IPAM, DHCP ve DNS sunucularının yönetimini merkezileştirmenizi sağlar. Her sunucuyu ayrı ayrı yönetmek yerine IPAM’ı tek bir konsoldan yönetmek için kullanabilirsiniz. 150 ayrı DHCP sunucusunu ve 500’e kadar tek tek DNS sunucusunu yönetmek için tek bir IPAM sunucusu kullanabilirsiniz. Ayrıca, 6.000 ayrı DHCP kapsamlarını ve 150 ayrı DNS bölgesini yönetebiliyor. Bu görevleri birer birer sunucu bazında gerçekleştirmek yerine adres kapsamları oluşturma, adres rezervasyonlarını yapılandırma ve DHCP ve DNS seçeneklerini genel olarak yönetme gibi görevleri yerine getirebilirsiniz. Windows Server 2016’daki IPAM hem Active Directory hem de dosya tabanlı DNS bölgelerini desteklemektedir.
IPAM Kurulumu
IPAM özelliğini yalnızca bir Active Directory etki alanının üyesi olan bir bilgisayara yükleyebilirsiniz. Tek bir Active Directory ormanı içerisinde birden fazla IPAM sunucusuna sahip olabilirsiniz. Kuruluşunuz coğrafi olarak dağınıksa, bunu yapmanız muhtemeldir. Çok önemli olmak ile birlikte, IPAM üzerinde DHCP ya da DNS server rolü kuruluysa IPAM bu servisleri yönetemez. Bu nedenle, DNS veya DHCP rollerini barındırmayan bir sunucuya IPAM özelliğini yüklemelisiniz. IPAM, Etki Alanı Denetleyicisi sunucu rolünü barındıran bilgisayarlarda da desteklenmez. Ayrıca, IPv6 adres aralıklarını yönetmek için IPAM sunucusunu kullanmak istiyorsanız, IPAM sunucusunu barındıran bilgisayarda IPv6’nın etkinleştirildiğinden emin olmanız gerekir.
Sunucuyu Yapılandırma
Sunucu keşfi, IPAM sunucusunun Etki Alanı Denetleyicileri, DNS sunucuları ve DHCP sunucularını bulmak için Active Directory ile denetlediği işlemdir. Sunucu Keşfi Yapılandır iletişim kutusunda keşfedecek etki alanlarını seçersiniz. Sunucu bulma işlemini tamamladıktan sonra, bu sunucuların IPAM sunucusu tarafından yönetilmesini sağlayan grup ilkesi nesnelerini oluşturan ve bu grup ilkeleri nesnelerini oluşturan özel bir PowerShell cmdlet’i çalıştırmanız gerekir. IPAM sunucusunu kurduğunuzda, bir GPO adı öneki seçersiniz. Uygun GPOS’u oluşturan Invoke-IpamGpoProvisioning Windows PowerShell cmdlet’i çalıştırılırken bu öneki kullanın.
Eğer GPO prefix IPAM kullanırsanız, 3 GPO oluşturulmalıdır.
- IPAM_DC_NPS
- IPAM_DHCP
- IPAM_DNS
Bu GPO’lar keşfedilen sunuculara uygulanana kadar bu sunucular IPAM Erişimi durumu engellenmiş olarak listelenir. Bulunan sunuculara GPO’lar uygulandıktan sonra, IPAM Erişimi durumu Engellemeli olarak ayarlanır.Bulunan hizmet IPAM Erişimi Durumu Engellemeye Ayarlı olarak ayarlandıktan sonra, sunucunun özelliklerini düzenleyebilir ve Yönetilen olarak ayarlayabilirsiniz. Bunu yaptıktan sonra sunucuda seçilen hizmetleri yönetmek için IPAM’ı kullanabilirsiniz.
Windows Server 2016’daki IPAM, iki yönlü güven ilişkisinin yapılandırıldığı ormandaki DNS ve DHCP sunucularını yönetmeyi desteklemektedir. Güvenilir bir ormanda DHCP ve DNS sunucusu bulma işlemlerini etki alanı bazında gerçekleştirirsiniz.
IPAM Administration
IPAM sunucusunda beş yerel güvenlik grubundan birine kullanıcı hesapları ekleyerek yönetim izinlerini yetkilendirebilirsiniz. Varsayılan olarak, Domain Admin ve Enterprise Admin gruplarının üyeleri, tüm görevleri IPAM sunucusunda gerçekleştirebilir. Rolü dağıttıktan sonra aşağıdaki beş yerel güvenlik grubu, IPAM sunucusunda şu izinleri devretmenize izin vererek bulunur:
DNS Record Administrator : Bu rolün üyeleri, DNS kaynak kayıtlarını yönetebilir.
IP Address Record Administrator : Bu rolün üyeleri IP adreslerini yönetebilir, ancak adres alanlarını, aralıklarını, alt ağlarını veya blokları yönetemez.
IPAM Administrators : Bu rolün üyeleri, IP Adresi izleme bilgilerini görüntüleme de dahil olmak üzere IPAM sunucusundaki tüm görevleri gerçekleştirebilir.
IPAM ASM Administrators : ASM, Adres Alanı Yöneticisi anlamına gelir. Bu gruba eklenen kullanıcılar, IPAM Users grubunun üyeleri tarafından yerine getirilebilecek tüm görevleri yerine getirebilir, ancak IP adresi alanını da yönetebilir. İzleme görevlerini gerçekleştiremiyor ve IP adres izleme görevlerini gerçekleştiremiyorlar.
IPAM DHCP Administrator : Bu rolün üyeleri, DHCP sunucularını IPAM kullanarak yönetebilir.
IPAM DHCP Reservations Administrator : Bu rolün üyeleri, DHCP kayıtlarını IPAM kullanarak yönetebilir.
IPAM DHCP Scope Administrator : Bu rolün üyeleri DHCP zonelarını yönetebilir.
IPAM MSM Administrators : MSM, Çoklu Sunucu Yönetimi’nin kısaltmasıdır. Bu rolün üyeleri, IPAM tarafından yönetilen tüm DNS ve DHCP sunucularını yönetebilir.
IPAM DNS Administrator : Bu rolün üyeleri, DHCP sunucularını IPAM kullanarak yönetebilir.
IP Adres Alanını Yönetme
IPAM’ın yararı, kuruluşunuzdaki tüm IP adreslerini yönetmenizi sağlar. IPAM statik veya dinamik olarak atanmış olsun IPv4 genel ve özel adreslerin yönetimini destekler. IPAM, farklı sunuculardaki DHCP kapsamlarında tanımlanan çakışan IP adres aralıklarının olup olmadığını tespit etmenize, IP adres kullanımını belirlemenize ve belirli bir aralıkta kullanılmayan IP adresleri olup olmadığına karar vermenizi, bunları tek tek DHCP sunucularında yapılandırmanıza gerek kalmadan merkezileştirerek DHCP rezervasyonları oluşturmanıza ve IP adres kiralama bilgilerine dayalı DNS kayıtları oluşturabilirsiniz.
IPAM, IP adres alanını bloklara, aralıklara ve tek tek adreslere ayırır. Bir IP adresi bloğu, kuruluşunuzun en üst düzeyde kullandığı adres alanını düzenlemek için kullandığınız geniş bir IP adresleri topluluğudur.Bir kuruluşun yalnızca bir veya iki adres bloğu olabilir, biri diğerinde bir bütün iç ağ için ve başka bir küçük blok kuruluş tarafından kullanılan ortak IP adres alanını temsil eder. Bir IP adresi aralığı bir IP adresi bloğunun parçasıdır.Bir IP adresi aralığı birden fazla IP adres bloğuna eşlenemez. Genel olarak, bir IP adresi aralığı bir DHCP kapsamına karşılık gelir. Tek bir IP adresi, tek bir IP adres aralığına eşlenir. IPAM aşağıdaki bilgileri bir IP adresi ile saklar:
- Herhangi bir ilişkili MAC adresi
- Adres atanma şekli (statik / DHCP)
- Atama tarihi
- Atama son kullanma tarihi
- Hangi hizmet IP adresini yönetir?
- IP adresiyle ilişkili DNS kayıtları
IP Adres Takibi
IPAM’ın en önemli özelliklerinden biri, yönetilen etki alanı denetleyicilerinde ve NPS sunucularında DHCP kiralarını kullanıcı ve bilgisayar kimlik doğrulama olaylarıyla ilişkilendirerek IP adreslerini izleyebilmesidir. IP adresi izlemesi hangi kullanıcının belirli bir IP adresiyle belirli bir noktada ilişkili olduğunu bulmanızı sağlar; bu, kuruluş ağı üzerindeki yetkisiz etkinliğin nedenini belirlemeye çalışırken önemli olabilir.
IP adresi kayıtlarını aşağıdaki dört parametreden birini kullanarak arayabilirsiniz:
- IP adresine göre izleme: IPv4 adreslerini izleyebilirsiniz ancak IPAM izleme ile IPv6 adresini desteklemez.
- İsemci kimliğine göre izleme: MAC adresiyle IP adres etkinliğini izlemenize izin veren IPAM’de istemci kimliğine göre izleyebilirsiniz.
- Makina Adına göre izleme: DNS’de kayıtlı olduğu gibi bilgisayar adıyla izleyebilirsiniz.
- Kullanıcı Adına göre izleme: Bir kullanıcı adını izleyebilirsiniz, ancak bunu yapmak için ayrıca bir ana bilgisayar adı sağlamalısınız.
Doğal olarak, yalnızca IPAM dağıtıldıktan sonra kaydedilen verileri izleyebilirsiniz. Bu nedenle, IPAM’ın kullandığı Windows İç Veritabanında birkaç yıl veri depolamak mümkün olsa da, yalnızca IPAM yapılandırıldıktan sonra kaydedilen olayları alabilmekle sınırlıdır.
Microsoft, Windows İç Veritabanı IPAM kullanımlarının, verilerin temizlenmeden önce 100.000 kullanıcıya sahip bir kuruluş için 3 yıl IP adresi kullanım verilerinin depolayabildiğini tahmin etmektedir.
Mevcut IP adres düzeninizde ücretsiz alt ağları ve kullanılmayan boş IP adres aralıklarını bulmak için IPAM’ı kullanabilirsiniz. Örneğin, bir proje için 50 ardışık ücretsiz IP adresine ihtiyacınız varsa, Bulunduğunuz ortamda böyle bir aralık olup olmadığını belirlemek için Find-IpamFreeRange PowerShell cmdlet’i kullanabilirsiniz.
Kurulum için;
Server Manager ekranından Add roles and features seçilir.
Before you begin ekranında, sihirbaz kullanımıyla ilgili bilgiler verilmektedir.
-Administrator parolasının güçlü olması gerektiği
– IP bilgilerinin statik olarak verilmesi gerektiği
-Windows güncelleştirmelerinin yapılması gerektiğine dair bilgilendirmeler bulunmaktadır.
Select Installation type sayfasında, Role-based or Feature-based seçeneğini seçerek devam ediyoruz.
Select destionation server ekranında rolün kurulumu yapılacak sunucuyu belirtmemiz gerekiyor, kurulumu gerçekleştireceğimiz sunucuyu seçip, Next butonu ile ilerleyebiliriz.
Select Features ekranında IPAM’ı seçip Next diyerek devam ediyoruz.
Confirm installation selection sayfasında kurulumu yapılacak rollerin, feature lar hakkında bilgi verilmekte. Bu sayfada şu rolü, feature’ları seçtiniz diye belirtilmekte. Gerekli görüldüğünde sistem yeniden başlasın seçeneği seçilerek. Rol ihtiyaç duyduğu takdirde sunucu yeniden başlayacaktır.
Kurulum tamamlanmıştır, Close diyerek kurulum sayfasını kapatabiliriz.
Server Manager ekranında IPAM seçilir,
IPAM ekranında “Connect to IPAM Server” menüsü seçilir,
IPAM feature yüklenmiş olan sunucu seçilir ve devam edilir.
Sunucu seçildikten sonra “Provision the IPAM server” menüsü seçilir.
Before you begin pencresinde IPAM ile hangi rolleri yönetebileceğimiz, ilgili ayarlar ve hedef sunuculara GPO ile dağıtabileceğimizin bilgilerini vermekte.
Configure database sayfasında IPAM tarafından kullanılan bütün verilerin tutulacağu bir DB olması gerektiği belirtilmekte. Burada iki seçenek karşımıza çıkmakta. Bir tanesi Windows Internal Database (WID), diğeri ortamımızda bulunan SQL Server’ı kullanarak DB belirtilmesi. Ben WID’ı tercih ediyorum.
Select provisioning method ekranında, IPAM sunucumuzun yönetimini yapacağı sunucularımızda yapmamız gereken ayarları burada otomatik olarak bir GPO ayarlayarak dağıtmamızı sağlayacaktır. Bu işlem için Group Policy Based seçeneğini seçiyorum, GPO Name Prefix başına oluşturulacak GPO başına ne yazılması gerektiğini belirtiyoruz. IPAM yazıp devam ediyorum.
Confirm the Settings sayfasında ypaıalcak olan işlemlerin hazırlanması, yönetimi, dağıtılacak GpO’lar, IPAM veri tabanının oluşturulması ve erişim izinlerinin yapılandırılması gibi ayarların yapılacağı belirtiliyor. Bu sayfada karşımıza çıkan bilgiler, bizim seçtiğimiz durumlar ile aynı ise Apply diyerek onaylıyoruz.
Completion sayfasında bir önceki ekranda yapmış olduğumuz seçeneklerin uygulandığı hakkında bilgileri görüyoruz. İşlem tamamlandığına göre Close diyerek çıkabiliriz.
Bir sonraki aşamada, IPAM ekranında “Configure server discovery” menüsü seçilir,
Açılan sayfada, select domains to discover ekranında bulunan domain adımız seçilir ve add butonuna tıklanır. Select the server roles to discover bölümünde DC, DHCP, DNS tikleri seçilir ve OK denilerek devam edilir.
IPAM ekranında Start Server Discovery seçeneği seçilerek “keşif” işlemi başlatılır.
Bu işlem biraz zaman alabilir, işlemin tamamlanmasını beklemeliyiz. Mevcut yapılan işlemleri öğrenmek için sağ üst köşede beliren “more” butonuna tıklayarak görebilirsiniz.
Keşif işlemi tamamlandıktan sonra Server Inventory sol taraftan seçilir. IPAM Access Status bölümünde listelenen sunucularımız “Blocked” olarak gözükmekte. GPO Management üzerinde ilgili GPO’ların oluştuğunu kontrol edelim.
Yapılan ayarları ve konfigürasyonları GPO ile yönetilecek olan sunuculara dağıtmamız gerekmektedir. Bunun için domain ortamımızda GPO Management konsolu aracılığıyla çalıştırmamız gereken bir PowerShell komutu var. Powershell üzerinden aşağıdaki komutu çalıştıralım:
Invoke-IpamGpoProvisioning -Domain babur.hol -gpoprefixname IPAM -IPAMServerFqdn EXC16.babur.hol -DelegatedGpoUser Administrator
İlgili sunucularımız üzerinde de gpupdate /force komutunu tetikleyerek ilgili sistemlerin IPAM policylerinin yüklendiğini tespit edelim.
Policy uygulandıktan sonra Server Inventory, IPv4 sekmesinde sunucularımız Unmanaged olarak gözükecektir.
Sunucumuzun üzerine sağ tıklayıp, Edit Server seçeneğini seçiyoruz.
Açılan sayfada keşif sırasında istediğimiz rolleri seçmiştik, burada Server Type kısmında roller seçili olarak gelir. Manageability Status “Managed” duruma getirilir ve OK seçeneğiyle sayfa kapatılır.
Server Inventory sayfasında, IPv4 sekmesi altında sayfayı bir kaç kez “Reflesh” yaparak, yapılan güncellemelerin uygulanması beklenir. IPAM tarafından sunucumuzun güncel bilgileri almasını sağlamalıyız.
Güncel server bilgilerinin toplanabilmesi için sunucu üzerine sağ tıklanır “Retrieve All Server Data” seçilir. Sunucu üzerindeki güncel bilgiler IPAM için toplanır.
IPAM konulu makalemizin devamında görüşmek üzere,