IPAM: IP-Adressen verwalten mit Windows Server 2012 R2


    Tags: , ,

    IPAM in Windows Server 2012 R2Gerade in großen IP-Netzwerken, in denen mehrere DHCP- und DNS-Server laufen und wo nebenbei auch feste Adressen vergeben werden, benötigen Administratoren geeignete Tools, um den Überblick zu behalten. Nachdem mehrere Drittanbieter schon länger derartige IPAM-Software anbieten, lieferte Microsoft mit Windows Server 2012 erstmals ein solches Modul aus, das es in 2012 R2 weiter ausbaute.

    Die im Zusammenhang mit IPAM am häufigsten genannte Anforderung besteht darin, Adresskonflikte durch doppelte Vergabe von IPs zu verhindern und dadurch dem Ausfall von Anwendungen vorzubeugen. Die viel zitierte Excel-Tabelle zu ersetzen ist jedoch nur eine Funktion unter vielen, die eine IP-Adressverwaltung zu leisten hat.

    Zentrales Management von DHCP und DNS

    Das Hauptmerkmal von IPAM besteht indes darin, dass es sich als zentrale Management-Schicht über DHCP-, DNS- sowie NPS-Server legt und deren Daten sammeln und auswerten kann. Damit erhält man nicht nur eine einheitliche Sicht auf den gesamten Adressraum, sondern kann DHCP und DNS unternehmensweit über eine einzige Konsole verwalten.

    In der einfachsten Darstellung zeigt IPAM die belegten IPs als Liste, in größeren Netzen kann man sie in Blöcken organisieren.

    Diese ist als ein Plugin für den Server Manager realisiert, das zusammen mit IPAM als optionale Komponente installiert werden kann. Für die Fernverwaltung eines IPAM-Servers von einer Workstation aus bringen die RSAT für Windows 8.1 die Konsole ebenfalls mit. Aufgrund einiger Neuerungen von IPAM in Windows Server 2012 R2 kann man es jedoch nicht mit RSAT für Windows 8 verwalten.

    Limitierungen von IPAM in Windows Server

    Das IPAM-Feature in Windows Server 2012 R2 verfolgt grundsätzlich einen ähnlichen Anspruch wie die Tools von anderen Anbietern, es weist aber noch eine Reihe von Einschränkungen auf, die seinen Nutzen gerade in heterogenen Umgebungen schmälern.

    Dazu zählt besonders die Einengung auf DNS- und DHCP-Server, die unter Windows Server (ab 2008) laufen und die sich im gleichen AD-Forest befinden müssen wie der IPAM-Server. Wenn diese Netzdienste von Tools oder Geräten anderer Hersteller erbracht werden, dann beschränkt sich ihre Integration auf den Import und Export von IP-Adressdaten mittels PowerShell.

    Das DHCP-Management von IPAM wurde in der Server 2012 R2 deutlich erweitert, so dass der DHCP-Client kaum noch erforderlich ist.

    Aber auch beim Management der Microsoft-eigenen DNS- und DHCP-Implementierungen zeigt das relativ neue Server-Feature noch einige Limitierungen. So kann es zwar im Release 2 die meisten Aufgaben bei der DHCP-Verwaltung übernehmen, aber das DNS-Management beschränkt sich weitgehend auf Monitoring und Reporting. Für Änderungen der DNS-Konfiguration kann man den nativen Client aus der IPAM-Konsole starten.

    Tauglich für große Netzwerke

    In puncto Skalierbarkeit beansprucht die Microsoft-Lösung jedoch Enterprise-Tauglichkeit. Nach Angaben des Herstellers lassen sich damit bis zu 150 DHCP- und bis zu 500 DNS-Server sowie bis zu 40.000 DHCP-Bereiche und bis zu 350 DNS-Zonen verwalten. Darüber hinaus speichert der IPAM-Server bis zu 3 Jahre lang forensische Daten. Gemeint sind damit alle Informationen, die eine nachträgliche Recherche in den Konfigurationsänderungen der Netzdienste und in der Nutzung von IP-Adressen erlaubt.

    Zu diesem Zweck sammelt es die Log-Daten der verwalteten Server an zentraler Stelle. In der Version 1.0 unter Server 2012 ließ sich dafür nur die interne Windows-Datenbank verwenden. Eine Neuerung von Server 2012 besteht nun darin, dass er auch SQL Server unterstützt.

    Rollenbasierte Verwaltung

    Ein weiteres Feature, das in Release 2 dazukam, ist die rollenbasierte Administration. Nachdem sich IPAM als zentrale Schaltstelle für drei wesentliche Netzwerkdienste präsentiert, erlaubt es zahlreiche Verwaltungstätigkeiten. Bei solchen komplexen Tools sollen einzelne Aufgaben oft an bestimmte Admins oder User delegiert werden, ohne dass diese gleich einen privilegierten Zugriff auf das gesamte System haben.

    Bei Bedarf kann man aus den zahlreichen Einzelrechten eine neue Rolle zusammenstellen.

    IPAM enthält bereits 8 vordefinierte Rollen für das Eintragen von Adressen, die Definition von Adressblöcken sowie das Management von DNS- und DHCP-Servern. Darüber hinaus kann man auf Basis der zahlreichen fein abgestuften Rechte eigene Rollen definieren. Anschließend weist man sie Benutzern und Gruppen über den Menüpunkt Zugriffsrichtlinien zu.

    Fazit

    Insgesamt bedeutet die Einführung und Weiterentwicklung von IPAM einen großen Fortschritt für das Netzwerk-Management mit Windows-Bordmitteln. Seinen Nutzen entfaltet es primär in möglichst homogenen Microsoft-Umgebungen.

    Wenn die in Windows integrierte IP-Adressverwaltung nicht ausreicht, dann steht eine ganze Reihe von alternativen Produkten zur Verfügung. Darunter finden sich für kleinere Netze auch einige kostenlose Tools, wie etwa die Express Edition von Infoblox oder für noch geringere Ansprüche den IP Address Tracker von SolarWinds.

    Keine Kommentare