ipam_ip address management_ed: march2017
TRANSCRIPT
412 جلسهIPAMششم
IPAMA.Torabi-2015 Latest update: March 2017
412 جلسهIPAMششم
412 جلسهششم
: اول بخشسرویس به مربوط IPAMمفاهیم
IPAM
بخش این اسالیدهای تهیه برای شده استفاده :منابع
اندازی - راه و نصب آموزش عبدی - IPAMویدیوی http://www.aparat.com/v/M6KvIمهندس
رشوند - مهندس درس کالس ویدیویMicrosoftvirtualacademy-
technet.microsoft.com-
Training Guide Configuring Advanced Windows Server 2012 R2 Services.pdf-
IPAM concepts
412 جلسهششم
IPAM مخففعبارت :
IPAM
IP address management
412 جلسهششم
چه کاربردی در شبکه دارد؟IPAM سرویس
IPAM
PLANNING-TRACKING-MANAGING
412 جلسهششم
IPAMسرویس در چه ورژنی از ویندوز سرور ارائه شد؟
IPAM
Windows Server 2012,
Windows Server 2012 R2
412 جلسهIPAMششم
IPAM enables you to centrally manage DHCP and DNS servers.
412 جلسهIPAMششم
با چه سرویس هاییIntegrateمی شود ؟
IPAM
⚫DHCP Server ⚫⚫DNS Server
⚫⚫⚫Network Policy Server (NPS) ⚫⚫⚫⚫Active Directory Domain Controller (DC)
412 جلسهIPAMششم
MICROSOFTACTIVE DIRECTORY
CENTRALIZED MANAGEMENT
MICROSOFTDOMAIN CONTROLLER
MICROSOFT DHCP SERVER
MICROSOFT DNS SERVER
412 جلسهIPAMششم
You can use IP address tracking to search the IPAM database on the basis of IP address, MAC address, computer name, or user
name.
412 جلسهIPAMششم
Install-WindowsFeature IPAM -IncludeManagementTools
را از دو طریق می توان نصب IPAMفیچر کرد
412 جلسهIPAMششم
If IPAM Server is running on a computer that is also running the DHCP Server role, discovery of DHCP servers
on the network will be disabled.
باید رعایت کنید...ipamنکاتی که در نصب
IPAM و DHCP را روی یک سرور نصب نکنید
412 جلسهIPAMششم
You cannot deploy the IPAM server
on a domain controller.
باید رعایت کنید...ipamنکاتی که در نصب
412 جلسهIPAMششم
You should not deploy a DNS or DHCP server on the IPAM server if you want to manage those servers using IPAM.
هیچ سرویس دیگری نصب نشودIPAMبهتر است روی سرور حتی بهتر است بصورت مستقیم روی این سرور الگین نکنید!
به این صورت باشد که روی سیستم دیگری با ویندوز IPAMو الگین روی سرور بصورت ریموت الگین کنیدIPAM را نصب کنید و به سرور RSAT سرویس 8.1
باید رعایت کنید...ipamنکاتی که در نصب
412 جلسهIPAMششم
بهتر است بصورت مستقیم الگین نکنید!IPAM روی سرور
به این صورت IPAMو الگین روی سرور 8.1باشد که روی سیستم دیگری با ویندوز
را نصب کنید و به سرور RSATسرویس IPAMبصورت ریموت الگین کنید
باید رعایت کنید...ipamنکاتی که در نصب
412 جلسهIPAMششم
The IPAM server must be a member of an Active Directory domain
and can only manage DHCP and DNS servers that are members of
the same forest.
نکات
412 جلسهIPAMششم
Members of theDomain Admins group and Enterprise Admins groupshave full administrative access to the IPAM server.
نکات
412 جلسهIPAMششم
دو گزینه پیش روی ما قرار خواهد دادIPAMویزارد نصب در مورد دیتا بیس مشخص کنیم IPAM را بعنوان دیتابیس WIDیا اینکه
بعنوان دیتا بیس استفاده کنیمMS SQLیا از
IPAMمشخص کردن دیتا بیس برای سرویس Configure IPAM database storage
412 جلسهIPAMششم
Windows Internal Database(WID)
IPAMمشخص کردن دیتا بیس برای سرویس
412 جلسه IPAMThe IPAM role available with Windowsششم
Server 2012 R2 can use a SQL Server 2012 instance to host the IPAM
database. 2012در ویندوز سرورR2 با این امکان ارائه IPAMسرویس
MS SQL SERVERشد که از بعنوان محلی برای قرار 2012
دادن دیتابیس خوzد استفاده کند
IPAMمشخص کردن دیتا بیس برای سرویس
412 جلسهIPAMششم
بهتر است یک سرور SQL مجزا به عنوان
در IPAMدیتا بیس نظر گرفته شود
IPAMمشخص کردن دیتا بیس برای سرویس
412 جلسهIPAMChose an IPAM Provisioning Methodششم
The provisioning method is the process of enabling required permissions, files shares, and access settings on managed servers so that the IPAM server can communicate with them. You can choose either the manual or Group Policy Based method. Pick the one that’s best for you and
remember, you can’t change it later.
https
://b
logs
.tech
net.m
icro
soft.
com
/can
itpro
/201
3/08
/15/
step
-by-
step
-se
tup-
win
dow
s-se
rver
-201
2-ip
am-in
-you
r-env
ironm
ent/
412 جلسهIPAMششم
IPAM Provisioning Methods: 1-Manual 👉2-Group Policy Based
Chose an IPAM Provisioning Method
412 جلسهIPAMششم
اسالید های بعدی بخش اول حاوی نکاتی است که در IPAMآزمونهای مایکروسافت در رابطه با سرویس
بیشتر مد نظر قرار گرفته است و برای نصب این سرویس نیازی به مطالعه این اسالید ها نیست
412 جلسه IPAMThere are five local security groupsششم
on the IPAM server that you can use to delegate administrative privileges.
��
412 جلسه IPAMIPAM Users Members of this group are able to view IPAM server informationششم
such as address space and operational event information, but they are unable to view IP address tracking information. IPAM MSM Administrators MSM stands for multi-server management. Users added to this group have all the rights of the IPAM Users group and are able to perform common IPAM management tasks such as managing server inventory. They have read-only access to the IP address space. They are unable to view or perform IP address tracking tasks. IPAM ASM Administrators ASM stands for address space management administrator. Users added to this group are able to perform all tasks that can be performed by members of the IPAM Users group, but they are also able to manage the IP address space. They cannot perform monitoring tasks and are unable to perform IP address tracking tasks. IPAM IP Audit Administrators Members of this group are able to manage server inventory and perform common management tasks, but they have read-only access to the IP address space and IP address tracking information. IPAM Administrators Members of this group are able to perform all tasks on the IPAM server including viewing IP address tracking information.
412 جلسهIPAMششم
(MSM)
Multi-server management
IPAM administration
Management that allow administrators to perform IPAM common tasks and server management tasks.
412 جلسهIPAMششم
(ASM)
Address space management
IPAM administration
Management that allow administrators to perform
IPAM common tasks and address space tasks.
412 جلسهIPAM ارائه میدهدIPAM server امکاناتی کهششم
SOU
RCE:
ww
w.a
bdy.
ir_Ab
di.A
moo
zesh
@gm
ail.c
om
1- Address Space Management
2- Virtual Address Space Management
3- Multi-Server Management and Monitoring
4- Network Audit
5- Role-Base Access Control
412 جلسهIPAMششم
آدرسها به دو صورت داینامیک و استاتیکIPمدیریت یکپارچه فضای
)همپوشانی-روی overlapsیا Conflict آدرس هایی که درشبکه ما دچارIPتشخیص و مدیریت هم افتادن( شده اند
های ما در شبکهip address spaceنمایش موجودی
آدرس ها و ipنظارت متمرکز و امکان گزارش گیری از آمار میزان استفاده از روند آن در شبکه
1- Address Space ManagementSO
URC
E:htt
p://
ww
w.a
para
t.com
/v/M
6KvI
412 جلسهIPAMششم
IPAM 2012 بر روی ویندوز سرورR2 توانایی مدیریت فضای IP ادرس های مجازی را در سطح شبکه خواهد داشت.
Microsoft که از ابزار هایVMM (virtual machin managerبا استفاده از system center).است
2- Virtual Address Space Management
412 جلسهIPAMششم
IPAM داخل فارست اکتیو دایرکتوری قادراست
بصورت اتوماتیک DNSسرورهاوDHCP
کند DISCOVERسرورها را و در دسترس بودن آنها را
مشخص کرده وامکان مدیریت آنها را به شرط
مایکروسافتی بودن فراهم می کند
DHCPبه شرط آنکه سرور روی DNSسرور و
یا 2008ویندوز سرور ورژنهای باالتر نصب شده
باشد.
3- Multi-Server Management and MonitoringSO
URC
E: w
ww
.abd
y.ir_
Abdi
.Am
ooze
sh@
gmai
l.com
412 جلسهIPAMششم
4- Network Audit
به ما این امکان IPAMاین مولفه در را میدهد تا از تغییرات پیکربندی
DHCPکوئری دریافت کنیم وهمچنین در بازه های زمانی
IPمشخص یوزرها و دیوایس هاو ادرس ها را ردیابی کنیم
و همچنین از تغییراتی که روی خود IPAM سرور رخ داده گزارش تهیه کنیم
همه موارد فوق به ما در رفع CONFIGURATION PROBLEM هاییکه
شده است SLAباعث پایین آمدن کمک میکنند.
(SLAمخفف service level agreement و به معنای توافق نامه سطح خدمات, است.(
412 جلسهIPAMششم
برای مدیران شبکه این امکان را فراهم میکند تا انواع ,با توجه به نیاز عملیات و مجوزهای دسترسی مناسب
تعریف کند. IPAMکاربران و گروه ها را بر روی آبجکتها ,در 👇
5- Role-Base Access ControlSO
URC
E:htt
p://
ww
w.a
para
t.com
/v/M
6KvI
412 جلسهIPAMششم
SOU
RCE:
tech
net.m
icro
soft.
com
412 جلسهششم
: دوم بخشسرویس اندازی راه و نصب
IPAM ویندوزسرور در2012R2
IPAM
INSTALLING AND CONFIGURING IPAM ON SERVER 2012R2
412 جلسهIPAMششم
را روی IPAMفیچر سروری که عضو
Member Server))دامین باشد
و دامین کنترلر نباشد نصب میکنیم
412 جلسهIPAMششم
بعد از نصب این فیچرserver manager در کنسول
اضافه شده است.IPAM آیتم روی این آیتم کلیک کنید....
412 جلسهIPAMششم
مشخص شده در حال حاضر Wizard مرحله بصورت 6 درقالب IPAMمراحل کانفیگ )به معنی PROVISIONING هستیم پس می رویم سراغ مرحله IPAM SERVERروی
و این به این معنی است که…تهیه و تدارک ملزومات برای آینده( روی گزینه دوم کلیک کنید....
412 جلسهIPAMششم
و این به این معنی است که یا از طریق گروپ پالیسیباید
بصورت دستی شرایطی را فراهم کنیم که
IPAM SERVER ییکه قرار )کامپیوترها( به سرورها
monitor یا manageاست شوند دسترسی داشته باشد
کلیک کنید.... NEXTروی گزینه
412 جلسهIPAMششم
IPAMدر این مرحله برای مشخص میکنید که اطالعاتش را
در کدام دیتا بیس قرار دهد؟ که دیتا بیس پیشفرض WIDدر
خود ویندوز است و آدرس آن هم در کادر مشخص است یا در
Microsoft SQL Server
گزینه اول بصورت پیش فرض انتخاب شده است پس
NEXT.....را بزنید
412 جلسهگزینه دوم بصورت پیش فرض انتخاب IPAMششم
شده GPOیک اسم برای در کادر مربوطه
-GPOمربوطه انتخاب میکنیم) مثال:IPAMو ) next....را بزنید
توضیح اینکه: وقتی یک اکتیو دایرکتوری دامینی راه اندازی می شود بصورت پیش فرض دو تا گروپ پالیسی آبجکت
داریم:Default domain policy
default domain controller policy و Group Policy Object تعدادی IPAMو بعد از راه اندازی
جدید دراکzتیو دایرکتوری ایجاد خواهد شد از شما می خواهد که برای GPO name prefixو در کادر
نام آن آبجکت ها پیشوندی تعیین کنید تا بعدا برای خودتان قابل تشخیص باشد
412 جلسهمیکند IPAMششم اعالم منzو ایzن در
تا 3کzzه GPO ایجاد خواهد شد به نامهای....
موجود بود applyاگر گزینه آن را انتخاب می کنیم و وارد
مرحله بعد می شویم...
412 جلسهIPAMششم
صبر میکنیم تا provisionin
g انجام شود
⌛
412 جلسهIPAMششم
��
412 جلسهIPAMششم
سرورهاییکه در دامین موجود هستند و server discoveryدر مرحله سوم: شما قابل مدیریت هستند را کشف میکند و به شما نشان میدهد تا IPAMتوسط
مدیریت شوند.IPAM که کدامیک از آنها توسط کنسول تعیین کنید
412 جلسهIPAMششم
در این منو می توانید تعیین کنید کدام سرورها تحت
باشد یا نباشدIPAMمدیریت را OKبعد از انتخاب گزینه
....بزنید
412 جلسهIPAMششم
نتیجهء تنظیماتی که تا اینجا انجام دادیم این است که عملکردهاییکه مشخص تعریف خواهد شد و این TASK SCHEDULERکرده ایم بعنوان تسکی در
تسک مشخص میکند که در یک بازه زمانی مشخصی سرورهای موجود در دامین دیسکاور شوند
ودر اینجا وضعیت آن تسک را مشاهده میکنیم را بزنید و منو را ببندید....X عالمت
412 جلسهIPAMششم
در این مرحله باید سرورهایی را که میخواهیم از طریق IPAM مدیریت کنیم را انتخاب کنیم ودسترسی IPAM
به سرورهای مورد نظر را بررسی کنیم
…. کلیک کنیدselect or addروی عبارت
412 جلسهIPAMششم
کار را در همین مرحله متوقف میکنیم روی دامین Group Policy Management و میرویم به کنسول
را IPAMهای مربوط به ایجاد دسترسی برای GPOکنترلر تا بسازیم
برای اینکار می رویم روی سرور دامین کنترلر
412 جلسهIPAMششم
میرویم روی سروری که دامین RUNکنترلر باشد و در منوی
gpmc.mscتایپ میکنیم GROUP POLICY MANAGEMENT تاکنسول
میکنم تا Browseباز شود و دامین مدنظرمان را پیدا کنیم و
GPOمشاهده خواهد شد که در اکتیو IPAMایی برای
(پس ✳دایرکتوری وجود ندارد )باید آن را بسازیم
✳✳
412 جلسهIPAMششم
کzه در ادامzه هر دو روش توضیح داده شده است
برای انجام ایzن کار میتوانیzم از طریzق پاورشل اسzکریپتی بسzازیم و آzن را اجرا کنیzم یzا اینکه این کار را از طریق گرافیکی انجام دهیم
Invoke-IpamGpoProvisioning
-Domain
اسم دامین را وارد کنید
-GpoPrefixNam
ePrefix name
را که پیش از این تعیین کرده بودیم در اینجا وارد میکنیم
-IpamServerfqdn
یFQDNاسم IPAM دzرا در اینجا وار
میکنیم-DelegatedGpoUser
اسم یوزری که میخواهیم به ها دسترسی داشته gpoاین
باشد را وارد
412 جلسهIPAMششم
را در پاورشل و IPAMروی سرور برای این کار مجددا می رویم آنجا باز میکنیم و داخل آن عبارتی با ترکیب زیر را تایپ میکنیم:
optional optional
412 جلسهIPAMششم
اینتر را بزنید و منتظر می مانیم تا اسکریپتی که ایجاد را تایپ کzرده Yحرف ایجاد کندDC ها را روی GPOکرده ایم کار خودش را بکند و
412 جلسهIPAMششم
همچنین می توان، به جای استفاده از پاورشل ،
این قسمت از کار را به صورت GUI.انجام داد
اسالید بعدی توضیح 5روش انجام کار در داده شده است...
412 جلسهIPAMششم
سرویس برای دایرکتوری اکتیzو در IPAMبایzد یوزری بسzازیم و بzه آzن امکان دسzترسی بدهیم روی سzرور هایzی کzه قرار اسzت مدیریzت شونzد
) یعنی آzن یوزر را عضو گروهی کنیم کzه ایzن دسترسی ( Administratorsرا دارد مثل گروه
1
412 جلسهIPAMششم
به این منظور می رویم روی اصلی و با وارد DCسرور
در dsa.mscکردن عبارت AD Users کنسول Runمنوی
and Computers را باز کرده واز این مسیر اقدام به تعریف
یوزر جدید می کنیم:Users 👇 new 👇 user
2
412 جلسهIPAMششم
دقت داشته باشید که در این منو گزینهحتما Password never
expires را تیک بزنید.
3
412 جلسهIPAMششم
4
بعد از ساخت یوزر آن را عضو میکنیمDomain Adminsگروه
412 جلسهIPAMششم
عالوه بر ساخت یوزر باید راIPAMحاوی )سرور( کامپیوتر
zدر لیستAdministrators کامپیوترهاییکه قرار است مدیریت شوند اضافه کنیم
5
412 جلسهIPAMششم
حاال اگر مجددا از از روی دامین کنترلر را group policy management کنسول
کنیم مشاهده Refereshباز کنیم وآن را های مربوطه ایجاد شده GPOخواهیم کرد که
zاست
412 جلسهIPAMششم
SECURITYمرحله FILTERING
را باز Group policy Management, کنسول روی دامین کنترلر مشاهده security filteringکنید. با بررسی این منو در قسمت
میکنید که به هیچ تنظیماتی به یوزر یا کامپیوتری هنوز لینک ها دسترسی GPOنشده ،بنابراین هیچ یوزر یا کامپیوتری به این
ندارد. ها ،به سرور GPO مربوط به لینک شدن permissionبرای ایجاد
سرورIPAMهای مربوطه ،مجددا می رویم روی
Secyrity Filtering
412 جلسهIPAMششم
سرورIPAM روی 5 و روی گزینه مرحله
کلیک میکنیم تا کنسول باز شود
412 جلسهIPAMششم
همینطور که مشاهده می کنید وضعیت به صورت IPAMدسترسی سرور
Blocked است و بمنظور تغییر وضعیت روی آن راست کلیک کرده
راانتخاب Edit Serverوگزینه میکنیم...
412 جلسهIPAMششم
منوی edit serverبا انتخاب گزینه مربوط به آن باز می گردد و در این منو
تیک انتخاب سرورهاییکه باید تحت باشند را میزنیمIPAMمدیریت
که در Manageability statusو قرار دارد را ،به Unspecifiedوضعیت تغییر میدهیمManagedوضعیت
412 جلسهIPAMششم
مشاهده میکنیم که IPAMبا مراجعه مجدد به کنسول سرور منیجر قرار Blocked در حالتmanageability statusهنوز دارد
به منظور رفع این حالت این دو مرحله را انجام میدهیم...
412 جلسه برمی گردیم و overviewبه قسمت IPAMششم
را start server discoveryمجددا میزنیم
412 جلسهIPAMششم
روی دامین کنترلردر فرمانCMDمنوی
GPUPDATE /FORCEرا تایپ و اجراء میکنیم
412 جلسهIPAMششم
مجددا به مرحله پنجم میرویم و
با باز کردن کنسول آن مشاهده میکنیم که وضعیت دسترسی
BLOCKED از حالت خارج شده است.
412 جلسهIPAMششم
IPAM سرور از وضعیتBlock خارج شده و سرور DNS سرور و DHCPاالن میتوانیم به
access.داشته باشیم در مرحله بعد باید در همین منو و از طریق گزینه
Task گزینه retrieve all server data را سرور اطالعات مورد IPAMانتخاب میکنیم تا
سرور جمع آوری DHCP سرور و DNSنیاز را از کند.
412 جلسه این IPAMبعد از نصب IPAMششم
امکانات در اختیار شما قرار .1میگیرد Address space management
2. Virtual Address space management3. Multi-Server management and monitoring4. Network Audit5. Role-based access Control
412 جلسهIPAMششم
INSTALLING AND CONFIGURING IPAM ON SERVER 2012R2
A.Torabi 2017