IPAM – IP Address Management im Server 2012

Vielleicht kennen Sie das Problem: Sie benötigen für eine Hardwareinstallation “mal eben” eine freie IP Adresse. Nun haben Sie aber sehr viele Geräte in Ihrer Infrastruktur, die größtenteils durch DHCP mit Adressen versorgt werden.
Somit wird meist irgend eine IP aus dem Netzwerkadressbereich genommen, die nicht auf einen Ping antwortet. Unglücklicherweise gehört aber genau diese IP einen produktiven Server, der aber nicht auf Beantwortung von ICMP-Anfragen konfiguriert ist…

In diesem Fall wünscht man sich ein gut funktionierendes IP Verwaltungstool, und genau das liefert Microsoft in seinem neuen Windows Server 2012 ohne weitere Kosten mit.

In diesem Artikel gebe ich Ihnen einen kurzen Überblick über die Funktionen des IPAM-Servers (im Server 2012 RC), berichte über meine Erfahrungen bei Einrichten und zeige Ihnen, wie Sie die ersten Daten aus Ihrem Netzwerk abrufen. Ich wünsche viel Spaß beim Lesen.

Was ist IPAM genau?

IPAM steht für “IP Address Management” und ist als Feature im Windows Server 2012 integriert.
Die Verwaltungsoberfläche ist nach der Installation in den neu gestalteten Servermanager eigebettet und bietet einen Umfangreichen Überblick über die bestehende Netzwerkinfrastruktur (DNS, DHCP, Domänencontroller).

Warum IPAM?

Wer früher seine Infrastruktur in einem Adressmanagement erfassen wollte hatte meist nur diese Möglichkeiten:
Erstellen einer Excel Liste, in der die Adressen erfasst werden konnten (“Kostenlos”); Programmieren von eigener Software; Zurückgreifen auf Drittanbietersoftware (zusätzliche Kosten).
Wenn Sie den Server 2012 in Ihrem Unternehmen einsetzen, ist IPAM eine von vielen neuen Funktionalitäten, die Sie für Ihre Zwecke nutzen können. Zudem ist eine Kompatibilität mit der Microsoft Software gegeben und die Bedienung gliedert sich nahtlos in die Oberfläche ein.

 

Die Installation

Teil 1 (Voraussetzungen / Vorbemerkungen):

So, genug der Vorrede, beginnen wir mit der Installation.

Im Vorfeld sollten noch drei Dinge beachtet werden, die mir bei der Installation aufgefallen sind.
Bei meinem ersten Installationsversuch lief das Setup bei der Bereitstellung immer wieder in die folgende Fehlermeldung hinein.

Nach längeren erfolglosen Recherchen nach dem Fehler installierte ich in meinem Testnetzwerk einen weiteren Server und fügte nun darauf IPAM hinzu. Beim Starten der Installation erschien wieder eine Mittelung:

Nachdem ich den Server der Domäne hinzugefügt hatte, lief die Installation sauber durch. Anhand meiner Erfahrungen kann ich sagen, dass eine Installation von IPAM auf einem Domaincontroller fehl schlägt, deshalb ist es nötig IPAM auf einen neuen Server zu installieren, der möglichst eine Domänenzugehörigkeit besitzt.

 

Teil 2 (Starten der Installation / Feature hinzufügen):

Im Server Manager des Server 2012 wählen wir den Punkt “Rollen und Features hinzufügen”.

Im Bereitstellungsassistenten belassen wir die ersten Einstellungen auf Standard und klicken jeweils auf “Weiter”. Wenn wir im Bereich der Feature Installation angekommen sind, wählen wir den “IP-Adressverwaltungsserver (IPAM-Server)” aus und fügen die erforderlichen Komponenten hinzu.

Danach bestätigen wir die Einstellungen auf “Installieren” und warten den Installationsprozess ab:

 

Teil 3 (IPAM bereitstellen):

Mit der reinen Installation ist der IPAM Server allerdings noch nicht nutzbar, zuerst muss er bereitgestellt werden. Wichtig ist, dass wir als Domänenadministrator und nicht als lokaler Administrator angemeldet sind. Ansonsten kann es zu einem Fehler bei der Bereitstellung kommen. Nach der erfolgreichen Installation (Siehe Teil 2) finden wir im Servermanager ein weiteres Symbol in der linken Seitenleiste. Beim Klick auf “IPAM” öffnet sich ein neuer Bereich, allerdings noch mit relativ wenigen Einstellmöglichkeiten. Dies ändert sich aber nach der Bereitstellung und der Serverermittlung.

Somit klicken wir zuerst auf “IPAM-Server bereitstellen” und folgen den Anweisungen des Assistenten.

Im folgenden Fenster setzen wir den Radiobutton auf “Gruppenrichtlinienbasiert”, damit die notwendigen Einstellungen bei verwalteten PCs automatisch angewendet werden und nicht erst per Hand gesetzt werden müssen. Leider funktionierte dies nicht ganz so wie gewollt, worauf ich später nochmal eingehe.

Um die gruppenrichtlinienbasierte Bereitstellung abzuschließen öffnen wir nun eine Powershell Konsole als (Domänen-)Administrator und geben in unserem Fall folgenden Befehl ein:

Invoke-IpamGpoProvisioning –domain ipamtest.loc –GpoPrefixName IPAMGP –IpamServerFqdn ipam-srv.ipamtest.loc

Wir bestätigen mit “J”, wodurch auf dem Domänencontroller neue Gruppenrichtlinien angelegt werden, die wir (falls nicht automatisch geschehen) noch auf die Domäne verlinken müssen:

Auf dem Domänencontroller wechseln wir in die “Aktive Directory Benutzer und Computer”, und fügen den IPAM Server der Gruppe “IPAMUG” hinzu. Falls diese nicht existiert, muss der Server Mitglied der “Ereignisprotokollleser” werden.

 

Teil 4 (Serverermittlung konfigurieren):

Nach der Bereitstellung muss die Serverermittlung konfiguriert werden, dazu klicken wir auf “Serverermittlung konfigurieren”.

In dem Assistenten wählen wir die Domäne aus, in der wir die Server ermitteln wollen und wählen danach die Rollen aus, die in die Ermittlung miteinbezogen werden sollen (DNS, DHCP…).

 

Teil 5 (Serverermittlung starten):

Nun kann auch schon die Serverermittlung gestartet werden. Hierbei werden alle DNS- und DHCP-Server, sowie alle Domänencontroller automatisch erkannt und in die IPAM Oberfläche eingegliedert.

Die Dauer kann je nach Größe des Netzwerks und Servergeschwindigkeit variieren.

 

Teil 6 (Blockierung des IPAM Zugriffs aufheben)

Wenn wir jetzt im Server Manager links auf “IPAM” klicken, finden wir die vollständigen Optionen vor:

Zuerst wechseln wir zum “Serverbestand”, allerdings sehen wir dort noch keine Server. Erst nach dem Klick auf Aktualisieren werden diese angezeigt. Wichtig: Es werden nur die DNS, DHCP und Domänencontroller angezeigt! Andere Server werden in IPAM nicht betrachtet.

Die Server haben bisher noch keinen festgelegten Verwaltungsstatus. Um Sie in IPAM vollständig einlesen zu können, müssen sie deshalb noch auf “Verwaltet” gesetzt werden.

Dazu gehen wir mit einem Rechtsklick auf einen Server und wählen “Server bearbeiten”. Im neu geöffneten Fenster setzen wir den Verwaltbarkeitsstatus auf “Verwaltet”.

Nach dem Tätigen dieser Einstellung werden die IPAM Gruppenrichtlinien auf den entsprechenden Server angewandt. Dies erkennt man daran, dass der Server in der Sicherheitsfilterung der Gruppenrichtlinie aufgeführt ist. Wenn der Status auf “Nicht verwaltet” gesetzt wird, wird der Server aus der Filterung herausgenommen und die Gruppenrichtlinie wird nicht mehr angewendet.

Dennoch kann es vorkommen, dass ein Server als “Blockiert” aufgeführt wird, nachdem er auf “Verwaltet” gesetzt wurde. Dies liegt daran, dass die Gruppenrichtlinie noch nicht aktualisiert wurden. Die Anwendung der GP kann man auf dem entsprechenden Server mit dem Befehlt “gpupdate /force” beschleunigen.

Danach muss man in der IPAM Konsole den Status des Serverzugriffs aktualisieren, woraufhin die Blockierung aufgehoben werden sollte.

Es gab an dieser Stelle in meiner Testumgebung ein Problem, denn die Gruppenrichtlinie wurde nicht übernommen. Es scheiterte an einem Sicherheitsproblem, das auftrat, obwohl alles ordnungsgemäß konfiguriert wurde. Somit stellte ich mir den Zugriff manuell her, indem ich folgendes auf den verwalteteten Servern einstellte:

Als die Einstellungen gesetzt waren änderte sich der Status des Servers auf “Blockierung aufgehoben” und in der Detailansicht wurde der ordnungsgemäße Zugriff bestätigt:

 

 

Teil 7 (Daten abrufen):

Abschließend müssen noch die Daten aus den Servern ausgelesen werden. Zum Einen gibt es den Bereich “IP-Adressraum” und zum Anderen den Bereich “Überwachen und Verwalten”.

Im Bereich “IP-Adressraum” bekommen wir unter anderem einen Überblick über die verwendeten DHCP-Bereiche und deren (IP-)Auslastung (Anhand eines Farbschemata). Bei “Überwachen und Verwalten” wird u.a. die Verfügbarkeit der einzelnen Server angezeigt und jeweils eine Detailansicht generiert.

Um die Daten in den einzelnen Bereichen abzurufen klicken wir zuerst auf “IP-Adressblöcke”, dann auf “Aufgaben” (oben rechts) und auf “Adressraumdaten abrufen”.

Nun werden unsere Netzwerkinformationen abgerufen und wir sehen auf einen Blick die Auslastung des Adressbereiches:

 

Jetzt wechseln wir zu dem Punkt “DNS- und DHCP-Server”, wo wir wieder oben rechts auf “Aufgaben” klicken und im Menü “Serverdaten abrufen” auswählen.

Daraufhin bekommen wir einen Überblick über die verfügbaren Server:

Damit ist die Grundeinrichtung des IPAM Servers abgeschlossen. Was jetzt folgt ist die Einrichtung des Managers nach Ihren Bedürfnissen.  Da die Funktionalitäten viel zu umfangreich sind um sie alle in diesem Artikel noch ausreichend beleuchten zu können ist an dieser Stelle erst einmal Schluss, ich gehe aber stark davon aus das sich hier im Blog noch der ein oder andere Beitrag zu IPAM finden wird.

Kurzes Fazit:

Während des Aufsetzens des IPAM Servers verwunderte mich zuerst das schlichte Design, das dem Anschein nach kaum Platz für Informationen oder Managementmöglichkeiten hergab. Dies änderte dich jedoch nach dem Auslesen / Anlegen der Daten, mit denen erst jetzt viele weitere Einstellungsmöglichkeiten sichtbar wurden. Es bedurfte einer gewissen Eingewöhnungszeit, aber danach konnte man sehr viele wertvolle Informationen über das Netzwerk aus dem Manager herauslesen. Am besten Sie schauen sich IPAM einmal selbst an und überprüfen einen möglichen Mehrwert dieses Tools für Ihr Netzwerk bzw. Ihre Netzwerkadministration.

Folgend noch ein Link zu einem Video, das etwas tiefer in die Administration des IPAM Servers hinführt (Englisch):

http://channel9.msdn.com/Events/TechEd/NorthAmerica/2012/WSV307

Zum Schluss noch eine weitere Ressource zum Thema IPAM auf Technet:

http://technet.microsoft.com/de-de/library/hh831622