Beruflich Dokumente
Kultur Dokumente
LainstalacindelafuncionalidadIPAM(IPAddressManagement)tienecomoobjetivocentralizarlaadministracin
del direccionamiento IP utilizando por el conjunto de elementos dependientes de la infraestructura de red de
Microsoft.
Laherramientaestbasadaenunabasededatosquepermiteadministrareldescubrimiento,lasupervisinyla
auditoradeldireccionamiento.Estabasededatosconservayregistralainformacindurante3aosapartirde
criteriostalescomolasdireccionesIP,losnombresdelasmquinasodelosusuarios.Apartirdeestainformacin
centralizadayagregada,laconsolapermitirmodificarlaconfiguracinDNS,DHCPdemaneraremotateniendoen
cuentatodosloselementosnecesarios.
Lasfuncionalidadesquesetienenencuentason:
DHCP
DNS
NPS
Estaconsolanopuedeinstalarsesobreuncontroladordedominio.Encambio,sesposibleinstalarlaconsolade
administracinremotadeIPAMsobreuncontroladordedominio.
1.Ventajasdeestasolucin
Supervisar y administrar el direccionamiento IP sobre una red de empresa es un elemento crtico en la
administracindelared,conformestasevahaciendomsgrandeycompleja.
Muchosadministradoresutilizan,todava,tablasobasesdedatospersonalizadaspararealizarunseguimiento
manualdellugaryelusodelasdireccionesIP.Generalmente,estoconsumebastantetiempoysueleproducir
errores de tipo humano. El servidor IPAM es una herramienta que trata de dar solucin, precisamente, a esta
necesidad.
En trminos de planificacin, IPAM remplaza herramientas manuales y scripts. Permite evitar anlisis
costosos durante las expansiones o modificaciones del nivel de actividad, o durante cambios de
configuracinodetecnologa.
IPAM provee una plataforma de gestin nica para la administracin de las direcciones IP de la red.
PermiteoptimizarelusoylascapacidadesdelosserviciosDHCPyDNSenunentornomultisitio.
IPAMpermitetrazarypreverelusodelconjuntodedireccionesIPutilizadas.Elanlisisdelatendencia
generalpermitirprevermejorciertosincidentes.
LaauditorarealizadaporIPAMayudaacubrirciertasexigenciaslegalesasociadasaleyestalescomo
HIPAAySarbanesOxley,yproveeinformesquepermiteninvestigarygestionarloscambios.
2.LaarquitecturaIPAM
Segn el tamao de la empresa y sus necesidades, el despliegue puede ser distribuido (un servidor IPAM por
sitio)ocentralizado(unnicoservidorparatodalaempresa),oinclusounacombinacindeambos.Ellmitede
coberturadeunservidorIPAMeselbosquedelqueformaparte.
CadaservidorIPAMseconfiguraparaadministrarunmbitoespecfico.Elmbitopuedeserundominio,unsitioy
puede tambin limitarse a una lista filtrada de servidores administrados. Un servidor IPAM puede, tambin,
definirseenlacopiadeseguridad.
IPAMsecomunicademaneraregularconloscontroladoresdedominio,losservidoresDNSyDHCPdelaredque
estnensudominiodecobertura.Cadaservidordeberadefinirsecomoadministradoonoadministrado!
- 1-
Para que un servidor pueda ser administrado por IPAM, es necesario configurar la seguridad sobre dicho
servidor, de modo que el servidor IPAM pueda realizar la supervisin y modificar la configuracin si fuera
necesario. Las directivas de grupo son, por tanto, la herramienta ideal para automatizar esta configuracin
segnsielservidorestadministradoono.
Heaqulosprotocolosqueseutilizansegnlosserviciossolicitados:
Protocolosdeacceso
IPAMServer
RPC
WMI
RPC
WMI
RPC
WMI
RPC
SMB
LDAP
Servicios
WSMgmt
DHCP
WSMgmt
DNS
Controladores
dedominio
NPS
3.Instalacin
Comoconlosdemselementos,lainstalacinpuedehacersedeformagrficaomediantecomandosPowerShell.
SeleccionelafuncionalidadServidordeadministracindedireccionesIP(IPAM).
ValidelalistadelasdemsfuncionalidadesnecesariashaciendoclicenAgregarcaractersticas.
- 2-
ObservequesenecesitalabasededatosinternadeWindowsparalaprimerainstalacin.IPAMpara
WindowsServer2012R2soportalamigracindeMSSQL,aunquenolopropone,pordefecto,durante
suinstalacin.Lamigracinsedescribealfinaldelmdulo.
HagaclicenSiguiente.
HagaclicenInstalar.
- 3-
Instalelaconsolasobreotroservidor2012reservadoparalaadministracinosobreelcontroladorde
dominio.
SielcomponenteIPAMseinstalasobreunservidor,elcomponentesemuestraeneladministradordelservidor,
aunqueslopuedeutilizarsesielclientedegestinIPAMestinstalado.Heaquelcomandoquedebeutilizar
enestecaso:
Install-WindowsFeature IPAM-Client-Feature
4.Configuracininicial
Acceda a la consola de administracin, desde el administrador del servidor, que contiene la
herramientaIPAM/Informacingeneral.
- 4-
Laconfiguracinserealizaenseisetapas.
HagaclicenConectarconservidorIPAM(etapanmero1delasistente).
SeleccioneelservidorIPAMdeseadoyhagaclicenAceptar:
Haga clic en Aprovisionar el servidor IPAM (etapa nmero 2 del asistente) y, a continuacin, en
Siguiente.
- 5-
Seleccionelaconfiguracinbsicaquedesea.
SeleccioneelmodoMicrosoftSQLServery,acontinuacin,indique:
- 6-
elnombredelservidorSQL
elnombredelabasededatosSQL
elpuerto1433
ysiesnecesariocrearelesquemaenlabasededatos.
Acontinuacin,validehaciendoclicenSiguiente.
Observeque,utilizandolabasededatosInterna,ahoraesposiblecambiarlaubicacindedicha
basededatos.
ConfigurelacuentadeaccesoaSQL.
Paraqueelaccesoylacreacindelabasededatosserealicencorrectamente,verifiquebienlos
siguientespuntos:
ElfirewalldebeautorizarlaconexinsobreelpuertoSQL(1433).
ElservidorIPAMdebetenerpermisosparaconectarse.
LasolucinmssencillaconsisteencrearungrupodeACCESO_IPAM_SQLquecontengaalservidor
IPAMenActiveDirectoryy,acontinuacin,crearunloginenSQLparadichogrupo.Asigne,a
continuacin,elrolDbCreatoradichologin.
Seleccioneelmtododeaprovisionamientopordirectivadegrupoeindiqueelprefijoseleccionado.
- 7-
ObserveelcomandoquetendrqueejecutarmediantePowerShell:
Invoke-IpamGpoProvisioning
Si no utiliza las directivas de grupo propuestas, deber configurar manualmente los recursos compartidos, las
reglasdefirewallylosgruposdeseguridadnecesarios.
HagaclicenAplicarparaconfirmarlosparmetros.
- 8-
HagaclicenCerrar.
CreelasdirectivasmedianteelcomandoInvoke-IpamGpoProvisioning.
- 9-
Esimportanteespecificarelmismoprefijodedominioqueelquehaindicadoenelasistente!
Lasdirectivassecreanenlarazdeldominiocorrespondiente.Seaplican,portanto,atodoslosservidoresDNS,
DHCPyDC(paraaccederalaconfiguracindeNPS)deldominio.Idealmente,esposibledesplazarlaaplicacin
de dichas directivas sobre las unidades organizativas que contengan nicamente los servidores
correspondientes.Nohayqueolvidarqueloscontroladoresdedominiopertenecenauncontenedorespecfico.
HagaclicenlaetapasiguienteenConfigurardeteccindeservidores(etapanmero3delasistente).
HagaclicenAgregarsobrecadadominioquequieraadministrary,acontinuacin,validehaciendoclic
enAceptar.
Seleccioneaquellosrolesquedeseadescubrir.
Pordefecto,lostresroles(DNS,DHCP,Controladoresdedominio)estnseleccionados,locual
resultaaconsejable.HagaclicenAceptar.
- 10 -
HagaclicenIniciardeteccindeservidores(etapanmero4delasistente).
La ejecucin de la tarea aparece hasta el final de la ejecucin. El trfico no ser importante en un primer
momento,puestoquesetratadeconsultasLDAPeneldirectorio.
Haga clic en Seleccionar o agregar servidores para administrar y comprobar el acceso de IPAM
(etapanmero5delasistente).
Esprecisodefinirelestadodegestindecadaservidor,esdecir,sisedeseaadministrarloono.Esimportante
considerarbienlaaccinrecomendadaespecificadajuntoacadaservidor.
Seleccioneelservidorolosservidoresquedeseaconfigurary,acontinuacin,hagaclicconelbotn
derechoparadesplegarelsiguientemencontextual:
- 11 -
HagaclicenEditarservidorparaobtenerlasiguientepantalla:
SeleccioneelmodoAdministradoy,acontinuacin,hagaclicenAceptar.
ElretardoenelestadodelacomunicacinentrecadaservidoryelservidorIPAMapareceenla
parteinferiordelapgina.
- 12 -
Existenvarioselementosquepodranimpedirunacorrectacomunicacinsobretodosopartedelosmodosde
accesonecesarios.LasdirectivasanteriorestienencomoobjetivoautorizarIPAMaaccederalosservidoresque
poseanlosrolesadministrados.
Fuerce la aplicacin de las directivas IPAM en cada servidor DC, DHCP o DNS mediante el comando
GPUPDATE/FORCE.
ReinicielosserviciosDHCPyDNS.
Acontinuacin,utilicelaopcinActualizarelestadodeaccesodelservidor.Sitodovabien,elservidorpasaal
estadodesbloqueado(iconoverde).
Cadaunodeloscomponentesdeberapasaralestadodesbloqueado:
Puede ocurrir, generalmente en Windows Server 2008 R2, que el acceso al servicio DHCP se mantenga
bloqueado. En este caso, verifique que el recurso compartido DHCPAUDIT est creado correctamente en la
carpetaC:\Windows\system32\dhcp.
HagaclicenRecuperardatosdeservidoresadministrados(etapanmero6delasistente).
Ahora,todaslasfuncionalidadesIPAMseencuentranhabilitadas.
5.GruposutilizadosporIPAM
LossiguientesgruposdeseguridadsecreanenlabasededatoslocaldecuentasdelservidorIPAM:
UsuariosIPAM:losmiembrosdeestegrupopuedenvertodalainformacindisponibleenelinventario
deservidores,elespaciodedireccionamientoIPyelanlisisdelagestindelaconsolaIPAMascomo
loseventosoperacionalesIPAMyDHCPqueformanpartedelcatlogodeeventos,aunquenoconsultar
lainformacindeseguimientodelasdireccionesIP.
Administradores IPAM MSM: los miembros del grupo Administradores MSM (MultiServer Management,
gestin multiservidor) tienen los mismos permisos que los usuarios IPAM y, adems, pueden realizar
tareasdegestinIPAMcorrientesytareasdeanlisisydeadministracin.
Administradores IPAM ASM: los miembros del grupo de Administradores ASM (Address Space
Management, gestin del espacio de direccionamiento) tienen los mismos permisos que los usuarios
IPAMy,adems,puedenrealizartareasdegestinIPAMcorrientesascomotareasligadasalespacio
- 13 -
dedireccionamientoIP.
ExisteungrupodeseguridaduniversalIPAMUGquesecreasobreeldominiotraslaprimerainstalacin:
EstegrupodeequiposcontieneelprimerservidorIPAMinstalado.
EstegrupoestincluidoenlosEventLogReadersyUsuariosDHCPdeldominio.
6.Tareasdeadministracincotidianas
HagaclicenelmenACCIONESparaobtenerlasoperacioneshabitualessobrelasdireccionesIP:
EstemenAccionescontiene,tambin,lasdistintastareasplanificadas:
7.Limitacionesatenerencuenta
IPAM slo soporta controladores de dominio Microsoft, y servidores Windows 2008 o superior,
integradosenunbosquemedianteserviciosDHCP,DNSyNPS.
Estoquieredecirquelaherramientanogestionalaadministracinylaconfiguracindeelementosno
Microsoftdelared.Noobstante,esposibleincluirlosenlabasededatos.
- 14 -
LainstalacinpuedeahorautilizarlabasededatosinternadeWindowsounabasededatosubicada
enunservidorMSSQL2008osuperior.Presteatencin,labasededatosintegradaenWindowsest
ENI Editions - All rights reserved - Gabriel Alvarez Gomez
limitadaa4GB.
UnservidorIPAMescapazdegestionarhasta150servidoresDHCP,500servidoresDNS,6000mbitos
DHCPy150zonasDNS.
Labasededatosalmacenatresaosdeinformacinhistrica(contratos,direccionesMAC,conexionesy
desconexiones de los usuarios) de hasta 100000 usuarios. No existe ninguna estrategia de purgado
automtico,demodoquetendrquehacersemanualmentesifueranecesario.
ElanlisisdetendenciassobreelusodedireccionesIPydesolicitudessloestdisponibleparaIPv4.
NoexisteningnprocesamientoespecialparadireccionesdetipoIPv6autoconfiguradassinestado,ni
sobrelamigracindemquinasvirtuales.
IPAMnopermiteauditardireccionesIPv6autoconfiguradassobreunequipoquenoestadministrado
paraseguirunusuario.
IPAMnoverificalacoherenciadelasdireccionesIPconlosroutersyswitchsdelared.
8.LamigracindeIPAMaIPAM2012R2
La actualizacin de Windows Server 2012 a 2012 R2 conserva la funcionalidad IPAM, as como la mayora de
componentes instalados y configurados. En cambio, la base de datos IPAM debe actualizarse para poder
continuarsiendoadministraday,principalmente,aprovecharlasnuevasfuncionalidades.
AlarrancarlaherramientadelaconsolaIPAM,traslaconexin,aparecelaopcinActualizar elservidorIPAM.
HagaclicenActualizarelservidorIPAM.
HagaclicenSiguienteparainiciarelasistente.
- 15 -
Elasistenterealizaunaverificacindelabasededatos.Unavezterminada,hagaclicenSiguiente.
HagaclicenActualizar.
- 16 -
Hagaclic,acontinuacin,enCerrarenelresumendetareasdeactualizacin.
AparecelavisualizacinclsicadetodaslasopcionesdeadministracindelaconsolaIPAM:
9.LosrolesdeIPAM2012R2
LagestindelosrolessevemejoradaconWindowsServer2012R2,yesmuchomsgranular.
Laadministracinsedivide,ahora,en:
Roles:conjuntodeaccionesautorizadasparausuariosconcretos.
mbitosdeacceso:conjuntodeobjetosoderecursosautorizadosalosusuarios.
Pordefecto,existeunnicombitollamadoGlobal,queincluyetodoslosrecursos.
Directivasdeacceso:combinacinderolesydembitosdeacceso.
Ladelegacingranulardelaadministracinconsisteen:
Agregarrolessuplementariossiesnecesario.
Crearynombrarmbitosy,acontinuacin,asociarestosmbitosalosobjetoscorrespondientes.
- 17 -
Agregarusuariosogruposautorizados,asociarlessurolysumbitodeacceso.
a.Lalistaderolesintegrados
He aqu la lista de roles que se ofrecen por defecto. Cabe destacar que los roles no se corresponden,
exactamente,conlosgruposcreadosporIPAM.Adems,esposiblecrearnuestrospropiosroles:
RolAdministradorASMIPAM:
Esterolintegradoproveelasautorizacionesrequeridasparagestionarcompletamentelosespaciosde
direccionamiento IP, los bloques de direcciones IP, las subredes de direcciones IP, los rangos de
direccionesIPylasdireccionesIP.
RolAdministradordembitosDHCPIPAM:
EsterolintegradoproveelospermisosrequeridosparagestionarlosmbitosDHCP.
RolAdministradordereservasDHCPIPAM:
EsterolintegradoproveelospermisosrequeridosparagestionarlasreservasDHCP.
RolAdministradorderegistrosdedireccionesIP:
Este rol integrado provee los permisos requeridos para gestionar las direcciones IP, en particular la
bsqueda de direcciones IP no asignadas, as como la creacin y la eliminacin de instancias de
direccionesIP.
RolAdministradorderegistrosDNS:
EsterolintegradoproveelospermisosrequeridosparagestionarlosregistrosderecursosDNS.
RolAdministradorDHCPIPAM:
Este rol integrado provee los permisos requeridos para gestionar completamente un servidor DHCP,
ascomosusmbitosDHCP,susfiltrosdedireccionesMAC,susdirectivasDHCPysusreservasDHCP.
RolAdministradorIPAM:
Este rol integrado provee los permisos especificados por los roles Administrador ASM IPAM y
Administrador MSM IPAM, adems de los permisos necesarios para gestionar mbitos de acceso,
directivasdeaccesoygruposlgicos.
RolAdministradorMSMIPAM:
EsterolintegradoproveelospermisosrequeridosparagestionarcompletamentelosservidoresDHCP,
losmbitosglobalesDHCP,losmbitosDHCP,losfiltrosdedireccionesMAC,lasdirectivasDHCP,las
zonasDNSylosregistrosderecursosDNS.
b.Creacindeunrolpersonalizado
Sisequiere,porejemplo,delegarlamodificacinderegistrosDNSenlazonaDNSpblica nicamente,heaqu
lasetapasquedebeseguir.
Para crear un rol personalizado, basta con ir a la carpeta IPAM/CONTROL DE ACCESO/Roles de la
consola.
ElbotnTAREAS(ubicadoarribaaladerecha)permiteabrirelasistenteparaAgregarunrolde
usuario.
- 18 -
EscribaunNombrey,opcionalmente,unaDescripcindelrol.
Seleccione,acontinuacin,todaslasoperacionesautorizadasparaesterol.
c.Creacindeunmbitodeacceso
Paracrearunmbitopersonalizado,bastaconiralacarpetaIPAM/CONTROLDEACCESO/mbitode
accesoenlaconsola.
ElbotnTAREAS(ubicadoarribaaladerecha)permiteabrirelasistenteAgregarmbitode
acceso.
- 19 -
ElmbitopuedeubicarsedirectamentebajoelmbitoGlobal,oenotronivelsisedeseacrearuna
arborescenciamscompleja.
Acontinuacinesposibleasociarestembitoalosrecursosuobjetoscorrespondientes.
Pordefecto,todoslosrecursosdependendelmbitoGlobal.
- 20 -
Si desea delegar la zona pblica MiEmpresa.es, haga clic en el botn derecho en la zona
miempresa.esyseleccionelaopcindefinirmbitodeacceso.
Seleccioneelmbitodeaccesodeseado.
- 21 -
d.Definicindelasdirectivasdeacceso
Hastaahora,nohatenidolugar,realmente,ningunadelegacin.Agregandolosusuariosolosgruposescomo
seotorganlospermisosrealesdeadministracin.
VayaaIPAM/CONTROLDEACCESO/Directivasdeacceso.
HagaclicenelbotnTAREASy,acontinuacin,seleccioneAgregardirectivadeacceso.
Seleccioneelgrupooelusuariodesdeeldirectorio.
Hagaclic,acontinuacin,enConfiguracindeaccesoparapoderagregarcombinacionesderolesy
mbitos.
- 22 -
HagaclicenelbotnAgregarconfiguraciny,acontinuacin,enAplicar.
ComoconExchange,yconmuchosotrosproductos,latendenciaeshacialagranularidadenladelegacindela
administracinmedianteelusoderolespersonalizadosquegestionanunmbito.Elobjetivoesnoasignarms
queaquellospermisosnecesariosrelativosalasaccionesymbitosdeseados.
- 23 -