想要讓內(nèi)部網(wǎng)絡(luò)中的DHCP地址管理與DNS服務(wù)維運(yùn)更加容易，身為IT專家的您必須懂得善用由Windows Server 2012 R2所內(nèi)置提供 的 IPAM（IP Address Management）功能，來幫助您讓企業(yè)IP地址的管理工作化繁為簡(jiǎn)。

同樣是Active Directory域環(huán)境，在規(guī)模越大的企業(yè)之中所要維護(hù)與監(jiān)控的DNS與DHCP服務(wù)器就越多，它們可能分散在各點(diǎn)的分支辦公區(qū)域中，來提供當(dāng)?shù)乜蛻舳擞?jì)算機(jī)的網(wǎng)絡(luò)聯(lián)機(jī)服務(wù)。然而這兩類的服務(wù)器配置看似簡(jiǎn)單，但卻是需要無時(shí)無刻不間斷地提供服務(wù)，否則將會(huì)導(dǎo)致一切協(xié)同運(yùn)作中止。

如今企業(yè)中所使用的DHCP與DNS服務(wù)器，盡管大部分都已是使用Windows Server來設(shè)置，管理起來也相當(dāng)容易。但是一旦數(shù)量很多且又分散在各地時(shí)，從發(fā)現(xiàn)、監(jiān)控到審核等管理操作便會(huì)變得相當(dāng)復(fù)雜與困難，若管理不當(dāng)，可能會(huì)造成公司營(yíng)運(yùn)的損失，想要輕松管理好卻又苦于沒有理想的解決方案，該如何是好呢？

如今您只要善用IPAM（IP Address Managememt）這項(xiàng)網(wǎng)絡(luò)管理工具，便可以大幅減輕追蹤IP地址使用狀況的問題，以及同時(shí)幫您監(jiān)控好DHCP和DNS服務(wù)的運(yùn)行，它是Windows Server 2012與Windows Server 2012 R2中所提供的一項(xiàng)網(wǎng)絡(luò)功能。

IPAM基礎(chǔ)設(shè)置與使用

接下來就讓我們開始來學(xué)習(xí)一下，如何在現(xiàn)有的Active Directory網(wǎng)絡(luò)環(huán)境中，來設(shè)置與使用IPAM功能。首先請(qǐng)?jiān)凇胺?wù)器管理員”接口中點(diǎn)擊開啟“新增角色及功能向?qū)А保缓筮B續(xù)點(diǎn)擊“下一步”進(jìn)入“選取功能”頁(yè)面，勾選“IP地址管理(IPAM)服務(wù)器”項(xiàng)勾并點(diǎn)擊“完成”。

注意：您無法在Active Directory域控制器的服務(wù)器上安裝IPAM功能。

完成了IPAM功能的安裝之后，接下來便可以從“服務(wù)器管理員”接口看到多出了“IPAM”的管理標(biāo)簽頁(yè)。我們必須完成有關(guān)于IPAM的相關(guān)設(shè)置。在“概觀”頁(yè)面中點(diǎn)擊“聯(lián)機(jī)至IPAM服務(wù)器”連接。在“聯(lián)機(jī)至IPAM服務(wù)器”頁(yè)面中，可以選擇目前可用的IPAM服務(wù)器來進(jìn)行聯(lián)機(jī)管理。當(dāng)您目前只有一部IPAM服務(wù)器，這項(xiàng)設(shè)置步驟是可以省略的。點(diǎn)擊“確定”。再回到面板中的“IPAM服務(wù)器工作”頁(yè)面，點(diǎn)擊“部署IPAM服務(wù)器”連接繼續(xù)。在“在您開始前”頁(yè)面中，可以看到關(guān)于IPAM功能的介紹。點(diǎn)擊“下一步”。

圖11 新增或編輯服務(wù)器

在“設(shè) 置 數(shù) 據(jù) 庫(kù)”頁(yè)面中，可以選擇使用默認(rèn)的“Windows內(nèi) 部 數(shù) 據(jù) 庫(kù)（WID）”，或是使用指定的現(xiàn)有“Microsoft SQL Server”實(shí)例聯(lián)機(jī)。如果選擇后者，請(qǐng)正確設(shè)置服務(wù)器名稱、數(shù)據(jù)庫(kù)名稱、端口。點(diǎn)擊“下一步”。在“選擇部署方法”頁(yè)面中，可以選擇要采用“手動(dòng)”還是“組策略型”的方式來集中管理服務(wù)器，這些服務(wù)器所指的便是DNS、DHCP以及NPS服務(wù)器。在此我以最簡(jiǎn)單的“組策略型”方式，來部署與應(yīng)用所需要的網(wǎng)絡(luò)共享、安全設(shè)置以及防火墻規(guī)則的設(shè)置。請(qǐng)輸入“GPO名稱前綴”，后續(xù)將以此名稱來做為建立IPAM的組策略對(duì)象之開頭命名。點(diǎn)擊“下一步”。在“摘要”頁(yè)面中，可以看到即將建立的各項(xiàng)組策略對(duì)象名稱，以及即將在本機(jī)內(nèi)部數(shù)據(jù)庫(kù)系統(tǒng)建立IPAM的專屬數(shù)據(jù)庫(kù)。點(diǎn)擊“應(yīng)用”。

再一次回到面板中的“IPAM服務(wù)器工作”頁(yè)面，點(diǎn)擊“設(shè)置服務(wù)器發(fā)現(xiàn)”連接繼續(xù)。在“設(shè)置服務(wù)器發(fā)現(xiàn)”頁(yè)面中，將可以選取所要發(fā)現(xiàn)的域并且點(diǎn)擊“新增”按鈕，然后在從指定的域中勾選后續(xù)所要發(fā)現(xiàn)的服務(wù)器類型，在此我們勾選域控制器、DHCP服務(wù)器、DNS服務(wù)器。點(diǎn)擊“確定”。

注意：IPAM針對(duì)域服務(wù)器的發(fā)現(xiàn)是有固定計(jì)劃的，您可以自行開啟Windows Server 2012 R2在附屬應(yīng)用程序之中的計(jì)劃任務(wù)，然后修改位于MicrosoftWindowsIPAMServerDiscovery的默認(rèn)計(jì)劃設(shè)置。

接著再回到面板中的“IPAM服務(wù)器工作”頁(yè)面，點(diǎn)擊“啟動(dòng)服務(wù)器發(fā)現(xiàn)任務(wù)”，這項(xiàng)功能將于目前的域之中尋找所有即將被集中監(jiān)控服務(wù)器，這包括擔(dān)任DNS、DHCP以及DC角色的服務(wù)器。在服務(wù)器發(fā)現(xiàn)任務(wù)的過程中，我們?nèi)绾沃滥壳暗娜蝿?wù)進(jìn)度呢？很簡(jiǎn)單，只要開啟“Overview工作詳細(xì)信息”頁(yè)面即可查看到。在成功完成IPAM對(duì)于服務(wù)器的發(fā)現(xiàn)任務(wù)之后，我們便可以在面板的上方看到相關(guān)的提示信息。請(qǐng)點(diǎn)選“選取或新增要管理及驗(yàn)證IPAM存取的服務(wù)器”連接。在“服務(wù)器清單”頁(yè)面中，看到目前所連接的域控制器服務(wù)器狀態(tài)，這包括了IPAM的存取狀態(tài)以及數(shù)據(jù)捕獲狀態(tài)。

完成IPAM組策略部署

由于在初步連接時(shí)IPAM的存取狀態(tài)是“已封鎖”，因此接下來我們還必須完成一些設(shè)置操作，才能夠讓它們之間的連接正常運(yùn)行。請(qǐng)先切換到面板的“所有服務(wù)器”頁(yè)面，然后針對(duì)IPAM服務(wù)器項(xiàng)目點(diǎn)擊鼠標(biāo)右鍵，選擇“Windows PowerShell”。 在 開 啟 了Windows PowerShell命令控制臺(tái)之后，執(zhí)行以下命令與參數(shù)，來完成IPAM組策略的部署，其中GpoPrefixName參數(shù)值必須是當(dāng)時(shí)所設(shè)置的組策略前綴，至于IpamServerFqdn的值則必須是IPAM服務(wù)器的完整服務(wù)器名稱。

Invoke-Ipam Gpo Provisioning -Domain lab01-GpoPrefixName IPAM01-IpamServerFqdn IPAM01.lab01.com

在完成了IPAM組策略的設(shè)置之后，請(qǐng)開啟組策略管理接口，便可以看見位于“組策略對(duì)象”節(jié)點(diǎn)下，已經(jīng)自動(dòng)完成建立的相關(guān)IPAM組策略對(duì)象。緊接著您還可以在DNS服務(wù)器的管理接口，開啟服務(wù)器屬性。在“安全”頁(yè)面中，將可以發(fā)現(xiàn)系統(tǒng)已授權(quán)一個(gè)讀取權(quán)限給專屬的IPAMUG系統(tǒng)賬戶。

再回到IPAM“服務(wù)器清單”頁(yè)面，在選取目前服務(wù)器項(xiàng)目之后，點(diǎn)擊鼠標(biāo)右鍵，選擇“編輯服務(wù)器”。在如圖11所示的“新增或編輯服務(wù)器”頁(yè)面中，確認(rèn)已經(jīng)將“服務(wù)器類型”中的DC、DNS、DHCP項(xiàng)目勾選，然后再?gòu)摹肮芾硇誀顟B(tài)”下拉選單中，選取“受管理的”。點(diǎn)擊“確定”。接著，在每一部受管理的域服務(wù)器中，開啟命令行執(zhí)行g(shù)roupdate /force命令，以完成最新組策略的應(yīng)用。

使用IPAM監(jiān)視NPS運(yùn)行

未來如果想要加入對(duì)于NPS服務(wù)器的管理時(shí)該怎么做呢？很簡(jiǎn)單，只要在IPv4的節(jié)點(diǎn)上點(diǎn)擊鼠標(biāo)右鍵，點(diǎn)擊“新增服務(wù)器”。接著在“新增或編輯服務(wù)器”頁(yè)面中，先輸入NPS的完整服務(wù)器名稱并且點(diǎn)擊“驗(yàn)證”按鈕，然后再惟一勾選“NPS服務(wù)器”以及將管理性狀態(tài)選擇為“受管理的”。點(diǎn)擊“確定”即可。

完成了NPS服務(wù)器的新增設(shè)置之后，接下來我們可以再開啟“組策略管理”窗口，便可以在組策略對(duì)象的“安全性篩選”設(shè)置中，看到加入了對(duì)于NPS服務(wù)器的應(yīng)用。在成功完成了IPAM對(duì)于DC、DNS、DHCP以及NPS服務(wù)器的發(fā)現(xiàn)與聯(lián)機(jī)之后，我們便可以在“服務(wù)器清單”頁(yè)面中，查看到目前對(duì)于這些服務(wù)器的IPAM存取已經(jīng)不存在，并且正處于受管理的狀態(tài)下運(yùn)行。在“詳細(xì)數(shù)據(jù)”頁(yè)面中，則可以看到目前此服務(wù)器的完整網(wǎng)絡(luò)信息以及相關(guān)服務(wù)的存取狀態(tài)。

對(duì)于大型企業(yè)的IT部門來說，網(wǎng)絡(luò)管理工作一直以來都是一件相當(dāng)復(fù)雜的工作，因此肯定需要許多好用的網(wǎng)管工具，來協(xié)助IT人員輕松解決各式各樣的管理需求。以Microsoft Windows為基礎(chǔ)的網(wǎng)絡(luò)環(huán)境來說，使用Microsoft自家內(nèi)置的功能或自家另外提供的解決方案，是最為合適的。而目前從Windows Server 2012 R2版本開始所內(nèi)置的IPAM功能，盡管目前已經(jīng)有一些相當(dāng)不錯(cuò)的管理功能，但相信在未來肯定還有更多的發(fā)展空間，可以加入更多更好的功能，來幫助企業(yè)解決更多IP地址的管理問題，這包括了與硬件廠商的整合管理機(jī)制等。