IPAM unter Windows Server 2012/2012 R2
IP-Adressen unter voller Kontrolle
DNS- und DHCP-Server und dazu noch eine Reihe fester IP-Adressen: All das sollen IP-Profis nicht nur verwalten, sondern dabei auch sicherstellen, dass die Zuweisung und die Verwendung dieser Adressen ohne Konflikte ablaufen. Eine einfache Übersichtstabelle mit IP-Adressen kann da in größeren Netzen nicht mehr helfen, hier muss spezielle Software wie IPAM her.Bereits in kleinen Netzwerken kann die Verwaltung der IP-Adressen für die Systembetreuer zum Problem werden: Weder der Ansatz, ausschließlich mit festen Adressen zu arbeiten, noch der Weg, beim dem alle Zuteilungen dem DHCP-Server überlassen werden, ist für alle Einsatzzwecke gleich gut geeignet. Mithilfe von IPAM, dem "IP Adress Management", das seit der Version 2012 auf den Windows-Servern als Feature zur Verfügung steht, können Administratoren gerade in großen Netzwerken ihre gesamten IP-Adressen besser und übersichtlicher verwalten und viele Aufgaben automatisieren. IPAM soll die Administratoren durch eine weitgehende Automatisierung bei der Pflege und Verwaltung von IP-Adressen entlasten und so auch helfen, die sonst immer wieder auftretenden Adresskonflikte zu vermeiden. Es gehört zum ganz normalen Tagesgeschäft der IT-Mannschaft, die IP-Adressen in ihrem Netzwerk zu verwalten. Doch wer einmal nachfragt, wie denn dies eigentlich im Detail abläuft, bekommt vielfach die ausweichende Auskunft, dass ein Management im eigentlichen Sinne gar nicht oder einfach nur mittels einer Auflistung der IP-Adressen in einem Excel-Tabellenblatt stattfindet. In der Realität stecken viele Administratoren die eigentliche Verwaltungsarbeit in Einsatz und Pflege der DNS- und DHCP-Server im Unternehmensnetzwerk. Allerdings steigt die Anzahl der unterschiedlichsten Geräte im Netzwerk stetig und damit auch der "Verbrauch" an IP-Adressen. Die Zahl der benötigten Adressen wird nicht zuletzt auch durch den stetigen Zuwachs an virtualisierten Systemen immer weiter steigen. Rechnet man dann noch hinzu, dass sich in den Unternehmensnetzen in der nächsten Zeit mehr IPv6-Geräte befinden werden, so wird klar, dass es für Administratoren deutlich schwerer und zeitaufwändiger werden wird, den Überblick über die vergebenen und verwendeten IP-Adressen zu behalten. Grundsätzlich handelt es sich bei IPAM nicht um eine neue Technik. Einige Softwarehäuser wie Solarwinds oder "Efficient IP" bieten schon länger Lösungen für das IP-Management an. Auch Cisco hat mit dem Produkt "Prime Network Registrar" eine solche Lösung im Angebot. Die Open-Source-Gemeinde stellt mit NetDB (Network Tracking Database) ebenfalls eine Software bereit, die sehr weitreichende Funktionen zu bieten hat. Microsoft hat IPAM als Feature erstmals im Windows Server 2012 integriert und diese Funktionalität mit dem Erscheinen des 2012 R2-Release noch weiter ausgebaut. Die Möglichkeit, als IPAM-Server zu fungieren, bietet Microsoft ausschließlich auf dem Windows Server 2012/2012R2 an. Ein Update für Windows Server 2008 R2 oder gar älteren Server-Versionen wird es nach aktuellen Informationen nicht geben. Ein Framework mit vielen Funktionen Microsoft versteht IPAM auf den Windows-Servern als Framework, mit dem die Systemadministratoren nicht nur die IP-Adressen sondern auch die DNS- und DHCP-Server verwalten und überwachen können. Folgende Funktionen bieten dieses Framework: Anzeige der IP-Adressbereiche: Die IT-Mannschaft kann hier sowohl den IPv4- als auch den iPv6-Bereich der Adressen in Form von IP-Adressblöcken, von Adressbereichen oder in Form individueller Adressen organisieren, Zuteilung und Planung der Adressen: Systembetreuer können auf diese Weise beispielsweise die Adressblöcke planen, die verschiedenen Sites im Netzwerk benötigen. Ebenso können sie statische und auch öffentliche Adresse verwalten und sie je nach Bedarf auch zuweisen, zentralisiertes Auffinden und Verwalten der Server: Die Software findet automatisch die DHCP- und DNS-Server sowie Domänen-Controller im eigenen Netzwerk. Mithilfe von IPAM können Administratoren diese dann zentral verwalten, sie aktivieren und deaktivieren sowie auch dynamische IP-Adressbereiche verwalten. Die Verfügbarkeit dieser beiden Dienste kann IPAM ebenfalls automatisch überwachen, und Audit-Fähigkeiten: Aktivitäten und Änderungen an IP-Adressen lassen sich auf Geräte/Anwender-Basis nachverfolgen und kontrollieren. DHCP-Lease- und Anmeldungsereignisse werden sowohl vom Network Policy Server (NPS - Server für die Netzwerkrichtlinien) als auch von den vorhandenen Domänen-Controllern und den DHCP-Servern gesammelt. Obwohl der Microsoft IPAM-Server nur auf dem Windows Server 2012 und 2012R2 zur Verfügung steht, kann er innerhalb der Netzwerkinfrastruktur auch weitere DHCP-, DNS-, Domänen-Controller- und Netzwerkrichtlinien-Server unter Windows Server 2008 und höher einbinden und verwalten. Andere Server werden nicht verwaltet und auch weitere Netzwerk-Geräte wie Switches, Drucker oder Router beziehungsweise DHCP-Relays sind leider nicht erfassbar. Das System unterstützt jeweils nur die DHCP-, DNS- und NPS-Server einer einzelnen Active-Directory-Gesamtstruktur. Die Daten, die der IPAM-Server ermittelt, speichert er in einer internen Windows-Datenbank (Windows Internal Database - WID). Konnte ein Nutzer diese noch unter Windows Server 2012 nicht durch eine andere Datenbank ersetzen, so erlaubt es der Server in der R2-Version den Administratoren nun, optional auch eine Microsoft SQL-Datenbank zu verwenden. In der Datenbank sind die Daten wie An- und Abmeldeinformationen der Nutzer, MAC-Adressen der Hosts sowie die Adress-Leases der IP-Adressen - laut Microsoft für bis zu 100.000 Nutzer - für insgesamt drei Jahre abgespeichert. Leider stellt der Hersteller standardmäßig keine Richtlinie zur Verfügung, die eine automatische Löschung dieser Daten erlaubt: An dieser Stelle muss der Administrator manuell eingreifen, um die Daten aus der internen Datenbank zu löschen. Insgesamt soll ein einziger dieser IPAM-Server bis zu 150 DHCP- und bis zu 500 DNS-Server unterstützen können. Weiterhin gibt Microsoft an, dass ein solcher Server mit bis zu 6.000 DHCP-Bereichen und 150 DNS-Zonen arbeiten kann. Einsatz des IPAM-Servers in der Praxis Zu den wichtigen Voraussetzungen für den Einsatz von Windows Server 2012/2012R2 als IPAM-Server gehört es, dass der Rechner mit dem IPAM-Server Mitglied einer Domäne sein sollte. Zudem ist die Installation des IPAM-Features auf einem Server, der die Rolle eines Domänen-Controllers ausführt, nicht unterstützt. Darauf weist der Server-Manager den Administrator jedoch auch explizit hin, wenn er dem Server dieses Feature hinzufügen will. Die Installation und erste Inbetriebnahme eines IPAM-Servers gehen mithilfe des Server-Managers leicht von der Hand und erfolgt auch konsistent. Das Feature "IPAM-Server" gelangt mithilfe des Assistenten zum Hinzufügen von Rollen und Features auf das System. Nachdem diese Installation durchgelaufen ist, findet der Administrator im Server-Manager nun auch den Verwaltungseintrag für den IPAM-Server. Wählt er diesen aus, so steht hier wiederum der so genannte Schnellstart-Assistent bereit, der durch die ersten Schritte zur Installation des IPAM-Servers leitet. Ist diese Einrichtung abgeschlossen, kann der Administrator die Server auswählen, die er mithilfe von IPAM verwalten will. Dabei ist es besonders praktisch, dass die IPAM-Software zwar alle entsprechenden DHCP-, DNS- und Domänen-Server ab Windows 2008 findet, die sich im Netzwerk befinden, es aber allein die Entscheidung des Administrators bleibt, welche diese Server er mithilfe der Software verwalten und überwachen will. Durch vorher ausgerollte Gruppenrichtlinien sind die Zugriffe auf die verwalteten Server grundsätzlich möglich - allerdings müssen Administratoren noch dafür sorgen, dass auch tatsächlich alle Zugriffe sowie Firewall-Regeln richtig gesetzt sind. In der Testinstallation im LANline-Test ergab sich, dass gerade diese Zugriffe zunächst Probleme verursachen können. Nach erfolgreichem Abschluss der Einrichtung überwacht der IPAM-Server die relevanten Bereiche automatisch. Zudem existiert ein Zeitplan, über den der Server ständig nach neuen Servern innerhalb dieses Bereichs sucht, was ebenfalls die Arbeit der Systemverwalter deutlich entlasten kann. Microsoft stellt auf den aktuellen Versionen des Windows-Servers mit dem integrierten IPAM-Feature ein leistungsfähiges Werkzeug zur Verwaltung und Betreuung der Aufgaben rund um das IP-Adress-Management zur Verfügung. Fazit: Starkes Feature mit gewissen Einschränkungen Mit dem R2-Release des Windows Server 2012 hat Microsoft dieses Feature noch weiter verbessert, sodass unter anderem jetzt auch die Verwaltung der physischen und virtuellen IP-Adressraums des System Center Virtual Machine Managers (SCVMM) möglich ist. Unsere Versuche mit IPAM zeigten aber auch schnell die diesem Werkzeug innewohnende Komplexität: So leitet ein "Schnellstart-Assistenten" des Server Managers den Administrator zwar grundsätzlich gut durch die ersten Schritte der Konfiguration des Server. Wenn aber Probleme bei der Konfiguration auftreten, wie beispielsweise ein nicht funktionierender Zugriff auf andere Systeme im Netz, so ist er doch wieder auf das Suchen und vor allen Dingen auf die Hilfetexte angewiesen. Nach den Erfahrungen, die wir mit IPAM in einem extrem einfach aufgebauten Testnetzwerk gemacht haben, können wir IT-Verantwortlichen und Administratoren nur dazu raten, die auf dem Technet unter technet.microsoft.com/de-de/library/hh831622.aspx bereit stehende sehr gute Schritt-für-Schritt-Anleitung zur Konfiguration von IPAM in einer Testumgebung durchzuspielen. Dies vermeidet Fehler, und es zeigt sich sofort, an welchen Stellen in der eigenen Infrastruktur noch "an den Stellknöpfen" zu drehen ist. Leider arbeitet Microsofts IPAM-Lösung nur in sehr engen Grenzen: Schon DHCP-, DNS- und Domänen-Server auf Basis von Windows Servers 2003, die in der Praxis noch in nicht unerheblicher Anzahl zum Einsatz kommen, erfasst die Software nicht. Ebenso lassen sich die vielen anderen Geräte wie etwa Router und Switches, die in jedem Netzwerk zu finden sind und IP-Adressen beanspruchen, nicht mit der Software verwalten. So überprüft sie beispielsweise auch nicht die Konsistenz der IP-Adressen in Bezug auf diese Geräte überprüft - was nützt jedoch die beste IP-Verwaltung, wenn der DHCP-Server eine Adresse an einen Switch vergeben hat? Gut hat uns hingegen gefallen, dass Microsofts IPAM-Lösung eine Nachverfolgung der IP-Adressen ermöglicht und dabei auch Prognosen zur Verfügung stellen kann: Netzwerkverwalter können dadurch beispielsweise ihren Pool an öffentlichen IPv4-Adressen weitaus genauer im Blick behalten und verwalten. Wer also in einem reinem Windows-Server-2012/Windows-Server-2008-Netzwerk arbeitet oder bestimmte Bereiche seiner Netzwerkinfrastruktur ausschließlich mit diesen Microsoft-Servern betreibt, findet ein entsprechend mächtiges und umfangreiches Verwaltungswerkzeug.
Der Autor auf LANline.de: BÄR?????????????
Der Autor auf LANline.de: Frank-Michael Schlede
Lesen Sie mehr zum Thema
