3.1 IP-adresbeheer installeren en configureren

Het kan tijdrovend en soms ingewikkeld zijn om de toewijzing van IP-adressering in middelgrote tot grote organisaties te beheren. Met IPAM kunt u uw IP-infrastructuur implementeren, bewaken en beheren, en kunt u alle aspecten van geïmplementeerde DHCP- en DNS-servers beheren.

Als u meer dan één DHCP- en/of DNS-server in uw organisatie heeft, overweeg dan om IPAM te implementeren om IP-adresbeheer te helpen implementeren. Met IPAM kunt u de volgende taken uitvoeren:

3.1.1 Architectuur

IPAM bestaat uit de volgende componenten, weergegeven in de volgende afbeelding.

  • IPAM-client – Een computer waarop Windows 8 of nieuwer, of Windows Server 2012 of nieuwer is geïnstalleerd. De client moet de Remote Server Administration Tools (RSAT) hebben geïnstalleerd. De client communiceert via het Windows Communication Foundation (WCF)-protocol met de IPAM-server via TCP-poort 48885. De client is verantwoordelijk voor het leveren van rapportage over de IPAM-architectuur.
  • IPAM-server – Elke computer die lid is van een domein en waarop Windows Server 2012 of nieuwer is geïnstalleerd. De IPAM-server communiceert met beheerde servers, met de IPAM-client(s) en met de IPAM-database.
  • IPAM-database – Dit kan een interne Windows-database zijn, of u kunt een SQL Server-database gebruiken op Windows Server 2012 R2 en nieuwer.
  • Op rollen gebaseerde toegangscontrole – Bepaalt wat de IPAM-beheerder kan zien op zijn IPAM-clientconsole. U kunt bijvoorbeeld de weergave van IP-adresleasegegevens beperken tot een specifieke set IPAM-beheerders door hun gebruikersaccounts toe te voegen aan de IPAM IP-auditbeheerdersgroep.
  • Geplande taken – Gebruikt door de IPAM-server om met vooraf bepaalde tussenpozen statistische gegevens van beheerde servers te verzamelen.
  • Beheerde servers – Domeincontrollers, NPS-, DNS- en DHCP-servers met Windows Server 2008 of nieuwer.

Examentip

U kunt deze poort opnieuw configureren met de Windows PowerShell-cmdlet Set-IpamConfiguration.

U kunt de IPAM-functie niet installeren op een AD DS-domeincontroller en het wordt niet aanbevolen om de functie op een DHCP-server te installeren, omdat DHCP-detectie is uitgeschakeld. Idealiter implementeert u de IPAM-functie op een daarvoor bestemde server.

3.1.2 Vereisten en planningsoverwegingen

Voordat u IPAM implementeert, moet u ervoor zorgen dat uw IT-infrastructuur gereed is en dat u een implementatietopologie hebt gekozen. De vereisten voor het implementeren van IPAM zijn niet ingewikkeld. Zij zijn:

  • Windows Server 2012 – U moet de IPAM-functie installeren op een server met minimaal Windows Server 2012.
  • Database – U kunt de interne Windows-database gebruiken op alle versies van Windows Server, maar als u IPAM implementeert op een server met Windows Server 2012 R2 of nieuwer, kunt u een Microsoft SQL Server-database implementeren om IPAM te ondersteunen.
  • Netwerk – Uw netwerkinfrastructuur moet aanwezig zijn. IPAM vereist toegang tot een domeincontroller en tot een gezaghebbende DNS-server.
  • AD DS – U moet IPAM installeren op een servercomputer die lid is van een domein. Als u IPAM installeert op een servercomputer met Windows Server 2016, kan IPAM detectie in meerdere AD DS-forests ondersteunen.

Wanneer u IPAM implementeert, kunt u kiezen uit drie mogelijke topologieën. Dit zijn:

  • Gedistribueerd – U implementeert een IPAM-server op elke fysieke locatie of locatie.
  • Gecentraliseerd – U zet één IPAM-server in om de hele organisatie te ondersteunen.
  • Hybride – U implementeert een centrale IPAM-server in uw hoofddatacenter, met speciale IPAM-servers die op elke locatie worden geïmplementeerd, zoals weergegeven in de volgende afbeelding.

3.1.3 IPAM-databaseopslag configureren met SQL Server

Als u IPAM implementeert op Windows Server 2012 R2 of Windows Server 2016, kunt u de IPAM-database configureren als een interne Windows-database (WID), of u kunt een externe SQL Server-database gebruiken. Meestal is dit een keuze die u maakt tijdens de initiële inrichting van uw IPAM-server.

Wanneer u de Provision IPAM Wizard start, wordt u gevraagd of u WID of een SQL Server-database wilt gebruiken. Als u WID kiest, moet u de locatie van de database en gerelateerde logbestanden specificeren. De standaardwaarde is %WINDIR%\System32\IPAM\Database.

Als u een SQL Server-database wilt gebruiken, moet uw SQL Server SQL Server 2008 R2 of nieuwer draaien. U moet dan aangeven:

  • Servernaam
  • Databasenaam
  • Poort (de standaard is 1433)

U moet verificatie voor de SQL Server configureren om IPAM te ondersteunen. Het proces hiervoor varieert afhankelijk van of de SQL Server op dezelfde of een andere computer dan IPAM draait en of u Windows-verificatie of SQL-verificatie wilt gebruiken.

3.1.3.1 SQL en IPAM op aparte computers

Om Windows-verificatie te gebruiken, opent u een opdrachtprompt met verhoogde bevoegdheid en voert u SQLCMD uit. Voer vervolgens de volgende opdrachten uit (waarbij DOMAIN\IPAM1$ de AD DS-domeinnaam en de IPAM-computernaam is, en IPAM_DB de naam van de SQL-database is):

CREATE LOGIN [DOMAIN\IPAM1$] FROM WINDOWS CREATE DATABASE IPAM_DB
GO
USE IPAM_DB
CREATE USER IPAM FOR LOGIN [DOMAIN\IPAM1$] ALTER ROLE DB_OWNER ADD MEMBER IPAM
USE MASTER
GRANT VIEW ANY DEFINITION TO [DOMAIN\IPAM1$]

Om SQL-authenticatie te gebruiken, voert u bij een SQLCMD-prompt de volgende opdrachten uit (waarbij ipaamus een inlognaam voor SQL-authenticatie is, ‘wachtwoord’ het SQL-wachtwoord voor dit account en IPAM_DB de naam van de SQL-database is):

CREATE LOGIN ipamuser WITH PASSWORD = 'password'
CREATE DATABASE IPAM_DB
GO
USE IPAM_DB
CREATE USER IPAM FOR LOGIN ipamuser ALTER ROLE DB_OWNER ADD MEMBER IPAM GO
USE MASTER
GRANT VIEW ANY DEFINITION TO ipamuser
GO

Examentip

De informatie die u hier invoert, moet exact overeenkomen met wat u invoert in de IPAM-inrichtingswizard.

3.1.3.2 SQL en IPAM op dezelfde computer

Als SQL en IPAM op dezelfde computer zijn geïmplementeerd en Windows-verificatie wilt gebruiken, opent u een opdrachtprompt met verhoogde bevoegdheid en voert u SQLCMD uit. Voer vervolgens de volgende opdrachten uit (waarbij IPAM_DB de naam is van de SQL-database):

CREATE LOGIN [NT AUTHORITY\Network Service] FROM WINDOWS CREATE DATABASE IPAM_DB
GO
USE IPAM_DB
CREATE USER IPAM FOR LOGIN [NT AUTHORITY\Network Service] ALTER ROLE DB_OWNER ADD MEMBER IPAM
GO
USE MASTER
GRANT VIEW ANY DEFINITION TO [NT AUTHORITY\Network Service]
GO

Om SQL-authenticatie te gebruiken, voert u bij een SQLCMD-prompt de volgende opdrachten uit (waarbij ipaamus een inlognaam voor SQL-authenticatie is, ‘wachtwoord’ het SQL-wachtwoord voor dit account en IPAM_DB de naam van de SQL-database is).

CREATE LOGIN ipamuser WITH PASSWORD = 'password' CREATE DATABASE IPAM_DB
GO
USE IPAM_DB
CREATE USER IPAM FOR LOGIN ipamuser ALTER ROLE DB_OWNER ADD MEMBER IPAM GO
USE MASTER
GRANT VIEW ANY DEFINITION TO ipamuser
GO

Examentip

De informatie die u hier invoert, moet exact overeenkomen met wat u invoert in de IPAM-inrichtingswizard.

3.1.4 IPAM handmatig inrichten of door Groepsbeleid te gebruiken

Voordat u IPAM kunt gaan gebruiken, moet u de IPAM-service implementeren en vervolgens inrichten.

3.1.4.1 IPAM implementeren

U kunt Windows PowerShell of Server Manager gebruiken om de IPAM-functie te implementeren. Gebruik de volgende procedure om de functie te installeren met Server Manager:

  1. Klik in Serverbeheer op Beheren en klik vervolgens op Rollen en onderdelen toevoegen.
  2. Klik door de wizard Rollen en functies toevoegen en schakel vervolgens op de pagina Functies selecteren het selectievakje IP-adresbeheer (IPAM)-server in.
  3. In het gedeelte Functies toevoegen die vereist zijn voor IP-adresbeheer (IPAM)-server? dialoogvenster, klik op Functies toevoegen en klik vervolgens op Volgende.
  4. Klik op Installeren en wanneer de functie is geïnstalleerd, klikt u op Sluiten.

Examentip

U kunt ook de opdracht Windows PowerShell Install-WindowsFeature IPAM – IncludeManagementTools gebruiken om de IPAM-functie te installeren.

3.1.4.2 IPAM Handmatig inrichten

Nadat u de IPAM-serverfunctie hebt geïmplementeerd, moet u IPAM inrichten. Provisioning is het proces van het configureren van machtigingen, toegangsinstellingen en gedeelde mappen op beheerde servers zodat uw IPAM-server ermee kan communiceren.

U kunt de server handmatig inrichten of met behulp van Group Policy Objects (GPO’s). Wanneer u de Provision IPAM Wizard start, wordt u gevraagd of u handmatig of met behulp van GPO’s wilt inrichten, zoals weergegeven in Afbeelding 3-4.

Voer de volgende procedure uit om IPAM handmatig in te richten:

  1. Klik in Serverbeheer in het navigatievenster op IPAM.
  2. Klik in het paneel IPAM-servertaken, weergegeven in de volgende afbeelding, op De IPAM-server inrichten.
  3. Klik op de pagina Voordat u begint op Volgende.
  4. Klik op de pagina Database configureren, weergegeven in de volgende afbeelding, op Windows Internal Database (WID) of Microsoft SQL Server. Klik volgende.
  5. Klik op de pagina Select Provisioning Method op Handmatig, zoals weergegeven in de volgende afbeelding, en klik vervolgens op Volgende.
  6. Klik op Toepassen en vervolgens op Sluiten.

Examentip

Als u Microsoft SQL Server kiest, moet u de referenties definiëren die nodig zijn om verbinding te maken met de aangewezen database op de pagina Databasereferenties. De gegevens die u invoert, moeten overeenkomen met de gegevens die u hebt opgegeven toen u uw SQL Server-database configureerde om IPAM te ondersteunen.

Hoewel u niet kunt overschakelen van op groepsbeleid gebaseerde inrichting naar handmatige inrichting, kunt u overschakelen van handmatige naar op groepsbeleid gebaseerde inrichting met behulp van de Set-IpamConfiguration -ProvisioningMethod Automatic Windows PowerShell-opdracht.

Nadat u de wizard IPAM inrichten hebt voltooid, moet u uw beheerde servers handmatig inrichten. Hoewel u ervoor hebt gekozen dit proces handmatig uit te voeren, kunt u nog steeds GPO’s gebruiken om te helpen bij het proces. In tegenstelling tot het gebruik van de op groepsbeleid gebaseerde inrichtingsmethode, worden de groepsbeleidsobjecten echter niet automatisch gemaakt of toegepast. Ze zijn ook niet ongebruikt wanneer u een beheerde server van IPAM wilt verwijderen.

3.1.4.3DHCP-servers

Gebruik de volgende procedure om uw door DHCP beheerde servers handmatig in te richten voor IPAM:

  1. Configureer Windows Firewall op een beheerde DHCP-server. Open Windows Firewall met geavanceerde beveiliging.
  2. Maak een inkomende regel op basis van een vooraf gedefinieerde sjabloon: Klik in Regeltype op Vooraf gedefinieerd, klik op DHCP-serverbeheer en klik vervolgens op Volgende.
  3. Selecteer in Voorgedefinieerde regels onder Regels:
    1. DHCP-server (RPCSS-In)
    2. DHCP-server (RPC-In)
  4. Klik op Volgende, klik op De verbinding toestaan en klik vervolgens op Voltooien.
  5. Maak nog een inkomende regel op basis van een vooraf gedefinieerde sjabloon. Klik in Regeltype op Voorgedefinieerd, klik op Bestands- en printerdeling en klik vervolgens op Volgende.
  6. Selecteer in Voorgedefinieerde regels onder Regels:
    1. Bestands- en printerdeling (NB-Session-In)
    2. Bestands- en printerdeling (SMB-In)
  7. Klik op Volgende, klik op De verbinding toestaan en klik vervolgens op Voltooien.
  8. Maak nog een inkomende regel op basis van een vooraf gedefinieerde sjabloon. Klik in Regeltype op Voorgedefinieerd, klik op Extern gebeurtenislogboekbeheer en klik vervolgens op Volgende.
  9. Selecteer in Voorgedefinieerde regels onder Regels:
    1. Remote Event Log Management (RPC)
    2. Beheer van gebeurtenislogboeken op afstand (RPC-EPMAP)
  10. Klik op Volgende, klik op De verbinding toestaan en klik vervolgens op Voltooien.
  11. Maak nog een inkomende regel op basis van een vooraf gedefinieerde sjabloon. Klik in Regeltype op Voorgedefinieerd, klik op Extern servicebeheer en klik vervolgens op Volgende.
  12. Selecteer in Voorgedefinieerde regels onder Regels:
    1. Remote Service Management (RPC)
    2. Servicebeheer op afstand (RPC-EPMAP)
  13. Klik op Volgende, klik op De verbinding toestaan en klik vervolgens op Voltooien.
  14. Configureer beveiligingsgroepen op een beheerde DHCP-server. Maak in uw AD DS-domein met Active Directory: gebruikers en computers een universele beveiligingsgroep met de naam IPAMUG.
  15. Voeg de computer met de DHCP-rol toe aan deze groep.
  16. Zoek op de DHCP-server met Computerbeheer de groep DHCP-gebruikers.
  17. Voeg de universele beveiligingsgroep IPAMUG toe aan deze groep.
  18. Zoek op de DHCP-server met behulp van Computerbeheer de groep Gebeurtenislogboeklezers. Voeg de universele beveiligingsgroep IPAMUG toe aan deze groep.
  19. Configureer een DHCP-auditshare op een beheerde DHCP-server:
    1. Deel de map %WINDIR%\system32\DHCP met de naam DHCPAUDIT.
    2. Verleen de IPAMUG-groep leesrechten voor deze gedeelde map.
  20. Start DHCP opnieuw. 

3.1.4.4 DNS-servers

Gebruik de volgende procedure om uw door DNS beheerde servers handmatig in te richten voor IPAM:

  1. Configureer Windows Firewall op een beheerde DNS-server. Open Windows Firewall met geavanceerde beveiliging. Maak een inkomende regel op basis van een vooraf gedefinieerde sjabloon.
  2. Klik bij Regeltype op Vooraf gedefinieerd, klik op DNS-service en klik vervolgens op Volgende.
  3. Selecteer in Voorgedefinieerde regels onder Regels:
    1. RPC (TCP, Inkomend)
    2. DNS (UDP, Inkomend)
    3. DNS (TCP, Inkomend)
    4. RPC Endpoint Mapper (TCP, Inkomend)
  4. Klik op Volgende, klik op De verbinding toestaan en klik vervolgens op Voltooien.
  5. Maak nog een inkomende regel op basis van een vooraf gedefinieerde sjabloon.
  6. Klik bij Regeltype op Voorgedefinieerd, klik op Extern servicebeheer en klik vervolgens op Volgende.
  7. Selecteer in Voorgedefinieerde regels onder Regels: Remote Service Management (RPC-EPMAP) Remote Service Management (NP-In) Remote Service Management (RPC)
  8. Klik op Volgende, klik op De verbinding toestaan en klik vervolgens op Voltooien.
  9. Maak nog een inkomende regel op basis van een vooraf gedefinieerde sjabloon:
  10. Klik bij Regeltype op Voorgedefinieerd, klik op Extern gebeurtenislogboekbeheer en klik vervolgens op Volgende.
  11. Selecteer in Voorgedefinieerde regels onder Regels:
    1. Remote Event Log Management (RPC)
    2. Beheer van gebeurtenislogboeken op afstand (RPC-EPMAP)
  12. Klik op Volgende, klik op De verbinding toestaan en klik vervolgens op Voltooien.
  13. Configureer beveiligingsgroepen op een beheerde DNS-server. Deze procedure is hetzelfde als voor uw DHCP-servers.
    Schakel bewaking van gebeurtenislogboeken in op een beheerde DNS-server. U kunt bewaking van gebeurtenislogboeken inschakelen door de HKLM\SYSTEM\CurrentControlSet\Services\EventLog\DNS Server\Custom SD-waarde in het register te bewerken. Voeg de Security ID (SID) van uw IPAM-server toe aan het einde van deze registerwaarde. Typ met name aan het einde van de waarde het volgende (waarbij SID de SID van uw IPAM-server is. U kunt de SID bepalen door Get-ADComputer uit te voeren <IPAM_Server_Name>-opdracht bij een Windows PowerShell-opdrachtprompt).
  14. Configureer de DNS DACL op een beheerde DNS-server door de DNS Manager-console te openen.
  15. Klik in DNS Manager met de rechtermuisknop op de lokale DNS-server en klik vervolgens op Eigenschappen.
  16. Klik op het tabblad Beveiliging en voeg vervolgens de IPAMUG-groep toe.

3.1.4.5 NPS en domeincontrollers

Gebruik de volgende procedure om uw NPS-servers en domeincontrollers handmatig te configureren voor IPAM:

  1. Configureer Windows Firewall op een beheerde domeincontroller of NPS-server. Maak een inkomende regel op basis van een vooraf gedefinieerde sjabloon.
  2. Klik in Regeltype op Voorgedefinieerd, klik op Extern gebeurtenislogboekbeheer en klik vervolgens op Volgende.
  3. Selecteer in Voorgedefinieerde regels onder Regels:
    1. Remote Event Log Management (RPC)
    2. Beheer van gebeurtenislogboeken op afstand (RPC-EPMAP)
  4. Klik op Volgende, klik op De verbinding toestaan en klik vervolgens op Voltooien.
  5. Configureer beveiligingsgroepen op een beheerde domeincontroller of NPS-server. Deze procedure is hetzelfde als voor uw DHCP-servers.

3.1.4.6 Inrichting door gebruik te maken van groepsbeleidsobjecten

Voer de volgende procedure uit om IPAM in te richten met behulp van op Groepsbeleid gebaseerde inrichting:

  1. Klik in Serverbeheer in het navigatievenster op IPAM.
  2. Klik in het deelvenster IPAM-servertaken op De IPAM-server inrichten.
  3. Klik op de pagina Voordat u begint op Volgende.
  4. Klik op de pagina Database configureren op Windows Internal Database (WID) of Microsoft SQL Server en klik vervolgens op Volgende.
  5. Klik op de pagina Inrichtingsmethode selecteren op Op basis van groepsbeleid, zoals weergegeven in de volgende afbeelding, typ in het voorvoegsel GPO-naam een betekenisvol voorvoegsel en klik vervolgens op Volgende.
  6. Klik op Toepassen en vervolgens op Sluiten.

De pagina Voltooiing wordt weergegeven, zoals weergegeven in de volgende afbeelding.

3.1.5 Serverdetectie configureren

Na de inrichting moet u serverdetectie configureren en uitvoeren. Met Discovery kunt u beheerde servers toevoegen aan IPAM. Voer de volgende procedure uit om detectie te starten vanuit Serverbeheer in de IPAM-console:

  1. Klik op de pagina IPAM-servertaken op Serverdetectie configureren.
  2. Klik in het dialoogvenster Serverdetectie configureren op Forests ophalen.
  3. Klik in het pop-upvenster Serverdetectie configureren op OK. Sluit het dialoogvenster Serverdetectie configureren en klik vervolgens op de pagina IPAM-servertaken op Serverdetectie configureren.
  4. Het dialoogvenster Configure Server Discovery verschijnt, zoals weergegeven in de volgende afbeelding, met het AD DS-forest ontdekt. Klik in de lijst Selecteer domeinen om te ontdekken op de domeinen die servers bevatten die u wilt beheren en klik vervolgens op Toevoegen.
  5. Selecteer in het deelvenster De te ontdekken rollen selecteren de rollen die u wilt ontdekken in elk domein dat u hebt toegevoegd. Klik op OK om de ontdekking te starten.
  6. Klik in het deelvenster IPAM-servertaken op Serverdetectie starten. Er wordt een taak gestart om servers in het/de geselecteerde domein(en) te ontdekken. Wacht tot deze taak is voltooid en klik vervolgens op Servers toevoegen om IPAM-toegang te beheren en te verifiëren. De ontdekking kan 10 minuten duren, of mogelijk langer. De gele balk in Serverbeheer wordt bijgewerkt wanneer de detectie is voltooid.
  7. De status van uw domeincontroller in gedetecteerde domeinen wordt weergegeven. De status wordt echter gerapporteerd als geblokkeerd, zoals weergegeven in de volgende afbeelding.
  8. Om de domeincontroller te deblokkeren, voert u de volgende Windows PowerShell-opdracht uit, waarbij u uw domeinnaam, de FQDN van uw IPAM-server en de naam van de gebruikersaccount met gedelegeerde beheermachtiging vervangt: Invoke-IpamGpoProvisioning –Domain Adatum.com –GpoPrefixName IPAM – IpamServerFqdn LON-SVR1.adatum.com –DelegatedGpoUser-beheerder
  9. Wanneer de opdracht is voltooid, schakelt u over naar Serverbeheer en vernieuwt u de weergave: klik met de rechtermuisknop op de server en klik vervolgens op Servertoegangsstatus vernieuwen. Het bijwerken van het scherm kan enkele minuten duren. De gele statusbalk in Server Manager geeft de voortgang aan.
  10. Klik met de rechtermuisknop op de server en klik vervolgens op Server bewerken.
  11. Klik in het dialoogvenster Server toevoegen of bewerken, weergegeven in de volgende afbeelding, in de lijst Beheerbaarheidsstatus op Beheerd en klik vervolgens op OK.
  12. Als u extra servers wilt toevoegen, klikt u in Serverinventaris met de rechtermuisknop op Beheerde servers en vervolgens op Server toevoegen. Typ in het dialoogvenster Server toevoegen of bewerken, weergegeven in bovenstaande afbeelding, de FQDN van de server en klik op Verifiëren. Selecteer in de lijst Servertype alle services die van toepassing zijn. Klik in de lijst Beheerbaarheidsstatus op Beheerd en klik vervolgens op OK.
  13. Wanneer alle server(s) worden weergegeven als beheerd, klikt u in het paneel IPAM-servertaken op Gegevens ophalen van beheerde servers.

Wanneer de detectie is voltooid, moet uw beheerde serverstatus op de pagina Managerservers er ongeveer zo uitzien als in de volgende afbeelding.

Examentip

U voert de Invoke-IpamGpoProvisioning-cmdlet uit om de IPAM-server de benodigde machtigingen te verlenen om servers in uw domein te beheren. Wanneer u deze opdracht uitvoert, worden de GPO’s gemaakt en gekoppeld aan uw domein. Deze GPO’s passen de benodigde machtigingen toe voor de IPAM-server om het beheer van domeincontrollers, DNS en DHCP-servers in uw domein uit te voeren.

Als de status van de server(s) nog steeds wordt weergegeven als Geblokkeerd, forceer dan een GPO-update op de beheerde server(s) en ook op de IPAM-server. Indien nodig moet u mogelijk de server(s) opnieuw opstarten. Gebruik gpupdate /force om de groepsbeleidsobjecten te dwingen toe te passen.

3.1.6 Aanmaken en beheren van IP-blokken en bereiken

Een van de belangrijke voordelen van het gebruik van IPAM is de mogelijkheid om uw IP-adresruimte en gerelateerde services te beheren vanuit één enkele beheerinterface: de IPAM-console. Om uw IP-adresruimte te beheren, klikt u in Serverbeheer op IPAM en vervolgens op IP-adresruimte.

U kunt dan het volgende selecteren:

  • IP-adresblokken – Een IP-adresblok is een IP-subnet en is het object op het hoogste niveau binnen uw IP-adresruimtestructuur. Het bestaat uit een start-IP en een eind-IP-adres. Gebruik IP-adresblokken om IP-adresbereiken op uw DHCP-server(s) aan te maken. Onder dit knooppunt ziet u:
    • IP-adressubnetten – U kunt uw IP-subnetten vanaf dit knooppunt bekijken of beheren.
    • IP-adresbereiken – U kunt dit knooppunt gebruiken om uw IP-adresbereiken te bekijken of te beheren, zoals weergegeven in de volgende afbeelding.
    • IP-adressen – Vanaf dit knooppunt kunt u de individuele IP-adressen bekijken of beheren.
  • IP-adresinventaris – Biedt een logische groep waarmee u kunt aanpassen hoe uw adresruimte wordt weergegeven, wat een efficiënt beheer en tracking van IP-gebruik mogelijk maakt. Hiermee kunt u alle IP-adressen in uw organisatie zien samen met de gerelateerde apparaatgegevens, zoals type en naam.
  • IP-adresbereikgroepen – Met deze optie kunt u uw IP-adresbereiken in logische groepen indelen. U kunt bijvoorbeeld IP-adresbereiken ordenen op locatie of op bedrijfsfunctie.

3.1.6.1 IP-adresblokken beheren

Als u een IP-adresblok wilt maken, klikt u in de IPAM-console onder het knooppunt IP-adresruimte in het navigatievenster op IP-adresblokken. Voer vervolgens de volgende procedure uit:

  1. Klik in het detailvenster op Taken en klik vervolgens op IP-adresblok toevoegen.
  2. Voer in het dialoogvenster IPv4-adresblok toevoegen of bewerken, weergegeven in de volgende afbeelding, de volgende informatie in en klik vervolgens op OK:
    • Netwerk-ID – De subnet-ID. Bijvoorbeeld 192.168.1.0.
    • Prefixlengte – Het aantal subnetbits in de netwerk-ID. Bijvoorbeeld 24.
    • Adreswaarden automatisch toewijzen – Selecteer Ja of Nee.
    • Start IP-adres – Het eerste IP-adres in het netwerk. De standaardwaarde is het eerste IP-adres in de netwerk-ID die u hebt opgegeven, maar u kunt dit wijzigen. Bijvoorbeeld 192.168.1.0.
    • Eind IP-adres – Het laatste IP-adres in het netwerk. De standaardwaarde is het laatste IP-adres in de netwerk-ID die u hebt opgegeven, maar u kunt dit wijzigen. Bijvoorbeeld 192.168.1.255.
    • Regionaal Internet Register (RIR) – Alleen geldig als u een openbaar IPv4-adres invoert.
    • Ontvangstdatum van RIR – Alleen geldig als u een openbaar IPv4-adres invoert. Beschrijving (optioneel. Een zinvolle beschrijving die u helpt het blok te identificeren. Laatst toegekende datum Optioneel.
    • Eigenaar – Optioneel. Hiermee kunt u tekst invoeren om de eigenaar van het blok aan te geven.

Examentip

U kunt ook de Windows PowerShell Add-IpamBlock-cmdlet gebruiken om een IP-adresblok te maken.

U kunt een vergelijkbare procedure uitvoeren om IPv6-adresblokken toe te voegen. Als u een IPv6-adresblok wilt maken, klikt u in de IPAM-console onder het knooppunt IP-adresruimte in het navigatievenster op IP-adresblokken en vervolgens op IPv6. Klik in de lijst Taken op IP-adresblok toevoegen en configureer vervolgens de opties in het dialoogvenster IPv6-adresblok toevoegen of bewerken, zoals weergegeven in de volgende afbeelding.

Nadat u uw IP-adresblok hebt gemaakt, kunt u er met de rechtermuisknop op klikken in de IPAM-console en het adresblok bewerken.

Examentip

U kunt ook de Windows PowerShell Set-IpamBlock-cmdlet gebruiken om een IP-adresblok te wijzigen.

3.1.6.2 IP-adresbereiken beheren

Als u een IP-adresbereik wilt maken, klikt u in de IPAM-console onder het knooppunt IP-adresruimte in het navigatievenster op IP-adresblokken. Klik in de lijst Huidige weergave op IP-adresbereiken. Voer vervolgens de volgende procedure uit:

  1. Klik in het detailvenster op Taken en klik vervolgens op IP-adresbereik toevoegen.
  2. Voer in het dialoogvenster IPv4-adresbereik toevoegen of bewerken, weergegeven in de volgende afbeelding, de volgende informatie in en klik vervolgens op OK:
    • Netwerk-ID – De subnet-ID. Bijvoorbeeld 192.168.1.0.
    • Prefixlengte (0-32) – Het aantal subnetbits in de netwerk-ID. Bijvoorbeeld 24.
    • Subnetmasker – Automatisch gegenereerd op basis van de prefixlengte.
    • Automatisch IP-adressubnet maken – Selecteer deze optie om een subnet te maken met de geconfigureerde waarden.
    • Adreswaarden automatisch toewijzen – Klik op Ja of Nee.
    • Start IP-adres – Het eerste IP-adres in het netwerk. De standaardwaarde is het eerste IP-adres in de netwerk-ID die u hebt opgegeven, maar u kunt dit wijzigen. Bijvoorbeeld 192.168.1.0.
    • Eind IP-adres – Het laatste IP-adres in het netwerk. De standaardwaarde is het laatste IP-adres in de netwerk-ID die u hebt opgegeven, maar u kunt dit wijzigen. Bijvoorbeeld 192.168.1.255.
    • Beheerd door service – Kies IPAM (de standaard), of niet-MS DHCP, of Virtual Machine Manager (VMM).
    • Service-instantie – Geef op op welke IPAM-server de service wordt uitgevoerd. De standaard is Localhost.
    • Opdrachttype – Kies Statisch, Dynamisch, Automatisch, VIP of Gereserveerd.
    • Beschrijving – Optioneel.
    • Eigenaar – Optioneel.
    • Netwerkvirtualisatie inschakelen – Ja of Nee.
    • Aangepaste configuraties – Gebruik deze opties om het volgende te definiëren: AD DS-site, regio of land, apparaattype en vele andere eigenschappen.
    • WINS en DNS – Configureer de instellingen voor naamomzetting voor clients die een IP-configuratie uit dit bereik verkrijgen.
    • Gateway – Configureer de routeringsinstellingen voor clients die een IP-configuratie uit dit bereik verkrijgen.
    • Reserveringen – Configureer de IP-reserveringen voor klanten die een IP-configuratie uit dit bereik krijgen.

Examentip

U kunt ook de Windows PowerShell Add-IpamRange-cmdlet gebruiken om een IP-adresblok te maken.

U kunt een vergelijkbare procedure uitvoeren om IPv6-adresbereiken toe te voegen. Als u een IPv6-adresblok wilt maken, klikt u in de IPAM-console onder het knooppunt IP-adresruimte in het navigatievenster op IP-adresblokken en vervolgens op IPv6. Klik in de lijst Taken op IP-adresbereik toevoegen en configureer vervolgens de opties in het dialoogvenster IPv6-adresbereik toevoegen.

Nadat u uw IP-adresbereik(en) hebt toegevoegd, kunt u hun gegevens vanuit de console bewerken. Klik met de rechtermuisknop op het juiste bereik en klik vervolgens op IP-adresbereik bewerken.

Examentip

U kunt ook de Windows PowerShell Set-IpamRange-cmdlet gebruiken om een IP-adresblok te maken.

3.1.7 Gebruik van IP-adresruimte bewaken

Het is belangrijk om te weten hoe uw IP-adresruimte wordt gebruikt om de netwerkinfrastructuur van uw organisatie goed te plannen en te onderhouden. Met IPAM kunt u het gebruik volgen van:

  • IP-adresbereiken
  • IP-adresblokken
  • IP-bereikgroepen

U kunt drempels voor het gebruik van IP-adresbereiken, groepen en blokken configureren wanneer u ze aanmaakt of achteraf in de IPAM-console. Door een drempel te gebruiken, kunt u over- of onderbenutting van de resource bepalen. IPAM toont de gebruiksinformatie op verschillende plaatsen in de console, afhankelijk van de huidige weergave.

Als u bijvoorbeeld het gebruik van het IP-adres in een IP-adresbereik wilt bekijken, klikt u in IPAM op IP-adresruimte en vervolgens op IP-adresbereikgroepen. In het resultatenvenster, weergegeven in de volgende afbeelding, wordt Over of Under weergegeven in de kolom Gebruik voor het geselecteerde bereik, en geeft de kolom Percentage gebruikt een numerieke waarde voor het gebruik van de adresruimte. Gebruik het tabblad Gebruikstrend van de detailweergave om meer informatie over het gebruik over een gemeten periode te ontdekken.

Examentip

IPAM biedt alleen trendinformatie over het gebruik van IP-adressen voor IPv4.

3.1.8 Bestaande workloads migreren naar IPAM

Als uw organisatie veel moeite heeft geïnvesteerd in IP-adresbeheer met behulp van een niet-Microsoft-oplossing, kunt u uw IP-adresruimte naar IPAM migreren door een importproces te gebruiken op basis van door komma’s gescheiden waarden (CSV-bestanden).

Wanneer u een CSV-bestand gebruikt om in de IPAM-adresruimte te importeren, moet u de eerste regel van het CSV-bestand vullen met een koptekst die de veldnamen bevat die in de IPAM-console worden gebruikt. Bijvoorbeeld: IP-adres, beheerd door service, apparaattype, enz.

Gebruik de volgende syntaxis in uw CSV-bestand om een IP-adresbereik te importeren:

Netwerk, Start-IP-adres, Eind-IP-adres, Beheerd door service, Toewijzingstype
192.168.2.0/24, 192.168.2.1, 192.168.2.254, IPAM, dynamisch

Gebruik de informatie in Tabel 3-1 om de vereiste velden in uw CSV-bestanden te bepalen.

IP-adres blokIP-adres bereikIP-adressen
– Netwerk
– Begin IP-adres
– Einde IP-adres
– RIR		– Netwerk
– Begin IP-adres
– Einde IP-adres
– Beheerd door service
– Type toewjizing		– IP-adres
– Beheerd door service
– Service instantie
– Apparaat type
– IP-adres staat
– Type toewjizing

Nadat u uw CSV-bestand hebt gemaakt, om de records te importeren vanuit de IPAM-console:

  1. Klik op IP-adresruimte en vervolgens op IP-adresbereiken.
  2. Klik op Taken en vervolgens op: IP-adresblokken importeren IP-adressubnetten importeren IP-adresbereiken importeren IP-adressen importeren
  3. Zoek en dubbelklik in het dialoogvenster Openen op het CSV-bestand dat de gegevens bevat die moeten worden geïmporteerd. Uw bestand wordt geïmporteerd en de benodigde records worden aangemaakt in IPAM.

U kunt ook de cmdlets Import-IpamAddress, Import-IpamRange en Import-IpamSubnet van Windows PowerShell gebruiken om uw IP-adressen, IP-adresbereiken of IP-adresblokken te importeren.

3.1.9 Bepaal scenario’s voor het gebruik van IPAM met System Center VMM voor fysiek en virtueel IP-adresruimtebeheer

Als uw organisatie virtuele-machinenetwerken maakt en beheert, kunt u overwegen IPAM- en VMM-integratie te implementeren. Hierdoor heeft u een compleet end-to-end overzicht van uw gehele IP-adresruimte, zowel fysiek als virtueel. Met deze weergave kunt u de mogelijkheid van adresruimteconflicten vermijden die kunnen ontstaan als uw virtuele adresruimte afzonderlijk van uw fysieke adresruimte wordt beheerd.

Om VMM- en IPAM-integratie in te schakelen, moet u uw IPAM-server toevoegen aan de bronnen in VMM. Nadat u uw IPAM-server hebt toegevoegd, worden de IP-adresinstellingen in VMM gesynchroniseerd met instellingen die zijn opgeslagen op de IPAM-server. Deze instellingen hebben betrekking op logische netwerken en virtuele-machinenetwerken (VM-netwerken) in VMM.

Nadat u de IPAM-netwerkservice in VMM hebt ingeschakeld, kunt u logische netwerken in IPAM maken of wijzigen en deze automatisch synchroniseren met VMM. U kunt ook een logisch netwerk maken of bewerken in VMM en dit vervolgens bekijken in IPAM. Gebruik de volgende stappen op hoog niveau om IPAM met VMM te integreren:

  1. Maak op de IPAM-server een gebruikersaccount voor VMM om te communiceren met uw IPAM-server.
  2. Voeg het gebruikersaccount toe aan een groep die lid is van de IPAM ASM-beheerdersrol.
  3. Voeg in de VMM-console de Microsoft Windows Server IP Address Management-netwerkservice in VMM toe en configureer deze met behulp van de volgende procedure. Maak in de Fabric-werkruimte een netwerkservice met de naam IPAM en doe het volgende:
    1. Selecteer op de pagina Fabrikant en model Microsoft en Microsoft Windows Server IP-adresbeheer.
    2. Zorg ervoor dat u de IPAM-service configureert om te worden uitgevoerd in de context van het gebruikersaccount dat u hebt toegewezen aan de IPAM ASM-beheerdersrol.
    3. Geef de volledig gekwalificeerde domeinnaam (FQDN) van de IPAM-server op.
    4. Zorg ervoor dat de configuratieprovider Microsoft IP Address Management Provider is.

Nadat u de integratie van IPAM en VMM hebt geconfigureerd, bij gebruik van de IPAM-netwerkservice met VMM:

  • Wanneer u wijzigingen aanbrengt in logische netwerken in VMM, wordt de gevirtualiseerde IP-adresruimte in IPAM automatisch bijgewerkt.
  • Wanneer u logische netwerken maakt in IPAM, worden deze toegevoegd aan VMM.