راه اندازی سرویس IPAM

راه اندازی سرویس IPAM

گام اول: نصب Feature

به منظور نصب سرویس IPAM کافی است از طریق PowerShell دستور زیر را وارد کنید و یا از طریق Server Manager، در قسمت Features آن را انتخاب کنید.

Install-WindowsFeature IPAM –IncludeManagementTools

اکنون در Server Manager در قسمت IPAM Quick Start می توانید سایر Task هایی که لازم است انجام گردند را مشاهده کنید.

image

image

گام دوم: Provisioning

روی گزینه Provision IPAM Server کلیک کنید. پیش از انتخاب روش Provision لازم است پایگاه داده ذخیره سازی اطلاعات IPAM مشخص شده باشد. IPAM در Windows Server 2012 R2 علاوه بر Windows Internal Database (WID) از Microsoft SQL Server 2008 به بعد نیز پشتیبانی می کند. این امکان در Windows Server 2012 در دسترس نمی باشد.

image

پس از راه اندازی اولیه نیز انتقال Database امکان پذیر است و انتخاب فوق، یک انتخاب دائمی نخواهد بود. با استفاده از cmdlet زیر می تواند وضعیت دیتابیس IPAM را مشاهده کنید:

Get-IpamDatabase [-AsJob] [-CimSession ] [-ThrottleLimit ]

همچنین با Cmdlet زیر به راحتی امکان جا به جایی DB وجود دارد.

Move-IpamDatabase [-DatabaseServer] [-DatabaseName] [-DatabasePort] -DatabaseAuthType [-AsJob] [-CimSession ] [-DatabaseCredential ] [-Force] [-PassThru] [-ThrottleLimit ] [-Confirm] [-WhatIf]

پس از انتخاب Database، لازم است متد Provision انتخاب گردد. متد Provision، فرایندی است که طی آن دسترسی ها و مجوز های لازم روی فایل ها و تنظیمات Managed Server ها به سرویس IPAM اعطا می شود. Provision می تواند به دو روش دستی و یا با استفاده از Group Policy صورت گیرد.

  • Manual: برای محیط های کوچک قابل استفاده است. تنظیمات لازم است روی هر کدام از Managed Server ها به صورت دستی اعمال گردند و در صورتی که قرار است به Unmanaged تغییر یابند لازم است تنظیمات به صورت دستی حذف گردند. حتی در صورتی که Manual انتخاب گردد، می توان از Group Policy به منظور اعمال دسترسی ها و تنظیمات استفاده کرد.
  • Group Policy: این روش توصیه شده است. در صورت استفاده از این روش زمانی که سرور ها از Unmanaged به Managed تغییر وضعیت پیدا می کنند، GPO به صورت خودکار فقط به آن ها اعمال می شود. همچنین فرایند حذف به صورت خودکار صورت می گیرد. لازم است برای این منظور یک Prefix برای نام GPO های ایجاد شده انتخاب گردد. به صورت پیش فرض، GPO های زیر ساخته می شود. IPAM سه Group Policy روی Domain مختلف ایجاد می کند که با استفاده از GPO security filtering فقط به سرور هایی که لازم است در آن حوزه خاص تحت مانیتور قرار گیرند اعمال می شود.
  1. GPO-prefix>_DHCP>
  2. GPO-prefix>_DNS>
  3. GPO-prefix>_DC_NPS>

به منظور ساخت GPO های لازم برای Provisioning لازم است از دستور زیر در PowerShell استفاده گردد.

Invoke-IpamGpoProvisioning [-Domain] <String> [-GpoPrefixName] <String> [-DelegatedGpoGroup <String[]> ] [-DelegatedGpoUser <String[]> ] [-DomainController <String> ] [-Force] [-IpamServerFqdn <String> ] [-PassThru] [ <CommonParameters>]

به عنوان مثال:

Invoke-IpamGpoProvisioning -Domain contoso.com -GpoPrefixName IPAM1 -DelegatedGpoUser user1 -IpamServerFqdn ipam1.contoso.com

در صورت انتخاب روش Group Policy لازم است prefix دلخواه را وارد نمایید.

image

گام سوم: Server Discovery

اکنون با بازگشت دوباره به IPAM Quick Start، روی لینک Configure Server Discovery کلیک می کنیم و در Dialog Box باز شده، هر کدام از دامین هایی که قصد مانیتور کردن آن ها را داریم اضافه می کنیم. سپس امکان انتخاب فعال سازی هر یک از Server Role های مورد پشتیانی IPAM جهت Discover شدن در هر یک از دامین ها وجود دارد. لازم به ذکر است که Discover شدن یک سرور به معنای تغییر حالت آن سرور از Managed به Unmanaged نمی باشد. همچنین از طریق همین Dialog Box می توان دامین های تحت Discovery را خارج نمود.

IC639940.jpg

گام چهارم: آغاز Discovery

برای این مرحله کافی است در IPAM Quick Start روی لینک Start Server Discovery کلیک کنید.

گام پنجم:  Set Manageability Status

پس از آنکه با استفاده از Discovery، سرور های انتخاب شده در گام سوم پیدا شدند و به Inventory اضافه شدند، اکنون لازم است وضعیت مدیریتی آن ها معین گردد. Managebility Status می تواند یکی از مقادیر زیر باشد:

  1. Unspecified: این وضعیت به عنوان یک تنظیم موقتی در نظر گرفته شده است. در این حالت Access Setting به آن ها اعمال نمی گردد و IPAM نیز تلاش نمی کند اطلاعات مربوط به آن سرور ها را جمع آوری کند با این وجود، اطلاعات را نگه می دارد.
  2. Unmanaged:این وضعیت مخصوص سرور هایی است که قصد مانتیور و تحت مدیریت قرار گرفتن آن ها وجود ندارد و یا پس از انتخاب این وضعیت وجود ندارد. مشابه به حالت Unspecified اطلاعات جمع آوری نمی گردد؛ اما با این تفاوت که اطلاعات در دیتابیس نیز دیگر نگه داری نمی شود.
  3. Managed: در این وضعیت Access Setting های لازم اعمال می شود و در بازه های زمانی معین اطلاعات لازم از روی سرور توسط IPAM خوانده و در پایگاه داده ذخیره می شود.

IPAM2

به منظور بررسی صحت دسترسی لازم IPAM روی سرور های Managed وضعیت IPAM Access Status را بررسی کنید. توجه داشته باشید که اگر Group Policy ها را اخیرا اعمال کردیده اید، ممکن است مدتی زمان لازم باشد تا اعمال شود و یا می توانید از gpupdate /force استفاده کنید. وضعیت های زیر در خصوص IPAM Access Status امکان پذیر است.

  1. Not checked: این وضعیت برای سرور هایی است که به تازگی افزوده شده اند. پس از Start Server Discovery وضعیت سرور به روز شده و به یکی از مقادیر زیر تبدیل می گردد.
  2. Unblocked: نشان دهنده آن است که دسترسی به تمام تنظیمات و اطلاعات لازم توسط IPAM وجود دارد.
  3. Blocked: نشان دهنده آن است که دسترسی لازم به حداقل یکی از تنظیمات و یا اطلاعات لازم توسط IPAM وجود ندارد.

IPAM3

تصویر زیر وضعیتی را نمایش می دهد که GPO های لازم اعمال نشده اند. در صورت مواجه به مشکل زیر اقدامات زیر را انجام دهید.

IPAM4

  1. بررسی کنید GPO های لازم وجود داشته باشد. اگر از روش Manual استفاده کرده اید، تنظیمات را بررسی کنید.
  2. در صورتی که GPO ها وجود دارد، security filtering  را بررسی کنید. اگر GPO ها وجود ندارد، ایجاد Group Policy Object های لازم از گام دوم را انجام دهید.
  3. به منظور اعمال تغییرات Group Policy، از دستور gpupdate /force روی سرور مطلوب استفاده کنید.
  4. با استفاده از دستور gpresult /r اطمینان حاصل کنید، Group Policy های لازم به سرور مطلوب اعمال می شوند.

در قسمت Detail View مشابه تصویر فوق، جزئیات بیشتری در خصوص Access Status را می توانید بررسی کنید و به صورت موردی اقدام به حل مشکل کنید:

Status Possible values
Manageability Status Managed, Unmanaged, Unspecified
IPAM Access Status Unblocked, Blocked, Not checked
Recommended Action IPAM Access Unblocked, Unblock IPAM Access, Set Manageability Status
DHCP RPC Access Status Unblocked, Blocked, Not applicable, Not checked
DHCP Audit Share Access Status Unblocked, Blocked, Not applicable, Not checked
DNS RPC Access Status Unblocked, Blocked, Not applicable, Not checked
Event Log Access Status Unblocked, Blocked, Not applicable, Not checked

پایگاه داده

جهت تهیه نسخ پشتیبان پیشنهاد می شود، از Database به صورت روزانه نسخه پشتیبان تهیه گردد. به صورت پیش فرض فایل های ipam.mdf و ipam_log.ldf در مسیر Windows\System32\ipam\Database قرار دارد.

image

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *