwender und Administratoren bei der Umstellung auf dieses neue Konzept am Anfang sicher ergeben.
Allerdings haben sich die Microsoft-Ingenieure bei Windows Server doch deutlich mehr zurückgehalten als bei Windows 8: Unter der neuen "Haube" steckt nach wie vor ein mächtiger Windows-Server, der gerade bei Kontroll- und Verwaltungsfunktionen eine große Zahl von Neuheiten zu bieten hat. Viele diese Erweiterungen und Neuheiten sind gerade im Netzwerkbereich zu finden. Dazu gehören dann unter anderem Features wie:
• Netzwerkvirtualisierung unter Hyper-V,
• das NIC-Teaming,
• Erweiterungen bei DHCP und DNS,
• ein neues Authentifizierungsprotokoll mit der Bezeichnung EAP-TTLS (Extensible Authentication Protocol -Tunneled Transport Layer Security) sowohl für drahtlose als auch für die üblichen Netzwerkverbindungen und
• IPAM.
Bei IPAM (IP Address Management), der IP-Adressverwaltung, handelt es sich nicht um eine grundsätzlich neue Technik, denn schon bisher boten Firmen wie Solarwinds oder efficient iP entsprechende Lösungen für das IP-Management an. Auch Ciscos Network Registrar oder die Open-Source-Lösung NetDB (Network Tracking Database) stellen ähnliche oder auch sehr viel weiter reichende Funktionalitäten bereit.
Neu ist die Integration einer solchen Technik direkt in einen Windows-Server. Sie wird bisher auch nur auf Windows Server 2012 angeboten, und es sieht aktuell nicht so aus, als würde Microsoft dieses Feature auch den Anwendern von Windows Server 2008 R2 oder gar älteren Serverversionen als Update anbieten.
Was ist die IP-Adressverwaltung?
Für die meisten Administratoren gehört es zum Tagesgeschäft, die IP-Adressen in ihrem Netzwerk zu verwalten. Doch auf die Frage, wie diese Adressen eigentlich verwaltet werden, geben viele IT- und Systemverantwortliche dann doch eher eine ausweichende Antwort. Es zeigt sich, dass eine eigentliche "Verwaltung" dieser Adresse häufig nicht stattfindet - und wenn doch, dann beschränkt sie sich mindestens ebenso häufig auf die Auflistung der IP-Adressen in einem Excel-Tabellenblatt.
Foto: Microsoft TechNet
Die eigentliche Verwaltungsarbeit wird in Einsatz und Pflege der DNS- und DHCP-Server im Unternehmensnetzwerk gesteckt. Aber die Anzahl der unterschiedlichsten Geräte im Netzwerk steigt stetig an, und der "Verbrauch" an IP-Adressen wird nicht zuletzt auch durch den stetigen Zuwachs an virtualisierten Systemen immer weiter steigen. Rechnet man dann noch hinzu, dass sich in den Unternehmensnetzen in nächster Zeit immer mehr IPv6-Geräte befinden werden, so wird klar, dass es für Administratoren immer schwerer und zeitaufwendiger wird, den Überblick über die vergebenen und verwendeten IP-Adressen zu behalten.
Hier soll IPAM die Administratoren durch eine weitgehende Automatisierung entlasten können. IPAM ist, kurz gesagt, eine Technik, die Netzwerk- und Systemadministratoren dabei unterstützen soll, ihre IP-Adressen zu finden sowie den eigenen IP-Adressbereich im Unternehmensnetzwerk zu überwachen, zu kontrollieren und zu verwalten.
IPAM - die Funktionen
Microsoft bezeichnet die IP-Adressverwaltung als Framework, mit dem die Systemadministratoren nicht nur die IP-Adressen, sondern auch die DNS- und DHCP-Server verwalten und überwachen können. Dazu stellt dieses Framework grundsätzlich die folgenden Funktionen bereit:
• Adressen planen und zuteilen: Administratoren können beispielsweise die Adressblöcke planen, die von den verschiedenen Sites im Netzwerk benötigt werden. Ebenso können sie statische und auch öffentliche Adresse verwalten und diese je nach Bedarf zuweisen.
• IP-Adressbereiche anzeigen: Hier kann der Systemverwalter sowohl den IPv4- als auch den iPv6-Bereich der Adressen in Form von IP-Adressblöcken wie auch in Adressbereichen oder in individuellen Adressen organisieren.
• Server zentralisiert finden und verwalten: Die Software findet DHCP- und DNS-Server sowie die Domänen-Controller im eigenen Netzwerk automatisch. Mithilfe von IPAM können Administratoren diese dann zentral verwalten, sie aktivieren und deaktivieren und beispielsweise dynamische IP-Adressbereiche verwalten. Zudem überwacht IPAM die Verfügbarkeit dieser beiden Dienste.
• Audit-Fähigkeiten: Aktivitäten und Änderungen an IP-Adressen können auf Geräte/Anwender-Basis nachverfolgt und kontrolliert werden. DHCP-Lease- und Anmeldungsereignisse werden vom Network Policy Server (NPS, Server für die Netzwerkrichtlinien), von den vorhandenen Domänen-Controllern und den DHCP-Servern gesammelt. Auch die Nachverfolgung kann auf Basis der IP-Adresse, der Client-ID, des Host- oder des Benutzernamens erfolgen.
Einsatz und Einschränkungen eines IPAM-Servers
Wie bereits erwähnt, steht der Microsoft-IPAM-Server nur auf Windows Server 2012 zur Verfügung. Innerhalb der Netzwerkinfrastruktur kann dieser Server auch andere DHCP-, DNS-, Domänencontroller- und Netzwerkrichtlinien-Server unter Windows Server 2008 und höher einbinden und verwalten. Andere Server werden nicht verwaltet, und auch andere Netzwerkgeräte wie Switches, Drucker oder Router beziehungsweise DHCP-Relays können nicht erfasst werden. Es werden jeweils nur die DHCP-, DNS- und NPS-Server einer einzelnen Active-Directory-Gesamtstruktur unterstützt.
Die Daten, die vom IPAM-Server ermittelt werden, speichert dieser in einer internen Windows-Datenbank. Diese kann vom Nutzer nicht durch eine andere Datenbank seiner eigenen Wahl ersetzt werden. In dieser Datenbank werden Daten wie An- und Abmeldeinformationen der Nutzer, MAC-Adressen der Hosts sowie die Adress-Leases der IP-Adressen laut Microsoft für bis zu 100.000 Nutzer (!)insgesamt drei Jahre lang abgespeichert. Leider stellt der Hersteller standardmäßig keine Richtlinie zur Verfügung, die ein automatisches Löschen dieser Daten erlaubt: An dieser Stelle muss der Administrator manuell eingreifen, um die Daten aus der internen Datenbank zu löschen. Insgesamt soll ein einziger dieser IPAM-Server bis zu 150 DHCP- und bis zu 500 DNS-Server unterstützen können. Weiterhin gibt Microsoft an, dass ein solcher Server mit bis zu 6000 DHCP-Bereichen und 150 DNS-Zonen arbeiten kann.
Weitere wichtige Voraussetzungen beim Einsatz von Windows Server 2012 als IPAM-Server: Der Rechner mit dem IPAM-Server sollte Mitglied einer Domäne sein, und das IPAM-Feature kann nicht auf einem Server installiert werden, der die Rolle eines Domänenservers ausführt.
Installation und Betrieb
Installation und Inbetriebnahme eines IPAM-Servers gehen mithilfe des Server-Managers relativ leicht und vor allen Dingen relativ konsistent (mit Ausnahme des Anlegens der Gruppenrichtlinienobjekte, auf das wir noch eingehen) von der Hand: Beim IP-Adressverwaltungsserver (IPAM-Server) handelt es sich um ein Feature von Windows Server 2012, das mithilfe des Assistenten zum Hinzufügen von Rollen und Features auf das System gelangt. Nachdem diese Installation durchgelaufen ist, findet der Administrator im Server-Manager nun auch den Verwaltungseintrag für den IPAM-Server.
Wird dieser ausgewählt, steht wiederum der sogenannte Schnellstart-Assistent bereit, der durch die ersten Schritte zur Installation des IPAM-Servers leitet. Sehr gut dabei: Der Server-Manager warnt den Nutzer, wenn er den IPAM-Server auf einem System installieren will, das nicht Mitglied einer AD-Domäne ist, und verweigert die Installation auf einem Server, auf dem die Rolle des Domänen-Controllers ausgeführt wird.
Als erster Schritt muss die Verbindung zu einem IPAM-Server hergestellt werden. Es ist möglich, IPAM-Server grundsätzlich auf zwei Arten bereitzustellen: Bei der verteilten Bereitstellung wird beispielsweise an jedem Unternehmensstandort ein separater IPAM-Server aufgestellt, während bei der zentralisierten Bereitstellung nur ein Server zum Einsatz kommt. Allerdings werden dabei die Daten, die von den IPAM-Servern in ihren Datenbanken gesammelt werden, nicht untereinander ausgetauscht, sodass sich Administratoren sehr genau überlegen sollten, auf welche Weise sie diese Server in ihrer Netzwerkinfrastruktur platzieren.
Nachdem die Domäne(n) ausgewählt wurde, muss nun die Entscheidung fallen, wie die Bereitstellung erfolgen soll: Standardmäßig gibt der IPAM-Server vor, dass dies auf Basis von Gruppenrichtlinien erfolgt. Dadurch werden viele (aber leider nicht alle!) Einstellungen auf den verwalteten Servern automatisch konfiguriert. Dazu muss der Administrator an dieser Stelle nur ein Präfix für diese Gruppenrichtlinien eingeben. Das Anlegen der dazu nötigen Gruppenrichtlinien-Objekte (GPOs, Group Policy Objects) muss er dann allerdings nicht im Server-Manager, sondern mithilfe eines PowerShell-Cmdlets mit dem Namen:
Invoke-IpamGpoProvisioning
ausführen. Es bleibt für uns unverständlich, warum Microsoft diese Wechsel in der Administration erzwingt. Weitaus geradliniger wäre es nach unserem Dafürhalten, wenn der Administrator alle Tätigkeiten in der Windows-Oberfläche des Server-Managers durchführen könnte.
Mit dem Cmdlet Invoke-IpamProvisioning werden in der Domäne die drei Gruppenrichtlinienobjekte in einer Domäne angelegt, die dem Cmdlet mithilfe des Parameters "Domain" übergeben wird. Aber dieses Cmdlet kann auch im interaktiven Modus arbeiten, wenn es einfach ohne Parameter aufgerufen wird, und fragt dann die wichtigen Parameter vom Anwender ab (Bild 5).
Ist diese Einrichtung abgeschlossen, kann der Administrator nun die Server auswählen, die er mit IPAM verwalten möchte. Hier ist es besonders praktisch, dass die IPAM-Software zwar alle entsprechenden DHCP-, DNS- und Domänen-Server ab Windows 2008 findet, die sich im Netzwerk befinden, es aber allein die Entscheidung des Administrators bleibt, welche diese Server er mit der Software verwalten und überwachen möchte. Durch die vorher ausgerollten Gruppenrichtlinien sind grundsätzlich die Zugriffe auf die verwalteten Server möglich - allerdings müssen Administratoren noch dafür sorgen, dass auch wirklich alle Zugriffe sowie Firewall-Regeln richtig gesetzt sind.
Wir konnten bei unserer Testinstallation feststellen, dass trotz korrektem Ausrollen mithilfe der GPOs nicht alle Zugriffe sofort möglich waren. Erst mit Unterstützung der verschiedenen Fehlerbeschreibungen, die glücklicherweise von den Hilfedateien auf dem Windows Server angeboten wurden, konnten wir dann schließlich erreichen, dass für alle Server-Rollen, die wir auf Windows Server 2008 überwachen wollten, der Status "Blockierung aufgehoben" angezeigt wurde. Ist die Einrichtung abgeschlossen, so überwacht der IPAM-Server die entsprechenden Bereiche automatisch. Zudem existiert ein Zeitplan, über den der Server ständig nach neuen Servern innerhalb dieses Bereiches sucht.
Fazit: eine grundsätzliche gelungene Lösung mit Einschränkungen
Insgesamt ist es zu begrüßen, dass Microsoft die aktuelle Version des Windows-Servers mit einem derart leistungsfähigen Werkzeug zur Verwaltung und Betreuung der Aufgaben rund um das IP-Adressmanagement ausstattet. Allerdings sollte kein Systembetreuer die diesem Werkzeug innewohnende Komplexität unterschätzen. Zwar wird der Administrator vom "Schnellstart-Assistenten" des Server-Managers grundsätzlich gut durch die ersten Schritte der Konfiguration geleitet. Treten dabei jedoch Probleme bei der Konfiguration beispielsweise des Zugriffs auf andere Systeme im Netz auf, so ist er doch wieder auf das Suchen und vor allen Dingen auf die Hilfetexte angewiesen. Nach unseren Erfahrungen mit einem extrem einfach aufgebauten Testnetzwerk können wir IT-Verantwortlichen und Administratoren, die diese Technik in ihrem Netzwerk einsetzen wollen, nur dazu raten, die auf dem TechNet bereitstehende sehr gute Schritt-für-Schritt-Anleitung zur Konfiguration von IPAM in einer Testumgebung durchzuspielen. Dadurch werden Fehler vermieden, und es zeigt sich sofort, wo auch in der eigenen Infrastruktur noch an den Stellschrauben gedreht werden muss.
Was uns an Microsofts IPAM-Lösung weniger gefällt, sind die sehr engen Grenzen, in denen dieser Software arbeitet: Schon DHCP-, DNS- und Domänen-Server auf Basis des Windows Servers 2003, die - auch wenn es Microsofts Vertrieb gerne anders sieht - noch in großer Zahl zum Einsatz kommen, werden von der Software nicht erfasst. Ebenso können die vielen anderen Geräte wie Router oder Switches , die in jedem Netzwerk zu finden sind und IP-Adressen beanspruchen, nicht mit der Software verwaltet werden. So wird beispielsweise auch die Konsistenz der IP-Adressen in Bezug auf diese Geräte nicht überprüft - was nützt die beste IP-Verwaltung, wenn der DHCP-Server eine Adresse an einen Switch vergeben hat? Auch die inkonsistente Konfiguration mit dem erzwungenen Wechsel von der Windows-Oberfläche zur PowerShell und zurück haben wir als unpraktisch empfunden.
Gut gefallen hat uns hingegen, dass IPAM eine Nachverfolgung der IP-Adressen ermöglicht und hier auch Prognosen zur Verfügung stellen kann. So können Netzwerkverwalter beispielsweise ihren Pool an öffentlichen IPv4-Adressen weitaus genauer im Blick behalten und verwalten. Wer also in einem reinem Windows-Server-2012-/Windows-Server-2008-Netzwerk arbeitet oder bestimmte Bereiche seiner Netzwerkinfrastruktur ausschließlich mit diesen Microsoft-Servern betreibt, findet hier ein mächtiges und umfangreiches Verwaltungswerkzeug. (mje)