分步:配置 IPAM 以管理 IP 地址空间

IPAM 概述

IPAM 功能包括四个主模块。以下部分提供对这些模块的简要描述。

IPAM 发现

IPAM 发现要求访问 Active Directory,以便发现网络基础结构服务器。此发现不必启用 IPAM 服务。发现让管理员可以枚举运行 Windows Server? 2008 或更高版本且安装了 DNS 服务器、DHCP 服务器和 AD DS 角色服务的服务器。管理员还可以手动添加或删除服务器,以定义管理控件的自定义作用域。发现的作用域可通过选择或删除域以及特定服务器角色进行实时修改。

IP 地址空间管理

IPAM 地址空间管理 (ASM) 功能提供在网络上有效查看、监视和管理 IP 地址空间的能力。ASM 支持 IPv4 公用地址和专用地址,而且 IP 地址可以在网络上动态发布或作为静态 IP 地址提供。可基于自定义字段(如区域、区域互联网注册管理机构 (RIR)、设备类型或客户名称)进行排序。网络管理员不仅可以跟踪 IP 地址利用率和阈值交叉点状态,还可以显示利用趋势。IPAM ASM 工具通过确保更好地计划、问责和控制,能够解决不断增长的分布式环境下的 IP 地址空间管理问题。IPAM 还可让管理员检测不同 DHCP 服务器上指定的重叠的 IP 地址范围,找到某个范围内的免费 IP 地址,创建 DHCP 保留,并创建 DNS 记录。

多服务器管理和监视

IPAM 允许管理员监视和管理多个 DHCP 服务器,以及监视遍布于集中式控制台中各个区域的多个 DNS 服务器。管理任务经常在多台服务器之间重复出现。跨服务器统一执行这些任务,可减少涉及的工作和错误的可能性。多服务器管理 (MSM) 功能允许管理员在组织中轻松编辑和配置多台 DHCP 服务器和作用域的关键属性。IPAM 还有利于监视和跟踪 DHCP 服务状态和 DHCP 作用域的利用率。IPAM 还允许对服务器标记内置和用户定义的自定义字段值,同时允许对这些服务器进行虚拟化并将其分组到逻辑组和子组中。通过显示所有权威 DNS 服务器中某个区域的聚合状态,IPAM 可帮助监视多个 DNS 服务器上 DNS 区域的运行状况。IPAM 还可在网络上跟踪 DNS 和 DHCP 服务器的服务状态。

可操作审核和 IP 地址跟踪

审核工具允许跟踪 IP 基础结构服务器上可能存在的配置问题。IPAM 能够对托管的 DHCP 服务器和 IPAM 服务器的统一配置更改进行查看。会跟踪详细信息,如服务器名称、用户名以及配置更改发生的日期和时间。IP 地址租约跟踪通过收集 DHCP、DC 和 NPS 服务器中的租约日志可用于协助调查取证。IPAM 允许 IP 地址租约和用户登录的历史记录跟踪。这将允许对与 MAC 地址、用户名、主机名和其他参数相关的 IP 地址活动进行跟踪。

IPAM 体系结构

IPAM 服务器是一台域成员计算机。你无法在 Active Directory 域控制器上安装 IPAM。

一般通过两种方法部署 IPAM 服务器:

  1. 分布式:企业的每个站点都部署 IPAM 服务器。
  2. 集中式:企业仅部署一台 IPAM 服务器。

在企业中不同的 IPAM 服务器之间没有通信或数据库共享。如果部署了多台 IPAM 服务器,你可以自定义每台 IPAM 服务器的发现作用域,或筛选托管服务器的列表。一台 IPAM 服务器可能管理某个特定的域或位置,并且可能具有配置为备份的另一台 IPAM 服务器。

IPAM 将尝试定期在网络上查找指定发现作用域内的网络策略服务器、域控制器、DNS 服务器和 DHCP 服务器。你必须选择这些服务器是否由 IPAM 管理。用这种方式,你可以选择由 IPAM 管理或不由 IPAM 管理的不同服务器组。若要由 IPAM 管理,服务器安全设置以及防火墙端口必须配置为允许 IPAM 服务器访问,以执行所需的监视和配置功能。你可以选择手动配置这些设置,也可以使用组策略对象 (GPO) 自动配置。如果你选择自动的方法,则当服务器标记为托管时应用设置,并且当标记为非托管时删除设置。IPAM 服务器将使用 RPC 或 WMI 接口与托管的服务器通信。IPAM 为了进行 IP 地址跟踪而监视域控制器和 NPS 服务器。除了监视功能之外,还可以使用 IPAM 配置多个 DHCP 服务器和作用域属性。区域状态监视以及有限的配置功能集也可用于 DNS 服务器。

IPAM 安全组

以下本地 IPAM 安全组是在你安装 IPAM 时创建的。

  • IPAM 用户:这个组的成员可以查看服务器发现、IP 地址空间和服务器管理方面的所有信息。他们可以查看 IPAM 和 DHCP 服务器可操作事件,但不能查看 IP 地址跟踪信息。
  • IPAM MSM 管理员:IPAM 多服务器管理 (MSM) 管理员具有 IPAM 用户权限,并且可以执行 IPAM 常见管理任务和服务器管理任务。
  • IPAM ASM 管理员:IPAM 地址空间管理 (ASM) 管理员具有 IPAM 用户权限,并且可以执行 IPAM 常见管理任务和 IP 地址空间任务。
  • IPAM IP 审核管理员:这个组的成员具有 IPAM 用户权限,并且可以执行 IPAM 常见管理任务和查看 IP 地址跟踪信息。
  • IPAM 管理员:IPAM 管理员具有查看所有 IPAM 数据和执行所有 IPAM 任务的权限。

IPAM 任务

IPAM 一旦安装指定周期后将启动以下任务。通过导航到“Microsoft”>“Windows”>“IPAM”,可以在任务计划程序中查看这些任务。

 

任务名称
描述
默认频率
持续时间

DiscoveryTask

自动发现所选域中的 DC、DHCP 和 DNS 服务器。

1 天

未定义

AddressUtilizationCollectionTask

收集 DHCP 服务器中的地址空间利用率数据。

2 小时

未定义

AuditTask

收集 DHCP 和 IPAM 服务器中的审核信息,还可收集 NPS 和 DC 服务器中的 IP 租约审核日志。

1 天

未定义

ConfigurationTask

为 ASM 和 MSM 收集 DHCP 和 DNS 服务器中的配置信息。

6 小时

未定义

ServerAvailabilityTask

收集 DHCP 和 DNS 服务器的服务可用性状态。

15 分钟

未定义

隐私

IPAM 审核中的 IP 地址审核功能提供对网络上计算机和设备的 IP 地址、主机名和客户端标识符(IPv4 中的 MAC 地址、IPv6 中的 DUID)信息以及用户登录信息的跟踪。IPAM 服务器会从 DHCP 服务器、域控制器和网络策略服务器中收集审核日志和事件,然后在运行 IPAM 服务器功能的计算机上的 IPAM 数据库中存储 IP 地址、主机名、客户端标识符和网络用户的用户名。IPAM 审核管理员或 IPAM 管理员可以基于 IP 地址、客户端标识符、主机名或用户名搜索日志。

收集、处理或传输的信息

IP 地址、客户端标识符和主机名可从 IPAM 托管的 DHCP 服务器上的审核日志中收集。

  • 用户名和 IP 地址可从域控制器上的事件中收集。
  • 用户名和客户端标识符可从网络策略服务器上的事件中收集。
  • 不会向 Microsoft 发送任何信息。

审核控件

IPAM 默认情况下不会启用,而且必须作为服务器功能来安装。安装 IPAM 服务器功能时,会自动启用 IP 地址审核功能。

若要禁用 IP 地址审核,启动 IPAM 服务器上的“任务计划程序”,导航到“Microsoft\Windows\IPAM”并禁用该审核任务。

IPAM 要求

IPAM 服务器发现的作用域仅限一个 Active Directory 林。该林可能包含多个信任的以及不信任的域。IPAM 要求 Active Directory 域的成员身份,并且依赖于某个必备的功能网络基础结构环境,以便与林上的现有 DHCP、DNS、域控制器以及网络策略服务器安装相集成。

IPAM 具有以下规范:

  • IPAM 仅支持运行 Windows Server? 2008 和更高版本的 Microsoft DHCP、DNS、域控制器和网络策略服务器。
  • IPAM 仅支持一个 Active Directory 林中的域成员服务器。
  • 一台 IPAM 服务器可以支持多达 150 台 DHCP 服务器以及 500 台 DNS 服务器。
  • 一台 IPAM 服务器可以支持多达 6000 个 DHCP 作用域以及 150 个 DNS 区域。
  • IPAM 可为 Windows 内部数据库中的 10 万个用户存储 3 年的取证数据(IP 地址租约、主机 MAC 地址、用户登录和注销信息)。没有提供数据库清除策略,管理员必须根据需要手动清除数据。
  • IPAM 不支持对非 Microsoft 网络元素(WINS、DHCP 中继、代理程序等)的管理和配置。
  • IPAM 仅支持 Windows 内部数据库。不支持任何外部数据库。
  • 仅对 IPv4 提供 IP 地址利用趋势。
  • 仅对 IPv4 提供 IP 地址回收支持。
  • 对 IPv6 无状态地址自动配置专用扩展不执行任何特殊处理。
  • 对虚拟化技术或虚拟机迁移不提供任何特殊处理。
  • IPAM 不检查 IP 地址是否与路由器和交换机一致。
  • IPAM 不支持非托管计算机上用于跟踪用户的 IPv6 地址(无状态地址自动配置)的审核。

方案概述

本测试实验室演示 Windows Server 2012 中的 IPAM 功能。将会使用三台服务器计算机和一台客户端计算机。请参阅下图。

IPAM 实验室

硬件和软件要求

完成该测试实验需要三台服务器计算机和一台客户端计算机。

note备注

你可以在同一台服务器上安装 DHCP 以及 AD DS 和 DNS(如需要),还可以相应调整测试实验的过程。DHCP 和 DNS 角色在测试实验中是隔开的,旨在演示对网络上提供不同服务的多个服务器的发现和管理。IPAM 功能必须安装在单独的域成员计算机上。客户端计算机需要演示 IP 地址审核功能。

以下是测试实验室所需的组件:

  1. Windows Server 2012 的产品光盘或其他安装介质。
  2. 三台满足 Windows Server 2012 最低硬件要求的计算机。
  3. Windows? 8 的产品光盘或其他安装介质。
  4. 一台满足 Windows 8 最低硬件要求的计算机。

正在配置测试实验室

以下过程介绍了如何在测试实验室中的计算机上安装操作系统、配置 TCP/IP 和添加所需角色服务和功能。

  1. 配置 DC1
  2. 配置 DHCP1
  3. 配置 Client1
  4. 配置 IPAM1

 

配置 DC1

DC1 是运行 Windows Server 2012 的计算机,可提供以下服务:

  • contoso.com Active Directory 域的域控制器。
  • contoso.com DNS 区域的权威 DNS 服务器。

DC1 的初始配置包括以下步骤:

在演示测试实验期间,将在 DC1 上执行其他任务。

在 DC1 上安装操作系统和配置 TCP/IP

在 DC1 上安装操作系统和配置 TCP/IP 的步骤

  1. 使用 Windows Server 2012 产品光盘或其他数字媒体启动计算机。

  2. 根据提示,输入产品密匙,接受许可条款,配置时钟、语言和区域设置,并为管理员帐户提供密码。

  3. Ctrl+Alt+Delete 并使用本地管理员帐户登录。

  4. 如果系统提示你启用 Windows 错误报告,请单击“接受”。

  5. 单击“开始”,键入 ncpa.cpl,再按 Enter。此时将打开“网络连接”控制面板。

    Tip提示

    上一步演示 Windows Server 2012 中的新功能,即让你可通过单击“开始”,然后键入搜索词,来搜索和运行应用程序、设置和文件。通过在使用“本地服务器”视图的服务器管理器中的“有线以太网连接”旁边单击,也可以打开“网络连接”控制面板。有关详细信息,请参阅 Windows Server 2012 (http://go.microsoft.com/fwlink/p/?LinkId=242147) 中的常见管理任务和导航

  6. 在“网络连接”中,右键单击“有线以太网连接”,再单击“属性”。。

  7. 双击“Internet 协议版本 4 (TCP/IPv4)”。

  8. 在“常规”选项卡上,选择“使用下面的 IP 地址”。。

  9. 在“IP 地址”旁边键入 10.0.0.1,并在“子网掩码”中键入 255.255.255.0。其中无需提供“默认网关”旁边的项目。

  10. 在“首选 DNS 服务器”旁边键入 10.0.0.1

  11. 单击“确定”两次,然后选择“网络连接”控制面板。

在 DC1 上安装 Active Directory 和 DNS

DC1 将充当 contoso.com Active Directory 域的主域控制器和 DNS 服务器。

将 DC1 配置为域控制器和 DNS 服务器

  1. 在服务器管理器导航窗格中,单击“配置此本地服务器”。

  2. 在“属性”之下,单击“计算机名”。此时将打开“系统属性”对话框。

  3. 在“计算机名”选项卡上,单击“更改”,再单击“计算机名”之下的 DC1

  4. 单击两次“确定”,再单击“关闭”。

  5. 系统提示重新启动计算机时,单击“立即重新启动”。

  6. 重新启动计算机后,使用本地管理员帐户登录。

  7. 在“服务器管理器”中的“配置该本地服务器”下面,单击“添加角色和功能”

  8. “添加角色和功能向导”中,单击“下一步”三次,然后在“选择服务器角色”页面,选择“Active Directory 域服务” 复选框。

  9. 当系统提示添加所需功能时,单击“添加功能”

  10. 选中“DNS 服务器”复选框。

  11. 当系统提示添加所需功能时,单击“添加功能”

  12. 单击“下一步”四次,然后单击“安装”。

  13. 等待安装过程完成,在“安装进度”页面确定显示需要配置。已在 DC 1 上安装成功,再单击“关闭”。

  14. 单击通知标志,再单击“将此服务器提升为域控制器”。请参阅以下示例。

    通知

    note备注

    “添加角色和功能向导”的“安装进度”将显示一个链接,可用于在 AD DS 安装完成后将服务器提升为域控制器。但是,如果关闭“安装进度”页面,则通过单击通知标志,始终可访问附加配置任务。

  15. 在“Active Directory 域服务配置向导”的“部署配置”页面上,单击“添加新林”,再在“根域名”旁边键入 contoso.com

  16. 单击“下一步”,再在“域控制器选项”页面的“键入目录服务还原模式 (DSRM) 密码”之下,在“密码”和“确认密码”旁边键入密码。确认已选择“域名系统 (DNS) 服务器”和“全局编录 (GC)”,再单击“下一步”。

  17. 单击“下一步”五次,然后单击“安装”。

    Tip提示

    如果“DNS 选项”页面上显示“DNS 配置中检测到错误”,则可以忽略此消息。

  18. 计算机将会重新启动,自动完成此安装过程。

  19. 使用 CONTOSO\Administrator 帐户登录。

创建域管理员帐户

是“域管理员”成员的用户帐户必须完成本测试实验室。

Tip提示

你可以在此测试实验中使用 CONTOSO\Administrator 帐户并跳过域管理员帐户的创建(如需要)。此帐户具有域管理员权限及其他权限。但是,最佳做法是对此帐户进行禁用或重命名。有关详细信息,请参阅“Active Directory 最佳做法”(http://go.microsoft.com/fwlink/p/?LinkID=243071)。

创建域管理员帐户的步骤

  1. 在服务器管理器的菜单栏中,单击“工具”,然后单击“Active Directory 用户和计算机”

  2. “Active Directory 用户和计算机”控制台树中,双击 contoso.com,右键单击“用户”,指向“新建”,然后单击“用户”

  3. “新对象 – 用户”对话框中,在“用户登录名”下面,“全名”旁边,键入 user1,然后单击“下一步”

  4. “密码”“确认密码”旁边,为 user1 帐户键入一个密码。

  5. 清除“用户下次登录时必须更改密码”旁边的复选框,选择“密码永不过期”复选框,单击“下一步”,然后单击“完成”

  6. 双击 user1,然后单击“隶属于” 选项卡。

  7. 单击“添加”,在“输入要选择的对象名”下面,键入 domain admins,单击“确定”两次,然后关闭“Active Directory 用户和计算机”控制台。

  8. 单击“开始”,单击“管理员”,然后单击“注销”

  9. 通过单击 CONTOSO\Administrator 旁边的左箭头,然后单击“其它用户”,使用 user1 凭据登录计算机。

配置 DHCP1

DHCP2 是运行 Windows Server 2012 的计算机,可提供以下服务:

  • DHCP 服务器。

DHCP1 的初始配置包括以下步骤:

 

在 DHCP1 上安装操作系统和配置 TCP/IP

Tip提示

下面的过程与用于在 DC1 上安装操作系统和配置 TCP/IP 的步骤完全相同,用 10.0.0.2 这一 IP 地址配置 DHCP1 的情况除外。

在 DHCP1 上安装操作系统和配置 TCP/IP

  1. 使用 Windows Server 2012 产品光盘或其他数字媒体启动计算机。

  2. 根据提示,输入产品密匙,接受许可条款,配置时钟、语言和区域设置,并为管理员帐户提供密码。

  3. Ctrl+Alt+Delete 并使用本地管理员帐户登录。

  4. 如果系统提示你启用 Windows 错误报告,请单击“接受”。

  5. 在服务器管理器导航窗格中,单击“本地服务器”,再单击“有线以太网连接”旁边的 IP 地址。此时将打开“网络连接”控制面板。

  6. 在“网络连接”中,右键单击“有线以太网连接”,再单击“属性”。。

  7. 双击“Internet 协议版本 4 (TCP/IPv4)”。

  8. 在“常规”选项卡上,选择“使用下面的 IP 地址”。。

  9. 在“IP 地址”旁边键入 10.0.0.2,并在“子网掩码”中键入 255.255.255.0。其中无需提供“默认网关”旁边的项目。

  10. 在“首选 DNS 服务器”旁边键入 10.0.0.1

  11. 单击“确定”两次,然后选择“网络连接”控制面板。

在 DHCP1 上安装和配置 DHCP

DHCP1 是一台运行 DHCP 服务器角色服务的域成员服务器。

在 DHCP1 上安装 DHCP

  1. 在服务器管理器导航窗格中,单击“本地服务器”,再单击“计算机名”旁边的名称。此时将打开“系统属性”控制面板。

  2. 在“计算机名”选项卡上,单击“更改”,再单击“计算机名”之下的 DHCP1

  3. 在“隶属于”下方,选择“域”,键入 contoso.com,再单击“确定”。

  4. 系统提示提供凭据才能加入域时,输入前面创建的 user1 帐户的凭据,再单击“确定”。

  5. 确认计算机名和域更改成功,单击“确定”两次,再单击“关闭”。

  6. 系统提示重新启动计算机时,单击“立即重新启动”。

  7. 重新启动计算机后,使用 CONTOSO\user1 帐户登录。

  8. 在“服务器管理器”中的“配置该本地服务器”下面,单击“添加角色和功能”

  9. “添加角色和功能向导”中,单击“下一步”三次,然后在“选择服务器角色”页面,选择“DHCP 服务器”复选框。

  10. 当系统提示添加所需功能时,单击“添加功能”

  11. 单击“下一步”三次,然后单击“安装”。

  12. 等待安装过程完成,在“安装进度”页面确定显示需要配置。已在 DHCP1.contoso.com 上安装成功,再单击“关闭”。

在 DHCP1 上配置 DHCP

  1. 在服务器管理器菜单上,单击通知标志,再单击“完成 DHCP 配置”。

  2. 在“DHCP 安装后配置向导”中,单击“下一步”,再单击“提交”。

  3. 在服务器管理器菜单栏上,单击“工具”,再单击“DHCP”。此时将打开 DHCP 控制台。

  4. 在 DHCP 控制台树中,导航到 IPv4。右键单击 IPv4,然后单击“新建作用域”。此时将打开“新建作用域向导”

  5. 单击“下一步”,然后在“名称”旁边为新作用域键入一个名称(例如:Contoso-scope1)。

  6. 单击“下一步”,然后在“IP 地址范围”中,在“起始 IP 地址”旁边键入 10.0.0.1,在“结束 IP 地址”旁边,键入 10.0.0.254,并在“长度”旁边键入 24。子网掩码的值将自动更改为 255.255.255.0

  7. 单击“下一步”,然后在“添加排除和延迟”中,在“起始 IP 地址”下键入 10.0.0.1,在“结束 IP 地址”旁边,键入 10.0.0.10,然后单击“添加”。这将允许 10.0.0.0/24 子网中的前十个 IP 地址用于网络上服务器的静态寻址。

  8. 单击“下一步”,然后在“受限于”下面的“租约期限”中键入 0 Days0 Hours2 Minutes。这种非常短的租用期限将简化更多要检查的 DHCP 租用的生成,方便 IP 地址审核演示。

  9. 单击“下一步”三次,再在“域名称和 DNS 服务器”中,确定“父域”为 contoso.com10.0.0.1 列为仅 DNS 服务器。

  10. 单击“下一步”两次,再在“激活作用域”中选择“是,我想现在激活此作用域”。

  11. 单击“下一步”,然后单击“完成”

  12. 刷新 DHCP 控制台中的视图,并验证 DHCP1 是否经过授权以及 Contoso-scope1 是否处于活动状态。

    注意:若要使用 Windows PowerShell 检查当前服务器上的作用域,请右键单击“Windows PowerShell”,单击“以管理员身份运行”,单击出现的“用户帐户控制”警报中的“是”,在 Windows PowerShell 提示符处键入以下命令,再按 ENTER。

    复制

     
     

配置 Client1

Client1 是一台作为 DHCP 客户端的运行 Windows? 8 的计算机。Client1 的配置包括以下步骤:

在演示测试实验期间,Client1 将会收到来自 DHCP1 的 DHCP 租约。

在 Client1 上安装操作系统和配置 TCP/IP

在 Client1 上安装操作系统和配置 TCP/IP

  1. 使用 Windows 8 产品光盘或其他数字媒体启动计算机。

  2. 当系统提示时,输入产品密匙并接受许可条款。

  3. 当提示输入电脑名称时,键入 Client1 并单击“下一步”

  4. 单击“使用快速设置”

  5. “登录你的电脑”页面,单击“不想使用 Microsoft 帐户登录”,然后单击“本地帐户”

  6. “用户名称”旁边,键入 user1,输入一个密码和密码提示,然后单击“完成”

将 Client1 加入到 contoso.com 域

为了能让 Client1 获得组策略设置,它必须加入到 contoso.com 域中。

将 Client1 加入到 contoso.com 域

  1. 单击“开始”,键入 sysdm.cpl,再按 Enter。

  2. 在“系统属性”对话框中,单击“更改”。

  3. 在“隶属于”下方,选择“域”,键入 contoso.com,再单击“确定”。

  4. 系统提示输入具有加入域的权限的帐户时,提供 user1 帐户的凭据,再单击“确定”。

  5. 确认显示“欢迎使用 contoso.com 域”,单击“确定”两次,再单击“关闭”。

  6. 系统提示重新启动计算机时,单击“立即重新启动”。

  7. 重新启动计算机后,按 Ctrl+Alt+Delete,单击左箭头,单击“其他用户”,再使用 CONTOSO\user1 帐户的凭据登录。

配置 IPAM1

IPAM1 是运行 Windows Server 2012 的计算机,可提供以下服务:

  • IPAM 服务器。

IPAM1 的初始配置包括以下步骤:

 

在 IPAM1 上安装操作系统和配置 TCP/IP

Tip提示

下面的过程与用于在 DC1 和 DHCP1 上安装操作系统和配置 TCP/IP 的步骤完全相同,用 10.0.0.3 这一 IP 地址配置 IPAM1 的情况除外。

在 IPAM1 上安装操作系统和配置 TCP/IP

  1. 使用 Windows Server 2012 产品光盘或其他数字媒体启动计算机。

  2. 根据提示,输入产品密匙,接受许可条款,配置时钟、语言和区域设置,并为管理员帐户提供密码。

  3. Ctrl+Alt+Delete 并使用本地管理员帐户登录。

  4. 如果系统提示你启用 Windows 错误报告,请单击“接受”。

  5. 在服务器管理器导航窗格中,单击“本地服务器”,再单击“有线以太网连接”旁边的 IP 地址。此时将打开“网络连接”控制面板。

  6. 在“网络连接”中,右键单击“有线以太网连接”,再单击“属性”。。

  7. 双击“Internet 协议版本 4 (TCP/IPv4)”。

  8. 在“常规”选项卡上,选择“使用下面的 IP 地址”。。

  9. 在“IP 地址”旁边键入 10.0.03,并在“子网掩码”中键入 255.255.255.0。其中无需提供“默认网关”旁边的项目。

  10. 在“首选 DNS 服务器”旁边键入 10.0.0.1

  11. 单击“确定”两次,然后选择“网络连接”控制面板。

在 IPAM1 上安装和配置 IPAM

IPAM1 是一台运行 IPAM 功能的域成员服务器。下面的过程提供了使用服务器管理器安装 IPAM 功能的步骤。首先,要将计算机重命名,并加入到 contoso.com 域中。

在 IPAM1 上安装 IPAM

  1. 在服务器管理器导航窗格中,单击“本地服务器”,再单击“计算机名”旁边的名称。此时将打开“系统属性”控制面板。

  2. 在“计算机名”选项卡上,单击“更改”,再单击“计算机名”之下的 IPAM1

  3. 在“隶属于”下方,选择“域”,键入 contoso.com,再单击“确定”。

  4. 系统提示提供凭据才能加入域时,输入前面创建的 user1 帐户的凭据,再单击“确定”。

  5. 确认计算机名和域更改成功,单击“确定”两次,再单击“关闭”。

  6. 系统提示重新启动计算机时,单击“立即重新启动”。

  7. 重新启动计算机后,使用 CONTOSO\user1 帐户登录。

  8. 在“服务器管理器”中的“配置该本地服务器”下面,单击“添加角色和功能”

  9. 在“添加角色和功能向导”中,单击“下一步”四次,再在“选择功能”页面上选择“IP 地址管理 (IPAM) 服务器”复选框。

  10. 系统提示添加必需功能时,单击“添加功能”。

  11. 单击“下一步”,然后单击“安装”

  12. 等待安装过程完成,在“安装进度”页面确定显示需要配置。已在 IPAM1.contoso.com 上安装成功,再单击“关闭”。

配置 IPAM

  1. 在服务器管理器导航窗格中,单击“IPAM”。将会显示“IPAM 概述”页。默认情况下,IPAM 客户端会连接到本地服务器。

  2. 单击“设置 IPAM 服务器”。此时将启动“设置 IPAM”向导。

  3. 单击“下一步”。默认情况下,选择“基于组策略”设置方法。

  4. 在“GPO 名称前缀”旁边键入 IPAM1,再单击“下一步”。

  5. 在“摘要”页面上,确认显示的 GPO 名称是 IPAM1_DHCPIPAM1_DNSIPAM1_DC_NPS,再单击“应用”。

  6. 等待设置完成,再在“完成”页面上确定显示“已成功完成 IPAM 设置”。

    已完成设置

  7. 单击“关闭”,再在“概述”窗格中单击“配置服务器发现”。

  8. 在“配置发现设置”对话框的“选择要执行发现的 IPAM 域”之下,单击“(根域)contoso.com”旁边的“添加”。

  9. 验证是否添加了 contoso.com 域以及所选的服务器角色是否包括域控制器、DHCP 服务器和 DNS 服务器。

  10. 当系统提示你发现作用域已更新时,单击“确定”。

    发现设置

  11. 单击“开始服务器发现”,再在系统提示发现已启动时单击“确定”。

  12. 单击通知标志,再单击“任务详细信息”。

  13. 等待IPAM 服务器发现任务在“阶段”之下显示“已完成”状态,再关闭“任务详细信息”复选框。

  14. 在“IPAM 概述”中,单击“选择或添加要管理的服务器并验证 IPAM 访问权限”。如果未显示任何服务器,单击通知标志旁边的“刷新 IPv4”图标。DHCP1 和 DC1 服务器的可管理性状态将显示为“未指定”,而 IPAM 访问状态显示为“已阻止”。

    服务器清单

    接下来,IPAM1 必须授予使用组策略对象 (GPO) 管理 DHCP1 和 DC1 的权限。

  15. 在 IPAM1 上,右键单击“Windows PowerShell”,再单击“以管理员身份运行”。单击显示的“用户帐户控制”警报中的“是”。

  16. 在 Windows PowerShell 命令提示符下,键入以下命令,然后按 Enter 键。

    复制

     
  17. 当系统提示你确认操作时,按 Enter 键。

    调用

  18. 在服务器管理器菜单上,单击“工具”,再单击“组策略管理”。

  19. 在“组策略管理”控制树中,导航到 contoso.com\Group Policy Objects 并确定已创建三个 GPO,名称分别为 IPAM1_DC_NPSIPAM1_DHCPIPAM1_DNS

    GPO

  20. 关闭“组策略管理控制台”。

  21. 在“IPAM”>“服务器清单”窗格中,右键单击“dhcp1”,再单击“编辑服务器”。

  22. 在“添加或编辑服务器”对话框中,在“可管理性状态”旁边选择“已管理”,再单击“确定”。

  23. 右键单击“DC1”,单击“编辑服务器”,选择“已管理”,再单击“确定”。

  24. 在 DHCP1 上,单击“Windows PowerShell”,键入 gpupdate /force,再按 ENTER。

  25. 在 DC1 上,单击“Windows PowerShell”,键入 gpupdate /force,再按 ENTER。

  26. 在 IPAM1 上,单击“刷新 IPv4”图标并确定“已取消阻止”显示在 DHCP1 和 DC1 的“IPAM 访问状态”之下。

    服务器访问状态

    Tip提示

    在更改可管理性状态后,你可能需要等几分钟,然后刷新 IPAM 控制台视图,让 IPAM 访问状态在托管服务器上进行更新。

  27. 在“IPAM”>“概述”中,单击“检索托管服务器中的数据”。

  28. 单击“通知”标志,然后等待所有任务的完成。

IPAM 演示

Windows Server 2012 上的 IPAM 演示包括以下过程:

  1. 地址空间管理
  2. 基础结构监视和管理
  3. 查看审核日志和事件

 

地址空间管理

在 IPAM 中,IP 地址块是用于组织地址空间的大量 IP 地址。IP 地址范围是通常对应于某个 DHCP 作用域的少量 IP 地址。IP 地址范围映射到 IP 地址块。

IP 地址块

将 IP 地址输入到 IPAM,可以手动输入,也可以从逗号分隔的文件导入。还可以将地址导出到逗号分隔格式的文件中。

创建、删除、导入和导出 IP 地址

以下过程演示如何在 IPAM 中创建、删除、导出和导入 IP 地址块、范围和地址。

创建、删除、导入和导出 IP 地址

  1. 在 IPAM 导航窗格上半部分中,单击“IP 地址块”。

  2. 在导航窗格下半部分中,右键单击“IPv4”,再单击“添加 IP 地址块”。

    添加块

    note备注

    你创建的 IP 地址块会根据指定的起始 IP 地址和结束 IP 地址自动添加到公用或专用的地址空间。

  3. 在“添加或编辑 IPv4 地址块”对话框中,在“网络 ID”旁边键入 10.0.0.0

  4. 在“前缀长度”旁边选择“8”。这是对应于 /24 子网的 /8,由 DHCP1 动态分配。

  5. 单击“确定”,再在“当前视图”旁边选择“IP 地址块”。

    块视图

  6. 在“配置详细信息”选项卡中,在“已利用的地址”旁边发现当前正在使用一个 IP 地址。这对应于 DHCP1 为 Client1 所颁发的租约。

  7. 在“当前视图”旁边选择“IP 地址范围”。

  8. 在“配置详细信息”选项卡中,查看显示的信息。由 dhcp1.contoso.com 提供 Contoso-scope1 的详细信息。

    范围视图

  9. 在导航窗格下半部分中,右键单击“IPv6”,再单击“添加 IP 地址块”。

  10. 在“指定网络 ID”之下,键入 21da:d3:0:2f3b::,再将“指定前缀长度”旁边的滑块移到前缀为 64,再单击“确定”。

    IPv6 块

  11. 选择“当前视图”旁边的“IP 地址块”,并且确认 21da:d3:0:2f3b::/64 块添加成功。

  12. 右键单击“IPv4”并添加以下 IP 地址块:

    • 192.168.0.0/24
    • 192.168.1.0/24
  13. 右键单击“IPv4”并添加 207.46.0.0/16 地址块。由于这是公用地址空间,你必须选择一个区域互联网注册管理机构。选择“ARIN”,再提供此公用 IP 地址空间块的日期和描述。

    公用地址块

  14. 确保选择的“当前视图”是“IP 地址块”,并单击“网络”字段,以按最高到最低 ID 的方式排序。还可以尝试按其他一些字段进行排序。

  15. 在导航窗格下半部分,在“IPv4”之下单击“公用地址空间”并确定显示 207.46.0.0/16 IP 地址块。

  16. 右键单击“IPv4”,再单击“添加 IP 地址范围”。

  17. 在“网络 ID”旁边键入 192.168.0.0,选择“前缀长度”旁边的“25”,再单击“确定”。

    地址范围

  18. 右键单击“IPv4”,然后添加以下 IP 地址范围:

    • 192.168.0.128/25
    • 192.168.1.0/25
    • 192.168.1.128/25
  19. 右键单击“IPv4”,再单击“添加 IP 地址”。

  20. 在“添加 IP 地址”对话框中,在“IP 地址”旁边键入 192.168.0.1

  21. 在“MAC 地址”旁边键入 112233445566,再单击“确定”。

  22. 在“当前视图”旁边,选择“IP 地址”并确定静态 IP 地址 192.168.0.1 已添加,以及已将其分配到 192.168.0.1-192.168.0.126 范围。

  23. 当前视图设置为 IP 地址后,单击“任务”,然后单击“导出”。

    导出

  24. 选择要保存文件的位置。

  25. 在“另存为”对话框中,在“文件名”旁边键入 ip-addresses,再单击“保存”。

  26. 右键单击 ip-addresses.csv 文件,再单击“编辑”。

  27. 突出显示包含 192.168.0.1 IP 地址的行,右键单击该行,然后单击“复制”。

    复制

  28. 粘贴四次文本下面的复制行内容,这样你可以总共创建六行文本,且第一行包含列标题。

  29. 更改所有五行中的 IP 地址(从 192.168.0.1 到 范围为 192.168.0.2 – 192.168.0.6 的值),然后保存该文件。

    为导入编辑 IP 地址

  30. 右键单击“IPv4”,再单击“导入 IP 地址”。

  31. 选择 ip-addresses.csv 文件,然后单击“打开”。

  32. 在“导入 IP 地址” 对话框中,确定显示“5 个记录(共 5 个)已成功导入”,再单击“确定”。

  33. 确定已将 5 个新的 IP 地址添加到 192.168.0.1-192.168.0.126 范围。

  34. 右键单击 192.168.0.6 IP 地址,再单击“删除”。

  35. 验证 192.168.0.6 IP 地址是否从列表中移除。

查找可用 IP 地址和创建保留

网络管理员可能希望找到一个可用 IP 地址并用它来静态分配到网络设备。以下步骤演示如何将 IPAM 的“查找并分配可用的 IP 地址”功能用于此方案。

查找、保留和回收 IP 地址

  1. 在将“当前视图”设置为“IP 地址范围”时,右键单击 DHCP1 分配的 10.0.0.1/24 范围,再单击“查找并分配可用的 IP 地址”。

  2. 由于前十个 IP 地址保留在 Contoso-scope1 DHCP 作用域中,并且已给 Client1 分配了第一个可用 IP 地址,第一个可用 IP 地址将是 10.0.0.12。

  3. 等待几秒钟,让“Ping 答复状态”和“DNS 记录状态”分别解析并显示“无答复”和“未找到”。

    查找 IP

  4. 单击“基本配置”。

  5. 在“MAC 地址”旁边键入 112233445566,并在“设备类型”旁边选择“VOIP 网关”。

  6. 单击“DHCP 保留”。

  7. 在“保留服务器名称”旁边选择 dhcp1.contosoc.com。“保留作用域名称”将自动显示 Contoso-scope1

  8. 在“保留名称”旁边键入 voip-gw,再在“保留类型”旁边选择“两者”。

  9. 单击“DNS 记录”。

  10. 在“设备名称”旁边键入 voip-gw,在“正向查找区域”旁边选择 contoso.com,再在“正向查找主服务器”旁边选择 DC1.contoso.com

  11. 如果尚未创建反向查找区域,则没有 in-addr.arpa 区域可用于选择。

  12. 单击“确定”,再在 IPAM 导航窗格的“IP 地址空间”之下,单击“IP 地址清单”。

  13. 在导航窗格下半部分,单击“IPv4”旁边的箭头以展开 IPv4,再单击“VOIP 网关”。

    指针

  14. 确定显示 10.0.0.12 IP 地址。

    Tip提示

    目前,只对 IPAM 数据库做出更改。以下步骤将用于创建 DHCP 保留和 DNS 主机记录。

  15. 右键单击 10.0.0.12 IP 地址,再单击“创建 DNS 主机记录”。

    创建主机

  16. 右键单击 10.0.0.12 IP 地址,再单击“创建 DHCP 保留”。

  17. 在“配置详细信息”选项卡上,确定“创建成功”显示在“DHCP 保留同步”和“DNS 主机记录同步”的旁边。

  18. 在 DHCP1 上,在 DHCP 控制台中验证该保留是否存在于 Contoso-scope1 DHCP 作用域中。

    DHCP 保留

  19. 在 DC1 上,在 DNS 管理器中验证是否存在主机记录。

    主机记录

  20. 在 IPAM1 上,右键单击 10.0.0.12 IP 地址,再单击“编辑 IP 地址”。

  21. 在“基本配置”之下,单击“分配日期”旁边的“选择日期”并输入当天日期。

  22. 单击“到期日期”旁边的“选择日期”,选择从当天算起一个月后的日期,再单击“确定”。

    Important重要事项

    过期设置是你可以为 IPAM 数据库中的对象创建的警报。当保留的 IP 地址已过期时,还未从 DHCP 服务器上的保留中移除,但是 IPAM 将会在关闭过期日期时提供事件和警报。

  23. 确定“有效”显示在“过期状态”之下。

  24. 单击“任务”,再单击“IP 地址到期日志设置”。

  25. 在“到期警报阈值”之下键入 31

  26. 在“日志记录频率”之下选择“定期记录所有过期状态消息”,再单击“确定”。

    Tip提示

    默认情况下,过期日志比过期日期提前 10 天开始。当你选择定期记录警报时,每次运行过期任务就会记录警报。过期任务默认每天运行一次,但可以配置为按较大或较小的频率运行。

  27. 刷新 IPAM 控制台视图并确定“到期日期”显示在“过期状态”之下。

  28. 再次编辑 IP 地址,并将分配日期和过期日期更改为过去的一周。确定地址现在显示为“已过期”。

  29. 右键单击 10.0.0.12 地址,再单击“删除 DHCP 保留”。这会将 DHCP 保留从 DHCP 服务器中删除。

  30. 右键单击 10.0.0.12 地址,再单击“删除 DNS 主机记录”。这会将正向查找记录从权威 DNS 服务器中移除。

  31. 单击 IPAM 导航窗格中的“IP 地址块”,再将当前视图更改为“IP 地址范围”。

  32. 通过按住 SHIFT 键并单击顶部和底部的范围,突出显示所有的可用范围。

  33. 右键单击突出显示的 IP 地址范围,再单击“回收 IP 地址”。

  34. 在“选择要回收的 IP 地址”,选择 10.0.0.12 地址旁边的复选框,单击“回收”,再单击“关闭”。这会将 IP 地址从 IPAM 数据库中移除。

    回收 IP 地址

    Tip提示

    回收 IP 地址可直观显示过期状态,还可删除多个 IP 地址。你还可以右键单击一个或多个 IP 地址并单击“删除”,以从 IPAM 数据库中删除 IP 地址。

创建自定义逻辑组

“IP 地址清单”组是内置组,其中 IP 地址按设备类型整理。此外,IPAM 还允许你创建自定义逻辑组。创建自定义组:

创建自定义逻辑组

  1. 在 IPAM 导航窗格的“IP 地址空间”之下,单击“IP 地址范围组”。

  2. 在服务器管理器菜单上,单击“管理”,再单击“IPAM 设置”。

  3. 在“IPAM 设置”对话框中,单击“配置自定义字段”。

  4. 在“配置自定义字段”对话框的“添加以下自定义字段”之下,滚动到列表底部,键入 Building 作为“自定义字段名称”,再选择“多值”之下的“是”。

  5. 按 Enter 键或 Tab 键以确认新的自定义字段名称。这将打开一个空行,可用于其他自定义字段。

  6. 单击“建筑物”,再在“自定义字段值”之下键入以下值。在键入每个值后按 Enter 键:

    1. Headquarters
    2. Operations
    3. Sales
    4. Data Center
    自定义字段
  7. 重复上一步,以添加另一个名为 Floor 且含以下两个自定义字段值的自定义字段:

    • First
    • Second
  8. 单击两次“确定”,再单击“关闭”。

  9. 单击“IP 地址范围”,右键单击“192.168.0.0/25”范围,再单击“编辑 IP 地址范围”。

  10. 单击“自定义配置”,再在“要配置的自定义字段”旁边选择“建筑物”。

  11. 在“指定值”旁边选择“总部”,再单击“添加”。

  12. 选择“要配置的自定义字段”旁边的“楼层”,选择“第一”,再单击“添加”。

  13. 编辑其他三个 IP 地址范围,并给每个 IP 地址范围添加一个独特的构造和层。

    Tip提示

    还可以选择多个 IP 地址范围,只需一步就可将自定义字段添加到所有范围。

  14. 刷新“IP 地址范围”视图,右键单击列标题,再选择要显示的“建筑物”和“楼层”两个字段。构造和层现在与每个 IP 地址范围一起显示在列表中。

  15. 右键单击“IPv4”,再单击“添加 IP 地址范围组”。

  16. 在“提供地址范围组的名称”之下键入 Building/Floor

  17. 在“自定义字段”之下,选择“建筑物”,再选择“楼层”,以便项目先按“建筑物”分组,再按“楼层”分组。

  18. 单击“确定”,然后单击“IPv4”旁边的箭头。

  19. 验证你是否可以按构造和层查看 IP 地址范围。

    建筑和楼层

基础结构监视和管理

以下过程演示 DHCP 和 DNS 服务器如何从 IPAM 服务器进行监视。

监视和管理 DHCP 和 DNS 服务器

  1. 在 IPAM 导航窗格的“监视和管理”之下,单击“DNS 和 DHCP 服务器”。

  2. 在“服务器类型”旁边,注意可以选择“DNS”、“DHCP”或“DNS 和 DHCP”。已显示服务器可用性、当前状态的持续时间、服务器名、服务器角色、域名和 IP 地址。

  3. 单击 dhcp1.contoso.com,再在“详细信息视图”之下查看“服务器属性”、“选项”和“事件目录”选项卡上提供的信息。

  4. 右键单击该 DHCP 服务器,并注意你可以直接从 IPAM 控制台配置 DHCP 服务器。

    管理 DHCP

  5. 在“服务器类型”旁边选择“DHCP”,再在“视图”旁边选择“作用域属性”。

  6. 右键单击“Contoso-scope1”DHCP 作用域,再单击“复制 DHCP 作用域”。

  7. 在“复制 DHCP 作用域”对话框中,将“作用域名称”更改为 Contoso-scope2

  8. 在“常规属性”之下键入以下值:

    • “起始 IP 地址”:10.0.1.1
    • “结束 IP 地址”:10.0.1.254
    • “子网掩码”:255.255.255.0
    重复作用域
  9. 在左窗格中,单击“DNS 更新”,单击“选项”,再单击“高级”。请注意,所有作用域属性已同样配置为 Contoso-scope1 DHCP 作用域。你还可以编辑这些值(如需要)。

  10. 单击“确定”并确定新的 DHCP 作用域以“作用域名称”Contoso-scope2显示在列表中。

  11. 在 DHCP1 上刷新 DHCP 控制台,并验证 Contoso-scope2 DHCP 作用域是否已配置和激活。

  12. 在 IPAM1 萨很难过,使用 SHIFT 选择这两个 DHCP 作用域,右键单击作用域,再单击“编辑 DHCP 作用域”。

  13. 在左窗格中,单击“选项”。

  14. 在“配置操作”旁边选择“添加”,并在“选项”旁边选择“003 路由器”。

  15. 在“IP 地址”之下,单击“0.0.0.0”并单击“删除”。

  16. 在“IP 地址”之下键入 10.0.0.10,按 Enter,再单击“添加到列表”。

  17. 单击“确定”并确定新的“003 路由器”选项已添加到这两个 DHCP 作用域。下次 Client1 续订 DHCP 租约时,将会接受该配置选项。

    Tip提示

    可以使用此方法一次性批量编辑多个 DHCP 作用域上的选项。在上述示例中,使用了“添加”功能。你还可以选择“覆盖”、“查找并替换”或“删除”。

  18. 在“服务器类型”旁边选择“DNS”。

  19. 在“详细信息视图”之下,查看在“服务器属性”、“DNS 区域”和“事件目录”选项卡上提供的信息。

  20. 右键单击“DC1.contosol.com”,再单击“启动 MMC”。请注意,你可以直接在 DC1 上配置区域。

  21. 在 IPAM 导航窗格中,单击“DHCP 作用域”并查看在“详细信息视图”之下的“作用域属性”和“选项”选项卡上的信息

  22. 在 IPAM 导航窗格中,单击“DNS 区域监视”并查看“区域属性”和“权威服务器”选项卡上的信息。

  23. 在 IPAM 导航窗格中,单击“服务器组”。

  24. 右键单击“IPv4”并注意可用于 IP 地址范围的同一逻辑组功能同样可用于托管服务器。通过编辑服务器属性和选择自定义配置菜单项,将可使用自定义字段。这将提供一个可高度自定义的托管服务器显示。

    自定义服务器属性

查看审核日志和事件

IPAM 还能使你跟踪 DNS 和 DHCP 服务器上多个类型的事件,包括客户端和服务器数据这二者在内。

查看审核日志和事件

  1. 在 IPAM 导航菜单中,单击“事件目录”。

  2. 默认情况下,在导航窗格下半部分选择“IPAM 配置事件”。查看事件是否显示。

  3. 单击导航窗格下半部分中的“DHCP 配置事件”并查看显示的 DHCP 事件。

  4. 在“IP 地址跟踪”之下单击“按主机名”。

  5. 在搜索框中键入 Client1,再以月/日/年的格式在这两个日期之间的 DHCP 租约事件旁边的两个文本框中键入日期。输入包括当天的日期范围,再单击“搜索”。

    主机名

  6. 单击“任务”,再单击“导出”。

  7. 在“另存为”对话框中,在“文件名”旁边键入 client1-events,再单击“保存”。

  8. 用记事本或 Excel 打开 client1-events.csv 文件以查看事件列表。

  • 0
    点赞
  • 0
    评论
  • 0
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

©️2021 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值