IP-Adress-Management mit IPAM
Windows Server 2012 - IP-Adressen im Netzwerk verwalten
IPAM - die Funktionen
Microsoft bezeichnet die IP-Adressverwaltung als Framework, mit dem die Systemadministratoren nicht nur die IP-Adressen, sondern auch die DNS- und DHCP-Server verwalten und überwachen können. Dazu stellt dieses Framework grundsätzlich die folgenden Funktionen bereit:
• Adressen planen und zuteilen: Administratoren können beispielsweise die Adressblöcke planen, die von den verschiedenen Sites im Netzwerk benötigt werden. Ebenso können sie statische und auch öffentliche Adresse verwalten und diese je nach Bedarf zuweisen.
• IP-Adressbereiche anzeigen: Hier kann der Systemverwalter sowohl den IPv4- als auch den iPv6-Bereich der Adressen in Form von IP-Adressblöcken wie auch in Adressbereichen oder in individuellen Adressen organisieren.
• Server zentralisiert finden und verwalten: Die Software findet DHCP- und DNS-Server sowie die Domänen-Controller im eigenen Netzwerk automatisch. Mithilfe von IPAM können Administratoren diese dann zentral verwalten, sie aktivieren und deaktivieren und beispielsweise dynamische IP-Adressbereiche verwalten. Zudem überwacht IPAM die Verfügbarkeit dieser beiden Dienste.
• Audit-Fähigkeiten: Aktivitäten und Änderungen an IP-Adressen können auf Geräte/Anwender-Basis nachverfolgt und kontrolliert werden. DHCP-Lease- und Anmeldungsereignisse werden vom Network Policy Server (NPS, Server für die Netzwerkrichtlinien), von den vorhandenen Domänen-Controllern und den DHCP-Servern gesammelt. Auch die Nachverfolgung kann auf Basis der IP-Adresse, der Client-ID, des Host- oder des Benutzernamens erfolgen.
Einsatz und Einschränkungen eines IPAM-Servers
Wie bereits erwähnt, steht der Microsoft-IPAM-Server nur auf Windows Server 2012 zur Verfügung. Innerhalb der Netzwerkinfrastruktur kann dieser Server auch andere DHCP-, DNS-, Domänencontroller- und Netzwerkrichtlinien-Server unter Windows Server 2008 und höher einbinden und verwalten. Andere Server werden nicht verwaltet, und auch andere Netzwerkgeräte wie Switches, Drucker oder Router beziehungsweise DHCP-Relays können nicht erfasst werden. Es werden jeweils nur die DHCP-, DNS- und NPS-Server einer einzelnen Active-Directory-Gesamtstruktur unterstützt.
Die Daten, die vom IPAM-Server ermittelt werden, speichert dieser in einer internen Windows-Datenbank. Diese kann vom Nutzer nicht durch eine andere Datenbank seiner eigenen Wahl ersetzt werden. In dieser Datenbank werden Daten wie An- und Abmeldeinformationen der Nutzer, MAC-Adressen der Hosts sowie die Adress-Leases der IP-Adressen laut Microsoft für bis zu 100.000 Nutzer (!)insgesamt drei Jahre lang abgespeichert. Leider stellt der Hersteller standardmäßig keine Richtlinie zur Verfügung, die ein automatisches Löschen dieser Daten erlaubt: An dieser Stelle muss der Administrator manuell eingreifen, um die Daten aus der internen Datenbank zu löschen. Insgesamt soll ein einziger dieser IPAM-Server bis zu 150 DHCP- und bis zu 500 DNS-Server unterstützen können. Weiterhin gibt Microsoft an, dass ein solcher Server mit bis zu 6000 DHCP-Bereichen und 150 DNS-Zonen arbeiten kann.
Weitere wichtige Voraussetzungen beim Einsatz von Windows Server 2012 als IPAM-Server: Der Rechner mit dem IPAM-Server sollte Mitglied einer Domäne sein, und das IPAM-Feature kann nicht auf einem Server installiert werden, der die Rolle eines Domänenservers ausführt.