میلاد اسحاقی
کارشناس سرویس های شبکه مایکروسافت

آموزش راه اندازی IPAM در ویندوز سرور بصورت گام به گام

در این آموزش می خواهیم شما را با قابلیتIP Address Managment) IPAM )در ویندوز سرور 2012 آشنا کنیم و تنظیمات و قابلیت های این سرویس عالی را با یکدیگر بررسی کنیم . اگر بخواهیم این سرویس را به صورت کلی تعریف کنیم خواهیم گفت که به کمک این سرویس می توانیم به جمع آوری اطلاعات مربوط به سرور های DNS ، DHCP و نهایتا NPSدر بستر شبکه خود بپردازیم و همچنین مدیریت این سرور ها و سرویس های مربوطه را به صورت متمرکز و از یک سرورانجام دهید .

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

همچنین IPAM این امکان را به شما میدهد که به طور کاملا متمرکز به بررسی وضعیت IP Address Space ها در بستر شبکه خود رسیدگی کنید . یعنی شما به کمک IPAM می توانید به IP Addrtess Block ها و IP Address Range ها و Scope های تعریف شده در DHCP سرور های خود رسیدگی کنید ، IP های آزاد و استفاده نشده را بدست آورید ، Scope های خود را که بر روی چندین DHCP سرور هستند

به طور متمرکز کنترل کنید ، Reservation بسازید ، Scope جدید ایجاد کنید ، وضعیت DNS سرور های خود را کنترل و از سلامت کار کرد آنها به طور متمرکز با خبر شوید ، رکورد های DNS را مدیریت و تغییر دهید و یا اینکه IP های داده شده به شبکه خود را بر اساس انواع فیلتر ها مانند نام سیستم ، نام کاربر ، Location و ... سرچ کنید و اطلاعات لازم را بدست آورید

1

از آنجایی که این محصول تا قبل از سرور 2012 وجود نداشته و یکی از سرویس های جدید ارائه شده از طرف مایکروسافت عزیز !! است شاید لازم باشد کمی بیشتر در مورد کارایی آن صحیت کنیم و نکاتی را در مورد نحوه عملکرد آن با یکدیگر بررسی کنیم . ( البته نرم افزار های مشابهی در بستر شبکه وجود دارد که قابلیت های مشابهی را برای سرویس دهندگان ارائه میکنند مثلا نرم افزار IPAM محصول Solarwinds ) . اکنون سوالاتی را با یکدیگر بررسی میکنیم که جواب آنها به کمک سرویس IPAM به سادگی قابل حل و رفع شدن است .

  • چگونه میتوان IP Address های ارائه شده در بستر شبکه توسط چندین DHCP سرور را به طور یکجا بررسی کرد و آنهایی که در حال حاضر در حال استفاده هستند و یا استفااده نمیشوند را بدست اورد و هرگونه تغییر در آنها را Track و کنترل کرد؟
  • از کجا میتوان به وضعیت پر یا خالی بودن Scope های موجود در شبکه پی برد و در صورت پر شدن رنج Scope ها بلافاصله از این موضوع با خبر شد؟
  • چگونه میتوان یک DHCP Option را از بین چندین و چند Scope بر روی چندین DHCP Server تغییر داد و به طور متمرکز تغییرات را اعمال کرد ؟
  • چگونه میتوان IP Address Range های موجود در شبکه را به درستی بررسی کرد و سابنت های آزاد را بدست آورد و استفاده کرد ؟
  • از کجا میتوانم IP های پابلیک و پرایویت استفاده شده را در بستر شبکه بررسی کرد و گزارشی از آن داشت ؟
  • از کجا میتوان یه این نکته پی برد که چه مقدارااز فضای IP address Space ارائه شده در شبکه به صورت داینامیک بوده و چه مقدار به صورت دستی تنظیم شده ؟
  • و در نهایت چگونه میتوان بررسی کرد که آیپی ارائه شده به یک سیستم ، قبل از این سیستم در اختیار چه سیستمی بوده و یا آیپی هایی که به یک کاربر خاص داده شده در بازه زمانی مشخص چه مقادیری بوده و موارد مشابه آن ؟

که جواب تمامی این سوالات چیزی نیست بجز IPAM !!

(به طور ناخود آگاه یاد یک تبلیغ میوفتم که اگر بخوام با IPAM مقایسه کنم جواب جالبی خواهد داشت : چگونه DHCP های خود را یکجا چک کنیم ... IPAM ،، چگونه DNS های خود را متمرکز بررسی کنیم ....IPAM ،، چگونه تمامی تنظیمات بستر IP را در شبکه خود کنترل و تغییر دهیم ....IPAM ،، IPAM ،،، IPAM ،،، IPAM و .... :D با IPAM متمرکز شوید !! D:

2

واما علاوه بر قابلیت های هایی که تا اینجا با یکدیگر بررسی کردیم ، محدودیت هایی هم شامل سرویس IPAM خواهد بود که بایکدگر به بررسی آنها خواهیم پرداخت :

  • سرویس IPAM فقط میتواند از سرورهای 2008 به بالایی که عضو یک فارست هستند گزارش گیری و کنترل انجام دهد
  • IPAM امکان کنترل ، مدیریت و گزارش گیری از محصولات غیر مایکروسافتی را نخواهد داشت !
  • IPAM همانطور که در مطلب بالا گفته شد امکان بررسی وضعیت تنظیمات IP سوییچ ها و روترهای شبکه ای را نخواهد داشت
  • یک IPAM سرور به تنهایی می تواند تا 150 عدد DHCP Server و مجموع 6000 Scope را پوشش دهد و 500 عدد DNS سرور را با مجموع 150 Zone نیز شامل شود . ( فکر کنم کافی باشه !! )
  • امکان Address Utilization و Reclaiming فقط برای IP های ورژن 4 قابل استفاده هستند .
  • و در نهایت IPAM نمی تواند از IP های ورژن 6 نوع Stateless که به صورت اتوماتیک بر روی سیستم ها تنظیم شده اند ( دارای IP V6 از نوع AutoConfigure ) را بررسی کرده و در مورد کاربرانی که از این آدرس ها استفاده کرده اند گزارش ارائه کند

دوستان عزیز ITPro یی تا اینجای کار با مقدمات سرویس IPAM در سرور 2012 آشنا شدیم، و دیدم که این سرویس جدید توانایی مناسبی در مدیریت ، گزارش گیری و کنترل دقیق از ساختار های اصلی ارائه سرویس های IP در بستر شبکه های مایکروسافتی ارائه میکند . انشالله در آموزش های بعدی نحوه راه اندازی و پیشنیاز ها این سرویس و در ادامه کانفیگ مربوط به آن را به دقت با یکدیگر بررسی خواهیم کرد .

همانطور که در آموزش قبل با یکدیگر بررسی کردیم می خواهیم سرویس IPAM مایکروسافت را راه اندازی کرده و نکات مربوط به آن را به صورت گام به گام و بدقت بررسی نماییم . برای این کار ابتدا سناریوی خود را با یکدیگر بررسی خواهیم کرد و مطالب لازم برای راه اندازی این سرویس بررسی میکنیم .

در این سناریو ما از سه عدد سرور و یک کلاینت برای پیاده سازی سناریو خودمان استفاده میکنیم . همانطور که در شکل زیر مشاهده میکنید در سناریو ما یک سرور DC با مشخصات آیپی 192.168.0.1 وجود دارد که علاوه بر سرویس AD DC بر روی خود یک DHCP و DNS را نیز میزبانی خواهد کرد .

در ادامه با سرور دوم سناریو روبرو هستیم که یک Member server ( سرور عضو دامین ) بوده و بر روی خود یک DHCP سرور و یک DNS سرور را نیز میزبانی خواهد کرد . در نهایت یک سرور سوم خواهیم داشت که قرار است بر روی آن سرویس IPAM را راه اندازی کنیم و به کمک آن بتوانیم سرور های 1 و 3 را مورد برسی قرار دهیم . در نهایت برای کامل شدن طرح هم از کلاینت استفاده خواهیم کرد .

 

1

اکنون فرض را بر این خواهیم گرفت که دوستان عزیز آیتی پرویی مراحل راه اندازی DC و DNS و DHCP را به خوبی از آموزش های سایت آیتی پرو فراگرفته اند و به قول معروف از اینجای سریال به بعد همراه ما هستند!!

اکنون میخواهیم در این قسمت اموزشی مراحل نصب را از سرور سوم که قرار است IPAM بر روی آن راه اندازی شود ادامه میدهیم . برای این کار یکسری از نکات را بایستی از قبل انجام دهید که این نکات را بررسی خواهیم کرد.در یک نگاه کلی مراحل لازم برای کانفیگ IPAM پس از نصب Role مربوطه شامل این مراحل خواهد شد که به بررسی آن خواهیم پرداخت

  • Connect To IPAM Server
  • Provision The IPAM Server
  • Confiure Server Discovery
  • Start Server Discovery
  • Select Or Add Servers To Manage And Verify IPAM Access
  • Retrieve Data From Managed Servers

در ابتدا بر روی سرور سوم Feature مربوط به IPAM را انتخاب کرده و اجازه نصب این feature را بدهید :

 

2

اکنون نوبت به اماده کردن خود IPAM رسیده ، قبل از هر کاری پیشنهادی را برای شما دارم که توصیه میکنم آن را جدی بگیرید و انجام دهید ! در واقع این پیشنهاد طبق مراحل استاندارد نصب این سرویس نیست اما در عمل اگر قرار باشد سرور IPAM شما از سرور هایی DNS بجز DNS سرور های روی DC قرار باشه گزارش گیری کند و مدیریت بر روی این سرویس ها انجام بده لازم خواهد بود تا این نکته را رعایت کنید .

اما این نکته چیست؟!! اینکه Computer Account مربوط به IPAM را بر روی سرو هایی که میخواهید از آنها گزارش گیری کرده و مدیریت بر روی آنها انجام دهید عضو گروه Administrator کنید و اجازه دهید تا IPAM شما بتواند دسترسی کاملی بر روی این سرور ها داشته باشد و گزارشات و تنظیمات لازم را بدرستی انجام دهد .

پیشنهاد کتابی مایکروسافت این هست که شما Computer Account مربوط به IPAM را بر روی سرو های مربوطه عضو گروه Event Log Readers کنید تا امکان گزارش گیری کامل در اختیار شما قرار بگیره ! که همانطور که خدمت شما عرض کردم قطعا هنگام کار کردن با DNS سرور هایی که روی DC نیستند به مشکل بر خواهید خورد و امکان ارتباط با DNS سرور ها را بدرستی نخواهید داشت !

 

3

 

بسیار عالی ، اکنون نوبت به کنسول و تنظیمات خود سرویس IPAM رسیده است ، پس سراغ این کنسول رفته و تنظیمات را از سر میگیریم :

 

4

در ابتدا گزینه Connect To IPAM Server را انتخاب کنید تا ارتباط کنسول با سرور برقرار شود :

 

5

اکنون نوبت به Provision کردن IPAM فرارسیده ، در واقع شما تدارکات لازم برای پیاده سازی و ارتباط IPAM با سایر سرور های شبکه را آماده خواهید کرد :

 

6

مرحله بعدی معرفی یک پایگاه داده برای ذخیره و انجام تراکنشات لازم برای این سرویس خواهد بود ، که میتوانید از یک دیتابیس پیش فرض یا همان WID استفاده کنید یا اینکه یک SQL server 2008 R2 به بالا استفاده کنید ، انتخاب با شماست ! من در اینجا WID را انتخاب کرده ام و آماده انجام بقیه مراحل میشم :

 

7

اکنون نوبت به انجام مراحل مربوط به Provision method فرارسیده و شما بایستی انخاب کنید که چگونه می خواهید سرور IPAM را به سرور ها و سرویس های خود معرفی کنید ! در واقع دو راه در پیش رو دارید یکی استفاده از ساختار اتوماتیک و گروپ پالیسی و دیگری انجام تنظیمات مربوطه به صورت دستی و مرحله به مرحله !

که طبق توصیه خود کتاب و مایکروسافت ما گزینه تنظیمات اتوماتیک را انتخاب کرده ایم و صرفا استفاده از ساختار دستی برای شرایط غیر معمول و در حالاتی که استفاده از گروپ پالیسی دارای محدودیت های خاص و نکات غیر عادی خواهد بود پیشنهاد شده که خدا را شکر ما هم از گروپ پالیسی به سادگی و سهولت می توانیم استفاده کنیم

و هم اینکه شرایط غیر عادی در نظر ما نیست ! ( شما هم خودتان را به زحمت اضافه نندازید و از امکانی که مایکرو برای شما در نظر گرفته به سادگی و راحتی استفاده کنید !) در نهایت برای گروپ پالیسی هایی که قرار است ساخته شود یک نام قرار دهید تا مراحل طی شود :

 

8

در نهایت Apply را بزنید تا مراحل به اتمام برسد :

 

9

 

10

بسیار خب اکنون نوبت به مرحله بعد رسیده یعنی انتخاب گزینه Configure Server Discovery ، با این کار شما دامین خود را انتخاب و سرویس هایی که قرار است مورد جستجو قرار بگیرند را انتخاب کنید ، از انجایی که ما تمامی سروریس های DNS و DHCP را مورد بررسی قرار داده ایم ، تمامی تیک ها را نتخاب میکنیم :

 

11

 

12

بسیار خب سراغ مرحله بعدی خواهیم رفت ، اکنون گزینه Start Server Discovery را انتخاب کنید تا سرور شما دنبال سرویس های موجود بر روی دامین شما بگردد و گزارشی را به شما ارائه کند.

 

13

اگر به مرحله بعد یعنی Select or add server to manage … روید ممکن است با تعجب ببینید که لیست نمایش داده شده کامل و در بر گیرنده تمامی سرو ها نخواهد بود !! پس اشکال کار کجاست ؟

 

14

اشکال کار اینجاست که شما باید خودتان برای ایجاد پالیسی های مربوطه اقدام کنید و اگر اکنون سری به GPMC بزنید خواهید دید که خبری از پالیسی هایی که قرار بود برای Provision کردن IPAM اضافه شود وجود خارجی ندارند !!

 

15

اکنون نوبت شماست تا با Power shell عزیز به سراغ این مشکل بروید و در یک حرکت سریع به رفع اشکال این موضوع بپردازید . کافیست بر روی سرور IPAM کنسول Power Shell را با دسترسی Admin باز کنید و دستورات زیر را وارد کنید :

 

16

 

invoke-ipamgpoprovisioning -domain tosinso.com -gpoprefixname itpro-ipam -delegatedgpouser administrator -ipamserverfqdn srv3.tosinso.com

 

17

دقت کنید که نام سرور ها و Gpo prefix name که در مراحل نصب وارد کرده اید را به درستی و با همان املا وارد کنید تا اشتباهی در ساختن گروپ پالیسی وارد نشود . اکنون بر روی سرور DC خود بروید و ساختار Group Policy و کنسول GPMC خود را با دقت بررسی کنید ، بله خواهید دید که پالیسی های مربوطه به درستی ساخته شده اند و فقط کافیست تا زحمت Gpupdate /force را به خود بدهید و نهایتا به ریستارت سرور های خود برای اعمال دقیق پالیسی اقدام کنید .

 

18

اکنون باید کمی تحمل داشته باشید و تا بعد از اعمال پالیسی و گذشتن چند دقیقه از این کانفیگ ( من در پیاده سازی های متفاوت از 5 دقیق تا حدود 15 دقیق برای اعمال دقیق تنظیمات وقت در صرف کردم ! شما هم باید کمی با حوصله با این مرحله برخورد کنید ) بتوانید تنظیمات و سرور های تحت کنترل IPAM را در قسمت Select or Add server to manage … ببینید .

قطعا لازم است تا مرحله Start Server discovery را چند بار انجام دهید تا تمامی سرورها به نمایش درآیند . بعد از این مدت زمان و نمایش تمامی سرور ها لازم است بر روی اسم سرور های نشان داده شده راست کلیلک کنید و گزینه Edit Server را انتخاب کنید ، سپس در پنجره جدید باز شده Manageability Status را از حالت Unspecified به حالت Managed تبدیل کنید

و سپس بعد از گذشت مدت زمانی کوتاه ( حدود 5 دقیقه ) به سراغ مرحله ی آخر از نصب این سرویس بروید و گزینه retrieve from managed server را انتخاب کنید تا سرور های شما در مرحله Select or Add server … از حالت Blocked به حالت Unblocked در آیند و server type ها را نیز به درستی و کامل نمایش دهند .

 

19

 

20

بسیار خب دوستان عزیز آیتی پرویی تا اینجای کار راه اندازی سرویس IPAM به پایان رسید و انشاالله در آموزش مرحله بعدی به بررسی عملکرد و نحوه کار کردن با قسمت های مختلف این سرویس کارآمد خواهیم پرداخت

در ادامه آموزش های راه اندازی و کانفیگ IPAM در خدمت شما هستیم . همانطور که در قسمت های قبلی مشاهده کردین ما توانستیم IPAM را بر روی شبکه داخلی خود نصب کنیم و در این آموزش می خواهیم با قسمت های مختلف و متفاوت آن و نحوه کانفیگ این سرویس بیشتر آشنا شویم . وارد کنسول Server manager شوید و کنسول IPAM را باز کنید :

 

2

در ایتدا با صفحه اصلی IPAM روبرو خواهید شد ، این قسمت به 6 قسمت اصلی تقسیم خواهد شد .

  • Server Inventory
  • IP Address Space
  • Virtualized IP Address Space
  • Monitor and Manage
  • Event Catalog
  • Access Control

اکنون وارد هر یک از این قسمت ها شده و تنظیمات آن را با یکدیگر بررسی خواهیم کرد . در قسمت Server Inventory شما یک نمای کلی از سرویس های خودتان را که توسط IPAM پیدا شده و قابل کانفیگ هستند مشاهده میکنید :

 

3

 

اگر بر روی هر کدام از سرور ها راست کلیک کنید می توانید به سادگی درخواست دریافت دوباره اطلاعات از سرورها و یا رفرش وضعیت سرو ها به انظمام تغییر در سرویس های که IPAM می تواند بر روی سرور ها دریافت کند را بررسی کنید :

 

4

 

5

در قسمت IP Address Spapce شما نمای کلی از فضای آیپی ارائه شده توسط سرور های DHCP خود را در بستر شبکه مشاهده خواهید کرد ، در اینجا با مفاهیمی از اندازه و دسته بندی آیپی روبرو خواهید شد . برای مثال IP Address Blocks که دسته بندی بزرگتری از IP Address ها را شامل میشود . همچنین می توانید نحوه نمایش این IP Address ها را به قالب IP Address Range Group در آورید . در واقع مطابق نیاز شما برای دسته بندی آیپی ها می توانید به سادگی در غالب Block یا Subnet و یا Range در خواهد آمد .

 

6

برای مثال در قسمت Ip Address Blocks می توانید Block موجود از آیپی هایی که سرور IPAM شما بعد از Discover کردن شبکه پیدا کرده به صورت لیست شده ببینید و یا یانکه حتی با توجه به استفاده از DHCP هایی غیر از مایکروسافت خودتان لیست IP های به کار رفته را در قالب Block یا Range یا ... اضافه کنید و با این کار کل بستر شبکه را در یک مکان واحد بررسی کنید !! دقت کنید که این تنظیمات برای دسته بندی و متمرکز کردن ساختار آیپی از طریق IPAM طراحی شده و نه تنظیمات سرویس DHCP غیر مایکروسافتی !

 

7

 

8

برای مثال در شکل زیر ما یک ساختار IP Address Block را دستی اضافه کردیم که در قسمت Current View نمایش داده خواهد شد :

 

9

 

10

حتی قادر خواهید بود که ساختار های IP address Block یا Range را که در قالب فایل .CSV خروجی گرفته اید در این قسمت Import کنید و تمامی ساختار های IP را مشاهده خواهید کرد . یا برای مثال می توانید حتی یک IP Address به تنهایی به این ساختار اضافه کنید و تنظیمات آن را طبق نیاز خودتون پر کنید :

 

11

 

12

 

13

اکنون که برای مثال یک IPAddress را از طریق IPAM اضافه کرده ایم و اگر اکنون DHCP را چک کنیم خواهیم دید که این IP به سادگی در قالب Reserved قرار گرفته و خب میتوان در تصویر زیر صحت این موضوع را بررسی کرد !!

 

14

 

یکی از خروجی های بسیار مفید که در این قسمت قابل مشاهده است خروجی قسمت IP Address Range است . در این صفحه شما میتوانید Scope های که توسط سرورهای DHCP ارائه شده را در یک نگاه کلی بررسی کنید و مقادیره Percentage Utilized و Address Assignment را به سادگی مشاهده خواهید کرد

 

15

 

16

همچنین اگر دقت کنید نکات ظریف اما جالب دیگری را نیز در این قسمت مشاهده خواهید کرد ، برای مثال در قسمت Utilized شما با یک نگاه و به کمک این آیکن می توانید مقدار آدرس هایی که در Scope یا همان Range شما استفاده شده را در یک نگاه ببینید ! اگر زیر 20 درصد از کل اسکپ ارائه شده باشد و در اختیار قرار گرفته باشد شما با علامت زرد رنگ و مقدار Under روبرو خواهید شد !

اگر بالای این مقدار باشد تا حدود 50 درصد یا مقدار Optimal و علامت سبز رنگ روبرو خواهید شد و بالای 80 درصد هم با علامت قرمز رنگ و عبارت Over روبرو خواهید شد !! این مقادیر به سادگی در قسمت Manage از Server Manager و سپس IPAM Setting و در نهایت Configure Utilization Threshold قابل تغییر است :

 

17

 

18

 

19

 

20

یکی از امکانات جالب توجه دیگر در این قسمت امکان پیدا کردن آیپی آزاد است یعنی می توانید آخرین آیپی که در سرور مورد نظر و Scope مورد نظر در حال حاضر آزاد است را پیدا کنید و آنرا برای یک کامپیوتر خاص رزو کنید . عملکرد آن همانطور که میبینید بر اساس PING و وجود Record در DNS می باشد !! بنابر امکان خطا را نیز در این روش با توجه به تنظیمات فایروال و یا اختلال در DNS حتما در نظر بگیرید !!

 

21

 

22

 

23

بسیار خب دوستان عزیز آیتی پرویی تا اینجا کار با قسمت سوم IPAM در خدمت شما دوستان عزیز آیتی پرویی بودیم و امیدوارم که استفاده لازم را ببرده باشید ، خوشبختانه با توجه به راه اندازی امکان آپلود فیلم سعی میکنم تا آموزش های دیگر را به کمک فیلم های آموزشی نیز با یکدیگر بررسی کنیم و عملیاتی تر به بحث آموزش های تخصصی خود بپردازیم .


میلاد اسحاقی
میلاد اسحاقی

کارشناس سرویس های شبکه مایکروسافت

میلاد اسحاقی ، مدرس و مشاور شبکه های مبتنی بر مایکروسافت ، مدیر IT خبرگزاری دانشجو ، بیش از 6 سال سابقه تدریس مستمر در موسسات معتبر و مراکز دولتی ، عاشق یادگیری و آموزش ، عاشق مایکروسافت و سرویس های وابسته ، دارای مدارک بین المللی MCSE 2012 در حوزه مایکروسافت

نظرات