IP-Adressverwaltungsserver (IPAM) in Windows Server 8 Server DNS- und DHCP-Server professionell verwalten und absichern

Autor / Redakteur: Thomas Joos / Dipl.-Ing. (FH) Andreas Donner

Eine der Neuerungen in Windows 8 Server ist der IP-Adress-Verwaltungsserver (IPAM). Die Serverlösung führt die IP-adressverwaltenden Server im Netzwerk in einer gemeinsamen Oberfläche zusammen, um diese zentral zu verwalten und zu überwachen. Ersetzen wird IPAM die DHCP- und DNS-Verwaltungskonsolen aber nicht.

Firmen zum Thema

Zentrale Verwaltung der IP-Infrastruktur mit der IP-Adressenverwaltung (IPAM)
Zentrale Verwaltung der IP-Infrastruktur mit der IP-Adressenverwaltung (IPAM)

Natürlich gibt es weiterhin Verwaltungskonsolen für DHCP und DNS. Diese sind auch in Windows 8 Server noch notwendig. Zwar lassen sich viele Einstellungen von DHCP auch in der IPAM-Konsole vornehmen, aber für erweiterte Aufgaben wie Ausfallsicherheit von DHCP-Servern ist weiterhin die DHCP-Konsole notwendig. Unternehmen die zahlreiche Namensserver verwalten müssen, sollten aber einen Blick auf IPAM werfen. IPAM dient nicht nur der Überwachung von DNS- und DHCP-Servern, sondern bietet auch eine effiziente Verwaltungsmöglichkeit dieser Server und – zwar in einer gemeinsamen Oberfläche.

Microsoft geht mit der neuen Serverrolle auf die ständig wachsende Anzahl an DNS- und DHCP-Servern in Unternehmen und der damit verbundenen komplizierteren Verwaltung ein. Damit Administratoren einen Überblick über die verschiedenen IP-Adressbereiche und DNS-Domänen erhalten, sind oft Zusatztools oder Excel-Tabellen im Einsatz in denen die Daten aufgelistet sind. Damit soll IPAM Schluss machen. IPAM verfügt im Wesentlichen über folgende Funktionen:

Bildergalerie
Bildergalerie mit 5 Bildern
  • Automatisches Auffinden der IP-Adress-Infrastruktur im Unternehmen
  • Erstellen von Berichten für IP-Infrastrukturen
  • Überwachung der Infrastruktur-Server im Netzwerk und der vorhandenen IP-Adressen
  • Überwachung von Netzwerkzugriffschutz-Servern
  • Überwachung von Domänencontrollern

IPAM-Konzeption

IPAM sollte auf einem Mitgliedsserver der Domäne installiert sein. Microsoft erlaubt aber auch die Installation auf einem Domänencontroller. Bei der Bereitstellung gibt es mehrere Möglichkeiten. Administratoren können in jeder Niederlassung einen IPAM-Server installieren, oder einen zentralen IPAM-Server bereitstellen, der alle Daten des Unternehmens sammelt. Setzen Unternehmen verschiedene IPAM-Server ein, können diese ihre Daten aber nicht untereinander austauschen. Alle Server arbeiten komplett getrennt voneinander.

IPAM hat seine Grenzen in der Gesamtstruktur. Das heißt ein Server kann immer nur die Infrastrukturserver seiner Gesamtstruktur und aller angebundenen Domänen verwalten. Der Server muss dabei zwingend Mitglied einer Domäne in der Gesamtstruktur sein. Welche das ist, spielt dagegen keine Rolle.

Außerdem lassen sich mit IPAM nur korrekte und funktionierende Infrastruktur-Server (NPS, DC, DNS und DHCP) verwalten und überwachen. Neben Windows 8 Server kann IPAM auch Infrastruktur-Server mit Windows Server 2008 und Windows Server 2008 R2 anbinden. Externe Geräte, DHCP Relays oder WINS kann IPAM nicht überwachen, das gilt auch für Infrastrukturdienste aus anderen Betriebssystemen. Auch eine Überprüfung der Konsistenz der IP-Adressen mit Routern oder Switches ist nicht möglich.

IPAM-Funktionsweise

Ein einzelner IPAM-Server kann laut Microsoft bis zu 150 DCHP-Server, 500 DNS-Server, 6.000 DHCP-IP-Adressbereiche, 3 Millionen IPv4-Adressen, 3 Millionen IPv6-Adressen sowie 40.000 DNS-Einträge und bis zu 300 DNS-Zonen überwachen.

Seine Daten speichert IPAM in einer eigenen Datenbank bis zu 3 Jahre lang. Dabei berücksichtigt der Server auch IP-Adress-Leases und An- oder Abmeldevorgänge von Benutzern. Das Löschen der internen Windows-Datenbank von IPAM müssen Administratoren manuell in der Verwaltungskonsole vornehmen.

Die IPAM-Daten liegen immer in der internen Windows-Datenbank. Es gibt keine Möglichkeit die Daten in einer externen Datenbank auszulagern, auch nicht zu Microsoft SQL-Servern.

weiter mit: IPAM im Praxiseinsatz

IPAM im Praxiseinsatz

Nach der Installation des Server-Features über den Server-Manager (siehe Abbildung 1) müssen Administratoren zunächst festlegen welchen IP-Bereich, welche Domäne oder Gesamtstruktur IPAM nach zu verwalteten Servern durchsuchen soll.

Den festgelegten Bereich durchsucht IPAM automatisch und bindet neue Server oder IP-Bereiche an das System an. Damit sich Infrastrukturserver mit IPAM verwalten lassen, müssen Einstellungen in der Firewall gesetzt sein. Diese können Administratoren manuell setzen, oder über Gruppenrichtlinien. Sie lassen sich über einen Assistenten erstellen und einrichten. Den Assistenten finden Administratoren im Server-Manager (siehe Abbildung 2). Zur Kommunikation mit den verwalteten Servern im Netzwerk verwendet IPAM RPC und WMI.

Sobald die Richtlinien oder manuellen Einstellungen gesetzt sind, können Administratoren das Netzwerk auf kompatible Server hin untersuchen lassen (siehe Abbildung 3). Auch diesen Vorgang starten Administratoren über den Server-Manager im IPAM-Bereich. Hierbei muss auch ausgewählt werden, welche Server IPAM anbinden soll. Zur Auswahl stehen Domänencontroller, DHCP-Server und DNS-Server. Diese lassen sich für jede Domäne genau auswählen.

IPAM sucht über einen Zeitplan ständig nach neuen Servern im festgelegten Bereich. Den Zeitplan ändern Administratoren über die Windows-Aufgaben Microsoft\Windows\IPAM\DiscoveryTask. Für jeden einzelnen Server lässt sich festlegen ob dieser an IPAM angebunden werden soll oder nicht. Zur Verwaltung bietet IPAM auch ein Rechtemodell auf Basis der Mitgliedschaft in Sicherheitsgruppen:

  • IPAM Users – Mitglieder dieser Gruppe dürfen IPAM-Daten lesen, aber keine Einstellungen ändern
  • IPAM MSM Administrators – Mitglieder dieser Gruppe dürfen lesen und schreiben. IPAM-Aufgaben dürfen die Administratoren ebenso durchführen, wie die Verwaltung der angebundenen Server.
  • IPAM ASM Administrators – Diese Administratoren dürfen IP-Adressbereiche verwalten und andere IPAM-Aufgaben durchführen. In dieser Gruppe sollten die Netzwerk-Administratoren Mitglied sein.
  • IPAM IP Tracking Administrators – Diese Administratoren dürfen die Tracking-Daten der IP-Adressen betrachten.
  • IPAM Administrators – Diese Administratoren dürfen innerhalb von IPAM alle Aufgaben durchführen.

IPAM IP-Verwaltung

IPAM verwaltet IP-Adressen in IP-Adressbereichen und fasst Bereiche zu ganzen Blöcken zusammen. Die Blöcke können Administratoren bearbeiten und überwachen. DNS- und DHCP-Server bindet IPAM ebenfalls an. Für DHCP-Server können Administratoren zum Beispiel Bereiche erstellen, Servereinstellungen ändern oder Klassen anlegen. Auf diese Weise verwalten Unternehmen alle DHCP-Server zentral in der IPAM-Konsole.

Für DNS-Server lassen sich alle Zonen anzeigen und überwachen. Administratoren, die sich näher mit IPAM auseinandersetzen wollen, können bei Microsoft hierfür ein erläuterndes Whitepaper herunterladen. In diesem Dokument finden Administratoren eine ausführliche Anleitung, wie IPAM eingerichtet wird.

Die IPAM-Konsole zeigt darüber hinaus noch die gesammelten Ereignisanzeigen aller angebundenen Serverdienste an (siehe Abbildung 4). Die komplette Verwaltung von IPAM nehmen Administratoren im Server-Manager vor. Hierüber lassen sich auch die einzelnen Aufgaben erstellen und verwalten (siehe Abbildung 5).

(ID:33249910)