在Windows Server 2012中,有一个新的功能:IP地址管理,简称为IPAM(IP Address Management),随着企业中DNS和DHCP服务器的增大,虽然图形化的界面能够让我们很容易的管理,但是,随着服务器越来越多,可能分散在不同的分部或者地区,假如我们能够很好的利用IPAM这个管理工具,我们还是可以减轻我们的管理负担以及监控好我们的服务的,IPAM是Windows Server 12以及Windows Server 2012 R2提供的一个功能组件,接下来我们来看看IPAM能够給我们带来那些好处
导航到添加角色和功能向导中,勾选”IP地址管理(IPAM)服务器“
注意:在这里建议大家不要把IPAM安装在AD上(否则会出现我接下来提到的错误提示),但是我们可以安装在DNS或者DHCP服务器上
会弹出依赖功能的安装提示界面,默认即可,点击“添加功能”
点击“安装”开始IPAM功能
点击“关闭”完成IPAM功能的安装
我们可以在服务器管理界面下,看到IPAM这个节点了,点击IPAM
进入到IPAM服务器任务界面,单击“连接到IPAM服务器”
因为目前我们只有安装了一台IPAM服务器,所以上图中已经显示连接到我们的IPAM服务器了
下面开始第二部,设置IPAM服务器,点击进入
默认“下一步”
选择“基于组策略”然后输入我们的GPS名称前缀
点击“下一步”
点击“应用”可以看到提示IPAM部署失败,后来我查看原因,因为我把IPAM安装在DC上会出现此问题,解决办法就是把IPAM安装在其他成员服务器上,DNS服务器或者DHCP服务器,或者IPAM单独一台服务器都可以,IPAM服务对服务器性能基本没什么要求
下面我找到一台文件服务器安装上IPAM功能,重试以上步骤进行设置IPAM服务器,首先连接IPAM服务器
点击任务中的第二步:设置IPAM服务器,然后点击“下一步”
在设置数据库界面,我们可以使用Windows内部数据库,或者指定SQL Server数据库,我这里就选择Windows内部数据库了,然后点击“下一步”
选择“基于组策略”,然后输入GPO名称前缀,我这里输入的是IPAM01
点击“应用”可以看到弹出“已成功完成IPAM设置”的通知
下面我们继续第3步:配置服务器发现,点击进入
点击添加按钮添加根域
在这里我们需要注意的是,IPAM针对配置服务器发现,是有固定的计划任务的,我们设定好服务器发现后,我们也可以自行到计划任务里更改计划任务,计划任务在如下路径:
第4步,开始手动启动服务器发现,在完成服务器的发现后,我们可以看到提示信息,点击进入可以看到更多详细内容
点击进入可以看到信息如下
第5步,选择或添加服务器以管理和验证IPAM访问,点击进入
我们可以看到刚才我们发现的服务器以及目前服务器的状态,但是初次这里都显示IPAM访问状态为已阻止,我们需要完成一些操作后,才可以接触这个阻止状态,之前信息的朋友应该也看到相关提示了
下面我们需要打开Powershell命令行工具,建议以管理员打开
运行如下脚本,来完成IPAM组策略的创建,DOMAIN为我们的域名,GpoPrefixName为我们为IPAD所取的GPO名称,这里我使用的是IPAM01,而IpamServerFqdn为我们的IPAM服务器的FQDN
运行完命令后,我们可以在组策略对象下看到创建了3个组策略,如下图
在每台DNS服务上,右键节点,进入到安全选项,加入我们的IPAMUG这个安全组,允许读取权限
下面回到IPAM管理界面,进入到服务器清单,选中一台服务器,右键选择“编辑服务器”
我们根据服务器所承担的橘色,进行勾选,然后在可管理性状态下,选择“已托管”,然后点击“确定”
对其他服务器作相同操作即可,可以看到IPAM访问状态为已取消阻止状态了
在这里我们应该发现,我们DC和DNS有三台,我也不清楚怎么少了一台,下面我们手动来添加,在IPv4节点下的托管服务器下,右键选择添加服务器(注意:当我们在域环境中新增了成员服务器也可以在此处进行添加)
输入我们的服务器主机名,然后点击验证,即可解析出服务器的IP地址,选择服务器承担的角色,然后可管理性状态选择“已托管”,点击“确定”
可以看到服务器已经成功添加
在组策略中,我们也需要注意的是,当我们需要对服务器进行托管的话,就需要在相应的组策略下的作用域中,在安全筛选中添加我们的服务器
通过IPAM,我们可以看到托管的服务器的一些信息信息
初次进入我们的托管服务器,我们可能还没有看到服务器的具体星系,如下图,我们只需要刷新下就可以看到服务器的状态了
刷新后,可以看到服务器可用性为正在运行,说明托管已经成功
下面我们可以在IPAM下看到看到我们的DNS信息
下面我新增了两台DHCP服务器,如下图,在组策略加入到安全筛选中,然后添加服务器到我们的IPAM托管服务器中
添加完后,我们对我们的DHC服务器进行管理,可以看到我们DHCP的作用域了,作用域状态也为活动状态
我们可以在IPAM这个统一入口,对DHCP的作用域进行修改和其他操作
可以看到,我们可以在这里对DHCP进行统一管理了,IPAM是不是带给我们好处?相信微软后续的版本中会提供更过更好的功能
除此之外,IPAM也是基于角色进行管理的,在安装IPAM的服务器上,默认已经创建了如下角色,每个角色功能各不一样,这样我们就可以基于角色的进行权限委派了
在本地用户和组中,也能够看到创建了相应的组
欢迎大家一起学习IPAM的更多功能!
本文出自 “Robin's Home” 博客,谢绝转载!