IP-Adress-Management mit IPAM
Windows Server 2012 - IP-Adressen im Netzwerk verwalten
Installation und Betrieb
Installation und Inbetriebnahme eines IPAM-Servers gehen mithilfe des Server-Managers relativ leicht und vor allen Dingen relativ konsistent (mit Ausnahme des Anlegens der Gruppenrichtlinienobjekte, auf das wir noch eingehen) von der Hand: Beim IP-Adressverwaltungsserver (IPAM-Server) handelt es sich um ein Feature von Windows Server 2012, das mithilfe des Assistenten zum Hinzufügen von Rollen und Features auf das System gelangt. Nachdem diese Installation durchgelaufen ist, findet der Administrator im Server-Manager nun auch den Verwaltungseintrag für den IPAM-Server.
Wird dieser ausgewählt, steht wiederum der sogenannte Schnellstart-Assistent bereit, der durch die ersten Schritte zur Installation des IPAM-Servers leitet. Sehr gut dabei: Der Server-Manager warnt den Nutzer, wenn er den IPAM-Server auf einem System installieren will, das nicht Mitglied einer AD-Domäne ist, und verweigert die Installation auf einem Server, auf dem die Rolle des Domänen-Controllers ausgeführt wird.
Als erster Schritt muss die Verbindung zu einem IPAM-Server hergestellt werden. Es ist möglich, IPAM-Server grundsätzlich auf zwei Arten bereitzustellen: Bei der verteilten Bereitstellung wird beispielsweise an jedem Unternehmensstandort ein separater IPAM-Server aufgestellt, während bei der zentralisierten Bereitstellung nur ein Server zum Einsatz kommt. Allerdings werden dabei die Daten, die von den IPAM-Servern in ihren Datenbanken gesammelt werden, nicht untereinander ausgetauscht, sodass sich Administratoren sehr genau überlegen sollten, auf welche Weise sie diese Server in ihrer Netzwerkinfrastruktur platzieren.
- IP Adress Management
Der Assistent im Server-Manager hilft bei der Einrichtung: Nachdem die Verbindung zum eigentlichem IPAM-Server hergestellt wurde, muss nun die zu verwaltende Domäne ausgewählt werden. - IP Adress Management
Die Bereitstellungsmethode für den IPAM-Server wählen: Hier gibt der Administrator an, ob die Bereitstellung auf Basis von Gruppenrichtlinien (Standard – müssen aber noch angelegt werden!) oder manuell erfolgen soll. - IP Adress Management
Um die notwendigen GPOs (Group Policy Objects) für Gruppenrichtlinien-basierte Bereitstellung anzulegen, muss der Administrator zur PowerShell greifen. Das Cmdlet Invoke-IpamGpoProvisioning arbeitet aber auch – wie hier zu sehen – im interaktiven Modus und fragt die benötigten Parameter ab. - IP Adress Management
Übersicht: Wer sehen will, welche zusätzlichen Cmdlets auf dem Windows-Server 2012 für IPAM bereitstehen, kann das mit Hilfe des Befehls Get-command -module IpamServer erreichen. Eine deutsche Hilfedatei steht wie unter Windows Server 2012 leider üblich, auch hier nicht zur Verfügung. - IP Adress Management
Die Gruppenrichtlinien sind angekommen und verknüpft: Auf dem verwalteten Windows-2008-Server sollen sie dafür sorgen, dass der IPAM-Server richtig und ohne Probleme auf die benötigten Daten zugreifen kann. - IP Adress Management
Verfügbare IP-Adresse suchen und zuordnen: Nach der Installation und Konfiguration bietet der IPAM-Server dem Administrator eine Reihe von Möglichkeiten, den Pool seiner IP-Adresse immer im Griff zu behalten.
Nachdem die Domäne(n) ausgewählt wurde, muss nun die Entscheidung fallen, wie die Bereitstellung erfolgen soll: Standardmäßig gibt der IPAM-Server vor, dass dies auf Basis von Gruppenrichtlinien erfolgt. Dadurch werden viele (aber leider nicht alle!) Einstellungen auf den verwalteten Servern automatisch konfiguriert. Dazu muss der Administrator an dieser Stelle nur ein Präfix für diese Gruppenrichtlinien eingeben. Das Anlegen der dazu nötigen Gruppenrichtlinien-Objekte (GPOs, Group Policy Objects) muss er dann allerdings nicht im Server-Manager, sondern mithilfe eines PowerShell-Cmdlets mit dem Namen:
Invoke-IpamGpoProvisioning
ausführen. Es bleibt für uns unverständlich, warum Microsoft diese Wechsel in der Administration erzwingt. Weitaus geradliniger wäre es nach unserem Dafürhalten, wenn der Administrator alle Tätigkeiten in der Windows-Oberfläche des Server-Managers durchführen könnte.
Mit dem Cmdlet Invoke-IpamProvisioning werden in der Domäne die drei Gruppenrichtlinienobjekte in einer Domäne angelegt, die dem Cmdlet mithilfe des Parameters "Domain" übergeben wird. Aber dieses Cmdlet kann auch im interaktiven Modus arbeiten, wenn es einfach ohne Parameter aufgerufen wird, und fragt dann die wichtigen Parameter vom Anwender ab (Bild 5).
Ist diese Einrichtung abgeschlossen, kann der Administrator nun die Server auswählen, die er mit IPAM verwalten möchte. Hier ist es besonders praktisch, dass die IPAM-Software zwar alle entsprechenden DHCP-, DNS- und Domänen-Server ab Windows 2008 findet, die sich im Netzwerk befinden, es aber allein die Entscheidung des Administrators bleibt, welche diese Server er mit der Software verwalten und überwachen möchte. Durch die vorher ausgerollten Gruppenrichtlinien sind grundsätzlich die Zugriffe auf die verwalteten Server möglich - allerdings müssen Administratoren noch dafür sorgen, dass auch wirklich alle Zugriffe sowie Firewall-Regeln richtig gesetzt sind.
Wir konnten bei unserer Testinstallation feststellen, dass trotz korrektem Ausrollen mithilfe der GPOs nicht alle Zugriffe sofort möglich waren. Erst mit Unterstützung der verschiedenen Fehlerbeschreibungen, die glücklicherweise von den Hilfedateien auf dem Windows Server angeboten wurden, konnten wir dann schließlich erreichen, dass für alle Server-Rollen, die wir auf Windows Server 2008 überwachen wollten, der Status "Blockierung aufgehoben" angezeigt wurde. Ist die Einrichtung abgeschlossen, so überwacht der IPAM-Server die entsprechenden Bereiche automatisch. Zudem existiert ein Zeitplan, über den der Server ständig nach neuen Servern innerhalb dieses Bereiches sucht.