👲🏻 🎳 🥛 IPAMを段階的に構成する 🤩 🦏 💪🏽

ネットワーク管理の不可欠な部分は、IPアドレスの管理です。 Windows Server 2012のリリース前は、システム管理者はテーブル、さまざまなサードパーティツールを使用し、カスタムスクリプトを作成して、IPアドレス空間全体とDNSおよびDHCPサービスを包括的に管理する必要がありました。 Windows Server 2012のリリースにより、状況が変わりました-IPAM（IPアドレス管理）が登場しました。この記事では、IPAMとは何か、ネットワークでこのサービスを構成する方法について説明します。

上記のように、IPAMが登場する前に、即席のツールを使用してネットワーク上のIPアドレスを管理する必要がありました。サードパーティのツールからExcelテーブルのアドレスリストまで。その結果、ネットワーク管理の生産性が低下し、コストが増加するだけでした。さらに、利用可能なツールは、短期的にネットワークアドレスを管理する問題を解決するのに適していました。しかし、ネットワークが成長し、作業時間が長くなればなるほど、この作業は面倒になりました。

Windows Server 2012のリリースに伴い、ネットワークIPアドレスを管理するための内部ツールであるIPAMが登場しました。 IPAM（IPアドレス管理）は、Windows Server 2012およびWindows Server 2012 R2で初めて導入されたIPアドレス管理サービスです。さらに、 Windows Server vNextでIPAM変更の強化が期待できます。 IPAMは、組織のネットワーク内のIPアドレス空間を検出、監視、管理、および監査するためのプラットフォームです。

IPAMの主な機能には次のものがあります。

IPインフラストラクチャの自動検出
IPアドレス空間を表示、管理、報告するための便利で柔軟な手段
DHCPおよびIPAMサービスの構成変更の監査
DHCPおよびDNSサービスの監視と管理
IPリーストラッキング

IPAMの主な利点は、フォレスト内のすべてのDNSおよびDHCPサービスの構成情報を提供する単一のコンソールを提供することです。このコンソールを使用して、たとえば、1つまたは複数のDHCPゾーンの設定を変更できます。これにより、システム管理者が追加のスクリプトを記述したり、各DHCPサーバーを手動で構成したりする必要がなくなります。次に、例でそのような設定を確認します。

しかし、最初に、IPAMサービスを展開し、それを使用してDNSおよびDHCPサービスを監視する方法も確認します。

IPAMサーバーを展開する

IPAMサーバーでの作業を開始するには、インストールする必要があります-IPAMは、デフォルトでインストールされるサービスセットに含まれていません。インストールには2つの方法があります。次のPowerShellコマンドを使用できます。

Install-WindowsFeature IPAM –IncludeManagementTools

ウィザードを使用して、役割とサーバーコンポーネントをインストールすることもできます。

IPAMのインストールプロセスが完了したら、作業のために準備する必要があります。これを行うには、サーバーマネージャーで[IPAM]を選択し、IPAMサーバーをプロビジョニングします。

2つの準備方法から選択できます。 手動（ 手動）またはグループ ポリシーに 基づく （ グループ ポリシー ベース ）です。これら2つの方法の違いは何ですか？

管理対象サーバーの数が少ない場合は、 IPAM サーバーを 手動で準備する方法をお勧めします。この準備方法を選択した場合、各管理対象サーバーのアクセス条件を手動で構成する必要があるという事実に備える必要があります。また、このサーバーまたはそのサーバーを管理する必要がなくなった場合は、設定を手動で削除する必要があります。手動の準備方法を選択した場合でも、グループポリシーを使用して必要な設定を管理対象サーバーに適用できますが、すべてのGPOを手動で適用または削除する必要があります。 IPAMサーバーを手動で準備する方法はより時間がかかり、複雑であるという事実により、グループポリシーを使用した準備方法を使用することをお勧めします。

グループポリシーを使用し て IPAM サーバーを 準備する方 が簡単で、エラーが発生する可能性が低くなります。この方法を使用すると、管理対象サーバーでGPOが自動的に適用および削除されます。この方法は、IPAM準備ウィザードでデフォルトで使用されることが提案されています。 GPOの名前のプレフィックスを入力する必要があります。

ここで、グループポリシーを使用してIPAMサーバーを準備する場合、手動の準備方法に変更できないことに注意してください。ただし、反対の場合、Windows PowerShellコマンドレットを使用して、グループポリシーを使用した手動の準備方法を準備に変更できます。

Set-IpamConfiguration

準備ウィザードに戻ります。グループポリシーを使用して準備方法を選択すると、次のグループポリシーオブジェクトを使用して設定が管理対象サーバーに適用されるというメッセージが表示されます。

<GPO-prefix> _DHCP：このGPOは、IPAMがネットワーク上の管理されたDHCPサーバーから情報を監視、管理、収集できる設定を適用するために使用されます
<GPO-prefix> _DNS：このGPOは、IPAMがネットワーク上の管理されたDNSサーバーから情報を監視および収集できる設定を適用するために使用されます
<GPO-prefix> _DC_NPS：このGPOは、IPAMが管理対象ドメインコントローラーおよびネットワーク上のネットワークポリシーサーバー（NPS）から情報を収集し、ネットワーク上のDHCPサーバーがIPアドレスを追跡できるようにする設定を適用するために使用されます

この場合、GPOの名前はそれぞれIPAM_DHCP、IPAM_DNS、およびIPAM_DC_NPSになります。 IPAMの準備を完了するには、[概要]タブの情報が正しいことを確認し、[適用]をクリックします。準備プロセスには時間がかかります。その結果、IPAMの準備が正常に完了したことを示すメッセージが表示されます。

ここでは、次のステップに関するメッセージが重要です。 GPOは作成されていないため、PowerShellコマンドレットを使用してさらに作成する必要があります。

 Invoke-IpamGpoProvisioning

それは少し後になります。それまでの間、サーバーマネージャーに移動してサーバー検出を構成します。

表示されるウィンドウで、検出するドメインを選択します。私たちの場合、これはmva.comのルートドメインです。このドメインを追加したら、サーバーの役割の中にドメインコントローラー、DHCPサーバー、およびDNSサーバーがあることを確認する必要があります。 OKをクリックします。

サーバーの検出を開始しましょう。

タスクを完了した後。 [IPAM]タブの[サーバーマネージャー]-[サーバーの反転]に移動します。 dsc01サーバーとDCサーバーの場合、[管理ステータス]列には[未定義]ステータスが表示され、[アクセスステータス]列には[ブロック]と表示されます。 GPOを使用してこれらのサーバーを管理するには、IPAMアクセス許可を付与する必要があります。

ここで、IPAMの準備が完了した後に行うことが推奨された次のステップを思い出してください。 IPAMサーバーで管理者権限でWindows PowerShellを実行し、次のコマンドレットを使用する必要があります

 Invoke-IpamGpoProvisioning –Domain mva.com –GpoPrefixName IPAM –DelegatedGpoUser Administrator –IpamServerFqdn ipam.mva.com

これでグループポリシーオブジェクトが作成され、グループポリシー管理スナップインで確認できます。

サーバーマネージャーに戻ります。 [IPAM-サーバーインベントリ]タブで、いずれかのサーバーを右クリックし、[サーバーの編集 ]を選択します。表示されるウィンドウで、項目「管理ステータス」を「管理」に変更し、「OK」をクリックします。 2番目のサーバーについても同じ手順を繰り返します。

ここで、グループポリシーの変更をDCおよびdsc01サーバーで有効にする必要があります。最速の方法は、必要な各サーバーで次のPowerShellコマンドレットを使用することです。

 gpupdate /force

各サーバーでこのコマンドが完了するまで待機します。サーバーマネージャー-IPAM-サーバーインベントリでIPAMサーバーに戻り、「IPv4」を更新し、それぞれを右クリックして「サーバーアクセスステータスの更新」を選択することにより、サーバーアクセスステータスを更新します。その結果、「IPAM Access Status」列でサーバーのステータス「Unlocked」を取得する必要があります。

次に、IPAM-概要タブに戻り、「管理対象サーバーからデータを取得する」を選択して、このタスクが完了するまで待ちます。

次のデータ収集タスクが自動的に起動されます：AddressExpiry、AddressUtilication、Audit、ServerAvailability、ServiceMonitoring、ServerConfiguration。

この段階で、IPAMサーバーの構成を完了し、IPAMサーバーを実際に使用する方法を確認します。例として、IPAMを使用したインフラストラクチャの監視と管理を検討してください。

インフラストラクチャの監視と管理

IPAMを使用すると、フォレスト全体でDHCPサーバーとDNSサーバーを監視する頻度を自動化および構成できます。複数のサーバーを管理して設定を自動的に適用し、ADフォレスト内のDHCPサーバーとDNSサーバーを定期的に監視することもできます。さらに、ワンクリックで複数のDHCPサーバーと分散サーバーのエリア設定を管理できます。

例として、IPAMを使用してDHCPサーバーとDNSサーバーを監視および管理する方法を検討してください。

[IPAM-監視と管理-DNSおよびDHCPサーバー]タブでサーバーマネージャーを開きます。 [サーバータイプ]フィールド（1）では、DNSとDHCPだけでなく、DNSのみまたはDHCPのみを並べ替えることもできます。サーバーの1つを選択すると、このサーバーのプロパティ、パラメーター、およびイベントカタログを表示できます（2）。

次に、[サーバータイプ]フィールドで[DHCP]を選択し、[表示]フィールドで[スコーププロパティ]を選択します。

MVA DHCP スコープ - スコープ 1を右クリックし、[DHCPスコープの複製]を選択します。表示される[DHCPスコープの複製]ダイアログボックスで、[スコープ名]フィールドの値を変更し、[一般プロパティ]セクションで次の値を入力します。

開始IPアドレス：192.168.1.1
最終IPアドレス：192.168.1.254
サブネットマスク：255.255.255.0

必要に応じて、エリアの他のプロパティを変更できます。必要な変更をすべて行った後、[OK]をクリックして、リストに別の領域（MVA-scope2）が表示されていることを確認します。

DHCPサーバーDSC01のDHCPコンソールに同じ領域が表示されます。

IPAMサーバーに戻り、両方のDHCPエリアを選択して右クリックすると、両方のエリアの設定を変更できます。

もちろん、IPAMを使用して、DNSサーバーとDHCPサーバー上のさまざまな種類のイベントを監視できます。これには、サーバー自体とクライアントの両方に関するデータが含まれます。監査ログとイベントを表示するには、IPAMナビゲーションメニューで[イベントディレクトリ]（イベントカタログ）を選択します。既定では、下部のナビゲーション領域で[IPAM構成イベント]が選択されています。他のイベントを選択して表示したり、それらをファイルにエクスポートしてさらに表示したり分析したりできます。

この記事の情報がお役に立てば幸いです！

IPAMを段階的に構成する

IPAMサーバーを展開する

インフラストラクチャの監視と管理

便利なリンク

More articles: