Zu den mehr generellen Anforderungen, die an jeden Administrator gestellt werden, gehört es, dass diese IT-Mitarbeiter immer den Überblick behalten sollen. Jeder vernünftig denkende Mensch wird bestätigen, dass das zwar wünschenswert, aber im Prinzip häufig eher nicht leicht bis hin zu unmöglich sein kann. Aber wenn es um die IT geht und deren Verfügbarkeit geht, ist Vernunft nicht immer die vorherrschende Eigenschaft und die Administratoren können jede nur denkbare Hilfe gut brauchen, um ihre IT im Griff zu behalten.

ipam-header.png

 

Das umfasst auch all die Information rund um den Adressbereich des IP-Netzwerks. Den Profis obliegt es dabei, nicht nur dafür zu sorgen, dass möglichst jedes Gerät eine eindeutige Netzwerkadresse erhält, sondern sie sollten natürlich auch den allgemeinen Überblick über den IP-Adressraum behalten. Wer sich einmal mit Administratoren über diese Thematik unterhält, wird oft ausweichende Auskunft bekommen, wenn es darum geht, wie den die IP-Adressen im eigenen Betrieb wirklich verwaltet werden. Die Auflistung der IP-Adressen in einem Excel-Tabellenblatt ist in vielen IT-Abteilungen nach wie vor das probate Mittel der Wahl, stecken doch viele IT-Profis die eigentliche Verwaltungsarbeit in Einsatz und Pflege der DNS- und DHCP-Server im Unternehmensnetzwerk. Aber kaum ein Profi wird anzweifeln, dass die Anzahl der unterschiedlichsten Geräte im Netzwerk stetig und damit auch der „Verbrauch" an IP-Adressen. Die Zahl der benötigten Adressen wird nicht zuletzt auch durch den stetigen Zuwachs an virtualisierten Systemen immer weiter steigen und einen weiteren Sprung in Bezug auf die reine Anzahl machen, wenn immer mehr IoT-Geräte ihren Weg in die Netze der Unternehmen finden.

Eine Technik namens IPAM (Internet Protocol Address Management) kann ihnen jedoch hilfreich zur Seite stehen. Dabei handelt es sich grundsätzlich um eine Methode, die dazu dient, die Informationen, die den IP-Adressraum betreffen, zu überwachen und auch zu verwalten. So können sie sich mit Hilfe von IPAM unter anderem über folgende Details und Einzelheiten informieren:

  • Wie viel freier IP-Adressraum steht in meinem Netzwerk grundsätzlich noch zur Verfügung?
  • IP-Adressbereiche können von der IT-Mannschaft mit Hilfe von IPAM sowohl für IPv4- als auch für IPv6-Netze in Form von IP-Adressblöcken, von Adressbereichen oder aber auch Form individueller Adressen organisieren werden.
  • Sie können ebenfalls feststellen, welche Sub-Netze im Gebrauch sind und wie groß diese Abschnitte sind.
  • Die Software findet automatisch DHCP- und DNS-Server sowie Domänen-Controller im eigenen Netzwerk und kann dabei die Verfügbarkeit dieser beiden Dienste ebenfalls automatisch überwachen. Administratoren können IPAM dann dazu einsetzen, DHCP- und DNS-Server zentral zu verwalten, zu aktivieren und deaktivieren sowie dynamische IP-Adressbereiche zu verwalten.
  • Auch die Host-Namen, die mit jeder IP-Adresse verbunden sind und die Hardware, die unter dieser IP-Adresse zum Einsatz kommt, können die IT-Fachleute mit Hilfe von IPAM relativ einfach ermitteln.

IPAM als Teil der Windows-Server

IPAM ist keine neue Technik. Einige Softwarefirmen wie beispielsweise „efficient iP" oder "Infoblox" bieten schon länger entsprechende Lösungen für das IP-Management an. Auch Cisco hat mit dem Produkt „Prime Network Registrar" eine solche Lösung im Angebot und die Open-Source-Gemeinde stellt mit NetDB (Network Tracking Database) ebenfalls eine Software bereit, die sehr weitreichende Funktionalitäten zu bieten hat. Microsoft hat IPAM als Feature erstmals im Windows Server 2012 integriert und diese Funktionalität mit dem Erscheinen des 2012 R2-Release und aktuell mit dem Windows Server 2016 noch weiter ausgebaut. Die Möglichkeit als IPAM-Server zu fungieren, bietet Microsoft ausschließlich auf dem Windows Server 2012/2012R2 und 2016 an. Ein Update für Windows Server 2008 R2 oder gar älteren Server-Versionen wird es nach aktuellen Informationen nicht geben. Es ist allerdings möglich, diese Server-Version von einer der neueren Versionen aus mit Hilfe von IPAM zu verwalten.

Der IPAM-Server speichert die ermittelten Daten standardmäßig in einer internen Windows-Datenbank (Windows Internal Database - WID). Konnte diese noch unter Windows Server 2012 vom Nutzer nicht durch eine andere Datenbank ersetzt werden, so können Administratoren zu diesem Zweck ab der R2-Version optional auch eine Microsoft SQL-Datenbank einsetzen. In der Datenbank werden die Daten wie An- und Abmeldeinformationen der Nutzer, MAC-Adressen der Hosts sowie die Adressen-Leases der IP-Adressen laut Microsoft für bis zu 100.000 Nutzer (!) für einen Zeitraum von insgesamt drei Jahre abgespeichert.

Innerhalb der Netzwerkinfrastruktur können die IT-Fachleute dann auch weitere DHCP-, DNS-, Domänencontroller- und Netzwerkrichtlinien-Server unter Windows Server 2008 und höher einbinden und verwalten. Andere Server werden nicht verwaltet und auch weitere Netzwerk-Geräte wie Switches, Drucker oder Router beziehungsweise DHCP-Relays können leider nicht erfasst werden. Noch bis zum Windows Server 2012 R2 konnten nur die DHCP- und DNS-Server der einzelnen Active-Directory-Gesamtstruktur verwaltet werden, in der sich der IPAM-Server selbst befand. Mit der Implementierung des IPAM-Servers unter Windows Server 2016 können Administratoren nun auch DNS- und DHCP-Server verwalten, die zu einer anderen AD-Gesamtstruktur (forest) gehören, wenn diese eine bidirektionale Vertrauensstellung mit der Gesamtstruktur verfügt, in der sich der IPAM-Server befindet.

Zu den weiteren Neuerungen, die Microsoft beim IPAM-Server mit dem Windows Server 2016 eingeführt hat, gehört unter anderem auch eine deutlich erweiterte Unterstützung von IPAM durch die PowerShell. So steht den Administratoren nun PowerShell-Unterstützung für die rollenbasierte Zugriffskontrolle (Role-Based Access Control) zur Verfügung. Sie können auf dem Windows Server 2016 PowerShell-Kommandos einsetzen, um DNS- und DHCP-Objekte in IPAM zu finden und die Zugriffsberechtigungen entsprechend zu ändern. Wer mehr Informationen dazu benötigt, findet auf dem TechNet eine Übersicht der PowerShell-Cmdlets für die Arbeit mit IPAM. Dieser Eintrag bezieht sich allerdings noch auf die Cmdlets, die bereits für den Windows Server 2016 R2 und Windows 8 zur Verfügung standen. Ein weiterer Beitrag, der unter dieser Adresse zu finden ist, befasst sich dann ausführlicher mit dem Einsatz der Role-Based Access Control mittels der PowerShell auf dem Windows Server 2016.

In der Praxis: Testnetzwerk ist eine sinnvolle Maßnahme

Zu den wichtigen Voraussetzungen für den Einsatz eines Windows Server 2012/2012 R2 oder Windows Server 2016 als IPAM-Server gehört es, dass der Rechner mit dem IPAM-Server Mitglied einer Domäne sein sollte. Zudem wird die Installation des IPAM-Features auf einem Server, der die Rolle eines Domänen-Controllers ausführt, nicht unterstützt. Darauf weist der Server-Manager den Administrator aber auch explizit hin, wenn er dem Server dieses Feature hinzufügen möchte.

Wir haben in einem sehr einfach aufgebauten Testnetzwerk mit Windows Server 2012 R2- und Windows Server 2008-Systemen erste Erfahrungen mit IPAM gesammelt. Dabei mussten wir schnell feststellen, dass dieses Werkzeug eine gewisse Komplexität besitzt: Mit Hilfe des „Schnellstart-Assistenten" des Server-Managers sollte es zwar grundsätzlich jedem halbwegs erfahrenen Administrator gelingen, die ersten Schritte der Konfiguration zu bewältigen und den IPAM-Server in Betrieb zu nehmen. Treten danach allerdings Probleme wie ein nicht funktionierender Zugriff auf andere Maschinen im Netzwerk auf, so wird in der Regel wieder das Suchen in den Hilfetexten beginnen. Wer also in IPAM mit dem Windows Server - ganz gleich ob Windows Server 2012 R2 oder Windows Server 2016 - einsteigen will, ist nach unserer Erfahrung gut beraten, die sehr gute Schritt-für-Schritt-Anleitung zur Konfiguration von IPAM in einer Testumgebung durchzuspielen, die Microsoft im TechNet unter der URL: http://technet.microsoft.com/de-de/library/hh831622.aspx. Diese Anleitung bezieht sich zwar auf die Version auf dem Windows Server 2012, kann aber problemlos auch für die ersten Versuche mit dem aktuellen Server 2016 eingesetzt werden. Auf diese Weise können IT-Fachleute Fehler vermeiden und sehen zudem, an welchen Stellen sie in der eigenen Infrastruktur noch nachbessern sollten.

Did you like our blog post?

FOLLOW US VIA RSS >> FOLLOW US ON FEEDLY >>

Entries (RSS) Entries (Atom)

 

Blog Kategorien

Blog Archiv

 

PRTG Network Monitor

Intuitive to Use.
Easy to manage.

200,000 administrators have
chosen PRTG to monitor their
network. Find out how you can
reduce cost, increase QoS and
ease planning, as well.

Free PRTG
Download

Copyright © 1998 - 2017 Paessler AG