3.0. IP-adresbeheer implementeren

3.0.1. Inleiding

Netwerken kunnen complex zijn, met veel componenten en services die worden gecombineerd om de omgeving te bieden die nodig is om de apparaten en apps van uw organisatie te ondersteunen. Windows Server 2016-serverrollen, zoals Dynamic Host Configuration Protocol (DHCP) en Domain Name System (DNS), bieden fundamentele IP-connectiviteit. Het is daarom belangrijk dat u deze diensten eenvoudig kunt beheren en onderhouden.

U kunt de IPAM-serverfunctie (IP-adresbeheer) van Windows Server 2016 gebruiken om zowel DHCP als DNS te beheren en te onderhouden, zelfs in een forest-omgeving met meerdere Active Directory Domain Services (AD DS).

3.1. IP-adresbeheer installeren en configureren

Het kan tijdrovend en soms ingewikkeld zijn om de toewijzing van IP-adressering in middelgrote tot grote organisaties te beheren. Met IPAM kunt u uw IP-infrastructuur implementeren, bewaken en beheren, en kunt u alle aspecten van geïmplementeerde DHCP- en DNS-servers beheren.

Als u meer dan één DHCP- en/of DNS-server in uw organisatie heeft, overweeg dan om IPAM te implementeren om IP-adresbeheer te helpen implementeren. Met IPAM kunt u de volgende taken uitvoeren:

3.1.1. Architectuur

IPAM bestaat uit de volgende componenten, weergegeven in de volgende afbeelding.

  • IPAM-client – Een computer waarop Windows 8 of nieuwer, of Windows Server 2012 of nieuwer is geïnstalleerd. De client moet de Remote Server Administration Tools (RSAT) hebben geïnstalleerd. De client communiceert via het Windows Communication Foundation (WCF)-protocol met de IPAM-server via TCP-poort 48885. De client is verantwoordelijk voor het leveren van rapportage over de IPAM-architectuur.
  • IPAM-server – Elke computer die lid is van een domein en waarop Windows Server 2012 of nieuwer is geïnstalleerd. De IPAM-server communiceert met beheerde servers, met de IPAM-client(s) en met de IPAM-database.
  • IPAM-database – Dit kan een interne Windows-database zijn, of u kunt een SQL Server-database gebruiken op Windows Server 2012 R2 en nieuwer.
  • Op rollen gebaseerde toegangscontrole – Bepaalt wat de IPAM-beheerder kan zien op zijn IPAM-clientconsole. U kunt bijvoorbeeld de weergave van IP-adresleasegegevens beperken tot een specifieke set IPAM-beheerders door hun gebruikersaccounts toe te voegen aan de IPAM IP-auditbeheerdersgroep.
  • Geplande taken – Gebruikt door de IPAM-server om met vooraf bepaalde tussenpozen statistische gegevens van beheerde servers te verzamelen.
  • Beheerde servers – Domeincontrollers, NPS-, DNS- en DHCP-servers met Windows Server 2008 of nieuwer.

Examentip

U kunt deze poort opnieuw configureren met de Windows PowerShell-cmdlet Set-IpamConfiguration.

U kunt de IPAM-functie niet installeren op een AD DS-domeincontroller en het wordt niet aanbevolen om de functie op een DHCP-server te installeren, omdat DHCP-detectie is uitgeschakeld. Idealiter implementeert u de IPAM-functie op een daarvoor bestemde server.

3.1.2. Vereisten en planningsoverwegingen

Voordat u IPAM implementeert, moet u ervoor zorgen dat uw IT-infrastructuur gereed is en dat u een implementatietopologie hebt gekozen. De vereisten voor het implementeren van IPAM zijn niet ingewikkeld. Zij zijn:

  • Windows Server 2012 – U moet de IPAM-functie installeren op een server met minimaal Windows Server 2012.
  • Database – U kunt de interne Windows-database gebruiken op alle versies van Windows Server, maar als u IPAM implementeert op een server met Windows Server 2012 R2 of nieuwer, kunt u een Microsoft SQL Server-database implementeren om IPAM te ondersteunen.
  • Netwerk – Uw netwerkinfrastructuur moet aanwezig zijn. IPAM vereist toegang tot een domeincontroller en tot een gezaghebbende DNS-server.
  • AD DS – U moet IPAM installeren op een servercomputer die lid is van een domein. Als u IPAM installeert op een servercomputer met Windows Server 2016, kan IPAM detectie in meerdere AD DS-forests ondersteunen.

Wanneer u IPAM implementeert, kunt u kiezen uit drie mogelijke topologieën. Dit zijn:

  • Gedistribueerd – U implementeert een IPAM-server op elke fysieke locatie of locatie.
  • Gecentraliseerd – U zet één IPAM-server in om de hele organisatie te ondersteunen.
  • Hybride – U implementeert een centrale IPAM-server in uw hoofddatacenter, met speciale IPAM-servers die op elke locatie worden geïmplementeerd, zoals weergegeven in de volgende afbeelding.

3.1.3. IPAM-databaseopslag configureren met SQL Server

Als u IPAM implementeert op Windows Server 2012 R2 of Windows Server 2016, kunt u de IPAM-database configureren als een interne Windows-database (WID), of u kunt een externe SQL Server-database gebruiken. Meestal is dit een keuze die u maakt tijdens de initiële inrichting van uw IPAM-server.

Wanneer u de Provision IPAM Wizard start, wordt u gevraagd of u WID of een SQL Server-database wilt gebruiken. Als u WID kiest, moet u de locatie van de database en gerelateerde logbestanden specificeren. De standaardwaarde is %WINDIR%\System32\IPAM\Database.

Als u een SQL Server-database wilt gebruiken, moet uw SQL Server SQL Server 2008 R2 of nieuwer draaien. U moet dan aangeven:

  • Servernaam
  • Databasenaam
  • Poort (de standaard is 1433)

U moet verificatie voor de SQL Server configureren om IPAM te ondersteunen. Het proces hiervoor varieert afhankelijk van of de SQL Server op dezelfde of een andere computer dan IPAM draait en of u Windows-verificatie of SQL-verificatie wilt gebruiken.

3.1.3.1. SQL en IPAM op aparte computers

Om Windows-verificatie te gebruiken, opent u een opdrachtprompt met verhoogde bevoegdheid en voert u SQLCMD uit. Voer vervolgens de volgende opdrachten uit (waarbij DOMAIN\IPAM1$ de AD DS-domeinnaam en de IPAM-computernaam is, en IPAM_DB de naam van de SQL-database is):

CREATE LOGIN [DOMAIN\IPAM1$] FROM WINDOWS CREATE DATABASE IPAM_DB
GO
USE IPAM_DB
CREATE USER IPAM FOR LOGIN [DOMAIN\IPAM1$] ALTER ROLE DB_OWNER ADD MEMBER IPAM
USE MASTER
GRANT VIEW ANY DEFINITION TO [DOMAIN\IPAM1$]

Om SQL-authenticatie te gebruiken, voert u bij een SQLCMD-prompt de volgende opdrachten uit (waarbij ipaamus een inlognaam voor SQL-authenticatie is, ‘wachtwoord’ het SQL-wachtwoord voor dit account en IPAM_DB de naam van de SQL-database is):

CREATE LOGIN ipamuser WITH PASSWORD = 'password'
CREATE DATABASE IPAM_DB
GO
USE IPAM_DB
CREATE USER IPAM FOR LOGIN ipamuser ALTER ROLE DB_OWNER ADD MEMBER IPAM GO
USE MASTER
GRANT VIEW ANY DEFINITION TO ipamuser
GO

Examentip

De informatie die u hier invoert, moet exact overeenkomen met wat u invoert in de IPAM-inrichtingswizard.

3.1.3.2. SQL en IPAM op dezelfde computer

Als SQL en IPAM op dezelfde computer zijn geïmplementeerd en Windows-verificatie wilt gebruiken, opent u een opdrachtprompt met verhoogde bevoegdheid en voert u SQLCMD uit. Voer vervolgens de volgende opdrachten uit (waarbij IPAM_DB de naam is van de SQL-database):

CREATE LOGIN [NT AUTHORITY\Network Service] FROM WINDOWS CREATE DATABASE IPAM_DB
GO
USE IPAM_DB
CREATE USER IPAM FOR LOGIN [NT AUTHORITY\Network Service] ALTER ROLE DB_OWNER ADD MEMBER IPAM
GO
USE MASTER
GRANT VIEW ANY DEFINITION TO [NT AUTHORITY\Network Service]
GO

Om SQL-authenticatie te gebruiken, voert u bij een SQLCMD-prompt de volgende opdrachten uit (waarbij ipaamus een inlognaam voor SQL-authenticatie is, ‘wachtwoord’ het SQL-wachtwoord voor dit account en IPAM_DB de naam van de SQL-database is).

CREATE LOGIN ipamuser WITH PASSWORD = 'password' CREATE DATABASE IPAM_DB
GO
USE IPAM_DB
CREATE USER IPAM FOR LOGIN ipamuser ALTER ROLE DB_OWNER ADD MEMBER IPAM GO
USE MASTER
GRANT VIEW ANY DEFINITION TO ipamuser
GO

Examentip

De informatie die u hier invoert, moet exact overeenkomen met wat u invoert in de IPAM-inrichtingswizard.

3.1.4. IPAM handmatig inrichten of door Groepsbeleid te gebruiken

Voordat u IPAM kunt gaan gebruiken, moet u de IPAM-service implementeren en vervolgens inrichten.

3.1.4.1. IPAM implementeren

U kunt Windows PowerShell of Server Manager gebruiken om de IPAM-functie te implementeren. Gebruik de volgende procedure om de functie te installeren met Server Manager:

  1. Klik in Serverbeheer op Beheren en klik vervolgens op Rollen en onderdelen toevoegen.
  2. Klik door de wizard Rollen en functies toevoegen en schakel vervolgens op de pagina Functies selecteren het selectievakje IP-adresbeheer (IPAM)-server in.
  3. In het gedeelte Functies toevoegen die vereist zijn voor IP-adresbeheer (IPAM)-server? dialoogvenster, klik op Functies toevoegen en klik vervolgens op Volgende.
  4. Klik op Installeren en wanneer de functie is geïnstalleerd, klikt u op Sluiten.

Examentip

U kunt ook de opdracht Windows PowerShell Install-WindowsFeature IPAM – IncludeManagementTools gebruiken om de IPAM-functie te installeren.

3.1.4.2. IPAM Handmatig inrichten

Nadat u de IPAM-serverfunctie hebt geïmplementeerd, moet u IPAM inrichten. Provisioning is het proces van het configureren van machtigingen, toegangsinstellingen en gedeelde mappen op beheerde servers zodat uw IPAM-server ermee kan communiceren.

U kunt de server handmatig inrichten of met behulp van Group Policy Objects (GPO’s). Wanneer u de Provision IPAM Wizard start, wordt u gevraagd of u handmatig of met behulp van GPO’s wilt inrichten, zoals weergegeven in Afbeelding 3-4.

Voer de volgende procedure uit om IPAM handmatig in te richten:

  1. Klik in Serverbeheer in het navigatievenster op IPAM.
  2. Klik in het paneel IPAM-servertaken, weergegeven in de volgende afbeelding, op De IPAM-server inrichten.
  3. Klik op de pagina Voordat u begint op Volgende.
  4. Klik op de pagina Database configureren, weergegeven in de volgende afbeelding, op Windows Internal Database (WID) of Microsoft SQL Server. Klik volgende.
  5. Klik op de pagina Select Provisioning Method op Handmatig, zoals weergegeven in de volgende afbeelding, en klik vervolgens op Volgende.
  6. Klik op Toepassen en vervolgens op Sluiten.

Examentip

Als u Microsoft SQL Server kiest, moet u de referenties definiëren die nodig zijn om verbinding te maken met de aangewezen database op de pagina Databasereferenties. De gegevens die u invoert, moeten overeenkomen met de gegevens die u hebt opgegeven toen u uw SQL Server-database configureerde om IPAM te ondersteunen.

Hoewel u niet kunt overschakelen van op groepsbeleid gebaseerde inrichting naar handmatige inrichting, kunt u overschakelen van handmatige naar op groepsbeleid gebaseerde inrichting met behulp van de Set-IpamConfiguration -ProvisioningMethod Automatic Windows PowerShell-opdracht.

Nadat u de wizard IPAM inrichten hebt voltooid, moet u uw beheerde servers handmatig inrichten. Hoewel u ervoor hebt gekozen dit proces handmatig uit te voeren, kunt u nog steeds GPO’s gebruiken om te helpen bij het proces. In tegenstelling tot het gebruik van de op groepsbeleid gebaseerde inrichtingsmethode, worden de groepsbeleidsobjecten echter niet automatisch gemaakt of toegepast. Ze zijn ook niet ongebruikt wanneer u een beheerde server van IPAM wilt verwijderen.

3.1.4.3. DHCP-servers

Gebruik de volgende procedure om uw door DHCP beheerde servers handmatig in te richten voor IPAM:

  1. Configureer Windows Firewall op een beheerde DHCP-server. Open Windows Firewall met geavanceerde beveiliging.
  2. Maak een inkomende regel op basis van een vooraf gedefinieerde sjabloon: Klik in Regeltype op Vooraf gedefinieerd, klik op DHCP-serverbeheer en klik vervolgens op Volgende.
  3. Selecteer in Voorgedefinieerde regels onder Regels:
    1. DHCP-server (RPCSS-In)
    2. DHCP-server (RPC-In)
  4. Klik op Volgende, klik op De verbinding toestaan en klik vervolgens op Voltooien.
  5. Maak nog een inkomende regel op basis van een vooraf gedefinieerde sjabloon. Klik in Regeltype op Voorgedefinieerd, klik op Bestands- en printerdeling en klik vervolgens op Volgende.
  6. Selecteer in Voorgedefinieerde regels onder Regels:
    1. Bestands- en printerdeling (NB-Session-In)
    2. Bestands- en printerdeling (SMB-In)
  7. Klik op Volgende, klik op De verbinding toestaan en klik vervolgens op Voltooien.
  8. Maak nog een inkomende regel op basis van een vooraf gedefinieerde sjabloon. Klik in Regeltype op Voorgedefinieerd, klik op Extern gebeurtenislogboekbeheer en klik vervolgens op Volgende.
  9. Selecteer in Voorgedefinieerde regels onder Regels:
    1. Remote Event Log Management (RPC)
    2. Beheer van gebeurtenislogboeken op afstand (RPC-EPMAP)
  10. Klik op Volgende, klik op De verbinding toestaan en klik vervolgens op Voltooien.
  11. Maak nog een inkomende regel op basis van een vooraf gedefinieerde sjabloon. Klik in Regeltype op Voorgedefinieerd, klik op Extern servicebeheer en klik vervolgens op Volgende.
  12. Selecteer in Voorgedefinieerde regels onder Regels:
    1. Remote Service Management (RPC)
    2. Servicebeheer op afstand (RPC-EPMAP)
  13. Klik op Volgende, klik op De verbinding toestaan en klik vervolgens op Voltooien.
  14. Configureer beveiligingsgroepen op een beheerde DHCP-server. Maak in uw AD DS-domein met Active Directory: gebruikers en computers een universele beveiligingsgroep met de naam IPAMUG.
  15. Voeg de computer met de DHCP-rol toe aan deze groep.
  16. Zoek op de DHCP-server met Computerbeheer de groep DHCP-gebruikers.
  17. Voeg de universele beveiligingsgroep IPAMUG toe aan deze groep.
  18. Zoek op de DHCP-server met behulp van Computerbeheer de groep Gebeurtenislogboeklezers. Voeg de universele beveiligingsgroep IPAMUG toe aan deze groep.
  19. Configureer een DHCP-auditshare op een beheerde DHCP-server:
    1. Deel de map %WINDIR%\system32\DHCP met de naam DHCPAUDIT.
    2. Verleen de IPAMUG-groep leesrechten voor deze gedeelde map.
  20. Start DHCP opnieuw. 

3.1.4.4. DNS-servers

Gebruik de volgende procedure om uw door DNS beheerde servers handmatig in te richten voor IPAM:

  1. Configureer Windows Firewall op een beheerde DNS-server. Open Windows Firewall met geavanceerde beveiliging. Maak een inkomende regel op basis van een vooraf gedefinieerde sjabloon.
  2. Klik bij Regeltype op Vooraf gedefinieerd, klik op DNS-service en klik vervolgens op Volgende.
  3. Selecteer in Voorgedefinieerde regels onder Regels:
    1. RPC (TCP, Inkomend)
    2. DNS (UDP, Inkomend)
    3. DNS (TCP, Inkomend)
    4. RPC Endpoint Mapper (TCP, Inkomend)
  4. Klik op Volgende, klik op De verbinding toestaan en klik vervolgens op Voltooien.
  5. Maak nog een inkomende regel op basis van een vooraf gedefinieerde sjabloon.
  6. Klik bij Regeltype op Voorgedefinieerd, klik op Extern servicebeheer en klik vervolgens op Volgende.
  7. Selecteer in Voorgedefinieerde regels onder Regels: Remote Service Management (RPC-EPMAP) Remote Service Management (NP-In) Remote Service Management (RPC)
  8. Klik op Volgende, klik op De verbinding toestaan en klik vervolgens op Voltooien.
  9. Maak nog een inkomende regel op basis van een vooraf gedefinieerde sjabloon:
  10. Klik bij Regeltype op Voorgedefinieerd, klik op Extern gebeurtenislogboekbeheer en klik vervolgens op Volgende.
  11. Selecteer in Voorgedefinieerde regels onder Regels:
    1. Remote Event Log Management (RPC)
    2. Beheer van gebeurtenislogboeken op afstand (RPC-EPMAP)
  12. Klik op Volgende, klik op De verbinding toestaan en klik vervolgens op Voltooien.
  13. Configureer beveiligingsgroepen op een beheerde DNS-server. Deze procedure is hetzelfde als voor uw DHCP-servers.
    Schakel bewaking van gebeurtenislogboeken in op een beheerde DNS-server. U kunt bewaking van gebeurtenislogboeken inschakelen door de HKLM\SYSTEM\CurrentControlSet\Services\EventLog\DNS Server\Custom SD-waarde in het register te bewerken. Voeg de Security ID (SID) van uw IPAM-server toe aan het einde van deze registerwaarde. Typ met name aan het einde van de waarde het volgende (waarbij SID de SID van uw IPAM-server is. U kunt de SID bepalen door Get-ADComputer uit te voeren <IPAM_Server_Name>-opdracht bij een Windows PowerShell-opdrachtprompt).
  14. Configureer de DNS DACL op een beheerde DNS-server door de DNS Manager-console te openen.
  15. Klik in DNS Manager met de rechtermuisknop op de lokale DNS-server en klik vervolgens op Eigenschappen.
  16. Klik op het tabblad Beveiliging en voeg vervolgens de IPAMUG-groep toe.

3.1.4.5. NPS en domeincontrollers

Gebruik de volgende procedure om uw NPS-servers en domeincontrollers handmatig te configureren voor IPAM:

  1. Configureer Windows Firewall op een beheerde domeincontroller of NPS-server. Maak een inkomende regel op basis van een vooraf gedefinieerde sjabloon.
  2. Klik in Regeltype op Voorgedefinieerd, klik op Extern gebeurtenislogboekbeheer en klik vervolgens op Volgende.
  3. Selecteer in Voorgedefinieerde regels onder Regels:
    1. Remote Event Log Management (RPC)
    1. Beheer van gebeurtenislogboeken op afstand (RPC-EPMAP)
  4. Klik op Volgende, klik op De verbinding toestaan en klik vervolgens op Voltooien.
  5. Configureer beveiligingsgroepen op een beheerde domeincontroller of NPS-server. Deze procedure is hetzelfde als voor uw DHCP-servers.

3.1.4.6. Inrichting door gebruik te maken van groepsbeleidsobjecten

Voer de volgende procedure uit om IPAM in te richten met behulp van op Groepsbeleid gebaseerde inrichting:

  1. Klik in Serverbeheer in het navigatievenster op IPAM.
  2. Klik in het deelvenster IPAM-servertaken op De IPAM-server inrichten.
  3. Klik op de pagina Voordat u begint op Volgende.
  4. Klik op de pagina Database configureren op Windows Internal Database (WID) of Microsoft SQL Server en klik vervolgens op Volgende.
  5. Klik op de pagina Inrichtingsmethode selecteren op Op basis van groepsbeleid, zoals weergegeven in de volgende afbeelding, typ in het voorvoegsel GPO-naam een betekenisvol voorvoegsel en klik vervolgens op Volgende.
  6. Klik op Toepassen en vervolgens op Sluiten.

De pagina Voltooiing wordt weergegeven, zoals weergegeven in de volgende afbeelding.

3.1.5. Serverdetectie configureren

Na de inrichting moet u serverdetectie configureren en uitvoeren. Met Discovery kunt u beheerde servers toevoegen aan IPAM. Voer de volgende procedure uit om detectie te starten vanuit Serverbeheer in de IPAM-console:

  1. Klik op de pagina IPAM-servertaken op Serverdetectie configureren.
  2. Klik in het dialoogvenster Serverdetectie configureren op Forests ophalen.
  3. Klik in het pop-upvenster Serverdetectie configureren op OK. Sluit het dialoogvenster Serverdetectie configureren en klik vervolgens op de pagina IPAM-servertaken op Serverdetectie configureren.
  4. Het dialoogvenster Configure Server Discovery verschijnt, zoals weergegeven in de volgende afbeelding, met het AD DS-forest ontdekt. Klik in de lijst Selecteer domeinen om te ontdekken op de domeinen die servers bevatten die u wilt beheren en klik vervolgens op Toevoegen.
  5. Selecteer in het deelvenster De te ontdekken rollen selecteren de rollen die u wilt ontdekken in elk domein dat u hebt toegevoegd. Klik op OK om de ontdekking te starten.
  6. Klik in het deelvenster IPAM-servertaken op Serverdetectie starten. Er wordt een taak gestart om servers in het/de geselecteerde domein(en) te ontdekken. Wacht tot deze taak is voltooid en klik vervolgens op Servers toevoegen om IPAM-toegang te beheren en te verifiëren. De ontdekking kan 10 minuten duren, of mogelijk langer. De gele balk in Serverbeheer wordt bijgewerkt wanneer de detectie is voltooid.
  7. De status van uw domeincontroller in gedetecteerde domeinen wordt weergegeven. De status wordt echter gerapporteerd als geblokkeerd, zoals weergegeven in de volgende afbeelding.
  8. Om de domeincontroller te deblokkeren, voert u de volgende Windows PowerShell-opdracht uit, waarbij u uw domeinnaam, de FQDN van uw IPAM-server en de naam van de gebruikersaccount met gedelegeerde beheermachtiging vervangt: Invoke-IpamGpoProvisioning –Domain Adatum.com –GpoPrefixName IPAM – IpamServerFqdn LON-SVR1.adatum.com –DelegatedGpoUser-beheerder
  9. Wanneer de opdracht is voltooid, schakelt u over naar Serverbeheer en vernieuwt u de weergave: klik met de rechtermuisknop op de server en klik vervolgens op Servertoegangsstatus vernieuwen. Het bijwerken van het scherm kan enkele minuten duren. De gele statusbalk in Server Manager geeft de voortgang aan.
  10. Klik met de rechtermuisknop op de server en klik vervolgens op Server bewerken.
  11. Klik in het dialoogvenster Server toevoegen of bewerken, weergegeven in de volgende afbeelding, in de lijst Beheerbaarheidsstatus op Beheerd en klik vervolgens op OK.
  12. Als u extra servers wilt toevoegen, klikt u in Serverinventaris met de rechtermuisknop op Beheerde servers en vervolgens op Server toevoegen. Typ in het dialoogvenster Server toevoegen of bewerken, weergegeven in bovenstaande afbeelding, de FQDN van de server en klik op Verifiëren. Selecteer in de lijst Servertype alle services die van toepassing zijn. Klik in de lijst Beheerbaarheidsstatus op Beheerd en klik vervolgens op OK.
  13. Wanneer alle server(s) worden weergegeven als beheerd, klikt u in het paneel IPAM-servertaken op Gegevens ophalen van beheerde servers.

Wanneer de detectie is voltooid, moet uw beheerde serverstatus op de pagina Managerservers er ongeveer zo uitzien als in de volgende afbeelding.

Examentip

U voert de Invoke-IpamGpoProvisioning-cmdlet uit om de IPAM-server de benodigde machtigingen te verlenen om servers in uw domein te beheren. Wanneer u deze opdracht uitvoert, worden de GPO’s gemaakt en gekoppeld aan uw domein. Deze GPO’s passen de benodigde machtigingen toe voor de IPAM-server om het beheer van domeincontrollers, DNS en DHCP-servers in uw domein uit te voeren.

Als de status van de server(s) nog steeds wordt weergegeven als Geblokkeerd, forceer dan een GPO-update op de beheerde server(s) en ook op de IPAM-server. Indien nodig moet u mogelijk de server(s) opnieuw opstarten. Gebruik gpupdate /force om de groepsbeleidsobjecten te dwingen toe te passen.

3.1.6. Aanmaken en beheren van IP-blokken en bereiken

Een van de belangrijke voordelen van het gebruik van IPAM is de mogelijkheid om uw IP-adresruimte en gerelateerde services te beheren vanuit één enkele beheerinterface: de IPAM-console. Om uw IP-adresruimte te beheren, klikt u in Serverbeheer op IPAM en vervolgens op IP-adresruimte.

U kunt dan het volgende selecteren:

  • IP-adresblokken – Een IP-adresblok is een IP-subnet en is het object op het hoogste niveau binnen uw IP-adresruimtestructuur. Het bestaat uit een start-IP en een eind-IP-adres. Gebruik IP-adresblokken om IP-adresbereiken op uw DHCP-server(s) aan te maken. Onder dit knooppunt ziet u:
    • IP-adressubnetten – U kunt uw IP-subnetten vanaf dit knooppunt bekijken of beheren.
    • IP-adresbereiken – U kunt dit knooppunt gebruiken om uw IP-adresbereiken te bekijken of te beheren, zoals weergegeven in de volgende afbeelding.
    • IP-adressen – Vanaf dit knooppunt kunt u de individuele IP-adressen bekijken of beheren.
  • IP-adresinventaris – Biedt een logische groep waarmee u kunt aanpassen hoe uw adresruimte wordt weergegeven, wat een efficiënt beheer en tracking van IP-gebruik mogelijk maakt. Hiermee kunt u alle IP-adressen in uw organisatie zien samen met de gerelateerde apparaatgegevens, zoals type en naam.
  • IP-adresbereikgroepen – Met deze optie kunt u uw IP-adresbereiken in logische groepen indelen. U kunt bijvoorbeeld IP-adresbereiken ordenen op locatie of op bedrijfsfunctie.

3.1.6.1. IP-adresblokken beheren

Als u een IP-adresblok wilt maken, klikt u in de IPAM-console onder het knooppunt IP-adresruimte in het navigatievenster op IP-adresblokken. Voer vervolgens de volgende procedure uit:

  1. Klik in het detailvenster op Taken en klik vervolgens op IP-adresblok toevoegen.
  2. Voer in het dialoogvenster IPv4-adresblok toevoegen of bewerken, weergegeven in de volgende afbeelding, de volgende informatie in en klik vervolgens op OK:
    • Netwerk-ID – De subnet-ID. Bijvoorbeeld 192.168.1.0.
    • Prefixlengte – Het aantal subnetbits in de netwerk-ID. Bijvoorbeeld 24.
    • Adreswaarden automatisch toewijzen – Selecteer Ja of Nee.
    • Start IP-adres – Het eerste IP-adres in het netwerk. De standaardwaarde is het eerste IP-adres in de netwerk-ID die u hebt opgegeven, maar u kunt dit wijzigen. Bijvoorbeeld 192.168.1.0.
    • Eind IP-adres – Het laatste IP-adres in het netwerk. De standaardwaarde is het laatste IP-adres in de netwerk-ID die u hebt opgegeven, maar u kunt dit wijzigen. Bijvoorbeeld 192.168.1.255.
    • Regionaal Internet Register (RIR) – Alleen geldig als u een openbaar IPv4-adres invoert.
    • Ontvangstdatum van RIR – Alleen geldig als u een openbaar IPv4-adres invoert. Beschrijving (optioneel. Een zinvolle beschrijving die u helpt het blok te identificeren. Laatst toegekende datum Optioneel.
    • Eigenaar – Optioneel. Hiermee kunt u tekst invoeren om de eigenaar van het blok aan te geven.

Examentip

U kunt ook de Windows PowerShell Add-IpamBlock-cmdlet gebruiken om een IP-adresblok te maken.

U kunt een vergelijkbare procedure uitvoeren om IPv6-adresblokken toe te voegen. Als u een IPv6-adresblok wilt maken, klikt u in de IPAM-console onder het knooppunt IP-adresruimte in het navigatievenster op IP-adresblokken en vervolgens op IPv6. Klik in de lijst Taken op IP-adresblok toevoegen en configureer vervolgens de opties in het dialoogvenster IPv6-adresblok toevoegen of bewerken, zoals weergegeven in de volgende afbeelding.

Nadat u uw IP-adresblok hebt gemaakt, kunt u er met de rechtermuisknop op klikken in de IPAM-console en het adresblok bewerken.

Examentip

U kunt ook de Windows PowerShell Set-IpamBlock-cmdlet gebruiken om een IP-adresblok te wijzigen.

3.1.6.2. IP-adresbereiken beheren

Als u een IP-adresbereik wilt maken, klikt u in de IPAM-console onder het knooppunt IP-adresruimte in het navigatievenster op IP-adresblokken. Klik in de lijst Huidige weergave op IP-adresbereiken. Voer vervolgens de volgende procedure uit:

  1. Klik in het detailvenster op Taken en klik vervolgens op IP-adresbereik toevoegen.
  2. Voer in het dialoogvenster IPv4-adresbereik toevoegen of bewerken, weergegeven in de volgende afbeelding, de volgende informatie in en klik vervolgens op OK:
    • Netwerk-ID – De subnet-ID. Bijvoorbeeld 192.168.1.0.
    • Prefixlengte (0-32) – Het aantal subnetbits in de netwerk-ID. Bijvoorbeeld 24.
    • Subnetmasker – Automatisch gegenereerd op basis van de prefixlengte.
    • Automatisch IP-adressubnet maken – Selecteer deze optie om een subnet te maken met de geconfigureerde waarden.
    • Adreswaarden automatisch toewijzen – Klik op Ja of Nee.
    • Start IP-adres – Het eerste IP-adres in het netwerk. De standaardwaarde is het eerste IP-adres in de netwerk-ID die u hebt opgegeven, maar u kunt dit wijzigen. Bijvoorbeeld 192.168.1.0.
    • Eind IP-adres – Het laatste IP-adres in het netwerk. De standaardwaarde is het laatste IP-adres in de netwerk-ID die u hebt opgegeven, maar u kunt dit wijzigen. Bijvoorbeeld 192.168.1.255.
    • Beheerd door service – Kies IPAM (de standaard), of niet-MS DHCP, of Virtual Machine Manager (VMM).
    • Service-instantie – Geef op op welke IPAM-server de service wordt uitgevoerd. De standaard is Localhost.
    • Opdrachttype – Kies Statisch, Dynamisch, Automatisch, VIP of Gereserveerd.
    • Beschrijving – Optioneel.
    • Eigenaar – Optioneel.
    • Netwerkvirtualisatie inschakelen – Ja of Nee.
    • Aangepaste configuraties – Gebruik deze opties om het volgende te definiëren: AD DS-site, regio of land, apparaattype en vele andere eigenschappen.
    • WINS en DNS – Configureer de instellingen voor naamomzetting voor clients die een IP-configuratie uit dit bereik verkrijgen.
    • Gateway – Configureer de routeringsinstellingen voor clients die een IP-configuratie uit dit bereik verkrijgen.
    • Reserveringen – Configureer de IP-reserveringen voor klanten die een IP-configuratie uit dit bereik krijgen.

Examentip

U kunt ook de Windows PowerShell Add-IpamRange-cmdlet gebruiken om een IP-adresblok te maken.

U kunt een vergelijkbare procedure uitvoeren om IPv6-adresbereiken toe te voegen. Als u een IPv6-adresblok wilt maken, klikt u in de IPAM-console onder het knooppunt IP-adresruimte in het navigatievenster op IP-adresblokken en vervolgens op IPv6. Klik in de lijst Taken op IP-adresbereik toevoegen en configureer vervolgens de opties in het dialoogvenster IPv6-adresbereik toevoegen.

Nadat u uw IP-adresbereik(en) hebt toegevoegd, kunt u hun gegevens vanuit de console bewerken. Klik met de rechtermuisknop op het juiste bereik en klik vervolgens op IP-adresbereik bewerken.

Examentip

U kunt ook de Windows PowerShell Set-IpamRange-cmdlet gebruiken om een IP-adresblok te maken.

3.1.7. Gebruik van IP-adresruimte bewaken

Het is belangrijk om te weten hoe uw IP-adresruimte wordt gebruikt om de netwerkinfrastructuur van uw organisatie goed te plannen en te onderhouden. Met IPAM kunt u het gebruik volgen van:

  • IP-adresbereiken
  • IP-adresblokken
  • IP-bereikgroepen

U kunt drempels voor het gebruik van IP-adresbereiken, groepen en blokken configureren wanneer u ze aanmaakt of achteraf in de IPAM-console. Door een drempel te gebruiken, kunt u over- of onderbenutting van de resource bepalen. IPAM toont de gebruiksinformatie op verschillende plaatsen in de console, afhankelijk van de huidige weergave.

Als u bijvoorbeeld het gebruik van het IP-adres in een IP-adresbereik wilt bekijken, klikt u in IPAM op IP-adresruimte en vervolgens op IP-adresbereikgroepen. In het resultatenvenster, weergegeven in de volgende afbeelding, wordt Over of Under weergegeven in de kolom Gebruik voor het geselecteerde bereik, en geeft de kolom Percentage gebruikt een numerieke waarde voor het gebruik van de adresruimte. Gebruik het tabblad Gebruikstrend van de detailweergave om meer informatie over het gebruik over een gemeten periode te ontdekken.

Examentip

IPAM biedt alleen trendinformatie over het gebruik van IP-adressen voor IPv4.

3.1.8. Bestaande workloads migreren naar IPAM

Als uw organisatie veel moeite heeft geïnvesteerd in IP-adresbeheer met behulp van een niet-Microsoft-oplossing, kunt u uw IP-adresruimte naar IPAM migreren door een importproces te gebruiken op basis van door komma’s gescheiden waarden (CSV-bestanden).

Wanneer u een CSV-bestand gebruikt om in de IPAM-adresruimte te importeren, moet u de eerste regel van het CSV-bestand vullen met een koptekst die de veldnamen bevat die in de IPAM-console worden gebruikt. Bijvoorbeeld: IP-adres, beheerd door service, apparaattype, enz.

Gebruik de volgende syntaxis in uw CSV-bestand om een IP-adresbereik te importeren:

Netwerk, Start-IP-adres, Eind-IP-adres, Beheerd door service, Toewijzingstype
192.168.2.0/24, 192.168.2.1, 192.168.2.254, IPAM, dynamisch

Gebruik de informatie in Tabel 3-1 om de vereiste velden in uw CSV-bestanden te bepalen.

IP-adres blokIP-adres bereikIP-adressen
– Netwerk
– Begin IP-adres
– Einde IP-adres
– RIR		– Netwerk
– Begin IP-adres
– Einde IP-adres
– Beheerd door service
– Type toewjizing		– IP-adres
– Beheerd door service
– Service instantie
– Apparaat type
– IP-adres staat
– Type toewjizing

Nadat u uw CSV-bestand hebt gemaakt, om de records te importeren vanuit de IPAM-console:

  1. Klik op IP-adresruimte en vervolgens op IP-adresbereiken.
  2. Klik op Taken en vervolgens op: IP-adresblokken importeren IP-adressubnetten importeren IP-adresbereiken importeren IP-adressen importeren
  3. Zoek en dubbelklik in het dialoogvenster Openen op het CSV-bestand dat de gegevens bevat die moeten worden geïmporteerd. Uw bestand wordt geïmporteerd en de benodigde records worden aangemaakt in IPAM.

U kunt ook de cmdlets Import-IpamAddress, Import-IpamRange en Import-IpamSubnet van Windows PowerShell gebruiken om uw IP-adressen, IP-adresbereiken of IP-adresblokken te importeren.

3.1.9 Bepaal scenario’s voor het gebruik van IPAM met System Center VMM voor fysiek en virtueel IP-adresruimtebeheer

Als uw organisatie virtuele-machinenetwerken maakt en beheert, kunt u overwegen IPAM- en VMM-integratie te implementeren. Hierdoor heeft u een compleet end-to-end overzicht van uw gehele IP-adresruimte, zowel fysiek als virtueel. Met deze weergave kunt u de mogelijkheid van adresruimteconflicten vermijden die kunnen ontstaan als uw virtuele adresruimte afzonderlijk van uw fysieke adresruimte wordt beheerd.

Om VMM- en IPAM-integratie in te schakelen, moet u uw IPAM-server toevoegen aan de bronnen in VMM. Nadat u uw IPAM-server hebt toegevoegd, worden de IP-adresinstellingen in VMM gesynchroniseerd met instellingen die zijn opgeslagen op de IPAM-server. Deze instellingen hebben betrekking op logische netwerken en virtuele-machinenetwerken (VM-netwerken) in VMM.

Nadat u de IPAM-netwerkservice in VMM hebt ingeschakeld, kunt u logische netwerken in IPAM maken of wijzigen en deze automatisch synchroniseren met VMM. U kunt ook een logisch netwerk maken of bewerken in VMM en dit vervolgens bekijken in IPAM. Gebruik de volgende stappen op hoog niveau om IPAM met VMM te integreren:

  1. Maak op de IPAM-server een gebruikersaccount voor VMM om te communiceren met uw IPAM-server.
  2. Voeg het gebruikersaccount toe aan een groep die lid is van de IPAM ASM-beheerdersrol.
  3. Voeg in de VMM-console de Microsoft Windows Server IP Address Management-netwerkservice in VMM toe en configureer deze met behulp van de volgende procedure. Maak in de Fabric-werkruimte een netwerkservice met de naam IPAM en doe het volgende:
    1. Selecteer op de pagina Fabrikant en model Microsoft en Microsoft Windows Server IP-adresbeheer.
    2. Zorg ervoor dat u de IPAM-service configureert om te worden uitgevoerd in de context van het gebruikersaccount dat u hebt toegewezen aan de IPAM ASM-beheerdersrol.
    3. Geef de volledig gekwalificeerde domeinnaam (FQDN) van de IPAM-server op.
    4. Zorg ervoor dat de configuratieprovider Microsoft IP Address Management Provider is.

Nadat u de integratie van IPAM en VMM hebt geconfigureerd, bij gebruik van de IPAM-netwerkservice met VMM:

  • Wanneer u wijzigingen aanbrengt in logische netwerken in VMM, wordt de gevirtualiseerde IP-adresruimte in IPAM automatisch bijgewerkt.
  • Wanneer u logische netwerken maakt in IPAM, worden deze toegevoegd aan VMM.

3.2. Beheer DNS en DHCP met IPAM

Een van de belangrijkste voordelen van het implementeren van IPAM is de mogelijkheid om het beheer van uw DHCP- en DNS-servers te consolideren. Door IPAM te gebruiken, kunt u DHCP-servers, scopes, beleid en DHCP-failover beheren vanaf de IPAM-console. U kunt ook DNS-servers en DNS-zones en -records beheren.

3.2.1. Beheer DHCP met IPAM

Door de pagina DNS- en DHCP-servers in de IPAM-console te gebruiken, zoals weergegeven in de volgende afbeelding, kunt u de volgende aspecten van uw DHCP-infrastructuur beheren:

  • DHCP-server eigenschappen en opties configureren
  • DHCP-leverancier en gebruikersklassen configureren
  • DHCP-beleid configureren en/of importeren
  • DHCP-beleid activeren of deactiveren
  • DHCP MAC-adresfilters toevoegen
  • Repliceer DHCP-servers voor failover DHCP-configuratie
  • DHCP-scope-informatie op alle servers bekijken
  • Start de DHCP-beheerconsole

Naast serverbeheer kunt u ook uw DHCP-scopes beheren met behulp van de IPAM-console:

  • Bereiken activeren/deactiveren
  • Bereikeigenschappen configureren
  • Bereiken dupliceren Bereiken repliceren
  • Een scope toevoegen/verwijderen van een DHCP-superscope
  • DHCP-reserveringen maken
  • DHCP-failover configureren/verwijderen
  • Een DHCP-beleid importeren
  • DHCP-scope-beleid activeren/deactiveren

3.2.1.1. Beheer DHCP-servereigenschappen met IPAM

Om uw DHCP-servers in IPAM te beheren, klikt u onder het knooppunt Bewaken en beheren op DNS en DHCP-servers. Selecteer vervolgens de server die u wilt beheren in het detailvenster. Klik met de rechtermuisknop op de geselecteerde server, zoals weergegeven in de volgende afbeelding, en kies uit de volgende opties:

Gebruik de volgende procedure om de eigenschappen van de DHCP-server te beheren:

  • DHCP-serveropties bewerken
  • DHCP-beleid configureren
  • Voeg DHCP MAC-adresfilter toe
  • Start MMC
  • Activeer DHCP-beleid
  • Deactiveer DHCP-beleid

Gebruik de volgende procedure om de eigenschappen van de DHCP-server te beheren:

  1. Klik onder het knooppunt Bewaken en beheren op DNS- en DHCP-servers.
  2. Selecteer de server die u wilt beheren in het detailvenster.
  3. Klik met de rechtermuisknop op de geselecteerde server en klik vervolgens op Eigenschappen van DHCP-server bewerken.
  4. In het dialoogvenster Eigenschappen van DHCP-server bewerken, weergegeven in de volgende afbeelding, kunt u de volgende eigenschappen wijzigen:
    1. DHCP-controlelogboekregistratie inschakelen
    2. Dynamische DNS-updates configureren voor DHCP-clients
    3. Configureer DNS Dynamic Update Credentials voor DHCP-clients
    4. Configureer MAC-adresfilters

Deze eigenschappen zijn dezelfde die u kunt configureren in de DHCP-console wanneer u de eigenschappen van de IPv4- of IPv6-knooppunten selecteert, en worden besproken in hoofdstuk 2, “DHCP installeren en configureren”.

Voer de volgende procedure uit om de opties van een DHCP-server te bewerken:

  1. Klik onder het knooppunt Bewaken en beheren op DNS- en DHCP-servers.
  2. Selecteer de server die u wilt beheren in het detailvenster.
  3. Klik met de rechtermuisknop op de geselecteerde server en klik vervolgens op DHCP-serveropties bewerken.
  4. In het dialoogvenster DHCP-serveropties bewerken, weergegeven in de volgende afbeelding, kunt u de DHCP-serveropties maken of wijzigen. Deze opties worden gebruikt wanneer een client een IP-configuratie verkrijgt van de geconfigureerde server en omvat instellingen zoals standaardgateway, DNS-instellingen en, indien geconfigureerd, gebruikers- en leveranciersklasse-opties. Serveropties worden overschreven door bereikopties en reserveringsopties.

Deze opties zijn dezelfde die u kunt configureren in de DHCP-console wanneer u het knooppunt Serveropties selecteert onder de IPv4- of IPv6-knooppunten, en worden besproken in hoofdstuk 2: “DHCP-scopes maken en beheren, DHCP-opties configureren.”

3.2.1.2. DHCP-scopes en opties configureren

U kunt IPAM gebruiken om DHCP-scopes en -opties te maken en te configureren. Hierdoor kunt u de IPAM-console gebruiken om vrijwel alle DHCP-beheertaken uit te voeren.

3.2.1.2.1. Een DHCP-scope maken

Als u IPAM wilt gebruiken om een DHCP-scope te maken, klikt u op de pagina DNS en DHCP-server met de rechtermuisknop op een DHCP-server en klikt u vervolgens op DHCP-scope maken. Definieer in het dialoogvenster DHCP-bereik maken, weergegeven in de volgende afbeelding, de volgende informatie en klik vervolgens op OK.

  • Een scopenaam en beschrijving
  • Een begin- en eind-IP-adres
  • Een subnetmasker
  • Een leaseduur – 8 dagen is de standaard
  • Alle uitgesloten adressen of bereik van adressen van het bereik Of het bereik moet worden geactiveerd na het maken
  • Dynamische DNS-opties, inclusief of dynamische updates worden ondersteund voor clients en of DNS-naambeveiliging is ingeschakeld voor clients
  • DHCP-scope-opties, zoals router, DNS-servers en DNS-domeinnaam
  • Geavanceerde eigenschappen: of ondersteunde clients alleen DHCP, alleen BOOTP of beide zijn
3.2.1.2.2 Een DHCP-scope beheren

U kunt bereiken beheren vanuit de IPAM-console. Klik in IPAM onder het knooppunt Bewaken en beheren op DHCP-bereiken. Klik vervolgens in het detailvenster met de rechtermuisknop op het bereik dat u wilt beheren. U kunt dan kiezen uit de volgende opties:

  • DHCP-bereik bewerken – Hiermee kunt u de configuratie van het bereik opnieuw configureren, inclusief begin- en eind-IP-adres, leaseduur, uitsluitingen, bereikopties en DNS-update-instellingen.
  • Duplicaat DHCP-bereik – Hiermee kunt u een ander bereik maken op basis van de eigenschappen van een bestaand bereik. Het gedupliceerde bereik wordt aanvankelijk geconfigureerd op dezelfde server en met dezelfde naam, overeenkomende leaseduur, dubbele DNS-update-instellingen en DHCP-bereikopties. U kunt deze initiële instellingen vervolgens wijzigen om een nieuw bereik te maken.
  • DHCP-reservering maken – Met reserveringen kunt u een specifiek IP-adres in een bereik voor een bepaalde client maken en configureren.
  • Toevoegen aan DHCP Superscope – Superscopes stellen u in staat om scopes te combineren om speciale configuraties te ondersteunen.
  • DHCP-failover configureren – DHCP-failover zorgt voor hoge beschikbaarheid van de DHCP-service. Dit wordt besproken in de volgende sectie.
  • DHCP-beleid configureren – DHCP-beleid biedt een handige manier om de eigenschappen van meerdere bereiken te beheren. Dit wordt besproken in de volgende sectie.
  • DHCP-beleid importeren – Dit wordt in de volgende sectie besproken.
  • Scope deactiveren – Als u wilt voorkomen dat clients de scope gebruiken om een IP-configuratie te verkrijgen, bijvoorbeeld tijdens het uitvoeren van onderhoud, kunt u de scope deactiveren.
  • Scope activeren – Nadat je het onderhoud aan een scope hebt voltooid, kun je deze opnieuw activeren.
  • Activeer DHCP-beleid – Dit wordt besproken in de volgende sectie.
  • Deactiveer DHCP-beleid – Dit wordt besproken in de volgende sectie.
  • Toegangsbereik instellen – Hiermee kunt u het beheerbereik van het DHCP-bereik bepalen. Dit wordt verderop in dit hoofdstuk besproken onder de kop: “Beheer delegeren voor DNS en DHCP met RBAC.”
3.2.1.2.3. Configureer DHCP-beleid in IPAM

U kunt DHCP-beleid gebruiken om IPv4-opties toe te wijzen aan DHCP-clients. Deze opties worden toegewezen door DHCP op basis van voorwaarden binnen het beleid, inclusief gebruikers- en leveranciersklasse, MAC-adres of andere factoren. U kunt DHCP-beleid configureren en toepassen op zowel server- als scopeniveau.

Als u een DHCP-serverbeleid wilt configureren en toepassen met IPAM, klikt u in IPAM onder het knooppunt Bewaken en beheren op DNS en DHCP-servers. Klik met de rechtermuisknop op een DHCP-server en klik vervolgens op DHCP-beleid configureren. Als u een DHCP-scope-beleid wilt configureren en toepassen met IPAM, klikt u in IPAM onder het knooppunt Monitor en beheren op DHCP-scopes. Klik met de rechtermuisknop op een DHCP-bereik en klik vervolgens op DHCP-beleid configureren.

Om uw beleid te maken, configureert u in de wizard DHCP-beleid maken, weergegeven in de volgende afbeelding, de volgende opties en klikt u op OK.

  • Een beleidsnaam en -beschrijving.
  • Een leaseduur voor het beleid.
  • Polisvoorwaarden. Een client moet voldoen aan de voorwaarde(n) van het beleid om de geconfigureerde opties in het beleid te kunnen toepassen. U kunt desgewenst meerdere voorwaarden configureren.
  • Dynamische DNS-opties, inclusief of dynamische updates worden ondersteund voor clients en of DNS-naambeveiliging is ingeschakeld voor clients.
  • DHCP-scope-opties, zoals router, DNS-servers en DNS-domeinnaam.

Het proces voor het configureren van een bereikbeleid is vergelijkbaar.

Als u eerder een beleid op server- of bereikniveau hebt gemaakt, kunt u hetzelfde beleid toepassen op een andere server of bereik. Klik hiervoor in de IPAM-console met de rechtermuisknop op de server of het bereik en klik vervolgens op DHCP-beleid importeren. Klik in het dialoogvenster Importbeleid, weergegeven in de volgende afbeelding, op Server of Bereik indien nodig en selecteer vervolgens het juiste beleid met behulp van de vervolgkeuzelijsten om de bronserver, het bereik en het beleid te identificeren.

3.2.1.2.4. DHCP-failover configureren in IPAM

Met DHCP-failover kunt u hoge beschikbaarheid voor DHCP configureren door twee DHCP-servers te gebruiken om IP-configuraties aan dezelfde subnetten te leveren. De twee DHCP-servers repliceren lease-informatie tussen elkaar. Als een van de servers uitvalt, blijft de andere server DHCP-services leveren voor de subnet(s) waarvoor deze is geconfigureerd.

Gebruik de volgende procedure om DHCP-failover te configureren met IPAM:

  1. Klik in IPAM onder het knooppunt Bewaken en beheren op DHCP-bereiken.
  2. Klik met de rechtermuisknop op een DHCP-scope en klik vervolgens op DHCP-failover configureren.
  3. Klik in de wizard DHCP-failoverrelatie configureren op de pagina Failoverrelatie configureren, weergegeven in de volgende afbeelding, in de lijst Configuratieoptie op Nieuwe relatie maken.

Serverbeheer gebruiken

  1. Selecteer in de lijst Partnerserver een andere server in hetzelfde subnet.
  2. Configureer vervolgens de volgende opties:
    • Berichtverificatie inschakelen – U kunt berichtverificatie configureren met het geheim als wachtwoord. Dit betekent dat het failoverberichtverkeer tussen replicatiepartners wordt geverifieerd en dat helpt valideren dat het failoverbericht afkomstig is van de geconfigureerde failoverpartner.
    • Geheim – Het wachtwoord dat wordt gebruikt om berichtverificatie in te schakelen.
    • Maximale doorlooptijd client – Deze waarde wordt gebruikt in de modus Hot standby. Het definieert hoe lang de secundaire server moet wachten voordat hij de controle over de scope overneemt. De standaardwaarde is één uur en kan niet nul zijn.
    • Modus – Kies tussen Load Balance en Hot Standby.
    • Percentages – Gebruikt wanneer u de Load Balance-modus inschakelt. Hiermee kunt u bepalen hoeveel van de adresruimte elke server beheert. De standaard is een verdeling van 50:50.
    • Rol van partnerserver – Gebruik deze instelling wanneer u de standby-modus inschakelt. Hiermee kunt u bepalen welke server de primaire en welke de secundaire is. Kies tussen Actief of Standby.
    • Adressen gereserveerd voor stand-byserver – Gebruik deze waarde om te bepalen welk percentage adressen binnen het bereik de secundaire server kan toewijzen. Hierdoor kan de secundaire server een klein deel van de adressen toewijzen terwijl deze wacht om te bepalen of de primaire server weer online komt. De standaardwaarde is vijf procent van de beschikbare bereikadressen.
    • Status-omschakelinterval – Wanneer een server de verbinding met zijn replicatiepartner verliest, kan hij niet vaststellen waarom dit is gebeurd. U moet de status van een partner handmatig wijzigen in een down-status om de resterende partner aan te geven dat de andere server niet beschikbaar is. Door de waarde voor Statusomschakeling in te stellen, kunt u deze gewijzigde status na een geconfigureerd tijdsinterval automatiseren. Deze waarde wordt standaard niet gebruikt.
  3. Klik op OK.

Windows PowerShell gebruiken

Naast het gebruik van de IPAM-console om uw DHCP-servers en scopes te beheren, kunt u ook de volgende Windows PowerShell-cmdlets gebruiken om informatie over DHCP-servers en scopes op te halen:

  • Get-IpamDhcpConfigurationEvent – Haalt DHCP-serverconfiguratiegebeurtenissen op uit de IPAM-database.
  • Get-IpamDhcpScope – Haalt informatie op over IPAM DHCP-scopes.
  • Get-IpamDhcpServer – Haalt informatie op over IPAM DHCP-servers.
  • Get-IpamDhcpSuperscope – Haalt informatie op over IPAM DHCP-superscopen.

3.2.2. DNS beheren met IPAM

U kunt de IPAM-console gebruiken om de volgende DNS-beheertaken uit te voeren:

  • DNS-servers en -zones bekijken
  • Nieuwe zones maken DNS-records maken
  • Voorwaardelijke expediteurs beheren
  • Open de DNS-beheerconsole voor een geselecteerde server

3.2.2.1. Beheer DNS-servereigenschappen met IPAM

U kunt IPAM gebruiken om een aantal DNS-servereigenschappen te beheren. Als u een DNS-server in IPAM wilt beheren, klikt u onder het knooppunt Bewaken en beheren op DNS- en DHCP-servers. Klik met de rechtermuisknop op de juiste DNS-server en selecteer een van de volgende opties:

  • MMC starten – Hiermee kunt u de DNS-console voor de geselecteerde server laden en alle DNS-beheertaken uitvoeren.
  • DNS-zone maken – Hiermee kunt u een DNS-zone maken op de geselecteerde DNS-server. U kunt zones voor forward lookup en reverse lookup-zones maken voor zowel IPv4 als IPv6. U kunt primaire, secundaire of stub-zones maken. U kunt definiëren dat de zone Active Directory-geïntegreerd is of in een bestand wordt opgeslagen.
  • Voorwaardelijke DNS-doorstuurserver maken – U kunt voorwaardelijk doorsturen voor een DNS-server configureren.

Voer de volgende procedure uit om een nieuwe DNS-zone toe te voegen:

  1. Klik met de rechtermuisknop op de DNS-server die als host fungeert voor de zone en klik vervolgens op DNS-zone maken.
  2. Configureer op de pagina DNS-zone maken, weergegeven in de volgende afbeelding, onder Algemene eigenschappen, de volgende instellingen en klik vervolgens op OK:
    • Zonecategorie – Kies uit Voorwaartse opzoekzone, IPv4 Omgekeerde opzoekzone en IPv6 Omgekeerde opzoekzone.
    • Zonetype – Kies uit Primaire zone, Secundaire zone en Stub-zone. Als u Secundair of Stub selecteert, moet u de hoofd-DNS-server(s) definiëren waarvan deze DNS-server zijn zonegegevens verkrijgt.
    • Zonenaam – Dit is de FQDN voor het DNS-domein.
    • Bewaar de zone in – Kies tussen Active Directory of Zone-bestand. Als u Zonebestand selecteert, geeft u de bestandsnaam op. Als u Active Directory kiest, moet u de volgende twee opties configureren:
    • Replicatiebereik AD-zone – Kies hoe de zonegegevens worden gerepliceerd in AD DS. Opties zijn:
      • Domain
      • Forest
      • Legacy
      • Custom
    • Directorypartitie – Als u custom kiest voor de replicatiebereikoptie van de AD-zone, moet u hier de naam van de AD DS-toepassingspartitie definiëren.
    • Dynamische update – Kies hoe clients DNS dynamisch bijwerken. Opties zijn: Alleen veilige dynamische updates toestaan (aanbevolen voor Active Directory), zowel niet-beveiligde als veilige dynamische updates toestaan en geen dynamische updates toestaan.

3.2.2.2. DNS-zones en records beheren

U kunt de DNS-zone en bijbehorende records beheren vanuit de IPAM-console. Klik onder het knooppunt Bewaken en beheren op DNS-zones, zoals weergegeven in de volgende afbeelding. U kunt een lijst met beschikbare zones bekijken.

Om een zone te beheren, klikt u met de rechtermuisknop op de zone en selecteert u een van de volgende opties:

  • DNZ-zone verwijderen – Hiermee kunt u de DNS-zone verwijderen.
  • DNS-bronrecord toevoegen – U kunt elke DNS-bronrecord toevoegen aan de geselecteerde zone. U kunt bijvoorbeeld, zoals weergegeven in de volgende afbeelding, een hostrecord (A) maken.
  • DNS-zone bewerken – U kunt de zone-eigenschappen opnieuw configureren, zoals weergegeven in de volgende afbeelding. Configureerbare eigenschappen zijn:
    • Geavanceerde eigenschappen – Opties omvatten waar de zone is opgeslagen (Active Directory of bestand), het bereik en de partitie van AD-replicatie, of dynamische updates zijn ingeschakeld voor de zone, en opties voor veroudering en opruiming van zones.
    • Naamservers – De lijst met geconfigureerde naamservers voor de zone.
    • SOA – De start van autoriteitsinformatie voor de zone.
    • Zoneoverdrachten – Of zoneoverdrachten zijn ingeschakeld en naar welke DNS-servers.

Windows PowerShell gebruiken

Naast het gebruik van de IPAM-console om uw DNS-servers en -zones te beheren, kunt u ook de volgende Windows PowerShell-cmdlets gebruiken om informatie over DNS-servers en -zones op te halen:

  • Get-IpamDnsServer – Haalt informatie op over IPAM DNS-servers.
  • Get-IpamDnsZone – Haalt informatie op over IPAM DNS-zones.
  • Get-IpamDnsConditionalForwarder – Haalt informatie op over IPAM DNS voorwaardelijke forwarders.
  • Get-IpamDnsResourceRecord – Haalt IPAM DNS-bronrecords op.

3.2.3. Beheer DNS- en DHCP-servers in meerdere Active Directory-forests

In Windows Server 2016 kunt u IPAM gebruiken om uw DNS- en DHCP-servers in meerdere AD DS-forests te beheren, zolang er een wederzijdse vertrouwensrelatie bestaat tussen het AD DS-forest waarin u IPAM hebt geïnstalleerd en elk van de externe AD DS-forests.

Om meerdere forests te beheren, klikt u in de IPAM-console op de pagina IPAM-servertaken op Serverdetectie configureren en voert u de volgende procedure uit:

  1. Klik in het dialoogvenster Serverdetectie configureren, weergegeven in de volgende afbeelding, op Forests ophalen. De vertrouwde forests en domeinen worden ontdekt.
  2. Klik op Serverdetectie configureren. Het dialoogvenster Serverdetectie configureren wordt opnieuw weergegeven. Klik in de lijst Selecteer het bos op het bos dat u wilt beheren.
  3. Klik in de lijst Selecteer domein om te ontdekken op de domeinen die u wilt beheren en klik op Toevoegen. Herhaal dit proces totdat alle domeinen worden vermeld in de lijst Selecteer de serverrollen die u wilt ontdekken en klik vervolgens op OK.
  4. Ten slotte moet u de Windows PowerShell Invoke-IpamGpoProvisioning-cmdlet uitvoeren om de IPAM-server de benodigde machtigingen te verlenen om servers in uw domeinen te beheren.

3.2.4. Beheer delegeren voor DNS en DHCP met behulp van RBAC

U kunt op rollen gebaseerde toegangscontrole implementeren om het beheren van uw IP-infrastructuur met IPAM gemakkelijker te maken. RBAC in IPAM is gebaseerd op rollen, toegangsbereiken en toegangsbeleid.

  • Rollen – Een verzameling IPAM-bewerkingen. Er zijn acht ingebouwde rollen beschikbaar, maar u kunt uw eigen rollen maken om aan uw specifieke administratieve vereisten te voldoen. U kunt een ingebouwde of aangepaste rol koppelen aan een Windows-gebruikers- of groepsaccount.
  • Toegangsbereik – Bepaalt de verzameling objecten waartoe een gebruiker toegang heeft, waardoor u administratieve grenzen binnen IPAM kunt definiëren. U kunt bijvoorbeeld toegangsbereiken maken op basis van bedrijfsfunctie of locatie.
  • Toegangsbeleid – Combineert een rol en een toegangsbereik om machtigingen toe te wijzen aan een gebruiker of groep. U kunt bijvoorbeeld een toegangsbeleid maken voor een gebruiker met de rol IP-adresbereikbeheerder en een toegangsbereik met de naam Global\Europe. Daarom heeft deze gebruiker toestemming om IP-adresbereiken te bewerken en te verwijderen die zijn gekoppeld aan het Europa-toegangsbereik.

IPAM heeft verschillende ingebouwde, op rollen gebaseerde beveiligingsgroepen die u kunt gebruiken voor het beheer van uw IPAM-infrastructuur, zoals weergegeven in de volgende tabel.

GroepsnaamBeschrijving
IPAM DNS-beheerderLeden van deze groep kunnen DNS-servers en de bijbehorende DNS-zones en bronrecords beheren.
IPAM MSM-beheerderLeden van deze groep kunnen DHCP-servers, scopes, beleidsregels en DNS-servers en bijbehorende zones en records beheren.
IPAM ASM-beheerderLeden van deze groep kunnen IP-adresruimtetaken uitvoeren, naast algemene IPAM-beheertaken.
Beheerder IP-adresrecordLeden van deze groep kunnen IP-adressen beheren, inclusief niet-toegewezen adressen, en leden kunnen IP-adresinstanties maken en verwijderen.
IPAM-beheerderLeden van deze groep hebben privileges om alle IPAM-gegevens te bekijken en alle IPAM-taken uit te voeren.
IPAM DHCP-beheerderBeheert volledig DHCP-servers.
IPAM DHCP Reservering-beheerderBeheert DHCP-reserveringen.
IPAM DHCP Scope-beheerderBeheert DHCP-bereiken.
DNS-recordbeheerderBeheert DNS-bronrecords.

Om RBAC in IPAM te configureren, opent u vanuit Serverbeheer de IPAM-console en klikt u vervolgens op Toegangsbeheer. Klik vervolgens op Rollen, zoals weergegeven in Afbeelding 3-30, of Toegangsbereiken of Toegangsbeleid.

3.2.4.1. Rollen beheren

Voer de volgende procedure uit om een nieuwe rol te configureren:

  1. Klik onder Toegangsbeheer in het deelvenster Rollen op Taken en klik vervolgens op Gebruikersrol toevoegen.
  2. Typ in het dialoogvenster Rol toevoegen of bewerken een naam en een beschrijving voor uw rol. Selecteer vervolgens in de lijst Bewerkingen, zoals weergegeven in de volgende afbeelding, de beheertaken die de rolhouders kunnen uitvoeren en klik op OK.

U kunt elke aangepaste rol bewerken door met de rechtermuisknop op de rol te klikken en op Rol bewerken te klikken. U kunt ingebouwde rollen niet bewerken.

3.2.4.2. Toegangsbereiken beheren

Voer de volgende procedure uit om een toegangsbereik te configureren:

  1. Klik onder Toegangsbeheer in het deelvenster Toegangsbereiken op Taken en klik vervolgens op Toegangsbereik toevoegen.
  2. Klik in het dialoogvenster Toegangsbereik toevoegen op Nieuw.
  3. Typ een naam en een beschrijving, klik op Toevoegen en klik vervolgens op OK.

Examentip

IPAM omvat de Global access scope. Gebruikers die aan Globaal zijn toegewezen, hebben toegang tot alle objecten in IPAM die hun rol toestaat. Alle andere toegangsbereiken zijn subsets van Globaal.

U kunt elk aangepast toegangsbereik bewerken door met de rechtermuisknop op het toegangsbereik te klikken en op Toegangsbereik bewerken te klikken. U kunt het globale bereik niet bewerken.

3.2.4.3. Toegangsbeleid beheren

Er bestaat geen standaardtoegangsbeleid. Voer de volgende procedure uit om een nieuw toegangsbeleid te maken:

  1. Klik onder Toegangsbeheer in het deelvenster Toegangsbeleid op Taken en klik vervolgens op Toegangsbeleid toevoegen.
  2. Klik in het Toegangsbeleid toevoegen onder Gebruikersinstellingen op Toevoegen.
  3. Voer in het dialoogvenster Gebruiker of groep selecteren de naam in van een gebruiker of groep waaraan u de rol wilt toewijzen en klik op OK.
  4. Voer eventueel een beschrijving in, zoals weergegeven in de volgende afbeelding.
  5. Klik onder het kopje Toegangsinstellingen op Nieuw.
  6. Selecteer onder de kop Nieuwe instelling in de lijst Rol selecteren een ingebouwde rol of een aangepaste rol.
  7. Klik in Het toegangsbereik voor de rol selecteren op het gewenste bereik en klik vervolgens op Instelling toevoegen, zoals weergegeven in de volgende afbeelding.
  8. Als u meerdere rollen en/of scopes aan het beleid wilt toevoegen, herhaalt u de voorgaande stappen. Wanneer alle rollen en toegangsbereiken voor het beleid zijn geconfigureerd, klikt u op OK.

Examentip

Je moet altijd groepen gebruiken. Op die manier, als u het toegangsbeleid later opnieuw moet configureren omdat een gebruiker van functie is veranderd, hoeft u alleen de gebruiker uit de AD DS-groep te verwijderen in plaats van het IPAM-toegangsbeleid opnieuw te configureren.

U kunt uw toegangsbeleid opnieuw configureren door ze te selecteren in het deelvenster Toegangsbeleid onder Toegangsbeheer.

3.2.4.4. Het toegangsbereik voor objecten configureren

U kunt het toegangsbereik voor objecten zoals servers, DNS-zones en DHCP-bereiken definiëren door het object te selecteren, er met de rechtermuisknop op te klikken en vervolgens op Toegangsbereik instellen te klikken. Schakel in het dialoogvenster Toegangsbereik instellen, weergegeven in de volgende afbeelding, het selectievakje Toegangsbereik overnemen van ouder uit en klik vervolgens in de lijst Het toegangsbereik selecteren op het juiste bereik en klik vervolgens op OK.

3.3. Audit IPAM

IPAM biedt uitgebreide bewakings- en auditfuncties waarmee u IPAM-configuratiewijzigingen, DHCP-configuratiewijzigingen, IP-adresgebruik en andere belangrijke netwerkinfrastructuurgebeurtenissen kunt volgen.

Voordat u de controle-informatie bekijkt, moet u zich echter bewust zijn van een aantal wijzigingen die u moet aanbrengen om gebeurtenissen efficiënt te kunnen volgen. Dit zijn:

  • Controle van aanmeldingsgebeurtenissen inschakelen – U moet controle van aanmeldingsgebeurtenissen van accountaccounts inschakelen op zowel AD DS-domeincontrollers als servers waarop de NPS-rol wordt uitgevoerd. U kunt dit configureren met behulp van Groepsbeleid. Navigeer in de Groepsbeleidsbeheer-editor naar Computerconfiguratie\Beleid\Windows-instellingen\Beveiligingsinstellingen\Lokaal beleid\Controlebeleid en schakel de waarde Auditaccountaanmeldingsgebeurtenissen in.
  • Grootte van logboek voor beveiligingsgebeurtenissen configureren – Om rollover te voorkomen, moet u het logboek voor beveiligingsgebeurtenissen vergroten, zodat het groot genoeg is om de periodieke IPAM-audittaak te laten voltooien zonder gebeurtenissen te overschrijven. Nogmaals, u kunt GPO’s gebruiken om deze wijziging te realiseren. Navigeer in de Groepsbeleidsbeheer-editor naar Computerconfiguratie\Beleid\Windows-instellingen\Beveiligingsinstellingen\Gebeurtenislogboek en schakel de waarde in en configureer vervolgens de waarde Maximale beveiligingslogboekgrootte.
  • Locatie van auditlogbestand configureren – Zorg ervoor dat de locatie van het logbestand voor DHCP IPv4- en IPv6-leases in dezelfde map is opgeslagen. De IPAM-auditprocessen hebben toegang tot deze informatie vanuit een enkele gedeelde map. Standaard worden beide logboeken opgeslagen in C:\Windows\system32\dhcp.

3.3.1. Controleer de wijzigingen die zijn uitgevoerd op de DNS- en DHCP-servers

Het is belangrijk om de wijzigingen te kunnen volgen die beheerders aanbrengen in uw IPAM-server(s) en in de door IPAM beheerde netwerkdiensten (DHCP, DNS en NPS). Het knooppunt Event Catalog in de IPAM-console geeft u toegang tot controle-informatie die betrekking heeft op deze gebeurtenissen.

Om configuratiewijzigingen in DNS- of DHCP-services te bekijken, klikt u in de IPAM-console op Gebeurteniscatalogus en vervolgens op IPAM-configuratiegebeurtenissen, zoals weergegeven in Afbeelding 3-36. U kunt DNS- en DHCP-gerelateerde gebeurtenissen identificeren in de kolom Trefwoorden. De detailweergave geeft meer inzicht in de gebeurtenis die u hebt geselecteerd in het venster IPAM-configuratiegebeurtenissen.

 Het IPAM-configuratiegebeurtenisknooppunt vermeldt gebeurtenissen die betrekking hebben op DNS, DHCP, NPS en IPAM zelf, inclusief inrichting, detectie en beheer van adresruimte. Als u aanvullende informatie wilt over de DHCP-services die in uw organisatie worden uitgevoerd, kunt u het knooppunt DHCP-configuratiegebeurtenissen selecteren, zoals weergegeven in de volgende afbeelding.

Het knooppunt DHCP-configuratiegebeurtenissen vermeldt alle DHCP-gerelateerde gebeurtenissen voor alle gedetecteerde en beheerde servers in uw organisatie die de DHCP-rol uitvoeren.

3.3.2. Audit het IPAM-adresgebruiksspoor

U kunt ook de monitoringfuncties van IPAM gebruiken om het IP-adresgebruik binnen uw organisatie te bepalen. U hebt toegang tot deze informatie vanaf het IP-adresruimteknooppunt in de IPAM-console. Selecteer vervolgens het knooppunt IP-adresblokken, IP-adresinventaris of IP-adresbereikengroepen.

Als u bijvoorbeeld het gebruik van een bepaalde DHCP-scope wilt bekijken, klikt u op het knooppunt IP-adresbereikgroepen en selecteert u een DHCP-scope in het IPv4-venster, zoals weergegeven in de volgende afbeelding. In de kolom Percentage gebruikt wordt weergegeven hoeveel van de adresruimte wordt gebruikt. Klik op het tabblad Gebruikstrend in de detailweergave. U kunt de trendgrafiek van het gebruik van het IP-adresbereik zien voor een geselecteerde periode, in dit geval de laatste dag.

3.3.3. Audit DHCP-leasegebeurtenissen en gebruikersaanmeldingsgebeurtenissen

IPAM stelt u ook in staat om gebeurtenissen met betrekking tot DHCP-leasegebeurtenissen en gebruikersaanmeldingsgebeurtenissen centraal te volgen en te bekijken. Deze worden weergegeven in de Event Catalogus in de node IP Address Tracking. U kunt deze informatie bekijken door:

Om DHCP-leasegebeurtenissen of gebruikersaanmeldingsgebeurtenissen op IP-adres te bekijken, klikt u op het knooppunt Op IP-adres, zoals weergegeven in de volgende afbeelding. Typ in het deelvenster Op IP-adres in het tekstvak het IP-adres dat u wilt bijhouden en het datumbereik waarin u geïnteresseerd bent, en klik vervolgens op Zoeken.

Klik op een gebeurtenis in het deelvenster Op IP-adres en de detailweergave biedt meer informatie over de geselecteerde gebeurtenis. Als u de bijgehouden informatie liever op client-ID wilt bekijken, klikt u op het knooppunt Op client-ID. Als u naar een specifieke client wilt zoeken, zoals weergegeven in de volgende afbeelding, voert u het MAC-adres in het tekstvak in en klikt u vervolgens op Zoeken.

U kunt ook naar lease-informatie zoeken op hostnaam of gebruikersnaam, zoals weergegeven in de volgende afbeeldingen.

3.4. Samenvatting

  • U kunt IPAM gebruiken om IPv4- en IPv6-adressen toe te wijzen, IP-adresruimten te optimaliseren, DHCP- en DNS-servers te beheren, DHCP- en DNS-servers te bewaken en statistieken te verzamelen van AD DS-domeincontrollers en NPS.
  • IPAM-implementaties ondersteunen zowel WID- als SQL Server-databases.
  • Nadat u de IPAM-functie hebt geïnstalleerd, kunt u IPAM handmatig of met behulp van GPO’s inrichten.
  • Als u de DHCP- en DNS-server in AD DS-forests wilt beheren, moet u tweerichtingsvertrouwensrelaties tussen die forests inschakelen en vervolgens de servers in alle forests detecteren en inrichten.
  • Met IPAM kunt u DHCP-server- en scope-eigenschappen en DNS-server- en zone-eigenschappen vanaf één punt beheren.
  • Met RBAC kunt u eenvoudig gedelegeerd beheer definiëren voor DNS-, DHCP- en IPAM-beheertaken binnen de IPAM-console.
  • U kunt het IP-adresgebruik, DHCP-leasegebeurtenissen en gebruikersaanmeldingen volgen met behulp van het IPAM Event Catalog-knooppunt.