ipam_ip address management_ed: march2017

412 جلسهIPAMششم

IPAMA.Torabi-2015 Latest update: March 2017

412 جلسهIPAMششم

412 جلسهششم

: اول بخشسرویس به مربوط IPAMمفاهیم

IPAM

بخش این اسالیدهای تهیه برای شده استفاده :منابع

اندازی - راه و نصب آموزش عبدی - IPAMویدیوی http://www.aparat.com/v/M6KvIمهندس

رشوند - مهندس درس کالس ویدیویMicrosoftvirtualacademy-

technet.microsoft.com-

Training Guide Configuring Advanced Windows Server 2012 R2 Services.pdf-

IPAM concepts

412 جلسهششم

IPAM مخففعبارت :

IPAM

IP address management

412 جلسهششم

چه کاربردی در شبکه دارد؟IPAM سرویس

IPAM

PLANNING-TRACKING-MANAGING

412 جلسهششم

IPAMسرویس در چه ورژنی از ویندوز سرور ارائه شد؟

IPAM

Windows Server 2012,

Windows Server 2012 R2

412 جلسهIPAMششم

IPAM enables you to centrally manage DHCP and DNS servers.

412 جلسهIPAMششم

با چه سرویس هاییIntegrateمی شود ؟

IPAM

⚫DHCP Server ⚫⚫DNS Server

⚫⚫⚫Network Policy Server (NPS) ⚫⚫⚫⚫Active Directory Domain Controller (DC)

412 جلسهIPAMششم

MICROSOFTACTIVE DIRECTORY

CENTRALIZED MANAGEMENT

MICROSOFTDOMAIN CONTROLLER

MICROSOFT DHCP SERVER

MICROSOFT DNS SERVER

412 جلسهIPAMششم

You can use IP address tracking to search the IPAM database on the basis of IP address, MAC address, computer name, or user

name.

412 جلسهIPAMششم

Install-WindowsFeature IPAM -IncludeManagementTools

را از دو طریق می توان نصب IPAMفیچر کرد

412 جلسهIPAMششم

If IPAM Server is running on a computer that is also running the DHCP Server role, discovery of DHCP servers

on the network will be disabled.

باید رعایت کنید...ipamنکاتی که در نصب

IPAM و DHCP را روی یک سرور نصب نکنید

412 جلسهIPAMششم

You cannot deploy the IPAM server

on a domain controller.

باید رعایت کنید...ipamنکاتی که در نصب

412 جلسهIPAMششم

You should not deploy a DNS or DHCP server on the IPAM server if you want to manage those servers using IPAM.

هیچ سرویس دیگری نصب نشودIPAMبهتر است روی سرور حتی بهتر است بصورت مستقیم روی این سرور الگین نکنید!

به این صورت باشد که روی سیستم دیگری با ویندوز IPAMو الگین روی سرور بصورت ریموت الگین کنیدIPAM را نصب کنید و به سرور RSAT سرویس 8.1

باید رعایت کنید...ipamنکاتی که در نصب

412 جلسهIPAMششم

بهتر است بصورت مستقیم الگین نکنید!IPAM روی سرور

به این صورت IPAMو الگین روی سرور 8.1باشد که روی سیستم دیگری با ویندوز

را نصب کنید و به سرور RSATسرویس IPAMبصورت ریموت الگین کنید

باید رعایت کنید...ipamنکاتی که در نصب

412 جلسهIPAMششم

The IPAM server must be a member of an Active Directory domain

and can only manage DHCP and DNS servers that are members of

the same forest.

نکات

412 جلسهIPAMششم

Members of theDomain Admins group and Enterprise Admins groupshave full administrative access to the IPAM server.

نکات

412 جلسهIPAMششم

دو گزینه پیش روی ما قرار خواهد دادIPAMویزارد نصب در مورد دیتا بیس مشخص کنیم IPAM را بعنوان دیتابیس WIDیا اینکه

بعنوان دیتا بیس استفاده کنیمMS SQLیا از

IPAMمشخص کردن دیتا بیس برای سرویس Configure IPAM database storage

412 جلسهIPAMششم

Windows Internal Database(WID)

IPAMمشخص کردن دیتا بیس برای سرویس

412 جلسه IPAMThe IPAM role available with Windowsششم

Server 2012 R2 can use a SQL Server 2012 instance to host the IPAM

database. 2012در ویندوز سرورR2 با این امکان ارائه IPAMسرویس

MS SQL SERVERشد که از بعنوان محلی برای قرار 2012

دادن دیتابیس خوzد استفاده کند

IPAMمشخص کردن دیتا بیس برای سرویس

412 جلسهIPAMششم

بهتر است یک سرور SQL مجزا به عنوان

در IPAMدیتا بیس نظر گرفته شود

IPAMمشخص کردن دیتا بیس برای سرویس

412 جلسهIPAMChose an IPAM Provisioning Methodششم

The provisioning method is the process of enabling required permissions, files shares, and access settings on managed servers so that the IPAM server can communicate with them. You can choose either the manual or Group Policy Based method. Pick the one that’s best for you and

remember, you can’t change it later.

https

://b

logs

.tech

net.m

icro

soft.

com

/can

itpro

/201

3/08

/15/

step

-by-

step

-se

tup-

win

dow

s-se

rver

-201

2-ip

am-in

-you

r-env

ironm

ent/

412 جلسهIPAMششم

IPAM Provisioning Methods: 1-Manual 👉2-Group Policy Based

Chose an IPAM Provisioning Method

412 جلسهIPAMششم

اسالید های بعدی بخش اول حاوی نکاتی است که در IPAMآزمونهای مایکروسافت در رابطه با سرویس

بیشتر مد نظر قرار گرفته است و برای نصب این سرویس نیازی به مطالعه این اسالید ها نیست

412 جلسه IPAMThere are five local security groupsششم

on the IPAM server that you can use to delegate administrative privileges.

��

412 جلسه IPAMIPAM Users Members of this group are able to view IPAM server informationششم

such as address space and operational event information, but they are unable to view IP address tracking information. IPAM MSM Administrators MSM stands for multi-server management. Users added to this group have all the rights of the IPAM Users group and are able to perform common IPAM management tasks such as managing server inventory. They have read-only access to the IP address space. They are unable to view or perform IP address tracking tasks. IPAM ASM Administrators ASM stands for address space management administrator. Users added to this group are able to perform all tasks that can be performed by members of the IPAM Users group, but they are also able to manage the IP address space. They cannot perform monitoring tasks and are unable to perform IP address tracking tasks. IPAM IP Audit Administrators Members of this group are able to manage server inventory and perform common management tasks, but they have read-only access to the IP address space and IP address tracking information. IPAM Administrators Members of this group are able to perform all tasks on the IPAM server including viewing IP address tracking information.

412 جلسهIPAMششم

(MSM)

Multi-server management

IPAM administration

Management that allow administrators to perform IPAM common tasks and server management tasks.

412 جلسهIPAMششم

(ASM)

Address space management

IPAM administration

Management that allow administrators to perform

IPAM common tasks and address space tasks.

412 جلسهIPAM ارائه میدهدIPAM server امکاناتی کهششم

SOU

RCE:

ww

w.a

bdy.

ir_Ab

di.A

moo

zesh

@gm

ail.c

om

1- Address Space Management

2- Virtual Address Space Management

3- Multi-Server Management and Monitoring

4- Network Audit

5- Role-Base Access Control

412 جلسهIPAMششم

آدرسها به دو صورت داینامیک و استاتیکIPمدیریت یکپارچه فضای

)همپوشانی-روی overlapsیا Conflict آدرس هایی که درشبکه ما دچارIPتشخیص و مدیریت هم افتادن( شده اند

های ما در شبکهip address spaceنمایش موجودی

آدرس ها و ipنظارت متمرکز و امکان گزارش گیری از آمار میزان استفاده از روند آن در شبکه

1- Address Space ManagementSO

URC

E:htt

p://

ww

w.a

para

t.com

/v/M

6KvI

412 جلسهIPAMششم

IPAM 2012 بر روی ویندوز سرورR2 توانایی مدیریت فضای IP ادرس های مجازی را در سطح شبکه خواهد داشت.

Microsoft که از ابزار هایVMM (virtual machin managerبا استفاده از system center).است

2- Virtual Address Space Management

412 جلسهIPAMششم

IPAM داخل فارست اکتیو دایرکتوری قادراست

بصورت اتوماتیک DNSسرورهاوDHCP

کند DISCOVERسرورها را و در دسترس بودن آنها را

مشخص کرده وامکان مدیریت آنها را به شرط

مایکروسافتی بودن فراهم می کند

DHCPبه شرط آنکه سرور روی DNSسرور و

یا 2008ویندوز سرور ورژنهای باالتر نصب شده

باشد.

3- Multi-Server Management and MonitoringSO

URC

E: w

ww

.abd

y.ir_

Abdi

.Am

ooze

sh@

gmai

l.com

412 جلسهIPAMششم

4- Network Audit

به ما این امکان IPAMاین مولفه در را میدهد تا از تغییرات پیکربندی

DHCPکوئری دریافت کنیم وهمچنین در بازه های زمانی

IPمشخص یوزرها و دیوایس هاو ادرس ها را ردیابی کنیم

و همچنین از تغییراتی که روی خود IPAM سرور رخ داده گزارش تهیه کنیم

همه موارد فوق به ما در رفع CONFIGURATION PROBLEM هاییکه

شده است SLAباعث پایین آمدن کمک میکنند.

(SLAمخفف service level agreement و به معنای توافق نامه سطح خدمات, است.(

412 جلسهIPAMششم

برای مدیران شبکه این امکان را فراهم میکند تا انواع ,با توجه به نیاز عملیات و مجوزهای دسترسی مناسب

تعریف کند. IPAMکاربران و گروه ها را بر روی آبجکتها ,در 👇

5- Role-Base Access ControlSO

URC

E:htt

p://

ww

w.a

para

t.com

/v/M

6KvI

412 جلسهIPAMششم

SOU

RCE:

tech

net.m

icro

soft.

com

412 جلسهششم

: دوم بخشسرویس اندازی راه و نصب

IPAM ویندوزسرور در2012R2

IPAM

INSTALLING AND CONFIGURING IPAM ON SERVER 2012R2

412 جلسهIPAMششم

را روی IPAMفیچر سروری که عضو

Member Server))دامین باشد

و دامین کنترلر نباشد نصب میکنیم

412 جلسهIPAMششم

بعد از نصب این فیچرserver manager در کنسول

اضافه شده است.IPAM آیتم روی این آیتم کلیک کنید....

412 جلسهIPAMششم

مشخص شده در حال حاضر Wizard مرحله بصورت 6 درقالب IPAMمراحل کانفیگ )به معنی PROVISIONING هستیم پس می رویم سراغ مرحله IPAM SERVERروی

و این به این معنی است که…تهیه و تدارک ملزومات برای آینده( روی گزینه دوم کلیک کنید....

412 جلسهIPAMششم

و این به این معنی است که یا از طریق گروپ پالیسیباید

بصورت دستی شرایطی را فراهم کنیم که

IPAM SERVER ییکه قرار )کامپیوترها( به سرورها

monitor یا manageاست شوند دسترسی داشته باشد

کلیک کنید.... NEXTروی گزینه

412 جلسهIPAMششم

IPAMدر این مرحله برای مشخص میکنید که اطالعاتش را

در کدام دیتا بیس قرار دهد؟ که دیتا بیس پیشفرض WIDدر

خود ویندوز است و آدرس آن هم در کادر مشخص است یا در

Microsoft SQL Server

گزینه اول بصورت پیش فرض انتخاب شده است پس

NEXT.....را بزنید

412 جلسهگزینه دوم بصورت پیش فرض انتخاب IPAMششم

شده GPOیک اسم برای در کادر مربوطه

-GPOمربوطه انتخاب میکنیم) مثال:IPAMو ) next....را بزنید

توضیح اینکه: وقتی یک اکتیو دایرکتوری دامینی راه اندازی می شود بصورت پیش فرض دو تا گروپ پالیسی آبجکت

داریم:Default domain policy

default domain controller policy و Group Policy Object تعدادی IPAMو بعد از راه اندازی

جدید دراکzتیو دایرکتوری ایجاد خواهد شد از شما می خواهد که برای GPO name prefixو در کادر

نام آن آبجکت ها پیشوندی تعیین کنید تا بعدا برای خودتان قابل تشخیص باشد

412 جلسهمیکند IPAMششم اعالم منzو ایzن در

تا 3کzzه GPO ایجاد خواهد شد به نامهای....

موجود بود applyاگر گزینه آن را انتخاب می کنیم و وارد

مرحله بعد می شویم...

412 جلسهIPAMششم

صبر میکنیم تا provisionin

g انجام شود

⌛

412 جلسهIPAMششم

��

412 جلسهIPAMششم

سرورهاییکه در دامین موجود هستند و server discoveryدر مرحله سوم: شما قابل مدیریت هستند را کشف میکند و به شما نشان میدهد تا IPAMتوسط

مدیریت شوند.IPAM که کدامیک از آنها توسط کنسول تعیین کنید

412 جلسهIPAMششم

در این منو می توانید تعیین کنید کدام سرورها تحت

باشد یا نباشدIPAMمدیریت را OKبعد از انتخاب گزینه

....بزنید

412 جلسهIPAMششم

نتیجهء تنظیماتی که تا اینجا انجام دادیم این است که عملکردهاییکه مشخص تعریف خواهد شد و این TASK SCHEDULERکرده ایم بعنوان تسکی در

تسک مشخص میکند که در یک بازه زمانی مشخصی سرورهای موجود در دامین دیسکاور شوند

ودر اینجا وضعیت آن تسک را مشاهده میکنیم را بزنید و منو را ببندید....X عالمت

412 جلسهIPAMششم

در این مرحله باید سرورهایی را که میخواهیم از طریق IPAM مدیریت کنیم را انتخاب کنیم ودسترسی IPAM

به سرورهای مورد نظر را بررسی کنیم

…. کلیک کنیدselect or addروی عبارت

412 جلسهIPAMششم

کار را در همین مرحله متوقف میکنیم روی دامین Group Policy Management و میرویم به کنسول

را IPAMهای مربوط به ایجاد دسترسی برای GPOکنترلر تا بسازیم

برای اینکار می رویم روی سرور دامین کنترلر

412 جلسهIPAMششم

میرویم روی سروری که دامین RUNکنترلر باشد و در منوی

gpmc.mscتایپ میکنیم GROUP POLICY MANAGEMENT تاکنسول

میکنم تا Browseباز شود و دامین مدنظرمان را پیدا کنیم و

GPOمشاهده خواهد شد که در اکتیو IPAMایی برای

(پس ✳دایرکتوری وجود ندارد )باید آن را بسازیم

✳✳

412 جلسهIPAMششم

کzه در ادامzه هر دو روش توضیح داده شده است

برای انجام ایzن کار میتوانیzم از طریzق پاورشل اسzکریپتی بسzازیم و آzن را اجرا کنیzم یzا اینکه این کار را از طریق گرافیکی انجام دهیم

Invoke-IpamGpoProvisioning

-Domain

اسم دامین را وارد کنید

-GpoPrefixNam

ePrefix name

را که پیش از این تعیین کرده بودیم در اینجا وارد میکنیم

-IpamServerfqdn

یFQDNاسم IPAM دzرا در اینجا وار

میکنیم-DelegatedGpoUser

اسم یوزری که میخواهیم به ها دسترسی داشته gpoاین

باشد را وارد

412 جلسهIPAMششم

را در پاورشل و IPAMروی سرور برای این کار مجددا می رویم آنجا باز میکنیم و داخل آن عبارتی با ترکیب زیر را تایپ میکنیم:

optional optional

412 جلسهIPAMششم

اینتر را بزنید و منتظر می مانیم تا اسکریپتی که ایجاد را تایپ کzرده Yحرف ایجاد کندDC ها را روی GPOکرده ایم کار خودش را بکند و

412 جلسهIPAMششم

همچنین می توان، به جای استفاده از پاورشل ،

این قسمت از کار را به صورت GUI.انجام داد

اسالید بعدی توضیح 5روش انجام کار در داده شده است...

412 جلسهIPAMششم

سرویس برای دایرکتوری اکتیzو در IPAMبایzد یوزری بسzازیم و بzه آzن امکان دسzترسی بدهیم روی سzرور هایzی کzه قرار اسzت مدیریzت شونzد

) یعنی آzن یوزر را عضو گروهی کنیم کzه ایzن دسترسی ( Administratorsرا دارد مثل گروه

1

412 جلسهIPAMششم

به این منظور می رویم روی اصلی و با وارد DCسرور

در dsa.mscکردن عبارت AD Users کنسول Runمنوی

and Computers را باز کرده واز این مسیر اقدام به تعریف

یوزر جدید می کنیم:Users 👇 new 👇 user

2

412 جلسهIPAMششم

دقت داشته باشید که در این منو گزینهحتما Password never

expires را تیک بزنید.

3

412 جلسهIPAMششم

4

بعد از ساخت یوزر آن را عضو میکنیمDomain Adminsگروه

412 جلسهIPAMششم

عالوه بر ساخت یوزر باید راIPAMحاوی )سرور( کامپیوتر

zدر لیستAdministrators کامپیوترهاییکه قرار است مدیریت شوند اضافه کنیم

5

412 جلسهIPAMششم

حاال اگر مجددا از از روی دامین کنترلر را group policy management کنسول

کنیم مشاهده Refereshباز کنیم وآن را های مربوطه ایجاد شده GPOخواهیم کرد که

zاست

412 جلسهIPAMششم

SECURITYمرحله FILTERING

را باز Group policy Management, کنسول روی دامین کنترلر مشاهده security filteringکنید. با بررسی این منو در قسمت

میکنید که به هیچ تنظیماتی به یوزر یا کامپیوتری هنوز لینک ها دسترسی GPOنشده ،بنابراین هیچ یوزر یا کامپیوتری به این

ندارد. ها ،به سرور GPO مربوط به لینک شدن permissionبرای ایجاد

سرورIPAMهای مربوطه ،مجددا می رویم روی

Secyrity Filtering

412 جلسهIPAMششم

سرورIPAM روی 5 و روی گزینه مرحله

کلیک میکنیم تا کنسول باز شود

412 جلسهIPAMششم

همینطور که مشاهده می کنید وضعیت به صورت IPAMدسترسی سرور

Blocked است و بمنظور تغییر وضعیت روی آن راست کلیک کرده

راانتخاب Edit Serverوگزینه میکنیم...

412 جلسهIPAMششم

منوی edit serverبا انتخاب گزینه مربوط به آن باز می گردد و در این منو

تیک انتخاب سرورهاییکه باید تحت باشند را میزنیمIPAMمدیریت

که در Manageability statusو قرار دارد را ،به Unspecifiedوضعیت تغییر میدهیمManagedوضعیت

412 جلسهIPAMششم

مشاهده میکنیم که IPAMبا مراجعه مجدد به کنسول سرور منیجر قرار Blocked در حالتmanageability statusهنوز دارد

به منظور رفع این حالت این دو مرحله را انجام میدهیم...

412 جلسه برمی گردیم و overviewبه قسمت IPAMششم

را start server discoveryمجددا میزنیم

412 جلسهIPAMششم

روی دامین کنترلردر فرمانCMDمنوی

GPUPDATE /FORCEرا تایپ و اجراء میکنیم

412 جلسهIPAMششم

مجددا به مرحله پنجم میرویم و

با باز کردن کنسول آن مشاهده میکنیم که وضعیت دسترسی

BLOCKED از حالت خارج شده است.

412 جلسهIPAMششم

IPAM سرور از وضعیتBlock خارج شده و سرور DNS سرور و DHCPاالن میتوانیم به

access.داشته باشیم در مرحله بعد باید در همین منو و از طریق گزینه

Task گزینه retrieve all server data را سرور اطالعات مورد IPAMانتخاب میکنیم تا

سرور جمع آوری DHCP سرور و DNSنیاز را از کند.

412 جلسه این IPAMبعد از نصب IPAMششم

امکانات در اختیار شما قرار .1میگیرد Address space management

2. Virtual Address space management3. Multi-Server management and monitoring4. Network Audit5. Role-based access Control

412 جلسهIPAMششم

INSTALLING AND CONFIGURING IPAM ON SERVER 2012R2

A.Torabi 2017