Windows Server 2012 brachte ein neues Feature für das Management von IP-Adressen (IPAM). Das Release 2 des Betriebssystems ergänzte die ursprünglich rudimentäre Lösung um zusätzliche Funktionen. Die Installation von IPAM beschränkt sich keineswegs auf das Hinzufügen des Features, weil der Service die vorhandenen DNS- und DHCP-Server remote verwalten muss.
Wie bei den meisten anderen Server-Rollen ist der Server Manager auch für die Einrichtung und Verwaltung von IPAM zuständig. Dort lassen sich fast alle Schritte vom Hinzufügen des Features bis zu seiner Konfiguration erledigen. Eine Ausnahme bildet nur das Management von GPOs, mit denen die verwalteten Server für den IPAM-Zugriff freigeschaltet werden. Dafür ist der Einsatz von PowerShell notwendig.
Die Einrichtung und Konfiguration von IPAM erfordert folgende Schritte:
- Hinzufügen des IPAM-Features
- Konfiguration des IPAM-Servers
- Auswahl der Domänen und Server-Rollen, die verwaltet werden sollen
- Netzwerk nach Servern durchsuchen
- GPOs für die zu verwalteten Server erstellen
- Management-Status der Server setzen
Bei der Installation von IPAM ist zu bedenken, dass es nicht auf einem Domänen-Controller eingerichtet werden kann, sondern einen Member-Server benötigt. Es handelt sich dabei um keine Rolle, sondern um ein Feature. Man findet es im Assistenten zum Hinzufügen von Rollen und Features unter der Bezeichnung IP-Adressverwaltungsserver.
Ist das Feature aktiviert, dann wechselt man in der linken Seitenleiste des Server Managers zu IPAM => Übersicht. Im Fenster IPAM-Serveraufgaben finden sich Links zu den Tools, mit denen man die IP-Adressverwaltung konfiguriert.
IPAM-Server konfigurieren
Dazu gehört IPAM-Server bereitstellen, mit dem man die IP-Adressverwaltung für ihren Einsatz vorbereitet. Dieser Befehl startet einen Wizard, mit dem man die Datenbank und die Gruppenrichtlinienobjekte konfiguriert. Zu den Neuerungen in Server 2012 R2 gehört, dass man alternativ zur Windows-internen Datenbank auch einen SQL-Server verwenden kann.
Im nachfolgenden Dialog Bereitstellungsmethode auswählen kann man sich zwischen der manuellen Konfiguration und jener über GPOs entscheiden. Da es kaum einen Grund gibt, die Zugriffsrechte und Firewall-Regeln für DHCP- und DNS-Server zu Fuß anzupassen, wird man hier in der Regel für die GPO-Methode vorziehen. Bei dieser Gelegenheit gibt man gleich das Präfix an, das dem Namen der GPOs zusammen mit einem "_" vorangestellt wird.
Auswahl der Domänen und Rollen
Nach dem Abschluss dieses Wizards folgt der Schritt 3 mit dem wenig aufschlussreichen Titel Serverermittlung konfigurieren. Tatsächlich jedoch ist der angezeigte Dialog dafür zuständig, alle Domänen auszuwählen, in denen IPAM die DNS- oder DHCP-Server suchen soll. Sämtliche Domänen müssen dabei zum gleichen Forest gehören, in dem sich auch der IPAM-Server befindet.
Darüber hinaus legt man hier fest, nach welchen Server-Rollen der Dienst suchen soll. Zur Auswahl stehen DCs, DNS und DHCP. Der ebenfalls unterstützt Network Policy Server (NPS) muss bei Bedarf später manuell zum Inventar hinzugefügt werden (unter Serverbestand => Aufgaben => Server hinzufügen).
DNS- und DHCP-Server suchen
Nun sind alle Vorbereitungen getroffen, um alle Server mit den ausgewählten Rollen zu ermitteln. Zuständig ist dafür der Befehl Serverermittlung starten, der den Scan-Vorgang im Hintergrund startet. Dieser Prozesse lässt sich nicht nur manuell anstoßen, vielmehr läuft er per Voreinstellung einmal pro Tag zeitgesteuert ab, um eventuell neu hinzugekommene Server zu finden.
Generell gilt es hier zu bedenken, dass Microsofts IPAM-Feature nur DNS- und DHCP-Server verwaltet, die unter Windows Server 2008 oder höher laufen. DHCP-Server müssen zudem über das Active Directory autorisiert und für einen Adressbereich konfiguriert sein.
Remote-Management über GPOs konfigurieren
Damit IPAM die gefundenen Server verwalten kann, muss man ihm die nötigen Rechte für das Remote-Management dieser Maschinen einräumen. Wenn man sich bei der IPAM-Bereitstellung für die GPO-Methode entschieden hat, dann muss man nun die Gruppenrichtlinienobjekte erzeugen, weil der Wizard nur deren Namen speichert, sie aber nicht generiert.
Diese Aufgabe kann, wie erwähnt, der Server Manager nicht abdecken, sondern dafür muss man die PowerShell bemühen, die man mit administrativen Privilegien starten muss. Dort ruft man das Cmdlet Invoke-IpamGpoProvisioningnach folgendem Muster auf:
Invoke-IpamGpoProvisioning -Domain contoso.de -GpoPrefixName IPAM -IpamServerFqdn ipam.contoso.de
Beim Parameter -GpoPrefixName muss man das Präfix exakt so angeben, wie man es zuvor im Wizard festgelegt hat. Den Unterstrich zwischen Präfix und dem eigentlichen GPO-Namen fügt das Cmdlet selbst hinzu und er sollte daher weggelassen werden. Soll IPAM die DNS- und DHCP-Server mehrerer Domänen verwalten, dann muss obiger Befehl für jede von ihnen separat ausgeführt werden.
Existenz der GPOs überprüfen
Der Aufruf von Invoke-IpamGpoProvisioning erzeugt 3 GPOs, die es direkt mit der Domäne verknüpft. Von ihrer Existenz sollte man sich in der Gruppenrichtlinienverwaltung überzeugen, wo man den Erfolg des PowerShell-Kommandos verifizieren kann.
Die frisch angelegten GPOs werden vorerst auf keine Objekte angewandt, weil ihre Sicherheitsfilterung noch keine Einträge enthält. In diese Liste müssen also alle Server aufgenommen werden, die IPAM verwalten soll. Das muss man nicht von Hand machen, weil die IPAM-Konsole diese Aufgabe übernehmen kann.
Verwaltbarkeitsstatus setzen
Dazu wechselt man zu Serverbestand und führt im Kontextmenü des gewünschten Servers den Befehl Server bearbeiten aus. Dort setzt man den Verwaltbarkeitsstatus auf Verwaltet. Bei Bedarf kann man hier noch zusätzliche Rollen aktivieren.
Wenn man im Wizard und im PowerShell-Aufruf voneinander abweichende Werte für das Präfix angegeben hat, dann bekommt man an dieser Stelle eine Fehlermeldung. Das IPAM-Tool versucht nämlich, den ausgewählten Server in die Sicherheitsfilterung der GPOs einzutragen, aber es kann diese mangels übereinstimmender Namen nicht finden.
Probleme mit dem Remote-Management beheben
Nach dem Update der GPO-Sicherheitsfilterung ist es nicht unwahrscheinlich, dass der Zugriffsstatus des Servers in der IPAM-Konsole auf Blockiert verharrt. Eine naheliegende Ursache besteht darin, dass GPOs nur periodisch nach gewissen Zeitintervallen abgearbeitet werden und sie daher auf dem Ziel-Server noch nicht ausgeführt wurden. Daher empfiehlt sich dort der Aufruf von gpupdate /force und anschließend von gpresult /r, um die erfolgreiche Anwendung der GPOs zu prüfen.
Sollte das Remote-Management weiterhin blockiert sein, dann kann man die GPO-Berechtigungen des Servers in der der Gruppenrichtlinienverwaltung (RegisterkarteDelegierung=> Erweitert) ansehen. Er sollte neben dem Recht Lesen auch jenes für Gruppenrichtlinie übernehmen besitzen.
Sobald der Zugriffstatus des Servers auf Blockierung aufgehoben lautet, kann man mit der Nutzung von IPAM beginnen. Die erste Maßnahme besteht dabei typischerweise darin, dass man die Daten von den verwalteten Servern abruft.
