Ipam
IPAM
IPAM nam omogućuje centralizirano upravljanje DHCP i DNS poslužitelja.
Umjesto upravljanja svakim poslužiteljem zasebno, možemo koristiti IPAM za upravljanje njima s jedne konzole. Možemo koristiti jedan IPAM poslužitelj za upravljanje do 150 zasebnih DHCP poslužitelja i do 500 pojedinačnih DNS poslužitelja. Također je u mogućnosti upravljati sa 6000 zasebnih DHCP opsega i 150 zasebnih DNS zona.
Možemo obavljati zadatke kao što su kreiranje opsega adresa, konfiguriranje rezervacija adresa i upravljanje DHCP i DNS opcijama globalno, umjesto da ove zadatke moramo izvršavati na bazi poslužitelja po poslužitelju. IPAM u sustavu Windows Server podržava i Active Directory i DNS zone temeljene na datotekama.
Deploy (postavljanje) proces instalacije IPAM-a
Značajku IPAM možemo instalirati samo na računalo koje je član domene Active Directory. Možemo imati više IPAM poslužitelja unutar jedne šume Active Directory. To radimo ako je naša organizacija geografski raštrkana. Važno je napomenuti da IPAM-om ne možemo upravljati DHCP ili DNS poslužiteljem ako je uloga instalirana na istom računalu koje hostira IPAM. Iz tog razloga trebali bi instalirati značajku IPAM na poslužitelju koji ne ugošćuje DNS ili DHCP uloge. IPAM također nije podržan na računalima koja ugošćuju ulogu poslužitelja kontrolera domene. Osim toga, ako želimo koristiti IPAM poslužitelj za upravljanje rasponima IPv6 adresa, trebamo osigurati da je IPv6 omogućen na računalu na kojem se nalazi IPAM poslužitelj.
Configure server discovery – Konfiguriranje otkrivanja poslužitelja (servera)
Otkrivanje poslužitelja je proces u kojem IPAM poslužitelj provjerava pomoću Active Directoryja kako bi locirao kontrolere domene, DNS poslužitelje i DHCP poslužitelje. Sami odabiremo koje ćemo domene otkriti u dijaloškom okviru Konfiguriranje otkrivanja poslužitelja.
Nakon što dovršimo otkrivanje poslužitelja, moramo pokrenuti poseban PowerShell cmdlet koji stvara i osigurava objekte pravila grupe koji omogućuju upravljanje ovim poslužiteljima putem IPAM poslužitelja. Kada postavimo IPAM poslužitelj, odabiremo GPO name prefix. Ovaj prefiks koristimo kada izvršavamo naredbu Invoke-IpamGpoProvisioning Windows PowerShell cmdlet koji stvara odgovarajući GPO.
Ako koristimo GPO prefiks IPAM, dobijemo 3 GPO-a:
- IPAM_DC_NPS
- IPAM_DHCP
- IPAM_DNS
Sve dok se ovi GPO-i ne primijene na otkrivene poslužitelje, ovi poslužitelji su navedeni kao da imaju status IPAM pristupa „Blocked“. Nakon što se GPO-ovi primijene na otkrivene poslužitelje, status IPAM pristupa postavljen je na Unblocked. Nakon što otkrivena usluga ima IPAM pristupni status postavljen na Unblocked, možemo urediti svojstva poslužitelja i postaviti ga na Managed. Nakon što to učinimo, možemo koristiti IPAM za upravljanje odabranim uslugama na poslužitelju.
IPAM u sustavu Windows Server podržava upravljanje DNS i DHCP poslužiteljima u forestima u kojima je konfiguriran dvosmjerni odnos povjerenja. Izvođenje otkrivanja DHCP i DNS servera izvodi se u pouzdanom forestu na nivou domene.
IPAM administration – IPAM administracija
Možemo delegirati administrativna dopuštenja dodavanjem korisničkih računa u jednu od pet lokalnih sigurnosnih grupa na IPAM poslužitelju. Prema zadanim postavkama, članovi grupa Administratori domene i Administratori poduzeća mogu obavljati sve zadatke na IPAM poslužitelju. Sljedećih pet lokalnih sigurnosnih grupa koje su prisutne na IPAM poslužitelju nakon što implementiramo ulogu omogućuju nam delegiranje sljedećih dozvola:
- Administrator DNS zapisa. Članovi ove uloge mogu upravljati zapisima DNS resursa.
- Administrator zapisa IP adrese. Članovi ove uloge mogu upravljati IP adresama, ali ne i adresnim prostorima, rasponima, podmrežama ili blokovima.
- IPAM administratori. Članovi ove uloge mogu obavljati sve zadatke na IPAM poslužitelju, uključujući pregled informacija o praćenju IP adrese.
- IPAM ASM administratori. ASM je kratica za Administrator adresnog prostora. Korisnici dodani ovoj grupi mogu obavljati sve zadatke koje mogu obavljati članovi grupe IPAM korisnici, ali također mogu upravljati prostorom IP adresa. Oni ne mogu obavljati zadatke nadzora i ne mogu obavljati zadatke praćenja IP adresa.
- IPAM DHCP administrator. Članovi ove uloge mogu upravljati DHCP poslužiteljima koristeći IPAM.
- IPAM DHCP Administrator rezervacija. Članovi ove uloge mogu upravljati DHCP rezervacijama koristeći IPAM.
- IPAM DHCP Scope Administrator. Članovi ove uloge mogu upravljati DHCP opsegom.
- IPAM MSM administratori. MSM je kratica za Multi-Server-Management. Članovi ove uloge mogu upravljati svim DNS i DHCP poslužiteljima kojima upravlja IPAM.
- IPAM DNS administrator. Članovi ove uloge mogu upravljati DNS poslužiteljima koristeći IPAM.
Managing the IP address space – Upravljanje prostorom IP adresa
Prednost IPAM-a je ta što nam omogućuje upravljanje svim IP adresama u našoj organizaciji. IPAM podržava upravljanje IPv4 javnim i privatnim adresama bilo da su statički ili dinamički dodijeljene. IPAM nam omogućuje da otkrijemo postoje li rasponi IP adresa koji se preklapaju definirani u DHCP opsegu na različitim poslužiteljima, određivanje iskorištenost IP adresa i postoje li slobodne IP adrese u određenom rasponu, stvaranje DHCP rezervacije centralno bez potrebe da ih konfiguriramo na pojedinačnim DHCP poslužiteljima, i kreiranje DNS zapisa na temelju informacija o najmu IP adrese.
IPAM dijeli prostor IP adrese na blokove, raspone i pojedinačne adrese.
Blok IP adresa je velika zbirka IP adresa koje koristimo za organiziranje adresnog prostora koji naša organizacija koristi na najvišoj razini. Organizacija može imati samo jedan ili dva adresna bloka, jedan za cijelu internu mrežu i drugi manji blok koji predstavlja javni prostor IP adrese koju koristi organizacija.
Raspon IP adresa dio je bloka IP adresa. Raspon IP adresa ne može se preslikati na više blokova IP adresa. Općenito, raspon IP adresa odgovara opsegu DHCP-a.
Pojedinačna IP adresa preslikava se u jedan raspon IP adresa. IPAM pohranjuje sljedeće podatke s IP adresom:
- Bilo koja povezana MAC adresa
- Kako se dodjeljuje adresa (statička/DHCP)
- Datum dodjele
- Istek dodjele
- Koji servis upravlja IP adresom
- DNS zapisi povezani s IP adresom
IP address tracking – Praćenje IP adrese
Jedna od najvažnijih značajki IPAM-a je njegova sposobnost praćenja IP adresa povezivanjem DHCP zakupa s događajima autentifikacije korisnika i računala na upravljanim domenskim kontrolerima i NPS poslužiteljima. Praćenje IP adrese omogućuje nam da otkrijemo koji je korisnik bio povezan s određenom IP adresom u određenom trenutku, što može biti važno kada pokušavamo utvrditi uzrok neovlaštene aktivnosti na mreži organizacije.
Zapise IP adresa možemo pretraživati pomoću jednog od sljedeća 4 parametra:
- Praćenje prema IP adresi. Možete pratiti putem IPv4 adrese, ali IPAM ne podržava praćenje putem IPv6 adrese.
- Praćenje prema ID-u klijenta. Možete pratiti prema ID-u klijenta u IPAM-u, što vam omogućuje praćenje aktivnosti IP adrese prema MAC adresi.
- Praćenje prema imenu hosta. Možete pratiti prema nazivu računala registriranom u DNS-u.
- Praćenje po korisničkom imenu. Možete pratiti korisničko ime, ali da biste to učinili morate unijeti i ime glavnog računala.
Naravno, možemo pratiti samo podatke koji su snimljeni otkako je IPAM implementiran. Dakle, iako je moguće pohraniti nekoliko godina podataka u Windows internu bazu podataka koju koristi IPAM, ograničeni smo samo na mogućnost dohvaćanja događaja snimljenih nakon konfiguracije IPAM-a.
Microsoft procjenjuje da interna baza podataka sustava Windows koju koristi IPAM može pohraniti 3 godine podataka o korištenju IP adrese za organizaciju koja ima 100.000 korisnika prije nego što se podaci moraju očistiti.
IPAM možemo koristiti za lociranje slobodnih podmreža i slobodnih raspona IP adresa u našoj postojećoj shemi IP adresa. Na primjer, ako trebamo 50 uzastopnih besplatnih IP adresa za projekt, možete upotrijebiti Find-IpamFreeRange PowerShell cmdlet kako biste utvrdili je li takav raspon prisutan u našem trenutnom okruženju.
Upravljanje IPAM-om pomoću PowerShell-a
IPAM-om možete upravljati pomoću Windows PowerShell cmdleta koji se nalaze u modulu IPAMServer.
Invoke-IpamGpoProvisioning -Domain mcsa.local -GpoPrefixName IPAM -IpamServerFqdn SERVER_X.mcsa.local -DelegatedGpoUser MCSA\Administrator -DomanController SERVERDC.mcsa.local -Force
U DomainAdmins grupu dodati SERVER_X.
U IPAMUG grupu dodati Domain Admins grupu.