ipam_ip address management_ed: march2017

412 جلسهIPAMششم

IPAMA.Torabi-2015 Latest update: March 2017

412 جلسهششم

: اول بخشسرویس به مربوط IPAMمفاهیم

IPAM

بخش این اسالیدهای تهیه برای شده استفاده :منابع

اندازی - راه و نصب آموزش عبدی - IPAMویدیوی http://www.aparat.com/v/M6KvIمهندس

رشوند - مهندس درس کالس ویدیویMicrosoftvirtualacademy-

technet.microsoft.com-

Training Guide Configuring Advanced Windows Server 2012 R2 Services.pdf-

IPAM concepts

http://www.aparat.com/v/M6KvI

http://www.aparat.com/v/M6KvI

412 جلسهششم

IPAM مخففعبارت :

IPAM

IP address management

412 جلسهششم

چه کاربردی در شبکه دارد؟IPAM سرویس

IPAM

PLANNING-TRACKING-MANAGING

412 جلسهششم

IPAMسرویس در چه ورژنی از ویندوز سرور ارائه شد؟

IPAM

Windows Server 2012,

Windows Server 2012 R2


IPAM enables you to centrally manage DHCP and DNS servers.


با چه سرویس هاییIntegrateمی شود ؟

IPAM

⚫DHCP Server ⚫⚫DNS Server

⚫⚫⚫Network Policy Server (NPS) ⚫⚫⚫⚫Active Directory Domain Controller (DC)


MICROSOFTACTIVE DIRECTORY

CENTRALIZED MANAGEMENT

MICROSOFTDOMAIN CONTROLLER

MICROSOFT DHCP SERVER

MICROSOFT DNS SERVER


You can use IP address tracking to search the IPAM database on the basis of IP address, MAC address, computer name, or user

name.


Install-WindowsFeature IPAM -IncludeManagementTools

را از دو طریق می توان نصب IPAMفیچر کرد


If IPAM Server is running on a computer that is also running the DHCP Server role, discovery of DHCP servers

on the network will be disabled.

باید رعایت کنید...ipamنکاتی که در نصب

IPAM و DHCP را روی یک سرور نصب نکنید


You cannot deploy the IPAM server

on a domain controller.



You should not deploy a DNS or DHCP server on the IPAM server if you want to manage those servers using IPAM.

هیچ سرویس دیگری نصب نشودIPAMبهتر است روی سرور حتی بهتر است بصورت مستقیم روی این سرور الگین نکنید!

به این صورت باشد که روی سیستم دیگری با ویندوز IPAMو الگین روی سرور بصورت ریموت الگین کنیدIPAM را نصب کنید و به سرور RSAT سرویس 8.1



بهتر است بصورت مستقیم الگین نکنید!IPAM روی سرور

به این صورت IPAMو الگین روی سرور 8.1باشد که روی سیستم دیگری با ویندوز

را نصب کنید و به سرور RSATسرویس IPAMبصورت ریموت الگین کنید



The IPAM server must be a member of an Active Directory domain

and can only manage DHCP and DNS servers that are members of

the same forest.

نکات


Members of theDomain Admins group and Enterprise Admins groupshave full administrative access to the IPAM server.

نکات


دو گزینه پیش روی ما قرار خواهد دادIPAMویزارد نصب در مورد دیتا بیس مشخص کنیم IPAM را بعنوان دیتابیس WIDیا اینکه

بعنوان دیتا بیس استفاده کنیمMS SQLیا از

IPAMمشخص کردن دیتا بیس برای سرویس Configure IPAM database storage


Windows Internal Database(WID)

IPAMمشخص کردن دیتا بیس برای سرویس

412 جلسه IPAMThe IPAM role available with Windowsششم

Server 2012 R2 can use a SQL Server 2012 instance to host the IPAM

database. 2012در ویندوز سرورR2 با این امکان ارائه IPAMسرویس

MS SQL SERVERشد که از بعنوان محلی برای قرار 2012

دادن دیتابیس خوzد استفاده کند



بهتر است یک سرور SQL مجزا به عنوان

در IPAMدیتا بیس نظر گرفته شود


412 جلسهIPAMChose an IPAM Provisioning Methodششم

The provisioning method is the process of enabling required permissions, files shares, and access settings on managed servers so that the IPAM server can communicate with them. You can choose either the manual or Group Policy Based method. Pick the one that’s best for you and

remember, you can’t change it later.

https

://b

logs

.tech

net.m

icro

soft.

com

/can

itpro

/201

3/08

/15/

step

-by-

step

-se

tup-

win

dow

s-se

rver

-201

2-ip

am-in

-you

r-env

ironm

ent/


IPAM Provisioning Methods: 1-Manual 👉2-Group Policy Based

Chose an IPAM Provisioning Method


اسالید های بعدی بخش اول حاوی نکاتی است که در IPAMآزمونهای مایکروسافت در رابطه با سرویس

بیشتر مد نظر قرار گرفته است و برای نصب این سرویس نیازی به مطالعه این اسالید ها نیست

412 جلسه IPAMThere are five local security groupsششم

on the IPAM server that you can use to delegate administrative privileges.

��

412 جلسه IPAMIPAM Users Members of this group are able to view IPAM server informationششم

such as address space and operational event information, but they are unable to view IP address tracking information. IPAM MSM Administrators MSM stands for multi-server management. Users added to this group have all the rights of the IPAM Users group and are able to perform common IPAM management tasks such as managing server inventory. They have read-only access to the IP address space. They are unable to view or perform IP address tracking tasks. IPAM ASM Administrators ASM stands for address space management administrator. Users added to this group are able to perform all tasks that can be performed by members of the IPAM Users group, but they are also able to manage the IP address space. They cannot perform monitoring tasks and are unable to perform IP address tracking tasks. IPAM IP Audit Administrators Members of this group are able to manage server inventory and perform common management tasks, but they have read-only access to the IP address space and IP address tracking information. IPAM Administrators Members of this group are able to perform all tasks on the IPAM server including viewing IP address tracking information.


(MSM)

Multi-server management

IPAM administration

Management that allow administrators to perform IPAM common tasks and server management tasks.


(ASM)

Address space management

IPAM administration

Management that allow administrators to perform

IPAM common tasks and address space tasks.

412 جلسهIPAM ارائه میدهدIPAM server امکاناتی کهششم

SOU

RCE:

ww

w.a

bdy.

ir_Ab

di.A

moo

zesh

@gm

ail.c

om

1- Address Space Management

2- Virtual Address Space Management

3- Multi-Server Management and Monitoring

4- Network Audit

5- Role-Base Access Control


آدرسها به دو صورت داینامیک و استاتیکIPمدیریت یکپارچه فضای

)همپوشانی-روی overlapsیا Conflict آدرس هایی که درشبکه ما دچارIPتشخیص و مدیریت هم افتادن( شده اند

های ما در شبکهip address spaceنمایش موجودی

آدرس ها و ipنظارت متمرکز و امکان گزارش گیری از آمار میزان استفاده از روند آن در شبکه

1- Address Space ManagementSO

URC

E:htt

p://

ww

w.a

para

t.com

/v/M

6KvI


IPAM 2012 بر روی ویندوز سرورR2 توانایی مدیریت فضای IP ادرس های مجازی را در سطح شبکه خواهد داشت.

Microsoft که از ابزار هایVMM (virtual machin managerبا استفاده از system center).است

2- Virtual Address Space Management


IPAM داخل فارست اکتیو دایرکتوری قادراست

بصورت اتوماتیک DNSسرورهاوDHCP

کند DISCOVERسرورها را و در دسترس بودن آنها را

مشخص کرده وامکان مدیریت آنها را به شرط

مایکروسافتی بودن فراهم می کند

DHCPبه شرط آنکه سرور روی DNSسرور و

یا 2008ویندوز سرور ورژنهای باالتر نصب شده

باشد.

3- Multi-Server Management and MonitoringSO

URC

E: w

ww

.abd

y.ir_

Abdi

.Am

ooze

sh@

gmai

l.com


4- Network Audit

به ما این امکان IPAMاین مولفه در را میدهد تا از تغییرات پیکربندی

DHCPکوئری دریافت کنیم وهمچنین در بازه های زمانی

IPمشخص یوزرها و دیوایس هاو ادرس ها را ردیابی کنیم

و همچنین از تغییراتی که روی خود IPAM سرور رخ داده گزارش تهیه کنیم

همه موارد فوق به ما در رفع CONFIGURATION PROBLEM هاییکه

شده است SLAباعث پایین آمدن کمک میکنند.

(SLAمخفف service level agreement و به معنای توافق نامه سطح خدمات, است.(


برای مدیران شبکه این امکان را فراهم میکند تا انواع ,با توجه به نیاز عملیات و مجوزهای دسترسی مناسب

تعریف کند. IPAMکاربران و گروه ها را بر روی آبجکتها ,در 👇

5- Role-Base Access ControlSO

URC

E:htt

p://

ww

w.a

para

t.com

/v/M

6KvI


SOU

RCE:

tech

net.m

icro

soft.

com

412 جلسهششم

: دوم بخشسرویس اندازی راه و نصب

IPAM ویندوزسرور در2012R2

IPAM

INSTALLING AND CONFIGURING IPAM ON SERVER 2012R2


را روی IPAMفیچر سروری که عضو

Member Server))دامین باشد

و دامین کنترلر نباشد نصب میکنیم


بعد از نصب این فیچرserver manager در کنسول

اضافه شده است.IPAM آیتم روی این آیتم کلیک کنید....


مشخص شده در حال حاضر Wizard مرحله بصورت 6 درقالب IPAMمراحل کانفیگ )به معنی PROVISIONING هستیم پس می رویم سراغ مرحله IPAM SERVERروی

و این به این معنی است که…تهیه و تدارک ملزومات برای آینده( روی گزینه دوم کلیک کنید....


و این به این معنی است که یا از طریق گروپ پالیسیباید

بصورت دستی شرایطی را فراهم کنیم که

IPAM SERVER ییکه قرار )کامپیوترها( به سرورها

monitor یا manageاست شوند دسترسی داشته باشد

کلیک کنید.... NEXTروی گزینه


IPAMدر این مرحله برای مشخص میکنید که اطالعاتش را

در کدام دیتا بیس قرار دهد؟ که دیتا بیس پیشفرض WIDدر

خود ویندوز است و آدرس آن هم در کادر مشخص است یا در

Microsoft SQL Server

گزینه اول بصورت پیش فرض انتخاب شده است پس

NEXT.....را بزنید

412 جلسهگزینه دوم بصورت پیش فرض انتخاب IPAMششم

شده GPOیک اسم برای در کادر مربوطه

-GPOمربوطه انتخاب میکنیم) مثال:IPAMو ) next....را بزنید

توضیح اینکه: وقتی یک اکتیو دایرکتوری دامینی راه اندازی می شود بصورت پیش فرض دو تا گروپ پالیسی آبجکت

داریم:Default domain policy

default domain controller policy و Group Policy Object تعدادی IPAMو بعد از راه اندازی

جدید دراکzتیو دایرکتوری ایجاد خواهد شد از شما می خواهد که برای GPO name prefixو در کادر

نام آن آبجکت ها پیشوندی تعیین کنید تا بعدا برای خودتان قابل تشخیص باشد

412 جلسهمیکند IPAMششم اعالم منzو ایzن در

تا 3کzzه GPO ایجاد خواهد شد به نامهای....

موجود بود applyاگر گزینه آن را انتخاب می کنیم و وارد

مرحله بعد می شویم...


صبر میکنیم تا provisionin

g انجام شود

⌛


��


سرورهاییکه در دامین موجود هستند و server discoveryدر مرحله سوم: شما قابل مدیریت هستند را کشف میکند و به شما نشان میدهد تا IPAMتوسط

مدیریت شوند.IPAM که کدامیک از آنها توسط کنسول تعیین کنید


در این منو می توانید تعیین کنید کدام سرورها تحت

باشد یا نباشدIPAMمدیریت را OKبعد از انتخاب گزینه

....بزنید


نتیجهء تنظیماتی که تا اینجا انجام دادیم این است که عملکردهاییکه مشخص تعریف خواهد شد و این TASK SCHEDULERکرده ایم بعنوان تسکی در

تسک مشخص میکند که در یک بازه زمانی مشخصی سرورهای موجود در دامین دیسکاور شوند

ودر اینجا وضعیت آن تسک را مشاهده میکنیم را بزنید و منو را ببندید....X عالمت


در این مرحله باید سرورهایی را که میخواهیم از طریق IPAM مدیریت کنیم را انتخاب کنیم ودسترسی IPAM

به سرورهای مورد نظر را بررسی کنیم

…. کلیک کنیدselect or addروی عبارت


کار را در همین مرحله متوقف میکنیم روی دامین Group Policy Management و میرویم به کنسول

را IPAMهای مربوط به ایجاد دسترسی برای GPOکنترلر تا بسازیم

برای اینکار می رویم روی سرور دامین کنترلر


میرویم روی سروری که دامین RUNکنترلر باشد و در منوی

gpmc.mscتایپ میکنیم GROUP POLICY MANAGEMENT تاکنسول

میکنم تا Browseباز شود و دامین مدنظرمان را پیدا کنیم و

GPOمشاهده خواهد شد که در اکتیو IPAMایی برای

(پس ✳دایرکتوری وجود ندارد )باید آن را بسازیم

✳✳


کzه در ادامzه هر دو روش توضیح داده شده است

برای انجام ایzن کار میتوانیzم از طریzق پاورشل اسzکریپتی بسzازیم و آzن را اجرا کنیzم یzا اینکه این کار را از طریق گرافیکی انجام دهیم

Invoke-IpamGpoProvisioning

-Domain

اسم دامین را وارد کنید

-GpoPrefixNam

ePrefix name

را که پیش از این تعیین کرده بودیم در اینجا وارد میکنیم

-IpamServerfqdn

یFQDNاسم IPAM دzرا در اینجا وار

میکنیم-DelegatedGpoUser

اسم یوزری که میخواهیم به ها دسترسی داشته gpoاین

باشد را وارد


را در پاورشل و IPAMروی سرور برای این کار مجددا می رویم آنجا باز میکنیم و داخل آن عبارتی با ترکیب زیر را تایپ میکنیم:

optional optional


اینتر را بزنید و منتظر می مانیم تا اسکریپتی که ایجاد را تایپ کzرده Yحرف ایجاد کندDC ها را روی GPOکرده ایم کار خودش را بکند و


همچنین می توان، به جای استفاده از پاورشل ،

این قسمت از کار را به صورت GUI.انجام داد

اسالید بعدی توضیح 5روش انجام کار در داده شده است...


سرویس برای دایرکتوری اکتیzو در IPAMبایzد یوزری بسzازیم و بzه آzن امکان دسzترسی بدهیم روی سzرور هایzی کzه قرار اسzت مدیریzت شونzد

) یعنی آzن یوزر را عضو گروهی کنیم کzه ایzن دسترسی ( Administratorsرا دارد مثل گروه

1


به این منظور می رویم روی اصلی و با وارد DCسرور

در dsa.mscکردن عبارت AD Users کنسول Runمنوی

and Computers را باز کرده واز این مسیر اقدام به تعریف

یوزر جدید می کنیم:Users 👇 new 👇 user

2


دقت داشته باشید که در این منو گزینهحتما Password never

expires را تیک بزنید.

3


4

بعد از ساخت یوزر آن را عضو میکنیمDomain Adminsگروه


عالوه بر ساخت یوزر باید راIPAMحاوی )سرور( کامپیوتر

zدر لیستAdministrators کامپیوترهاییکه قرار است مدیریت شوند اضافه کنیم

5


حاال اگر مجددا از از روی دامین کنترلر را group policy management کنسول

کنیم مشاهده Refereshباز کنیم وآن را های مربوطه ایجاد شده GPOخواهیم کرد که

zاست


SECURITYمرحله FILTERING

را باز Group policy Management, کنسول روی دامین کنترلر مشاهده security filteringکنید. با بررسی این منو در قسمت

میکنید که به هیچ تنظیماتی به یوزر یا کامپیوتری هنوز لینک ها دسترسی GPOنشده ،بنابراین هیچ یوزر یا کامپیوتری به این

ندارد. ها ،به سرور GPO مربوط به لینک شدن permissionبرای ایجاد

سرورIPAMهای مربوطه ،مجددا می رویم روی

Secyrity Filtering


سرورIPAM روی 5 و روی گزینه مرحله

کلیک میکنیم تا کنسول باز شود


همینطور که مشاهده می کنید وضعیت به صورت IPAMدسترسی سرور

Blocked است و بمنظور تغییر وضعیت روی آن راست کلیک کرده

راانتخاب Edit Serverوگزینه میکنیم...


منوی edit serverبا انتخاب گزینه مربوط به آن باز می گردد و در این منو

تیک انتخاب سرورهاییکه باید تحت باشند را میزنیمIPAMمدیریت

که در Manageability statusو قرار دارد را ،به Unspecifiedوضعیت تغییر میدهیمManagedوضعیت


مشاهده میکنیم که IPAMبا مراجعه مجدد به کنسول سرور منیجر قرار Blocked در حالتmanageability statusهنوز دارد

به منظور رفع این حالت این دو مرحله را انجام میدهیم...

412 جلسه برمی گردیم و overviewبه قسمت IPAMششم

را start server discoveryمجددا میزنیم


روی دامین کنترلردر فرمانCMDمنوی

GPUPDATE /FORCEرا تایپ و اجراء میکنیم


مجددا به مرحله پنجم میرویم و

با باز کردن کنسول آن مشاهده میکنیم که وضعیت دسترسی

BLOCKED از حالت خارج شده است.


IPAM سرور از وضعیتBlock خارج شده و سرور DNS سرور و DHCPاالن میتوانیم به

access.داشته باشیم در مرحله بعد باید در همین منو و از طریق گزینه

Task گزینه retrieve all server data را سرور اطالعات مورد IPAMانتخاب میکنیم تا

سرور جمع آوری DHCP سرور و DNSنیاز را از کند.

412 جلسه این IPAMبعد از نصب IPAMششم

امکانات در اختیار شما قرار .1میگیرد Address space management

2. Virtual Address space management3. Multi-Server management and monitoring4. Network Audit5. Role-based access Control


INSTALLING AND CONFIGURING IPAM ON SERVER 2012R2

A.Torabi 2017

ipam_ip address management_ed: march2017

Education