Windows Server 2012 IPAM实战

54t23

在Windows Server 2012中，有一个新的功能：IP地址管理，简称为IPAM（IP Address Management），随着企业中DNS和DHCP服务器的增大，虽然图形化的界面能够让我们很容易的管理，但是，随着服务器越来越多，可能分散在不同的分部或者地区，假如我们能够很好的利用IPAM这个管理工具，我们还是可以减轻我们的管理负担以及监控好我们的服务的，IPAM是Windows  Server 12以及Windows Server 2012 R2提供的一个功能组件，接下来我们来看看IPAM能够給我们带来那些好处
导航到添加角色和功能向导中，勾选”IP地址管理（IPAM）服务器“
注意：在这里建议大家不要把IPAM安装在AD上（否则会出现我接下来提到的错误提示），但是我们可以安装在DNS或者DHCP服务器上

会弹出依赖功能的安装提示界面，默认即可，点击“添加功能”


点击“安装”开始IPAM功能

点击“关闭”完成IPAM功能的安装

我们可以在服务器管理界面下，看到IPAM这个节点了，点击IPAM

进入到IPAM服务器任务界面，单击“连接到IPAM服务器”

因为目前我们只有安装了一台IPAM服务器，所以上图中已经显示连接到我们的IPAM服务器了

下面开始第二部，设置IPAM服务器，点击进入

默认“下一步”

选择“基于组策略”然后输入我们的GPS名称前缀

点击“下一步”

点击“应用”可以看到提示IPAM部署失败，后来我查看原因，因为我把IPAM安装在DC上会出现此问题，解决办法就是把IPAM安装在其他成员服务器上，DNS服务器或者DHCP服务器，或者IPAM单独一台服务器都可以，IPAM服务对服务器性能基本没什么要求

下面我找到一台文件服务器安装上IPAM功能，重试以上步骤进行设置IPAM服务器，首先连接IPAM服务器

点击任务中的第二步：设置IPAM服务器，然后点击“下一步”

在设置数据库界面，我们可以使用Windows内部数据库，或者指定SQL Server数据库，我这里就选择Windows内部数据库了，然后点击“下一步”

选择“基于组策略”，然后输入GPO名称前缀，我这里输入的是IPAM01


点击“应用”可以看到弹出“已成功完成IPAM设置”的通知

下面我们继续第3步：配置服务器发现，点击进入

点击添加按钮添加根域


在这里我们需要注意的是，IPAM针对配置服务器发现，是有固定的计划任务的，我们设定好服务器发现后，我们也可以自行到计划任务里更改计划任务，计划任务在如下路径：

第4步，开始手动启动服务器发现，在完成服务器的发现后，我们可以看到提示信息，点击进入可以看到更多详细内容

点击进入可以看到信息如下

第5步，选择或添加服务器以管理和验证IPAM访问，点击进入
我们可以看到刚才我们发现的服务器以及目前服务器的状态，但是初次这里都显示IPAM访问状态为已阻止，我们需要完成一些操作后，才可以接触这个阻止状态，之前信息的朋友应该也看到相关提示了

下面我们需要打开Powershell命令行工具，建议以管理员打开

运行如下脚本，来完成IPAM组策略的创建，DOMAIN为我们的域名，GpoPrefixName为我们为IPAD所取的GPO名称，这里我使用的是IPAM01,而IpamServerFqdn为我们的IPAM服务器的FQDN

运行完命令后，我们可以在组策略对象下看到创建了3个组策略,如下图

在每台DNS服务上，右键节点，进入到安全选项，加入我们的IPAMUG这个安全组，允许读取权限

下面回到IPAM管理界面，进入到服务器清单，选中一台服务器，右键选择“编辑服务器”

我们根据服务器所承担的橘色，进行勾选，然后在可管理性状态下，选择“已托管”，然后点击“确定”

对其他服务器作相同操作即可，可以看到IPAM访问状态为已取消阻止状态了

在这里我们应该发现，我们DC和DNS有三台，我也不清楚怎么少了一台，下面我们手动来添加，在IPv4节点下的托管服务器下，右键选择添加服务器（注意：当我们在域环境中新增了成员服务器也可以在此处进行添加）

输入我们的服务器主机名，然后点击验证，即可解析出服务器的IP地址，选择服务器承担的角色，然后可管理性状态选择“已托管”，点击“确定”

可以看到服务器已经成功添加

在组策略中，我们也需要注意的是，当我们需要对服务器进行托管的话，就需要在相应的组策略下的作用域中，在安全筛选中添加我们的服务器

通过IPAM，我们可以看到托管的服务器的一些信息信息

初次进入我们的托管服务器，我们可能还没有看到服务器的具体星系，如下图，我们只需要刷新下就可以看到服务器的状态了

刷新后，可以看到服务器可用性为正在运行，说明托管已经成功

下面我们可以在IPAM下看到看到我们的DNS信息

下面我新增了两台DHCP服务器，如下图，在组策略加入到安全筛选中，然后添加服务器到我们的IPAM托管服务器中

添加完后，我们对我们的DHC服务器进行管理，可以看到我们DHCP的作用域了，作用域状态也为活动状态

我们可以在IPAM这个统一入口，对DHCP的作用域进行修改和其他操作

可以看到，我们可以在这里对DHCP进行统一管理了，IPAM是不是带给我们好处？相信微软后续的版本中会提供更过更好的功能

除此之外，IPAM也是基于角色进行管理的，在安装IPAM的服务器上，默认已经创建了如下角色，每个角色功能各不一样，这样我们就可以基于角色的进行权限委派了

在本地用户和组中，也能够看到创建了相应的组

欢迎大家一起学习IPAM的更多功能！凌晨了，还是洗洗睡吧~~