使用IPAM优化地址管理

IPAM是Windows Server 2012引入的新的IP地址管理机制，使管理员能够对网络中的所有IP进行统一有效的管理。利用IPAM可以管理和监控企业网的相关服务（例如DHCP、DNS、NPS和活动目录服务等），能够简化企业网络中的IP地址管理，可以用来追踪、查询和预测IP地址使用量和利用率信息。使用IPAM控制台，可以配置DHCP作用域，为客户端分配IP，即无须通过常规管理DHCP服务器的方法，而可以直接在IPAM服务器上针对多台DHCP服务器，多作用域的集控管理。使用和IPAM相关的事件日志，在一个集中存储库中查看IP配置变更信息。通过IPAM，可以监视企业网的IP分配状况，IP地址空间使用情况，监视DNS和DHCP等服务的健康状态。

安装及配置IPAM服务器

安装IPAM服务器

图1 IPAM配置界面

例如，在域环境中选择某台服务器（例如名称为“Dhcpsrv1”），以域管理员身份登录，在其上打开服务器管理器，点击“添加角色和功能”链接，在向导界面中的角色列表中选择“DHCP服务器”项，点击安装按钮，在该机上安装DHCP服务。在服务器管理器通知栏中点击“完成DHCP配置”项，在DHCP安装后配置向导中点击下一步按钮，创建DHCP管理员和DHCP用户，以委派DHCP服务器管理，并指定用于在AD DS中授权此DHCP服务器的凭据。打开DHCP控制台，可以看到没有设置任何作用域。当然，要确保DHCP服务器已经被激活并得到授权，即在其中的“IPv4”和“IPv6”节点上出现绿色标记。通过域中的一台IPAM服务器（名称为“Server20”），对 DHCP 服务器进行相关配置操作，即利用IPAM服务器对企业内网的IP进行管理，分配以及监控IP地址的分配趋势。在该机上以域管理员身份登录，在服务器管理器中点击“添加角色和功能”连接，在功能列表中选择“IP地址管理（IPAM）服务器”项，点击安装按钮，完成IPAM组件的安装。之后在服务器管理器左侧选择“IPAM”项，打开其配置界面（如图1）。

配置IPAM服务器

在服务器管理器左侧点击“IPAM”项，在右侧的“IPAM服务器任务”栏中点击“连接到IPAM服务器”项，在弹出窗口中选择当前主机，点击确定按钮即可。点击“设置IPAM服务器”项，在设置向导界面中点击下一步按钮，默认选择“Windows内部数据库（WID）”项，其路径为“%WINDOWS%System32IPAMDataBase”。如果存在SQL Server数据库服务器，可以选择“Microsoft SQL Server”项，设置服务器名称，数据库名称以及端口等信息。点击下一步按钮，在选择设置方法窗口（如图2）中选择“基于组策略”项，在“GPO名称前缀”栏中输入合适的前缀信息，例如“IPAM”。

对于Active Directory林中的每台IPAM服务器来说，该GPO名称前缀必须是唯一的。使用基于组策略的设置方法，可以在该IPAM服务器管理的每个域中创建组策略对象（GPO），IPAM将管理的服务器添加到相应的GPO中，从而自动在该服务器上进行相关的配置操作，这适用于比较大型的网络环境。在下一步窗口中点击应用按钮，可以执行设置IPAM服务器以使用基于GPO的配置方法，在WID上创建IPAM数据库并配置访问权限，在IPAM服务器上创建计划任务以从网络中收集数据，在IPAM服务器上创建用于分配管理员角色的本地安全组，在IPAM服务器上启用IP地址跟踪功能等操作。

图2 设置IPAM服务器

点击“配置服务器发现”项，在弹出窗口中的“选择要发现的域”列表中默认选择的是林根域，点击添加按钮，在“选择要发现的服务器角色”栏中默认选中域控制器，DHCP服务器，DNS服务器等对象。点击确定按钮保存配置信息。在“IPAM服务器任务”栏中点击“启动服务器发现”项，执行服务器发现操作，该过程可能需要几分钟时间。点击“选择或添加服务器以管理和验证IPAM访问”项，在打开的窗口中显示可管理状态是未指定的，IPAM访问状态是已阻止的。解决方法是打开Windows PowerShell界 面，执行“Invoke-IpamGpoProvisioning-domainxxx.com-GpoPrefixName IPAM-Ipam Server Fqdnserver20.xxx.com-Delegated Gpo User administrator”命令，在提示栏中直接回车，执行验证参数，创建GPO，导入GPO，将用户导入到委派列表中等配置操作。该命令行中的“xxx.com”为具体的域名，“IPAM”为预设的GPO前 缀，“server.xxx.com”为IPAM服务器的全称，“DelegatedGpoUser” 参数后跟委派的组用户名称，这里为Administrator。

在上述IPAM管理界面中选择“服务器名称”中的IPAM服务器名，在其右键菜单上点击“编辑服务器”，在打开窗口中的“服务器类型”列表中可以选择DC，DNS服务器，DHCP服务器，NPS服务器等对象。在“可管理状态”列表中选择“已托管”项，点击确定按钮保存配置信息。之后以域管理员身份登录域控，在组策略管理窗口左侧打开“林”→“域”→“xxx.com”→“组策略对象”项，可以在其下看到创建的名为“IPAM_DHCP”，“IPAM_DNS”，“IPAM_DC_NPS”等GPO。

例如选择“IPAM_DC_NPS”项，在右侧的“设置”面板中显示详细的描述信息，可以看到其定义的是计算机配置策略，打开其中的“Windows设置”项，可以看到受限制的组，高级安全Windows防火墙等类别的配置项目。在CMD窗口中执行“gpupdate”命令，在域控段应用上述策略。对应的，在IPAM服务器上也需要执行“gpupdate /force”命令，来应用上述组策略。

在IPAM管理界面中可以看到，其可管理性状态已经变成了“已托管”，但是IPAM访问状态依然为已阻止状态，为其在其右键菜单上点击“刷新服务器访问状态”项，并在工具栏上点击刷新按钮，可以看到推荐操作变成了以取消阻止IPAM访问状态，IPAM访问状态也变成了已取消阻止状态。在其右键菜单上点击“检索所有服务器数据”项，重新收集相关的服务器数据。

在IPAM管理窗口左侧点击“监视和管理”→“DNS和DHCP服务器”项，因为在域控上已经安装了DNS服务，所以在窗口右侧会显示和DNS服务器角色相关的项目，点击工具栏上的刷新按钮，可以显示服务器角色为DHCP的项目，其状态为“正在运行”。在该DHCP条目上点击右键，在弹出菜单中显示和管理DHCP相关的项目。例如点击“编辑DHCP服务器属性”项，在弹出窗口左侧选择“DNS凭据”项，可以输入DHCP服务器在使用DNS动态更新来注册名称时所提供的凭据，包括用户名，域名以及密码等信息。

创建和管理DHCP作用域

在上述菜单上点击“创建DHCP作用域”项，在其右键菜单上点击“启动MMC”项，在打开窗口（如图3）中输入该作用域的名称，设置起始IP地址和结束IP地址，输入子网掩码，选择“限制到”项，可以设置所需的DHCP客户端的租约期限。在“启用DNS动态更新”和“启用名称保护”列表中分别选择“是”项。在“DHCP作用域选项”部分点击“新建”按钮，在“供应商类”列表中选择“DHCP标准选项”项，在“用户类”列表中选择“默认用户类”项，在“选项”列表中提供了大量的项目可供选择，例如DNS服务器，日志服务器，LPR服务器，主机名，资源定位服务器，启动文件大小等。例如选择“003 路由器”项，输入路由器的地址，点击添加配置按钮，添加该作用域选项。

图3 创建DHCP作用域

同理，可以创建所需的作用域选项。点击确定按钮，完成作用域的配置。当然，利用DHCP策略机制，可以为客户端指派特定的选项，例如为其分配特定的IP等。选择目标DHCP作用域，在右键菜单上点击“配置DHCP策略”项，可以针对作用域级别配置策略。在创建DHCP策略窗口（如图4）中输入策略的名称（例如“celue”），设置合适的租约期限，在“添加”栏中点击新建按钮，在“新条件”部分的“条件”列表中内置了供应商类别，用户类别，MAC地址，客户端标识符，完全限定的域名，中继代理信息等。这里选择“MAC地址”项，输入对应的MAC地址，注意MAC地址可以使用通配符（例 如“0009fe*”），MAC地址前6个编码为厂商代号。之后设置需要分配给客户端的IP地址范围，当然，该范围不能超出该作用域的IP范围。输入路由器（默认网关的地址）点击确定按钮，创建该DHCP策略。这样，当符合条件的客户端申请IP时，就会得到预设的地址。

登录到到对应的DHCP服务器上，在DHCP控制台打开“DHCP”→“主机名”→“IPv4”→“作用域”项，可以看到刚才创建的作用域。选择“地址租用”项，可以看到已经分配出去的IP。除了在上述IPAM管理窗口中添加作用域选项外，也可以在这里的“作用域”项的右键菜单上点击“配置选项”项，在打开窗口中配置相应的项目，例如分别选择“003路由器”，“006 DNS服务器”项，输入对应的IP后，点击添加按钮即可。选择“015 DNS域名”项，在“字符串值”栏中输入域名信息。例如“xxx.com”。

图4 配置DHCP策略窗口

注意，如果已经配置了DHCP故障转移群集功能，当使用IPAM管理功能在其中某台DHCP服务器上创建了作用域之后，在默认情况下，在群集中的其他DHCP服务器上是得不到该作用域信息的。为此可以在该DHCP服务器上打开DHCP控制台，在“IPv4”节点的右键菜单上点击“配置故障转移群集”项，在向导界面中选择“全选”项，在下一步窗口的“伙伴服务器”栏中点击“添加服务器”按钮，导入群集中的其他服务器（例如“Dhcpsrv2”），依次点击下一步按钮，完成在伙伴服务器上添加新的作用域操作。

返回IPAM服务器，在IPAM管理窗口左侧选择“DHCP作用域”项，可以查看所有作用域的状态信息，包括利用率、作用域状态、作用域名称、作用域ID、前缀长度和租用期限，已利用的百分比等内容。例如对于利用率不足的情况，其会以黄色图标进行显示。在窗口底部可以查看选定的作用域属性详细信息，选项，有效的策略，时间目录等内容等内容。在左侧点击“DNS区域监视”项，点击工具栏上的刷新按钮，可以查看DNS服务器的状态信息，包括区域状态，在当前状态下的持续时间，区域名称，访问作用域等，据此可以了解其是否正常工作。在左侧选择“服务器组”项，可以查看当前托管的所有服务器信息。例如选择其中的目标DHCP服务器，在其右键菜单上点击“启用MMC”项，可以直接打开DHCP控制台，对其进行深入管理。

利用角色控制管理者权限

如果想实现基于角色管理作用域的功能，例如只允许指定的用户来管理目标作用域等，可以在IPAM管理界面左侧选择“访问控制”项，在右侧可以看到已经存在一些默认的内置角色。例如DNS记录管理员角色，IP地址记录管理员角色，IPAM ASM管理员角色，IPAM DHCP保留管理员角色，IPAM DHCP管理员角色，IPAM DHCP代理管理员角色，IPAM MSM管理员角色，IPAM管理员角色等。当然，可以根据需要自定义角色。

方法是在左侧的“角色”项的右键菜单上点击“添加用户角色”项，在添加或编辑角色窗口（如图5）中输入角色的名称（例如“DHCPeditor”），输入描述信息，在“操作”列表中显示具体的权限项目，包括DHCP超级作用域操作，DHCP作用域操作，DHCP服务器操作，DHCP故障转移操作，DHCP保留操作，DHCP区域操作等等项目，在其中的每一个项目中又包含很多子项。例如打开“DHCP作用域”项，在其中显示和管理作用域相关的子项，包括创建，编辑，删除DHCP作用域，配置DHCP作用域策略等。

图5 添加或编辑角色窗口

图6添加访问作用域窗口

这里选择“编辑DHCP作用域”，“激活DHCP作用域”，“编辑DHCP作用域选项”等，在“DHCP保留操作”项中选择“创建或编辑DHCP保留”，“删除 DHCP保留”项。这样，可以让该角色只能拥有有限的管理DHCP作用域的权限。点击确定按钮，创建该管理角色。仅仅创建了所需的管理角色是不够的，还需要创建相应的域账户，使其和该角色加以关联，让其拥有管理DHCP作用域的权限。在域控上打开Active Directory用户和计算机窗口，在左侧点击“User”容器，在其右键菜单上点击“新建”→“用户”项，创建一个新的普通域账户（例 如“Dhcpuser”）。 在IPAM服务器上打开其管理界面，在左侧选择“访问作用域”项，在其右键菜单上点击“添加访问作用域”项，在打开窗口（如图6）中点击新建按钮，在“名称”栏中输入要管理的DHCP作用域名称，输入描述信息，点击添加按钮，选择该作用域名称，点击确定按钮，添加该访问作用域。

在左侧选择“访问策略”项，在其右键菜单上点击“添加访问策略”项，在弹出窗口（如图7）中的“用户别名”栏中点击“添加”按钮，在选择用户或组窗口中点击“位置”按钮，在位置窗口选择“整个目录”→“xxx.com”域名，切换到整个域进行查找上述“dhcpuser”账户并将其导入进来。在“访问设置”栏中点击新建按钮，在“新建设置”栏中的“选择角色”列表中选择上述自定义角色。在“为角色选择访问作用域”列表中选择上述访问作用域，点击添加设置按钮，该账户就拥有了访问目标作用域的特定权限。

之后在IPAM管理界面左侧选择“DHCP作用域”项，在右侧选择域上述作用域，在其右键菜单上点击“设置访问作用域”项，在打开窗口中取消“从父项继承访问作用域”项，在“选择访问作用域”列表中选择上述作用域，点击确定按钮，保存设置信息。设置完成后，重启IPAM服务器并使用上述“dhcpuser”账户进行登录，就只能按照上述预设的权限，来编辑指定的DHCP作用域（例如添加作用域选项等）。当其试图针对DHCP作用域执行更多的操作，或者试图操作其他DHCP作用域时，系统会提示“一项或多项任务失败” 的提示，并禁止执行相关的操作。

图7添加访问策略窗口

管理IP地址空间

在IPAM服务器上，可以创建IP地址空间。IP地址空间分为几个较大的部分，称之为IP地址块。管理员可以将这些地址块细分为较小的部分，称之为IP地址范围，便于为网络上的各种设备分配地址。通过该功能，可以发现和监视IP的使用情况，为管理员提供管理界面。在左侧点击“地址块”项在，在右侧显示已经上述已经创建的作用域地址范围。点击右上角的“任务”→“新建IP地址块”项，在打开窗口（如图8）中输入具体的网络ID，例如172.16.1.0。在“前缀长度”列表中选择合适的网络位。例如选择24，表示IP范围从172.16.1.0到172.16.1.255。点击确定按钮，在“当前视图”列表中选择“IP地址块”项，之后点击工具栏上的刷新按钮，可以看到创建的新的地址块。

图8 添加地址块窗口

在具体执行地址非配操作时，如何才能了解某个IP是否已经被使用了呢？在“当前视图”列表中选择“IP地址范围”项，选择对应的IP地址范围项目，在其右键菜单上点击“查找并非配可用的IP地址”项，在弹出窗口中的“查找可用的IP地址”栏中显示可用的IP地址，PING答复状态，DNS记录状态等信息，如果“Ping答复状态”列的内容为“答复”，说明该地址已经被其他主机使用了。点击查找下一个按钮，当出现状态为“无答复”项目时，说明与之对应的IP处于可用状态。选择该地址，在“基本配置”标签中的“IP地址”栏中自动填入该IP，在“MAC地址”栏中输入目标网络设备的MAC地址，可以将其和该IP绑定。在“设备”列表中提供了VOIP网关，WAN优化器，主机，切换，打印机，无线AP，无线控制器，终端服务器，负载平衡器，路由器，防火墙，非Microsoft服务器等，这里选择“主机”项。

可以根据需要设置分配日期和到期时间，所有者，资产标记，序列号等，选择“启用网络虚拟化功能”项，表示将其分配给虚拟机使用。在“DNS记录同步”标签中的“设备名称”栏中数该网络设备名称，例如“WebSite Server”。

在“正向查找区域”列表中选择“xxx.com”，在“正向查找主服务器”列表中选择域控主机。选择“为此IP地址自动创建DNS记录”项，表示由IPAM服务器代替客户端项DNS服务器注册记录。如果在“地址状态”和“分配类型”列表中分别选择“已保留”项，可以将其作为保留地址处理。在“DHCP保留同步”部分输入客户端ID，选择“将MAC域客户端ID关联”项，将该ID和上述MAC地址绑定（如图9）。

在“保留服务器名称”列表中选择当前主机，在“保留作用域名称”栏中输入域名，例如“xxx”。输入保留名称，选择保留类型为“DHCP”项。点击确定按钮，完成可用地址的查询和分配操作。在左侧点击“地址清单”项，可以看到已经分配的IP信息。在左侧选择“DHCP作用域”项，点击右上角的“任务→”“检索服务器数据”项，之后在地址块窗口地步的“配置详细信息”面板中查看地址管理的详细信息的。在“利用率趋势”面板中在预设的时间范围（从1天到5年）内，了解IP地址利用与的变化趋势。

图9 设置保留选项