IPAM – IP Address Management im Server 2012

WinServ2012Vielleicht kennen Sie das Problem: Sie benötigen für eine Hardwareinstallation “mal eben” eine freie IP Adresse. Nun haben Sie aber sehr viele Geräte in Ihrer Infrastruktur, die größtenteils durch DHCP mit Adressen versorgt werden.
Somit wird meist irgend eine IP aus dem Netzwerkadressbereich genommen, die nicht auf einen Ping antwortet. Unglücklicherweise gehört aber genau diese IP einen produktiven Server, der aber nicht auf Beantwortung von ICMP-Anfragen konfiguriert ist…

In diesem Fall wünscht man sich ein gut funktionierendes IP Verwaltungstool, und genau das liefert Microsoft in seinem neuen Windows Server 2012 ohne weitere Kosten mit.

In diesem Artikel gebe ich Ihnen einen kurzen Überblick über die Funktionen des IPAM-Servers (im Server 2012 RC), berichte über meine Erfahrungen bei Einrichten und zeige Ihnen, wie Sie die ersten Daten aus Ihrem Netzwerk abrufen. Ich wünsche viel Spaß beim Lesen.

Was ist IPAM genau?

IPAM steht für “IP Address Management” und ist als Feature im Windows Server 2012 integriert.
Die Verwaltungsoberfläche ist nach der Installation in den neu gestalteten Servermanager eigebettet und bietet einen Umfangreichen Überblick über die bestehende Netzwerkinfrastruktur (DNS, DHCP, Domänencontroller).

Warum IPAM?

Wer früher seine Infrastruktur in einem Adressmanagement erfassen wollte hatte meist nur diese Möglichkeiten:
Erstellen einer Excel Liste, in der die Adressen erfasst werden konnten (“Kostenlos”); Programmieren von eigener Software; Zurückgreifen auf Drittanbietersoftware (zusätzliche Kosten).
Wenn Sie den Server 2012 in Ihrem Unternehmen einsetzen, ist IPAM eine von vielen neuen Funktionalitäten, die Sie für Ihre Zwecke nutzen können. Zudem ist eine Kompatibilität mit der Microsoft Software gegeben und die Bedienung gliedert sich nahtlos in die Oberfläche ein.

 

Die Installation

Teil 1 (Voraussetzungen / Vorbemerkungen):

So, genug der Vorrede, beginnen wir mit der Installation.

Im Vorfeld sollten noch drei Dinge beachtet werden, die mir bei der Installation aufgefallen sind.
Bei meinem ersten Installationsversuch lief das Setup bei der Bereitstellung immer wieder in die folgende Fehlermeldung hinein.

ipam2

Nach längeren erfolglosen Recherchen nach dem Fehler installierte ich in meinem Testnetzwerk einen weiteren Server und fügte nun darauf IPAM hinzu. Beim Starten der Installation erschien wieder eine Mittelung:

IPAM-0006

Nachdem ich den Server der Domäne hinzugefügt hatte, lief die Installation sauber durch. Anhand meiner Erfahrungen kann ich sagen, dass eine Installation von IPAM auf einem Domaincontroller fehl schlägt, deshalb ist es nötig IPAM auf einen neuen Server zu installieren, der möglichst eine Domänenzugehörigkeit besitzt.

 

Teil 2 (Starten der Installation / Feature hinzufügen):

Im Server Manager des Server 2012 wählen wir den Punkt “Rollen und Features hinzufügen”.

IPAM-0008

Im Bereitstellungsassistenten belassen wir die ersten Einstellungen auf Standard und klicken jeweils auf “Weiter”. Wenn wir im Bereich der Feature Installation angekommen sind, wählen wir den “IP-Adressverwaltungsserver (IPAM-Server)” aus und fügen die erforderlichen Komponenten hinzu.

bild1

bild2

Danach bestätigen wir die Einstellungen auf “Installieren” und warten den Installationsprozess ab:

image

 

Teil 3 (IPAM bereitstellen):

Mit der reinen Installation ist der IPAM Server allerdings noch nicht nutzbar, zuerst muss er bereitgestellt werden. Wichtig ist, dass wir als Domänenadministrator und nicht als lokaler Administrator angemeldet sind. Ansonsten kann es zu einem Fehler bei der Bereitstellung kommen. Nach der erfolgreichen Installation (Siehe Teil 2) finden wir im Servermanager ein weiteres Symbol in der linken Seitenleiste. Beim Klick auf “IPAM” öffnet sich ein neuer Bereich, allerdings noch mit relativ wenigen Einstellmöglichkeiten. Dies ändert sich aber nach der Bereitstellung und der Serverermittlung.

Somit klicken wir zuerst auf “IPAM-Server bereitstellen” und folgen den Anweisungen des Assistenten.

image

IPAM-0002

Im folgenden Fenster setzen wir den Radiobutton auf “Gruppenrichtlinienbasiert”, damit die notwendigen Einstellungen bei verwalteten PCs automatisch angewendet werden und nicht erst per Hand gesetzt werden müssen. Leider funktionierte dies nicht ganz so wie gewollt, worauf ich später nochmal eingehe.

image

IPAM-0007

Um die gruppenrichtlinienbasierte Bereitstellung abzuschließen öffnen wir nun eine Powershell Konsole als (Domänen-)Administrator und geben in unserem Fall folgenden Befehl ein:

Invoke-IpamGpoProvisioning –domain ipamtest.loc –GpoPrefixName IPAMGP –IpamServerFqdn ipam-srv.ipamtest.loc

image

Wir bestätigen mit “J”, wodurch auf dem Domänencontroller neue Gruppenrichtlinien angelegt werden, die wir (falls nicht automatisch geschehen) noch auf die Domäne verlinken müssen:

image

Auf dem Domänencontroller wechseln wir in die “Aktive Directory Benutzer und Computer”, und fügen den IPAM Server der Gruppe “IPAMUG” hinzu. Falls diese nicht existiert, muss der Server Mitglied der “Ereignisprotokollleser” werden.

image

 

Teil 4 (Serverermittlung konfigurieren):

Nach der Bereitstellung muss die Serverermittlung konfiguriert werden, dazu klicken wir auf “Serverermittlung konfigurieren”.

image

In dem Assistenten wählen wir die Domäne aus, in der wir die Server ermitteln wollen und wählen danach die Rollen aus, die in die Ermittlung miteinbezogen werden sollen (DNS, DHCP…).

image

image

 

Teil 5 (Serverermittlung starten):

Nun kann auch schon die Serverermittlung gestartet werden. Hierbei werden alle DNS- und DHCP-Server, sowie alle Domänencontroller automatisch erkannt und in die IPAM Oberfläche eingegliedert.

image

image

Die Dauer kann je nach Größe des Netzwerks und Servergeschwindigkeit variieren.

 

Teil 6 (Blockierung des IPAM Zugriffs aufheben)

Wenn wir jetzt im Server Manager links auf “IPAM” klicken, finden wir die vollständigen Optionen vor:

image

Zuerst wechseln wir zum “Serverbestand”, allerdings sehen wir dort noch keine Server. Erst nach dem Klick auf Aktualisieren werden diese angezeigt. Wichtig: Es werden nur die DNS, DHCP und Domänencontroller angezeigt! Andere Server werden in IPAM nicht betrachtet.

image

Die Server haben bisher noch keinen festgelegten Verwaltungsstatus. Um Sie in IPAM vollständig einlesen zu können, müssen sie deshalb noch auf “Verwaltet” gesetzt werden.

image

Dazu gehen wir mit einem Rechtsklick auf einen Server und wählen “Server bearbeiten”. Im neu geöffneten Fenster setzen wir den Verwaltbarkeitsstatus auf “Verwaltet”.

image

Nach dem Tätigen dieser Einstellung werden die IPAM Gruppenrichtlinien auf den entsprechenden Server angewandt. Dies erkennt man daran, dass der Server in der Sicherheitsfilterung der Gruppenrichtlinie aufgeführt ist. Wenn der Status auf “Nicht verwaltet” gesetzt wird, wird der Server aus der Filterung herausgenommen und die Gruppenrichtlinie wird nicht mehr angewendet.

Dennoch kann es vorkommen, dass ein Server als “Blockiert” aufgeführt wird, nachdem er auf “Verwaltet” gesetzt wurde. Dies liegt daran, dass die Gruppenrichtlinie noch nicht aktualisiert wurden. Die Anwendung der GP kann man auf dem entsprechenden Server mit dem Befehlt “gpupdate /force” beschleunigen.

image

Danach muss man in der IPAM Konsole den Status des Serverzugriffs aktualisieren, woraufhin die Blockierung aufgehoben werden sollte.

image

Es gab an dieser Stelle in meiner Testumgebung ein Problem, denn die Gruppenrichtlinie wurde nicht übernommen. Es scheiterte an einem Sicherheitsproblem, das auftrat, obwohl alles ordnungsgemäß konfiguriert wurde. Somit stellte ich mir den Zugriff manuell her, indem ich folgendes auf den verwalteteten Servern einstellte:

image

Als die Einstellungen gesetzt waren änderte sich der Status des Servers auf “Blockierung aufgehoben” und in der Detailansicht wurde der ordnungsgemäße Zugriff bestätigt:

image

 

 

Teil 7 (Daten abrufen):

Abschließend müssen noch die Daten aus den Servern ausgelesen werden. Zum Einen gibt es den Bereich “IP-Adressraum” und zum Anderen den Bereich “Überwachen und Verwalten”.

Im Bereich “IP-Adressraum” bekommen wir unter anderem einen Überblick über die verwendeten DHCP-Bereiche und deren (IP-)Auslastung (Anhand eines Farbschemata). Bei “Überwachen und Verwalten” wird u.a. die Verfügbarkeit der einzelnen Server angezeigt und jeweils eine Detailansicht generiert.

Um die Daten in den einzelnen Bereichen abzurufen klicken wir zuerst auf “IP-Adressblöcke”, dann auf “Aufgaben” (oben rechts) und auf “Adressraumdaten abrufen”.

image

Nun werden unsere Netzwerkinformationen abgerufen und wir sehen auf einen Blick die Auslastung des Adressbereiches:

image

 

Jetzt wechseln wir zu dem Punkt “DNS- und DHCP-Server”, wo wir wieder oben rechts auf “Aufgaben” klicken und im Menü “Serverdaten abrufen” auswählen.

image

Daraufhin bekommen wir einen Überblick über die verfügbaren Server:

image

Damit ist die Grundeinrichtung des IPAM Servers abgeschlossen. Was jetzt folgt ist die Einrichtung des Managers nach Ihren Bedürfnissen.  Da die Funktionalitäten viel zu umfangreich sind um sie alle in diesem Artikel noch ausreichend beleuchten zu können ist an dieser Stelle erst einmal Schluss, ich gehe aber stark davon aus das sich hier im Blog noch der ein oder andere Beitrag zu IPAM finden wird.

Kurzes Fazit:

Während des Aufsetzens des IPAM Servers verwunderte mich zuerst das schlichte Design, das dem Anschein nach kaum Platz für Informationen oder Managementmöglichkeiten hergab. Dies änderte dich jedoch nach dem Auslesen / Anlegen der Daten, mit denen erst jetzt viele weitere Einstellungsmöglichkeiten sichtbar wurden. Es bedurfte einer gewissen Eingewöhnungszeit, aber danach konnte man sehr viele wertvolle Informationen über das Netzwerk aus dem Manager herauslesen. Am besten Sie schauen sich IPAM einmal selbst an und überprüfen einen möglichen Mehrwert dieses Tools für Ihr Netzwerk bzw. Ihre Netzwerkadministration.

Folgend noch ein Link zu einem Video, das etwas tiefer in die Administration des IPAM Servers hinführt (Englisch):

http://channel9.msdn.com/Events/TechEd/NorthAmerica/2012/WSV307

Zum Schluss noch eine weitere Ressource zum Thema IPAM auf Technet:

http://technet.microsoft.com/de-de/library/hh831622

Teilen:

9 Kommentare:

  1. Pingback:» Windows Server 2012 – IPAM Eric Berg

  2. http://technet.microsoft.com/de-de/library/hh831353.aspx :

    IPAM Architektur:

    Ein IPAM-Server ist ein Domänenmitgliedscomputer.

    Wichtig: Sie können das IPAM-Feature nicht auf einem Active Directory-Domänencontroller installieren.

    ;-)

    vg
    Maik

  3. Hi und hallo,

    Sie schreiben: “Auf dem Domänencontroller wechseln wir in die “Aktive Directory Benutzer und Computer”, und fügen den IPAM Server der Gruppe “IPAMUG” hinzu. Falls diese nicht existiert, muss der Server Mitglied der “Ereignisprotokollleser” werden.” – Warum ist das notwendig? – Und – auf der GUI finde ich die Gruppe nicht – geht dies nur an der cmd?

    Danke

    Andy

  4. Hallo Andy,

    Die Gruppe “Ereignisprotokollleser” berechtigt die Mitglieder dazu, die Ereignisprotokolle der Domäne zu lesen.
    Das wird benötigt, um spezielle Informationen über die IPAM Management Oberfläche bereitstellen zu können.
    Die nötigen Einstellungen nimmt man in der Benutzer und Computerverwaltung des Domänencontrollers vor.
    Ich hoffe, ich konnte ein wenig weiterhelfen.

    Viele Grüße,
    Daniel

  5. Hallo,

    ich habe die Tage einen IPAM Server aufgesetzt, dennoch muss ich die IP Adressen manuell importieren? Ist das so notwendig oder gibt es auch eine Möglichkeit diese automatisch einzulesen und zu aktualisieren?

    Danke
    Christian

  6. Hallo,

    ich habe ebenfalls einen Server 2012 für IPAM aufgesetzt, dennoch muss ich die IP Adressen manuell hinzufügen, ist das richtig so? Oder gibt es eine möglichkeit automatisch die Adressen erkennen und aktualisieren lassen?

    Danke
    Christian

  7. Daniel Althaus

    Hallo Christian,

    Ja, es ist richtig, dass neue Adressen in IPAM angelegt werden müssen.
    Das liegt daran, dass IPAM eine eigene IP-Adressverwaltungsdatenbank besitzt, in der die Adressen, die in IPAM angelegt werden, gespeichert werden.
    Dies ist also unabhängig von den Daten im DHCP, etc.

    Wenn eine IP Adresse, die in IPAM verwaltet wird, auch im DHCP mit einer Reservierung eingetragen werden soll,
    kann ein (administrativer) Commit ausgeführt werden.

    IP Adressen können über die Import Funktion per CSV hinzugefügt werden.

    Viele Grüße,
    Daniel

  8. Hi, ich habe alles wie oben beschrieben gemacht. Aber imm stand Blockierung des IPAM Zugriffs aufheben an den 3 Servern. Als ich dann aber alle möglichen Administratormitgliedschaften dem IPAM gegeben habe ging es erst. Woran kann das liegen. Ich will nicht das der IPAM Server in diesen Heiklen Gruppen ist.

  9. Hi, ich habe die Anleitung ebenfalls mal ausprobiert und bin öfters auf das Problem gestoßen dass die Blockierung nicht aufgehoben wurde.
    Schlussendlich hat es bei mir funktioniert, nachdem ich unter ‘Server verwalten’ alle Häkchen (DC,DNS,DHCP) einmal rausgenommen und wieder reingesetzt habe.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.