Управление IP-адресами в Windows Server 2016

Управление IP-адресами (или IPAM для краткости) представляет собой интегрированный набор инструментов, позволяющих управлять IP-пространством, управлять несколькими серверами DNS и DHCP, а также делать аудит на соответствие требованиям DDI (DNS, DHCP, IPAM).

После того, как IPAM был введен в Windows Server 2012 он претерпел существенные обновление и уже в Windows Server 2012 R2 имел более широкие возможности: управление доступом на основе ролей, управление DHCP Failover и политиками DHCP, PowerShell командлетами и интеграцией с Virtual Machine Manage для частных облачных сред. IPAM в Windows Server 2016 также был усовершенствован для поддержки критически важных возможностей, таких как управление DNS, поддержка нескольких лесов AD и многое другое.

Обзор возможностей IPAM в Windows Server 2012, 2012 R2, 2016

Возможность

Windows Server 2012 Windows Server 2012 R2 Windows Server 2016
Управление адресным IP-пространством  +  +  +
Аудит и соответствие нормативным требованиям  +  +  +
Управление DHCP  +  +  +
DHCP Failover, управление политиками  -  +  +
Управление доступом на основе ролей  -  +  +
PowerShell  -  +  +
Интеграция с VMM  -  +  +
Поддержка MS SQL для IPAM DB  -  +  +
Управление DNS  -  -  +

DNS / DHCP в нескольких лесах AD

 -  -  +

* Интеграция с VMM IPAM для адресного IP-пространства в среде SDN обеспечивает полное управление, отслеживание и планирование адресного IP-пространства, используемого в физических и виртуальных сетях организации. Для сравнения, VMWare не предлагает встроенные функциональные возможности IPAM и требуется установка плагина стороннего разработчика.

Предлагаем ознакомиться с более детальным сравнением Windows Server IPAM с основным конкурентами.

 

Техническое резюме улучшений в 2016 году

Управление DNS
Возможность управлять DNS-зонами и записями ресурсов на нескольких DNS-серверах является критически важным требованием для предприятий. IPAM в Windows Server 2016 теперь может выполнять все задачами управления DNS, для которых пользователь ранее должен был использовать DNS Manager. Задачи управления DNS, которые теперь могут быть выполнены в IPAM:

  • Создание, удаление, изменение DNS-зоны (прямой поиск и зоны обратного просмотра)
  • Создание, удаление, изменение записей DNS ресурсов (A, AAAA, CNAME, PTR, MX, а также другие типы записей поддерживаемые DNS в Windows Server)
  • Создание, удаление, изменение условных пересылок
  • Настройка политики передачи зон и инициирование передачи зоны

Эти операции поддерживаются как самим Active Directory интегрированным с DNS, а также DNS-серверами, которые хранят зоны и записи в файле. Зона DNS, как правило, размещается на более чем одном DNS-сервере по причинам высокой доступности. При выполнении таких операции, как создание или изменение DNS-записи в зоне IPAM выполняет операцию на одном из DNS-серверов зоны. Механизм синхронизации зоны гарантирует, что вновь созданная или обновленная DNS-запись в настоящее время существует на всех серверах хостинга зоны. IPAM обеспечивает установку под названием "предпочтительный сервер" для зоны. Любая операция обновления на определенной зоне будет осуществляться IPAM на предпочитаемом сервере, который затем получает обновление и реплицируется на другие DNS-серверы.

Интеграция данных DNS с IP-адресами инвентаризации
IPAM ведет учет IP-адресов в базе данных IPAM. В интерфейсе IPAM этот инвентарь можно рассматривать в рамках управления пространством IP-адресов. Перечень должен быть занесен вручную или импортирован с помощью файла CSV. В Windows Server 2016 IPAM будет считывать DNS записи из DNS-серверов - в том числе PTR-записи. PTR-записи используются IPAM для заполнения IP-адресов и их  инвентаризации. Эта новая возможность обеспечивает автоматизированную инвентаризацию IP-адресов. Теперь администраторы не будут больше вручную обновлять IP-адреса или импортировать CSV-файлы, если существуют зоны обратного просмотра с PTR-записями.

Другой важной возможностью является вкладка для DNS-записей, которая перечисляет все DNS-записи, связанные с этим IP-адресом - включая AAAA, PTR, CNAME, MX, NS и другие записи. Это очень полезно, когда используются CNAME, MX и другие типы записей, имеющие косвенное отношение к IP-адресу.

Управление доступом на основе ролей для DNS управления
Контроль доступа на основе ролей впервые было введено в IPAM Windows Server 2012R2. Это было важно для поддержки сценариев делегирования и администрирования DNS. Таким образом, администратор должен иметь возможность делегировать управление определенной зоной для удаленного администратора при этом убедившись, что он/она не имеет доступа к другим зонам и серверам DNS. Аналогичным образом почтовый администратор должен иметь возможность управлять только MX-записями. С IPAM 2016 клиенты могут достичь выполнения такого сценария делегирования и дать лишь тот доступ, который необходим человеку с определенной ролью.

Управление DNS и DHCP серверов в нескольких лесах Active Directory
IPAM в Windows Server 2012 R2 поддерживает управление DNS и DHCP серверами в одном лесу Active Directory - это лес, в котором развернут IPAM. Тем не менее многие корпоративные клиенты имеют более одного леса Active Directory в своей среде, а также DNS и DHCP сервера через все многочисленные леса AD. Они хотели, чтобы Windows Server IPAM для осуществлял поддержку и управление DNS и DHCP серверами в нескольких лесах AD с одной консоли IPAM. Windows Server 2016  дает зеленый свет!

adforest

PowerShell для задач на основе управления доступом через роли
IPAM 2016 имеет новые командлеты PowerShell, что позволяет администраторам установить сферу доступа к объектам IPAM. Администраторы могут устанавливать области доступа для IP-адресов (IP-пространство, IP-адреса блоков, IP-адрес подсети, диапазоны IP-адресов), для DNS-объектов (DNS-серверы, DNS-зоны, DNS условные форвардеры, записи DNS ресурсов) и для объектов DHCP (DHCP-серверы , DHCP-суперобласти и сферы действия DHCP). Это позволит администраторам автоматизировать назначение областей доступа к объектам IPAN с помощью сценариев PowerShell.