Vue d’ensemble de la gestion des adresses IP (IPAM)

Source partielle de l'article

IPAM (IPAM) est un service que vous pouvez utiliser pour simplifier la gestion des plages IP, du Protocole de configuration de l’hôte dynamique (DHCP) et du DNS. Lorsque vous implémentez IPAM, vous avez accès à toutes ces informations dans une seule console au lieu de vous connecter à chaque serveur et de consolider manuellement les informations.
Pour implémenter IPAM, vous devez déployer un serveur IPAM et un ou plusieurs clients IPAM. Une fois que vous avez déployé le serveur IPAM, vous pouvez utiliser les objets de stratégie de groupe (GPO) pour configurer les serveurs gérés afin d’éviter de configurer manuellement les groupes de sécurité et les règles de pare-feu sur chaque serveur géré.

 

Introduction

IPAM est une nouvelle infrastructure intégrée à Windows Server 2012 qui vous donne la possibilité de découvrir, surveiller, auditer et gérer l’espace d’adressage IP utilisé sur un réseau d’entreprise. IPAM permet d’administrer et de surveiller les serveurs exécutant le protocole DHCP (Dynamic Host Configuration Protocol) et le service DNS (Domain Name Service). IPAM comprend les composants suivants :

Découverte automatique de l’infrastructure des adresses IP : IPAM est en mesure de découvrir les contrôleurs de domaine, les serveurs DHCP et les serveurs DNS dans les domaines de votre choix. Vous pouvez activer ou désactiver la gestion de ces serveurs par IPAM.

• Affichage, création de rapports et gestion personnalisés de l’espace d’adressage IP : l’affichage des adresses IP est hautement personnalisable, et des données de suivi et d’utilisation détaillées sont disponibles. L’espace d’adressage IPv4 et IPv6 est organisé en blocs d’adresses IP, en plages d’adresses IP et en adresses IP individuelles. Des champs intégrés ou définis par l’utilisateur sont attribués aux adresses IP. Ces champs peuvent être utilisés pour organiser davantage l’espace d’adressage IP en groupes hiérarchiques et logiques.
• Audit des modifications de configuration du serveur et suivi de l’utilisation des adresses IP : les événements opérationnels sont affichés pour le serveur IPAM et les serveurs DHCP gérés. IPAM permet également de faire le suivi des adresses IP. Pour cela, les événements de bail DHCP et les événements d’ouverture de session utilisateur sont collectés à partir des serveurs NPS (Network Policy Server), des contrôleurs de domaine et des serveurs DHCP. Le suivi est disponible par adresse IP, ID de client, nom d’hôte ou nom d’utilisateur.
• Surveillance et gestion des services DHCP et DNS : IPAM permet de surveiller la disponibilité des services automatisés pour les serveurs DHCP et DNS Microsoft à travers la forêt. L’intégrité de la zone DNS est indiquée, et il est possible de gérer de façon détaillée le serveur et l’étendue DHCP à l’aide de la console IPAM.

Un serveur IPAM est un ordinateur membre d’un domaine. Vous ne pouvez pas installer la fonctionnalité IPAM sur un contrôleur de domaine Active Directory.

Il existe deux méthodes globales pour déployer des serveurs IPAM :

• Distribuée : un serveur IPAM déployé sur chaque site de l’entreprise.
• Centralisée : un serveur IPAM dans l’entreprise.

IPAM tente périodiquement de localiser les contrôleurs de domaine, les serveurs DNS et les serveurs DHCP sur le réseau qui se trouvent dans l’étendue de la découverte que vous spécifiez. Vous devez décider si ces serveurs sont gérés par IPAM ou ne sont pas gérés. De cette manière, vous pouvez sélectionner différents groupes de serveurs qui sont gérés ou non par IPAM.

Pour pouvoir être gérés par IPAM, les paramètres de sécurité et les ports de pare-feu du serveur doivent être configurés pour autoriser l’accès au serveur IPAM pour effectuer les fonctions d’analyse et de configuration requises. Vous pouvez configurer ces paramètres manuellement ou automatiquement en utilisant des objets de stratégie de groupe. Si vous optez pour la méthode automatique, les paramètres sont appliqués lorsqu’un serveur est marqué comme géré et sont supprimés lorsque le serveur est marqué comme n’étant pas géré.

Le serveur IPAM communique avec des serveurs gérés à l’aide d’une interface WMI ou RPC. IPAM surveille les contrôleurs de domaine et serveurs NPS dans le but d’effectuer un suivi d’adresses IP. Vous pouvez, outre les fonctions de surveillance, configurer plusieurs propriétés relatives au serveur et à l’étendue DHCP à partir de la console IPAM. La surveillance de l’état des zones et un nombre limité de fonctions de configuration sont également disponibles pour les serveurs DNS. Voir la figure suivante.

L’étendue de la découverte de serveurs IPAM est limitée à une seule forêt Active Directory. La forêt peut comprendre une combinaison de domaines approuvés et non approuvés. IPAM exige l’appartenance à un domaine Active Directory et dépend d’un environnement d’infrastructure réseau fonctionnel prérequis afin de pouvoir s’intégrer à d’autres installations serveur dans la forêt Active Directory.
IPAM présente les spécifications suivantes :

• IPAM prend uniquement en charge les contrôleurs de domaine Microsoft et les serveurs DHCP, DNS et NPS exécutant Windows Server® 2008 et versions ultérieures.
• IPAM prend uniquement en charge les serveurs DHCP, DNS et NPS joints à un domaine dans une forêt Active Directory unique.
• IPAM ne prend pas en charge la gestion et la configuration d’éléments réseau non-Microsoft.
• IPAM ne prend pas en charge les bases de données externes. Seule une base de données interne Windows est prise en charge.
• Un serveur IPAM unique peut prendre en charge jusqu’à 150 serveurs DHCP et 500 serveurs DNS.
• Selon les tests réalisés, un serveur IPAM unique peut prendre en charge jusqu’à 6 000 étendues DHCP et 150 zones DNS.
• IPAM stocke l’équivalent de 3 années de données légales (baux d’adresses IP, adresses MAC d’hôte, informations relatives à l’ouverture et à la fermeture de sessions utilisateur) pour 100 000 utilisateurs dans une base de données interne Windows. Aucune stratégie de vidage de base de données n’étant fournie, l’administrateur doit vider les données manuellement selon les besoins.
• Les tendances d’utilisation d’adresses IP sont fournies uniquement pour IPv4.
• La prise en charge de la récupération d’adresses IP est fournie uniquement pour IPv4.
• Aucun traitement spécial n’est effectué pour les extensions privées de configuration automatique des adresses sans état IPv6.
• Aucun traitement spécial pour la technologie de virtualisation ni migration d’ordinateur virtuel.
• IPAM ne vérifie pas la cohérence des adresses IP avec les routeurs et les commutateurs.
• IPAM ne prend pas en charge l’audit de la configuration automatique des adresses sans état IPv6 sur un ordinateur non géré dans le cadre du suivi de l’utilisateur.

Objectif d'IPAM

La surveillance et la gestion de l’infrastructure d’adresses IP dans un réseau d’entreprise constituent une phase critique de l’administration réseau. À mesure que les réseaux gagnent en dynamique et en complexité, ces tâches deviennent de plus en plus difficiles. De nombreux administrateurs informatiques procèdent encore manuellement pour faire le suivi de l’allocation et de l’utilisation des adresses IP. Ils utilisent pour cela des feuilles de calcul ou des applications de base de données personnalisées. Cette approche, qui peut être très fastidieuse et nécessiter de nombreuses ressources, est de surcroît sujette aux erreurs des utilisateurs. Dans Windows Server 2012, IPAM fournit une plateforme pour gérer les besoins d’administration IP suivants.

• Planification : IPAM remplace les outils et les scripts manuels qui peuvent accroître la durée du travail, les incohérences et les coûts dans le processus de planification. Cela peut se produire lors d’expansions et de modifications commerciales, ou encore lorsque de nouvelles technologies et des adoptions de scénario sont requises.
• Gestion : IPAM fournit une plateforme de gestion unique pour l’administration des adresses IP sur le réseau. IPAM permet également d’optimiser l’utilisation et la planification de la capacité pour les services DHCP et DNS dans un environnement distribué.
• Suivi : IPAM permet de faire le suivi de l’utilisation des adresses IP et d’établir des prévisions. Face à la croissance de la demande en matière d’espace d’adressage IPv4 publique et une offre limitée, ce point peut-être d’une importance critique.
• Audit : IPAM contribue au respect des exigences de conformité, notamment les réglementations HIPAA et Sarbanes-Oxley. Il permet également de créer des rapports à des fins légales et de gestion des modifications.

Nouvelles fonctions et fonctions modifiées

La fonctionnalité IPAM est une nouveauté dans Windows Server 2012. Vous pouvez installer la fonctionnalité Serveur IPAM par le biais du Gestionnaire de serveur. Les fonctionnalités et les outils suivants sont installés automatiquement lors de l’installation du serveur IPAM :

Fonctionnalité ou outil	Description
Outils d’administration de serveur distant	Les outils de serveur DHCP et DNS et le client de gestion des adresses IP (IPAM) permet de gérer à distance les serveurs DHCP, DNS et IPAM.
Base de données interne Windows	La base de données interne Windows est un magasin de données relationnelles qui peut être utilisé uniquement par des rôles et des fonctionnalités Windows.
Service d’activation des processus Windows	Le service d’activation des processus Windows généralise le modèle de processus IIS en éliminant la dépendance au protocole HTTP.
Gestion des stratégies de groupe	La Gestion des stratégies de groupe est un composant logiciel enfichable MMC (Microsoft Management Console) qui vous offre un outil administratif unique pour gérer la stratégie de groupe.
Fonctionnalités de .NET Framework 4.5	Le .NET Framework 4.5 fournit un modèle de programmation pour générer et exécuter des applications conçues pour différentes plateformes.

Groupes de sécurité IPAM

Les groupes de sécurité IPAM locaux suivants sont créés lorsque vous installez IPAM.

• Utilisateurs IPAM : les membres de ce groupe peuvent consulter toutes les informations relatives à la découverte de serveurs, l’espace d’adressage IP et la gestion de serveurs. Ils peuvent examiner les événements opérationnels des serveurs IPAM et DHCP, mais n’ont pas accès aux informations de suivi des adresses IP.
• Administrateurs MSM IPAM : les administrateurs de la gestion multiserveur (MSM) IPAM disposent des privilèges Utilisateurs IPAM et peuvent effectuer des tâches de gestion IPAM courantes, ainsi que des tâches de gestion de serveur.
• Administrateurs ASM IPAM : les administrateurs de la gestion de l’espace d’adressage (ASM) IPAM disposent des privilèges Utilisateurs IPAM et peuvent effectuer des tâches de gestion IPAM courantes, ainsi que des tâches relatives à l’espace d’adressage IP.
• Administrateurs d’audit IPAM IP : les membres de ce groupe disposent des privilèges Utilisateurs IPAM leur permettant d’effectuer des tâches de gestion IPAM courantes et d’afficher les informations de suivi des adresses IP.
• Administrateurs IPAM : les administrateurs IPAM disposent de privilèges leur permettant d’afficher toutes les données IPAM et d’effectuer toutes les tâches IPAM.

Les tâches IPAM

Nom de tâche	Description	Fréquence par défaut	Durée
DiscoveryTask	Découvre automatiquement les serveurs DC, DHCP et DNS sur les domaines sélectionnés.	1 jour	Indéfinie
AddressUtilizationCollectionTask	Collecte les données d’utilisation de l’espace d’adressage des serveurs DHCP.	2 heures	Indéfinie
AuditTask	Collecte les informations d’audit des serveurs DHCP et IPAM, et collecte les journaux d’audit de bail IP des serveurs NPS et DC.	1 jour	Indéfinie
ConfigurationTask	Collecte les informations de configuration des serveurs DHCP et DNS pour ASM et MSM.	6 heures	Indéfinie
ServerAvailabilityTask	Collecte l’état de disponibilité du service pour les serveurs DHCP et DNS.	15 minutes	Indéfinie

Installation et configuration d'IPAM:

La mise en place de ce tuto ce base sur trois postes serveurs 2012 RC et un poste Windows 8

• dc:ADDs, DNS, DHCP
• ServeurA: DHCP
• ServeurB: IPAM
• Win8: windows8

Installation de la fonctionnalité IPAM

L'installation ne pouvant se faire sur un contrôleur de domaine, vous l'installerez sur un serveur membre du domaine"ici nommé ServeurB".

• Dans la console "Gestionnaire de serveur", lancez l'assistant d'ajout de rôles et de fonctionnalités
• Cliquez sur Suivant

Laissez "Installation basée sur un rôle ou une fonctionnalité"

Cliquez sur Suivant

Sélectionnez le serveur sur lequel vous souhaitez installer la fonctionnalité IPAM

Cliquez sur Suivant

Dans la page "Sélectionnez des fonctionnalités", sélectionnez "Serveur de gestion des adresses IP (IPAM)"

Cliquez sur Installer

Puis Fermer

Configuration d'IPAM

La fonctionnalité étant installée, reste à la paramétrer. Vous accèderez à la console IPAM via le gestionnaire de serveur. Normalement, vous devriez déjà être connecté au serveur IPAM. Si ce n'est le cas et que vous êtes connecté à un autre serveur IPAM, Vous avez la possibilité de choisir le serveur IPAM à gérer en cliquant sur la puce n°1. Vous constaterez que vous êtes obligez de suivre les étapes dans l'ordre. A ce stade les puces 3, 4, 5 et 6 sont inopérantes.

Sélectionnez votre serveur

Configurer le serveur IPAM

Une fois le serveur sélectionné, cliquez sur Configurer le serveur IPAM

Lisez les informations (au moins une fois) et cliquez sur Suivant

Vous pourrez choisir la méthode d'approvisionnement de votre serveur IPAMP. La méthode "Basée sur une stratégie de groupe" est de loin la plus éfficace du fait que nous pourrons configurez les stratégies de groupe très facilement grâce à un ligne de commande. Entrez le nom de votre serveur (ici serveurb) dans le champ "Préfixe du nom d'objet de stratégie de groupe" puis cliquez sur Suivant.

Cliquez sur Appliquer

Puis Fermer

Découverte des serveurs

La configuration de la découverte de serveurs va vous permettre de paramétrer votre serveur IPAM de détecter automatiquement les types de serveurs que vous souhaitez gérer:

• Contrôleur de domaine
• Serveur DHCP
• Serveur DNS

Cliquez sur Configurer la découverte de serveurs

Par défaut, l'assistant pré-sélectionne les trois types de serveurs gérables. A vous de validez ou non cette sélection. De cette sélection dépendra les stratégies qui seront ultérieurement générées. Cliquez sur Ok

Cliquez sur Démarrer la découverte de serveurs afin de forcer le chargement dans IPAM des serveurs à gérer.

Lorsqu'une tâche est en cours, vous pouvez vérifier son statut en cliquant sur Autres...

 

A l'issue de la tâche, les serveurs doivent normalement apparaître...

Cette étape effectuée, vous devez configurer les serveurs sélectionnés afin de pouvoir être gérés par votre serveur IPAM. De par le choix effectué précédemment, cela se fera par GPO.

Création des GPOs IPAM

Cette commande s'effectuant sous Powershell, cliquez sur le menu Outils et sélectionnez Windows Powershell ISE.

L'interface Powershell lancée, tapez la commande suivant en prenant soin de remplacer "serveurb" par le nom devotre serveur et "surinfo.fr" par le nom de votre domaine.

Invoke-IpamGpoProvisioning -Domain surinfo.fr -GpoPrefixName serveurb -IpamServerFqdn serveurb.surinfo.fr

Cette commande va générer une GPO par type de serveur à gérer. Une boîte de dialogue vous demandera confirmation. Lisez-la!

La commande correctement appliquée, fermez Windows Powershell ISE

Si vous jetez un coup d'œil dans la console "Gestion de stratégie de groupe", vous verrez les trois GPOs, une par type de serveur.

Faites un :

gpupdate /force

sur les serveurs à gérer et n'hésitez pas à redémarrer ces derniers.

Sur le serveur IPAM - Gestionnaire de serveur - IPAM - Inventeur de serveur, faites un clic droit serveur - Modifier le serveur

En face d'"état de gérabilité", sélectionnez géré

Puis Ok

Vous serez amené à Actualisez l'état de l'accès au serveur et à raffraîchir plusieurs fois l'affichage.

Vous devrez obtenir cette vue:

Dans le volet de gauche, sélectionnez "Serveurs DNS et DHCP". Vous listerez les différents serveurs...

J'ai choisi de paramétrer une nouvelle étendue pour un serveur DHCP...

Clic droit sur un serveur DHCP

Un assistant se lance sélectionnant par défaut les 4 noeuds suivants:

• Général
• Mise à jour DNS
• Options
• Avancé

Libre à vous de faire votre choix, à savoir qu'en fonction de vos choix, le menu déroulant sera plus ou moins long.

Les paramétrages suivants sont classiques.

Quelques copies d'écrans...