امروزه مدیریت و نظارت بر IP Address Space در سازمان های بزرگ، سبب پیچیدگی های متعددی شده است. بسیاری از سازمان ها از فایل صفحه گسترده (Spreadsheets همانند Excel) جداگانه جهت مدیریت و نظارت بر وقایع زیرساخت های آدرس دهی سازمان ها استفاده می کنند. با گسترش شبکه های کامپیوتری و سرویس ها، پیچیدگی رهیافت فوق الذکر افزوده شده و علاوه بر آن سبب می گردد؛ جریان های کاری و فشار کاری افزایش یابد. با به کارگیری از سرویس (IP Address Management (IPAM در شبکه های مبتنی بر سرویس های مایکروسافت، این امکان حاصل می گردد تا ردگیری وقایع فضای آدرس های داینامیک در سازمان تسهیل شده، مدیریت و نظارت بر آدرس های منطقی دستی بهبود پیدا کرده و همچنین قابلیت یکپارچگی با زیرساخت های مجازی سازمان ایجاد گردد (وابسته به VMM).
سرویس IP address management که یکی از Feature های جدید در Windows Server 2012 به شمار می آید، یک Framework مرکزی جهت مدیریت IP Address Space و سرویس های متناظر آن در سازمان همانند DNS و DHCP فراهم می آورد. IPAM با استفاده از قابلیت Auto Discovery در یک Forest فعال می گردد و با سطوح دسترسی Role-Based امکان نظارت، مدیریت و ردگیری وقایع را برای اپراتور ها فراهم می آورد.
مهمترین کاربرد های سرویس IPAM به شرح زیر می باشد:
۱) برنامه ریزی: جایگزینی IPAM با گزارش گیری های دستی و پراکنده سبب می شود امکان برنامه ریزی های دقیق تر حاصل گردد.
۲) مدیریت و جریان های کاری: IPAM یک پلتفرم متمرکز جهت مدیریت آدرس های IP فراهم می آورد. این امر سبب می شود میز پشتیبانی (Help Desk) بتواند تغییرات مطلوب را (طی ایجاد دسترسی های متناسب بر اساس Role-Based Access Control) برای کلاینت های تحت پشتیبانی خود اعمال نماید.
۳) ردگیری و بازبینی: IP address management یک ابزار یکپارچه جهت ردگیری آدرس های lease شده و همچنین تنظیمات روی سرور های تحت نظارت خود ایجاد می کند.
IP Address Management یا به اختصار IPAM یک راهکار Agentless جهت Discovery، مانیتورینگ، نظارت و مدیریت IP Address Space است. با استفاده از این Feature در ویندوز امکان نظارت و مدیریت یکپارچه سرور های DHCP، DNS و NPS ایجاد می گردد. IPAM به صورت خودکار می تواند زیرساخت های IP Address Space (با استفاده از فرآنید Provisioning) را دیسکاور کند و یک رابط مرکزی برای مدیریت این امر فراهم می آورد.
IPAM شامل اجزای ذیل است:
Address Space Management
Virtual Address Space Management
Multi-Server Management and Monitoring
Network Audit
Role-Based Access Control
لازم به ذکر است؛ Virtual Address Space Management تنها از طریق یکپارچگی با System Center Virtual Machine Manager محقق می گردد.
محدودیت ها و پیش نیاز های اصلی سرویس IPAM به شرح زیر اند:
IPAM نمی تواند روی Domain Controller ها فعال شود.
Address Utilization صرفا روی IPv4 عمل می کند.
IPAM نمی تواند IP Address consistency را روی network router و switch ها بررسی کند.
IPAM امکان Auditing را برای IPv6 فراهم نمی آورد.
یک IPAM Server تنها در یک Forest می تواند عمل کند.
IPAM تنها از Windows Server 2012 R2 امکان اتصال به SQL Server را دارد.
IPAM تنها از Windows Server 2012 R2 امکان Role-Based Access Control را به صورت مناسبی دارا می باشد.
IPAM از سیستم های غیر مایکروسافتی جهت Configuration و Management پشتیبانی نمی کند. امکان Import کردن اطلاعات برای دیوایس های غیر مایکروسافتی وجود دارد.
جهت Provisioning لازم است ۳ سیاست گروهی مختلف روی اشیاء معینی اعمال گردد.
IPAM Server لازم است یک Member Server باشد.
جهت مدیریت IPAM Server اکانت دامین با دسترسی مناسب روی IPAM لازم خواهد بود.
تصویر زیر به عنوان یک مثال میزان Address Utilization را در یک شبکه نمایش می دهد.
معماری سرویس:
سرویس IP address management سه معماری متمایز را به شرح زیر پشتیبانی می کند:
۱) Distributed: در هر یک از سایت های فیزیکی یک IPAM Server مجزا ایجاد می گردد.
۲) Centralized: استفاده از یک IPAM Server در سازمان.
۳) Hybrid: ترکیبی از حالات فوق.
تصویر زیر یک معماری Hybrid را نمایش می دهد.
سرور های تحت مدیریت:
IPAM به صورت متناوب، جهت دیسکاوری سرور های DNS ,DHCP ,NPS در سایت خود اقدام می کند و لازم است پس از دیسکاور شدن، به عنوان Managed Server معرفی گردند. تصویر زیر به صورت شماتیک ارتباطات فوق الذکر را نمایش می دهد.
IPAM از Remote Procedure Call (RPC) ،Windows Management Instrumentation (WMI) ،Server Message Block SMB و Web Services for Management WS-Management برای جمع آوری اطلاعات و نظارت بر سرور های تحت مدیریت خود استفاده می کند. جدول زیر به صورت مشروح این مورد را نشان می دهد.
سرور تحت مدیریت
متد ارتباطی
فعالیت هاDHCP
RPC, WMI, SMB, WS-Management
Monitor: IP address utilizationMonitor: Service statusConfigure: Servers and scopesAudit: IP address lease events Audit: DHCP configuration eventsDNS
RPC, WMI, WS-Management
Discover: DNS serversMonitor: DNS zone healthConfigure: DNS zonesDomain Controller
RPC, WMI, LDAP
Discover: DNS and DHCP serversValidate: Managed serversAudit: User and device logon eventsNPS
RPC
Audit: User and device logon events
تصویر زیر اطلاعات جدول فوق را به اختصار نمایش می دهد.
زمان بندی:
سرویس IPAM داری تعدادی Scheduled Task است که جهت جمع آوری اطلاعات اجرای می گردند. زمان بندی پیشنهادی به شرح زیر است.
نام وظیفه
زمان بندی
بازهAddressExpiry
1day
IndefiniteAddressUtilization
2hours
IndefiniteAudit
1day
IndefiniteServerAvailability
15minutes
IndefiniteServerConfiguration
6hours
IndefiniteServerDiscovery
1day
IndefiniteServiceMonitoring
30minutes
Indefinite
محل ذخیره سازی اطلاعات
IPAM با استفاده از Lightweight Directory Access Protocol LDAP به دیسکاوری DHCP Server ها پرداخته و با استفاده از SMB برای یافتن اطلاعات Lease ها عمل می کند. در Windows Server 2012 تنها امکان استفاده از Windows Internal Database WID جهت ذخیره سازی اطلاعات IP address management وجود دارد. در Windows Server 2012 R2 این امکان حاصل شده است تا SQL Server نیز به عنوان Database استفاده گردد. استفاده از SQL Server امکانات جدیدی را به IPAM اضافه نمی کند با این وجود به صورت عمومی مزایای زیر را به همراه دارد:
-مقیاس پذیری بیشتر
-استفاده از راهکار های Disaster Recovery
مدیریت سطوح دسترسی
در Windows Server 2012 R2 امکان افزودن Custom Role جهت Role-Based Access Control ایجاد شده است؛ با این وجود گروه های کاربری پیش فرض IP address management، در اکثر سناریو ها پاسخگوی نیاز های طراحی شده است. سطوح دسترسی پیش فرض به شرح زیر است.
نوع
نام
شرحRole
DNS record administrator
مدیریت Resource Record ها در DNSRole
IP address record administrator
مدیریت IP Address ها به استثنای IP address spaces ranges blocks و subnetsRole
IPAM administrator
مدیریت تمام اشیاء و تنظیمات در IPAMRole
IPAM ASM administrator
مدیریت کامل روی IP Address هاRole
IPAM DHCP administrator
مدیریت کامل DHCP Server هاRole
IPAM DHCP reservations administrator
مدیریت Reservation هاRole
IPAM DHCP scope administrator
مدیریت Scope های DHCPRole
IPAM MSM administrator
مدیریت کامل DNS و DHCPRole
Global
به صورت پیش فرض، تمام اشیاء موجود در IPAM در یک Scope به این نام قرار می گیرند.
بدیهی است، تنظیم سطوح دسترسی و حوزه متناسب برای کاربران سرویس IPAM اهمیت بسیار بالایی برخوردار است.
پیش نیاز ها
جدول زیر، پیش نیاز های سرویس IPAM را نشان می دهد.
ابزار یا ویژگی
شرحRemote Server Administration Tools
جهت مدیریت سرویس های تحت نظارتWindows Internal Database
جهت ذخیره سازی اطلاعات IPAMWindows Process Activation Service
عمومی سازی IIS process modelGroup Policy Management
جهت مدیریت سیاست های گروهی که در فرآیند Provisioning ایجاد می گردد.NET Framework 4.5 Features
Framework اجرایی .Net
منبع:geekboy