Windows Server 2012, 조직 전체의 IP 주소에 대한 관리 방향, IPAM(IP Address Management)
조직내 IT에서 관리해야 할 대상으로 중요한 부분이 바로 네트워크에 대한 부분입니다. 네트워크에 대한 요소는 장비 수준부터 실제 IP가 부여되는 서버/클라이언트까지 다양한 영역이 존재합니다. 오늘 이야기할 부분은 바로 IP 주소에 대한 이야기입니다.
사내에서 IP와 관련된 인프라를 생각해보면, 떠오르는 몇가지 요소들이 있죠. DHCP 서버, DNS 서버, 그리고 보안 강화(NAP) 및 인증 처리(RADIUS, IAS)를 위해 사용하는 네트워크 정책 서버(NPS) 등이 여기에 해당됩니다. 큰 규모의 조직이 아니라면, 이런 서버들을 관리하는 것이 큰 부담이 안되지만, 지역이 구분되어져 있거나, 사용자나 디바이스의 숫자가 많아 IP에 대한 다양한 이슈 및 중앙 관리가 필요한 경우에는 몇가지 방법론(Excel과 같은 스프레드시트, 내부적으로 사용하는 도구, 상용 도구)이 이용되고 있습니다.
Windows Server 2012의 IPAM(IP Address Management)는 작은 규모부터 대규모 네트워크까지 IP에 대한 구성, 관리 및 모니터링을 가능케하는 솔루션을 제공합니다. Windows Server 2012의 역할 중 하나로 존재하는 IPAM은 설치 후, 액티브 디렉터리내(포리스트 규모), 네트워크와 관련된 서버들을 찾아내어, 이에 대한 중앙 관리를 구성합니다.
IPAM을 설치한 후, 서버 검색 구성을 할 대상을 지정하면, 포리스트내 도메인에서 운영중인, DHCP, DNS, NPS 서버를 찾고, 이에 대한 중앙 관리가 가능하도록 각종 설정을 반영하게 만들 수 있습니다.
위의 그림에서 예상할 수 있는 것처럼, 사내에 운영 중인 DHCP나 DNS 서버의 경우에는 액티브 디렉터리 쿼리를 통해 확인할 수 있고, 해당 서버를 아무나 뒤져서는 안되기에, 추가적인 보안 구성이 필요할 수 있습니다. DHCP 서버에 설정을 구성하거나, 누가 언제 IP 주소를 할당해갔는지는 확인하기 위해 로그를 읽거나, DNS 서버에 설정을 살펴보기 위해서는 당연히 권한이 필요하겠죠. 이에 대한 구성을 그룹 정책으로 하게 되고, IPAM 설치 후, IPAM 서버에서 Invoke-IpamGpoProvisioning Cmdlet을 통해, GPO을 생성해줘야 합니다. 해당 그룹 정책은 액티브 디렉터리내 생성된 IPAMUG라는 유니버설 그룹(이 그룹안에 소속원으로 IPAM 서버가 들어가게 됩니다.)이 서버들에서 각종 작업 및 확인을 위한 권한을 획득할 수 있게 설정해줍니다.
Invoke-IpamGpoProvisioning Cmdlet에서 부여한 Prefix(접두사)에 따라, GPO가 생성되게 되고, 해당 접두사는 IPAM 서버 구성시 동일한 값으로 입력되어야 합니다.
해당 그룹 정책은 컴퓨터 계정으로 보안 필터링이 되어, 서버 역할별로, 다른 그룹 정책이 부여되며, 복수의 역할을 하는 경우엔 두개이상의 GPO가 부여되기도 합니다.
이렇게 설정이 완료되고 해당 그룹 정책을 대상 서버에서 반영하게 되면, 주기적으로 IPAM 서버가 서버들을 접근하여, 로그 값을 읽어와, 중앙에서 확인할 수 있게 하며, 직접 IPAM 서버에서 해당 서버로 설정을 구성할 수 있게 해줍니다.
IPAM 관리 도구내 서버 인벤토리에서 IPAM 액세스 차단 해제됨이라는 구문이 나타나야, 정상적으로 IPAM 서버가 설정을 구성하거나, 데이터를 읽어올 수 있는 것이기에, 스케쥴 작업이 완료될 때까지 기다리거나, 수동으로 해당 스케쥴 작업을 동작시켜야 합니다.
이후 IP 주소에 대해 범위를 추가하는 설정을 개별 DHCP 서버에서 하지 않고, IPAM을 통해 액티브 디렉터리내 모든 DHCP 서버를 한 곳에서 관리할 수 있으며, 이와 연계된 DNS 서버 역시 모니터링 및 관리가 가능하죠. 위 그림에서 의미하는 가져오기(Import)의 의미는 CSV 파일을 통해 IP 주소 범위를 가져온다는 의미입니다. PowerShell의 Import-CSV Cmdlet을 통해 데이터를 읽어들이고, 이를 IPAM에 반영할 수도 있습니다. CSV 파일은 Office내 Excel을 통해서 쉽게 생성할 수 있다는 것도 알고 있으면 도움이 되실 수 있습니다.
모니터링 항목에서는 DHCP 서버의 IP 할당 퍼센트, DNS 서버의 조회 오류, 그리고 서버에서 발생하는 이벤트 로그, 나아가 IP 주소의 이력(IP 주소, 클라이언트 ID, 호스트 이름, 사용자 이름에 기반)등을 확인할 수 있습니다.
IPAM이 향하는 방향은 IP 관리에 대한 특정 분야만을 커버하는 것이 아니라, IP 주소에 대한 계획, 할당, 모니터링, 변경 추적의 순서를 반복하는 전체적인 그림을 제공하려고 합니다.
차후 IPAM은 SCVMM 2012 SP1과 연계되어, IP 주소에 대한 부분이 머신 레벨이 아니라, 네트워크 가상화와 같은 논리적인 네트워크, 그리고 SCVMM이 관리하는 IP 주소 풀, 개별 테넌트에 대한 확인 및 관리에 대한 부분까지 모니터링 및 관리할 수 있게 될 예정이며, 이는 System Center 2012 SP1 출시와 시점을 함께 합니다.
클라우드 시대에는 더이상 서버, 네트워크, 스토리지를 별도로 관리하지 않고, 패브릭(Fabric)의 형태로 전체적인 모습을 바라봐야 합니다. 이러한 이유로 인프라 전체에 대한 중앙 관리가 언제보다도 중요해지고 있고, 이 관리에 대한 범위도 개별 요소단위가 아닌 클라우드 전체에 대한 뷰를 제공해야 된다는 의미입니다. 이런 방향에서 Windows Server 2012가 제공하는 IPAM은 IP 주소 관리 및 모니터링을 위해서, 매우 좋은 기술이지 않나 생각이 듭니다. 
IPAM에 대한 기술 문서 링크는 아래와 같습니다.
- Understand and Troubleshoot IP Address Management (IPAM) in Windows Server “8” Beta
- Test Lab Guide: Demonstrate IP Address Management (IPAM) in Windows Server "8" Beta
- IP Address Management (IPAM) Overview
- Step-by-Step: Configure IPAM to Manage Your IP Address Space
정식 버전용 업데이트(2013/1/19)