第11回 組織内のIPアドレスをまとめて管理するIPAM:Windows Server 2012クラウドジェネレーション
ネットワークの健全な運用のためには、計画的なIPアドレスの配布/管理は欠かせない。だがネットワークが複雑化してDHCPサーバの数が増えてくると、だんだんと管理が行き届かなくなる。Windows Server 2012の「IPAM(IPアドレス管理)」機能を使えば、複数のDHCPサーバをまとめて効率よく管理できる。
IPアドレス管理を行う「IPAM」とは
Windows Server 2012では新しく「IPAM(IP Address Management。アイパム)」という機能が追加された。これは、組織内のネットワークのIPアドレス管理を集中して行うためのツールである。具体的には、組織内に点在するDC(ドメイン・コントローラ)やDHCPサーバ、DNSサーバ、NPSサーバ(ネットワーク・ポリシー・サーバ)などと連携し、そこで管理されているIPアドレス情報を収集したり、組織内で計画的にIPアドレスの割り当て(DHCPサーバに対するスコープや予約の設定作業など)を行ったりするためのツールである。
組織全体でIPアドレスの割り当てを計画的に行おうとする場合、従来は例えばExcelの表で割り当て計画を立案後、各DHCPサーバにスコープや予約設定(MACアドレスとIPアドレスの関連付け)を追加していることがあった。だがこの作業では漏れが発生することも少なくないし、どのPCにどのIPを割り当てたかを正確に追跡/確認する方法もなかった。またDHCPサーバの設定を変更したけれども、元帳のデータの更新を怠っていたりすると、あっという間にデータが陳腐化してしまうなど、計画通りの実行は簡単ではない。
Windows Server 2012のIPAMでは、複数のDHCPサーバの管理するIPアドレスを1つのツールでまとめて管理できるようにしており、計画的なIPアドレスの割り当てや管理、そして割り当てたIPアドレス情報の取得やトラッキングなどが行える。IPAM機能の概要を次に示しておく。
- Windows Server 2012のIP アドレス管理 (IPAM) の概要(TechNetサイト)
| 機能 | 内容 |
|---|---|
| IPAM検出機能 | ・管理対象の(Windows Server 2008以降の)DHCP/DNS/Active Directoryドメイン・コントローラの検出 |
| IPアドレス空間管理機能 | ・動的および静的なIPアドレス割り当て(DHCP予約/DNSレコードの作成) ・ネットワーク全体にわたるIPアドレスの衝突やオーバーラップなどの検出 ・IPアドレスの割り当て状況の集中的な管理やレポート ・IPv4アドレス(パブリック/プライベート)とステートレスIPv6アドレスの監視のサポート ・空きIPアドレスの自動検出 ・PowerShellによるIPアドレスやIPアドレス範囲情報のインポート/エクスポート ・設定したしきい値に基づくIPアドレスの両状況のアラート |
| マルチサーバ管理/監視機能 | ・Active Directoryのフォレスト全体からのDHCP/DNSサーバの検出 ・管理対象サーバの手動追加/削除 ・複数のDHCPサーバのスコープの設定/管理 ・DHCPやDNSサービス/DNSゾーンの動作監視 ・Windows Server 2008/2008 R2/2012のMicrosoft DHCP/Microsoft DNSサーバを管理可能 ・DHCPスコープの利用状況監視 ・DHCP/DNSサーバから自動的なデータ取得 ・IPAMサーバは、Windows Server 2012だけでなく、リモート管理ツール(RSAT)をインストールしたWindows 8でも管理可能 |
| 運用監視とIPアドレス追跡機能 | ・複数のDHCPサーバにおける設定変更イベントのクエリ ・一定時間間隔でのユーザーや端末、IPアドレスのリース情報などのクエリや追跡 ・構成の問題の検出やSLAのトラッキング |
| IPAMの主要な機能 | |
IPAMはActive Directory構成のネットワークでのみ利用できるが、エンタープライズ・ネットワーク全体を1台のIPAMサーバで管理することもできるし(集中型管理)、複数のIPAMサーバを用意して、ドメインごとに管理する(分散型管理)こともできる。1台のIPAMサーバで、最大500台のDHCPサーバ、および最大500台のDNSサーバを管理できる。IPAM内部のデータベースには、10万人のユーザーの3年分のデータ(IPアドレスのリースや端末のMACアドレス、ユーザーのログオン情報など)が保存、追跡できるとされている(ただしユーザー名やIPアドレス情報はメイン・コントローラから取得するので、追跡できるのはドメイン・ユーザーのみのようである)。
IPAM機能のセットアップ
IPAMを利用するには、次の順序でインストール、設定を行う。
- IPAM機能の追加
- IPAMサーバへの(IPAM管理ツールでの)接続
- IPAMサーバのプロビジョニング(IPAM対象サーバ検出のための準備/GPOの作成)
- 管理対象となるIPAMサーバの検出とIPAM管理対象リストへの追加
- IPアドレス空間の管理/監視
以下、順に見ていく。
最初にWindows Server 2012に「IPAM」機能を追加する。このためにはWindows Server 2012のサーバ・マネージャのクイック・スタート・メニューから「役割と機能の追加」をクリックして、「役割と機能の追加ウィザード」を起動する。起動したら、「機能」の選択画面で「IP アドレス管理 (IPAM) サーバー」を選択し、ウィザードを進めてIPAM機能をインストールする。
なお、IPAMサーバはドメインのメンバ・コンピュータにのみインストール可能である(ドメイン・コントローラにはインストールできない)。またパフォーマンスの低下を防ぐため、Windows Server 2012にはIPAM以外の機能はインストールしないことが推奨されている。
IPAMサーバへの接続とプロビジョニング
IPAM機能をインストールすると、サーバ・マネージャにIPAM管理機能が追加されている。IPAMの初期設定作業は、この番号順に行えばよい。
IPAM管理コンソールIPAM機能をインストールすると、サーバ・マネージャにIPAM管理機能が追加される。IPAMの初期設定作業は、この番号順に行えばよい。
(1)このIPAMグループを選択する。
(2)クイック・スタートには作業手順が表示されている。この番号順に初期設定作業を進めること。
最初に行う作業は、IPAMサーバへの接続だが、IPAMをインストールしたWindows Server 2012上でサーバ・マネージャを起動すると、すでに自動的にローカルのIPAMサービスへ接続しているので(上の画面参照)、その次の「IPAMサーバーをプロビジョニングする」を実行する。IPAMサーバのプロビジョニングとは、管理対象のDHCPサーバやDNSサーバへ接続するための準備のことである。リンクをクリックするとプロビジョニングのウィザードが起動するので、プロビジョニングの方法を選択する。
プロビジョニング方法の選択IPAMのプロビジョニングとは、管理対象のDHCPサーバやDNSサーバへ接続するための準備のことである。IPAMの対象となるサーバの管理用ポートを開放するためのファイアウォール設定やセキュリティ・グループの設定などを行う。
(1)手動を選択すると、自分でファイアウォールの設定などを済ませる必要がある。
(2)こちらを選択すると(これがデフォルト設定)、GPOを使って対象サーバの設定を済ませることができる。
(3)GPO名の先頭に付けるプリフィックス名。この例だと、「IPAMGPO_DHCP」「IPAMGPO_DNS」「IPAMGPO_DC_NPS」という3つのGPOが自動的に作成される。
IPAMサーバから管理対象のDHCPサーバやDNSサーバへ接続する場合、対象となるサーバ側であらかじめリモート管理用の通信ポートを開放したり、必要なセキュリティ・グループなどを作成しておく必要がある。対象となるサーバの台数が少なければそれでも構わないが、台数が多い場合は面倒である。そこでこの「プロビジョニングの方法」で「グループ・ポリシー・ベース」を選択しておくと(これがデフォルト)、Active Directoryのグループ・ポリシーを使って対象となるサーバ側の設定を自動的に済ませることができる。ウィザードが完了するとファイアウォールの設定などを変更するグループ・ポリシー・オブジェクト(GPO)が作成されるので、それをPowerShellのInvoke-IpamGpoProvisioningコマンドレットを使ってActive Directoryに登録しておく。
※example.jpドメインにIPAM用のGPOを登録するスクリプトの例
PS C:\> Invoke-IpamGpoProvisioning -Domain example.jp -GpoPrefixName IPAMGPO -DelegatedGpoUser user01 -IpamServerFqdn exampleaddc2.example.jp
作成されたGPO
IPAMサーバの管理対象とするためには、リモート(IPAMサーバ)から管理用のポートに接続できるように設定しておく必要がある。それを行うのがこのGPO。上記のPowerShellのコマンドレットを実行するとGPOがActive Directoryに登録されるので、管理対象となるサーバにこれを適用しておく。
(1)この3つのGPOが作成/登録され、対象サーバに適用されていることを確認しておく。
対象となるサーバの検出
Active DirectoryへのGPOの登録が完了したら、IPAMの管理コンソールで「サーバー検出を構成する」「サーバー検出を開始する」を順に実行して、ドメイン内に存在するDHCPやDNS、NPSサーバを検索する。そして見つかったサーバの「管理の状態」を「未指定」から「管理されている」に変更して、管理対象にしておく。
サーバの検出IPAMで管理する対象となるDHCPやDNS、DCなどのサーバの一覧が表示されているが、まだ管理対象とはなっていない。サーバ名を右クリックしてポップアップ・メニューから[サーバーの編集]メニューを実行する。表示された「サーバーの追加または削除」画面で、「管理の状態」を「管理されていない」から「管理されている」に変更すると、IPAMサーバの管理対象として登録される。
(1)見つかったサーバの一覧。ここでは1台だけ見つかっている。
(2)管理状態は「未指定」。これを「管理されている」に変更してしばらくすると、緑色のマークが付き、操作できるようになる。
(3)サーバ名。
(4)サーバのIPアドレス。
IPアドレス範囲の確認
以上でIPAMサーバからDHCP/DNSサーバに接続できたので、対象サーバからデータを取得してみよう。デフォルトでは、ある一定時間間隔でDHCP/DHCPサーバの動作状態や設定などを取得するようになっているが、サーバ名を右クリックして、[すべてのサーバーデータの取得]を実行すると、すぐに取得できる。
データ取得後、例えば「IPアドレス空間」の「IPアドレス ブロック」を開くと、DHCPサーバから取得したIPアドレス範囲の情報(DHCPのスコープ情報)が確認できる。
IPアドレスの範囲情報この画面では、ネットワーク全体で利用できるIPアドレスの範囲(=DHCPのスコープ)情報が確認できる。これは、DHCPサーバの情報を直接見ているのではなく、IPAMサーバがDHCPサーバなどから収集した情報が表示されている。
(1)「IPAM」グループを選択する。
(2)これを選択してIPアドレス情報を表示させる。
(3)「IPアドレスの範囲」を選択する。
(4)ここには3つのIPアドレスのグループが表示されている。もともとはDHCPサーバ上の3つのスコープから取得したもの。複数のDHCPサーバがあれば、もっと多くの範囲情報が表示される。先頭に表示されている黄色い「過小」という表示は、使われている(リースされている)IPアドレスが20%以下であるという意味。エラーではない。80%を超えると過大と表示される。このしきい値はサーバ・マネージャの[管理]メニューにある[IPAM設定]で変更できる。
(5)IPアドレス範囲の詳細情報。
(6)IPv4に関する情報が表示されている。
(7)IPv6に関する情報を表示するには、これをクリックする。
「現在のビュー」の設定を「IPアドレスの範囲」から「IPアドレス ブロック」に変更すると、IPAMが管理する「IPアドレス・ブロック」の情報を確認できる。IPアドレス・ブロックとは、IPアドレス範囲(=ほぼDHCPのスコープに相当する)をまとめてより大きな集まり/グループにしたものである。例えば「10.0.0.0/8」とか「192.168.0.0/16」のようなプライベートIPアドレスの集合や、企業に割り当てられたグローバルIPアドレスのブロックなどを指す。ブロックを分割したものが「IPアドレスの範囲」になり、各ネットワーク(DHCPサーバのスコープ)に割り当てられる。ブロック単位で監査などを行うことにより、ネットワーク全体の状態を把握しやすくなる。
IPアドレス・ブロック情報IPアドレス・ブロックとは、「IPアドレスの範囲」よりも大きなIPアドレスの集合。ブロック単位でまとめて扱うことにより、全体的な割り当て計画を立てやすくなっている。まずブロック単位で大まかに割り当て、各ネットワークにはブロックを分割したものを割り当てるとよい。IPAMでは、IPアドレスの範囲とブロックの包含関係を把握しており、ブロック単位で操作すると、複数のIPアドレスの範囲をまとめて扱えるようにしている。
(1)ビューをIPアドレス・ブロックにすると、ブロックの情報が表示される。
(2)ここでは3つのブロックを定義している。いずれもプライベートIPアドレスである。
(3)ブロックの詳細情報。
「現在のビュー」の設定を「IPアドレス」に変更すると、特定のMACアドレスに対してIPアドレスやホスト名、DNSレコード名などを予約することができる。予約は、1ホストずつ手動で追加定義できるほか、CSVファイルでまとめてインポートすることも可能である。作成されたホストは、右クリックして「DHCP予約の作成」を実行するとDHCPサーバに反映される。
個別のIPアドレス情報の設定/確認この画面では、IPアドレスとMACアドレスの対応付けを予約できる。
(1)ビューを「IPアドレス」に切り替える。
(2)予約されたIPアドレス。
(3)この画面で可能な操作。IPアドレスを予約して、それをDHCPサーバに反映させることができる(これはDHCPサーバの管理画面ではない。IPAM自身が保持しているIPアドレス情報が表示されている画面である)。
DHCPでIPアドレスを予約する場合、最初に空いているIPアドレスを見つける必要があるが、この作業を補助する機能も用意されている。IPアドレスの範囲を表示し、右クリックしてポップアップ・メニューから[利用可能なIPアドレスの検索と割り当て]を選択する。すると次のようなウィザード画面が表示され、指定されたIPアドレス範囲の中から、未使用の(pingなどで応答のない)IPアドレスを1つ探し出してくれる。MACアドレスやそのほかのパラメータなどをセットして[OK]をクリックすると、そのアドレスが予約される。
空きIPアドレスの自動探索IPAMでは、予約に利用できる空きIPアドレスを自動探索させることができる。
(1)このIPアドレス範囲から探索させている。
(2)見つかったIPアドレス。
(3)ping応答やDNS登録があるかどうかで空きかどうかを判定している。
(4)気に入らなければ、次を探すこともできる。
(5)MACアドレスなどの情報を入力して登録すること。
DHCP/DNSサーバの管理
以上の例ではIPAM内部のデータベースに保存されているデータを表示/操作していたが、「監査と管理」グループの下にある「DNSおよびDHCPサーバー」や「DHCPスコープ」などのメニューを使えば、個々のDHCP/DNSサーバを直接操作したり(DHCPのスコープやDNSゾーンなどを操作できる)、それらのサーバのイベント・ログを参照したりできる。
DHCPサーバの管理IPAM管理ツールの「監視と管理」グループでは、管理下にあるDHCPサーバやDNSサーバをほぼそのまま操作できる。
(1)DHCPのスコープ情報を確認してみる。
(2)このDHCPサーバには、3つのDHCPスコープが定義されている。
(3)スコープの詳細情報。
(4)スコープを直接操作できる。
今回はWindows Server 2012のIPAMサーバ機能について簡単に見てきた。IPアドレスの割り当てにWindows OSのDHCPをメインで使っている環境なら、IPAMを使えば、より計画的に割り当てたり、管理したりできる(可能性がある)。IPAMにはほかにも多くの機能があるが(特に監査/追跡機能など)、それについては、今後回を改めて解説することにしたい。
Copyright© Digital Advantage Corp. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。