Ipam.pdf

La instalación de la funcionalidad IPAM (IP Address Management) tiene como objetivo centralizar la administración del direccionamiento IP utilizando por el conjunto de elementos dependientes de la infraestructura de red de Microsoft.

La herramienta está basada en una base de datos que permite administrar el descubrimiento, la supervisión y la auditoría del direccionamiento. Esta base de datos conserva y registra la información durante 3 años a partir de criterios tales como las direcciones IP, los nombres de las máquinas o de los usuarios. A partir de esta información centralizada y agregada, la consola permitirá modificar la configuración DNS, DHCP de manera remota teniendo en cuenta todos los elementos necesarios.

Las funcionalidades que se tienen en cuenta son:

Esta consola no puede instalarse sobre un controlador de dominio. En cambio, sí es posible instalar la consola de administración remota de IPAM sobre un controlador de dominio.

Supervisar y administrar el direccionamiento IP sobre una red de empresa es un elemento crítico en la administración de la red, conforme ésta se va haciendo más grande y compleja.

Muchos administradores utilizan, todavía, tablas o bases de datos personalizadas para realizar un seguimiento manual del lugar y el uso de las direcciones IP. Generalmente, esto consume bastante tiempo y suele producir errores de tipo humano. El servidor IPAM es una herramienta que trata de dar solución, precisamente, a esta necesidad.

Según el tamaño de la empresa y sus necesidades, el despliegue puede ser distribuido (un servidor IPAM por sitio) o centralizado (un único servidor para toda la empresa), o incluso una combinación de ambos. El límite de cobertura de un servidor IPAM es el bosque del que forma parte.

Cada servidor IPAM se configura para administrar un ámbito específico. El ámbito puede ser un dominio, un sitio y puede también limitarse a una lista filtrada de servidores administrados. Un servidor IPAM puede, también, definirse en la copia de seguridad.

IPAM se comunica de manera regular con los controladores de dominio, los servidores DNS y DHCP de la red que están en su dominio de cobertura. ¡Cada servidor debería definirse como administrado o no administrado!

La consola IPAM

● DHCP

● DNS

● NPS

1. Ventajas de esta solución

● En términos de planificación, IPAM remplaza herramientas manuales y scripts. Permite evitar análisis costosos durante las expansiones o modificaciones del nivel de actividad, o durante cambios de configuración o de tecnología.

● IPAM provee una plataforma de gestión única para la administración de las direcciones IP de la red. Permite optimizar el uso y las capacidades de los servicios DHCP y DNS en un entorno multisitio.

● IPAM permite trazar y prever el uso del conjunto de direcciones IP utilizadas. El análisis de la tendencia general permitirá prever mejor ciertos incidentes.

● La auditoría realizada por IPAM ayuda a cubrir ciertas exigencias legales asociadas a leyes tales como HIPAA y SarbanesOxley, y provee informes que permiten investigar y gestionar los cambios.

2. La arquitectura IPAM

- 1 -© ENI Editions - All rights reserved - Gabriel Alvarez Gomez

enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FbmkuRWRpdGlvbnMuTWVkaWFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VuaS5FZGl0aW9ucy5NZWRpYXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAABFNDY4MDg2IC0gR2FicmllbCBBbHZhcmV6IEdvbWV6IC0gMDIxNjQ4YjctNGEzMS00YzYyLWJiY2QtYjM3YjFhNDFiNTg4370AnG280YgLAA==-enidentnumber

Para que un servidor pueda ser administrado por IPAM, es necesario configurar la seguridad sobre dicho servidor, de modo que el servidor IPAM pueda realizar la supervisión y modificar la configuración si fuera necesario. Las directivas de grupo son, por tanto, la herramienta ideal para automatizar esta configuración según si el servidor está administrado o no.

He aquí los protocolos que se utilizan según los servicios solicitados:

Como con los demás elementos, la instalación puede hacerse de forma gráfica o mediante comandos PowerShell.

Protocolos de acceso Servicios

IPAM Server RPC WMI SMB WSMgmt DHCP

RPC WMI WSMgmt DNS

RPC WMI LDAP Controladores de dominio

RPC NPS

3. Instalación

Seleccione la funcionalidad Servidor de administración de direcciones IP (IPAM).

Valide la lista de las demás funcionalidades necesarias haciendo clic en Agregar características.

- 2 - © ENI Editions - All rights reserved - Gabriel Alvarez Gomez


Observe que se necesita la base de datos interna de Windows para la primera instalación. IPAM para Windows Server 2012 R2 soporta la migración de MS SQL, aunque no lo propone, por defecto, durante su instalación. La migración se describe al final del módulo.

Haga clic en Siguiente.

Haga clic en Instalar.



Si el componente IPAM se instala sobre un servidor, el componente se muestra en el administrador del servidor, aunque sólo puede utilizarse si el cliente de gestión IPAM está instalado. He aquí el comando que debe utilizar en este caso:

Install-WindowsFeature IPAM-Client-Feature

Instale la consola sobre otro servidor 2012 reservado para la administración o sobre el controlador de dominio.

4. Configuración inicial

Acceda a la consola de administración, desde el administrador del servidor, que contiene la herramienta IPAM/Información general.



La configuración se realiza en seis etapas.

Haga clic en Conectar con servidor IPAM (etapa número 1 del asistente).

Seleccione el servidor IPAM deseado y haga clic en Aceptar:

Haga clic en Aprovisionar el servidor IPAM (etapa número 2 del asistente) y, a continuación, en Siguiente.



Seleccione la configuración básica que desea.

Seleccione el modo Microsoft SQL Server y, a continuación, indique:



■ el nombre del servidor SQL

■ el nombre de la base de datos SQL

■ el puerto 1433

■ y si es necesario crear el esquema en la base de datos.

A continuación, valide haciendo clic en Siguiente.

Observe que, utilizando la base de datos Interna, ahora es posible cambiar la ubicación de dicha base de datos.

Configure la cuenta de acceso a SQL.

Para que el acceso y la creación de la base de datos se realicen correctamente, verifique bien los siguientes puntos:

■ El firewall debe autorizar la conexión sobre el puerto SQL (1433).

■ El servidor IPAM debe tener permisos para conectarse.

La solución más sencilla consiste en crear un grupo de ACCESO_IPAM_SQL que contenga al servidor IPAM en Active Directory y, a continuación, crear un login en SQL para dicho grupo. Asigne, a continuación, el rol DbCreator a dicho login.

Seleccione el método de aprovisionamiento por directiva de grupo e indique el prefijo seleccionado.



Observe el comando que tendrá que ejecutar mediante PowerShell:

Invoke-IpamGpoProvisioning

Si no utiliza las directivas de grupo propuestas, deberá configurar manualmente los recursos compartidos, las reglas de firewall y los grupos de seguridad necesarios.

Haga clic en Aplicar para confirmar los parámetros.



Haga clic en Cerrar.

Cree las directivas mediante el comando Invoke-IpamGpoProvisioning.



¡Es importante especificar el mismo prefijo de dominio que el que ha indicado en el asistente!

Las directivas se crean en la raíz del dominio correspondiente. Se aplican, por tanto, a todos los servidores DNS, DHCP y DC (para acceder a la configuración de NPS) del dominio. Idealmente, es posible desplazar la aplicación de dichas directivas sobre las unidades organizativas que contengan únicamente los servidores correspondientes. No hay que olvidar que los controladores de dominio pertenecen a un contenedor específico.

Invoke-IpamGpoProvisioning -Domain MiEmpresa.Priv -GpoPrefixName IPAM -force

Haga clic en la etapa siguiente en Configurar detección de servidores (etapa número 3 del asistente).

Haga clic en Agregar sobre cada dominio que quiera administrar y, a continuación, valide haciendo clic en Aceptar.

Seleccione aquellos roles que desea descubrir.

Por defecto, los tres roles (DNS, DHCP, Controladores de dominio) están seleccionados, lo cual resulta aconsejable. Haga clic en Aceptar.



La ejecución de la tarea aparece hasta el final de la ejecución. El tráfico no será importante en un primer momento, puesto que se trata de consultas LDAP en el directorio.

Es preciso definir el estado de gestión de cada servidor, es decir, si se desea administrarlo o no. Es importante considerar bien la acción recomendada especificada junto a cada servidor.

Haga clic en Iniciar detección de servidores (etapa número 4 del asistente).

Haga clic en Seleccionar o agregar servidores para administrar y comprobar el acceso de IPAM (etapa número 5 del asistente).

Seleccione el servidor o los servidores que desea configurar y, a continuación, haga clic con el botón derecho para desplegar el siguiente menú contextual:



Haga clic en Editar servidor para obtener la siguiente pantalla:

Seleccione el modo Administrado y, a continuación, haga clic en Aceptar.

El retardo en el estado de la comunicación entre cada servidor y el servidor IPAM aparece en la parte inferior de la página.



Existen varios elementos que podrían impedir una correcta comunicación sobre todos o parte de los modos de acceso necesarios. Las directivas anteriores tienen como objetivo autorizar IPAM a acceder a los servidores que posean los roles administrados.

A continuación, utilice la opción Actualizar el estado de acceso del servidor. Si todo va bien, el servidor pasa al estado desbloqueado (icono verde).

Cada uno de los componentes debería pasar al estado desbloqueado:

Puede ocurrir, generalmente en Windows Server 2008 R2, que el acceso al servicio DHCP se mantenga bloqueado. En este caso, verifique que el recurso compartido DHCPAUDIT está creado correctamente en la carpeta C:\Windows\system32\ dhcp.

Ahora, todas las funcionalidades IPAM se encuentran habilitadas.

Los siguientes grupos de seguridad se crean en la base de datos local de cuentas del servidor IPAM:

Fuerce la aplicación de las directivas IPAM en cada servidor DC, DHCP o DNS mediante el comando GPUPDATE /FORCE.

Reinicie los servicios DHCP y DNS.

Haga clic en Recuperar datos de servidores administrados (etapa número 6 del asistente).

5. Grupos utilizados por IPAM

● Usuarios IPAM: los miembros de este grupo pueden ver toda la información disponible en el inventario de servidores, el espacio de direccionamiento IP y el análisis de la gestión de la consola IPAM así como los eventos operacionales IPAM y DHCP que forman parte del catálogo de eventos, aunque no consultar la información de seguimiento de las direcciones IP.

● Administradores IPAM MSM: los miembros del grupo Administradores MSM (MultiServer Management, gestión multiservidor) tienen los mismos permisos que los usuarios IPAM y, además, pueden realizar tareas de gestión IPAM corrientes y tareas de análisis y de administración.

● Administradores IPAM ASM: los miembros del grupo de Administradores ASM (Address Space Management, gestión del espacio de direccionamiento) tienen los mismos permisos que los usuarios IPAM y, además, pueden realizar tareas de gestión IPAM corrientes así como tareas ligadas al espacio



Existe un grupo de seguridad universal IPAMUG que se crea sobre el dominio tras la primera instalación:

Este menú Acciones contiene, también, las distintas tareas planificadas:

de direccionamiento IP.

● Administradores de auditoría IPAM IP: los miembros del grupo de administradores de auditoría IPAM tienen los mismos privilegios que los usuarios IPAM. Pueden realizar tareas de gestión IPAM corrientes y, además, ver la información de seguimiento de las direcciones IP.

● Administradores IPAM: los miembros de este grupo tienen permisos sobre todos los datos IPAM y pueden realizar cualquier tarea.

● Este grupo de equipos contiene el primer servidor IPAM instalado.

● Este grupo está incluido en los Event Log Readers y Usuarios DHCP del dominio.

6. Tareas de administración cotidianas

Haga clic en el menú ACCIONES para obtener las operaciones habituales sobre las direcciones IP:

7. Limitaciones a tener en cuenta

● IPAM sólo soporta controladores de dominio Microsoft, y servidores Windows 2008 o superior, integrados en un bosque mediante servicios DHCP, DNS y NPS.

Esto quiere decir que la herramienta no gestiona la administración y la configuración de elementos noMicrosoft de la red. No obstante, es posible incluirlos en la base de datos.

● La instalación puede ahora utilizar la base de datos interna de Windows o una base de datos ubicada en un servidor MS SQL 2008 o superior. Preste atención, la base de datos integrada en Windows está



La actualización de Windows Server 2012 a 2012 R2 conserva la funcionalidad IPAM, así como la mayoría de componentes instalados y configurados. En cambio, la base de datos IPAM debe actualizarse para poder continuar siendo administrada y, principalmente, aprovechar las nuevas funcionalidades.

Al arrancar la herramienta de la consola IPAM, tras la conexión, aparece la opción Actualizar el servidor IPAM.

limitada a 4 GB.

● Un servidor IPAM es capaz de gestionar hasta 150 servidores DHCP, 500 servidores DNS, 6000 ámbitos DHCP y 150 zonas DNS.

● La base de datos almacena tres años de información histórica (contratos, direcciones MAC, conexiones y desconexiones de los usuarios) de hasta 100000 usuarios. No existe ninguna estrategia de purgado automático, de modo que tendrá que hacerse manualmente si fuera necesario.

● El análisis de tendencias sobre el uso de direcciones IP y de solicitudes sólo está disponible para IPv4.

● No existe ningún procesamiento especial para direcciones de tipo IPv6 autoconfiguradas sin estado, ni sobre la migración de máquinas virtuales.

● IPAM no permite auditar direcciones IPv6 autoconfiguradas sobre un equipo que no esté administrado para seguir un usuario.

● IPAM no verifica la coherencia de las direcciones IP con los routers y switchs de la red.

8. La migración de IPAM a IPAM 2012 R2

Haga clic en Actualizar el servidor IPAM.

Haga clic en Siguiente para iniciar el asistente.



El asistente realiza una verificación de la base de datos. Una vez terminada, haga clic en Siguiente.

Haga clic en Actualizar.



La gestión de los roles se ve mejorada con Windows Server 2012 R2, y es mucho más granular.

La administración se divide, ahora, en:

La delegación granular de la administración consiste en:

Haga clic, a continuación, en Cerrar en el resumen de tareas de actualización.

Aparece la visualización clásica de todas las opciones de administración de la consola IPAM:

9. Los roles de IPAM 2012 R2

● Roles: conjunto de acciones autorizadas para usuarios concretos.

● Ámbitos de acceso: conjunto de objetos o de recursos autorizados a los usuarios.

Por defecto, existe un único ámbito llamado Global, que incluye todos los recursos.

● Directivas de acceso: combinación de roles y de ámbitos de acceso.

● Agregar roles suplementarios si es necesario.

● Crear y nombrar ámbitos y, a continuación, asociar estos ámbitos a los objetos correspondientes.



He aquí la lista de roles que se ofrecen por defecto. Cabe destacar que los roles no se corresponden, exactamente, con los grupos creados por IPAM. Además, es posible crear nuestros propios roles:

Si se quiere, por ejemplo, delegar la modificación de registros DNS en la zona DNS pública únicamente, he aquí las etapas que debe seguir.

● Agregar usuarios o grupos autorizados, asociarles su rol y su ámbito de acceso.

a. La lista de roles integrados

● Rol Administrador ASM IPAM:

Este rol integrado provee las autorizaciones requeridas para gestionar completamente los espacios de direccionamiento IP, los bloques de direcciones IP, las subredes de direcciones IP, los rangos de direcciones IP y las direcciones IP.

● Rol Administrador de ámbitos DHCP IPAM:

Este rol integrado provee los permisos requeridos para gestionar los ámbitos DHCP.

● Rol Administrador de reservas DHCP IPAM:

Este rol integrado provee los permisos requeridos para gestionar las reservas DHCP.

● Rol Administrador de registros de direcciones IP:

Este rol integrado provee los permisos requeridos para gestionar las direcciones IP, en particular la búsqueda de direcciones IP no asignadas, así como la creación y la eliminación de instancias de direcciones IP.

● Rol Administrador de registros DNS:

Este rol integrado provee los permisos requeridos para gestionar los registros de recursos DNS.

● Rol Administrador DHCP IPAM:

Este rol integrado provee los permisos requeridos para gestionar completamente un servidor DHCP, así como sus ámbitos DHCP, sus filtros de direcciones MAC, sus directivas DHCP y sus reservas DHCP.

● Rol Administrador IPAM:

Este rol integrado provee los permisos especificados por los roles Administrador ASM IPAM y Administrador MSM IPAM, además de los permisos necesarios para gestionar ámbitos de acceso, directivas de acceso y grupos lógicos.

● Rol Administrador MSM IPAM:

Este rol integrado provee los permisos requeridos para gestionar completamente los servidores DHCP, los ámbitos globales DHCP, los ámbitos DHCP, los filtros de direcciones MAC, las directivas DHCP, las zonas DNS y los registros de recursos DNS.

b. Creación de un rol personalizado

Para crear un rol personalizado, basta con ir a la carpeta IPAM/CONTROL DE ACCESO/Roles de la consola.

El botón TAREAS (ubicado arriba a la derecha) permite abrir el asistente para Agregar un rol de usuario.



Escriba un Nombre y, opcionalmente, una Descripción del rol.

Seleccione, a continuación, todas las operaciones autorizadas para este rol.

c. Creación de un ámbito de acceso

Para crear un ámbito personalizado, basta con ir al a carpeta IPAM/CONTROL DE ACCESO/Ámbito de acceso en la consola.

El botón TAREAS (ubicado arriba a la derecha) permite abrir el asistente Agregar ámbito de acceso.



El ámbito puede ubicarse directamente bajo el ámbito Global, o en otro nivel si se desea crear una arborescencia más compleja.

A continuación es posible asociar este ámbito a los recursos u objetos correspondientes.

Por defecto, todos los recursos dependen del ámbito Global.



Si desea delegar la zona pública MiEmpresa.es, haga clic en el botón derecho en la zona miempresa.es y seleccione la opción definir ámbito de acceso.

Seleccione el ámbito de acceso deseado.



Hasta ahora, no ha tenido lugar, realmente, ninguna delegación. Agregando los usuarios o los grupos es como se otorgan los permisos reales de administración.

d. Definición de las directivas de acceso

Vaya a IPAM/CONTROL DE ACCESO/Directivas de acceso.

Haga clic en el botón TAREAS y, a continuación, seleccione Agregar directiva de acceso.

Seleccione el grupo o el usuario desde el directorio.

Haga clic, a continuación, en Configuración de acceso para poder agregar combinaciones de roles y ámbitos.



Como con Exchange, y con muchos otros productos, la tendencia es hacia la granularidad en la delegación de la administración mediante el uso de roles personalizados que gestionan un ámbito. El objetivo es no asignar más que aquellos permisos necesarios relativos a las acciones y ámbitos deseados.

Haga clic en el botón Agregar configuración y, a continuación, en Aplicar.



Documents

Ipam.pdf