Wer einen ersten Blick auf den Windows Server 2012 von Microsoft wirft, wird zunächst einmal die neue Oberfläche in Stil von Windows 8 und die damit verbundenen Hürden bemerken, die sich für Anwender und Administratoren bei der Umstellung auf dieses neue Konzept am Anfang sicher ergeben.
Allerdings haben sich die Microsoft-Ingenieure bei Windows Server doch deutlich mehr zurückgehalten als bei Windows 8: Unter der neuen "Haube" steckt nach wie vor ein mächtiger Windows-Server, der gerade bei Kontroll- und Verwaltungsfunktionen eine große Zahl von Neuheiten zu bieten hat. Viele diese Erweiterungen und Neuheiten sind gerade im Netzwerkbereich zu finden. Dazu gehören dann unter anderem Features wie:
-
Netzwerkvirtualisierung unter Hyper-V,
-
das NIC-Teaming,
-
Erweiterungen bei DHCP und DNS,
-
ein neues Authentifizierungsprotokoll mit der Bezeichnung EAP-TTLS (Extensible Authentication Protocol -Tunneled Transport Layer Security) sowohl für drahtlose als auch für die üblichen Netzwerkverbindungen und
-
IPAM.
Bei IPAM (IP Address Management), der IP-Adressverwaltung, handelt es sich nicht um eine grundsätzlich neue Technik, denn schon bisher boten Firmen wie Solarwinds oder efficient iP entsprechende Lösungen für das IP-Management an. Auch Ciscos Network Registrar oder die Open-Source-Lösung NetDB (Network Tracking Database) stellen ähnliche oder auch sehr viel weiter reichende Funktionalitäten bereit.
Neu ist die Integration einer solchen Technik direkt in einen Windows-Server. Sie wird bisher auch nur auf Windows Server 2012 angeboten, und es sieht aktuell nicht so aus, als würde Microsoft dieses Feature auch den Anwendern von Windows Server 2008 R2 oder gar älteren Serverversionen als Update anbieten.
- Windows Server 2012
Der Server-Manager ist das zentrale Verwaltungswerkzeug in Windows Server 2012 mit wesentlich mehr Funktionen als in Windows Server 2008 R2. - Windows Server 2012
Remotedesktop-Server und virtuelle Desktops lassen sich in Windows Server 2012 leichter und schneller einrichten – im Vergleich zum Vorgänger. - Windows Server 2012 Essentials
Mit dem Dashboard verwalten Administratoren alle Einstellungen in Windows Server 2012 Essentials, genauso wie in SBS 2011 Essentials. - Windows Server 2012 - PowerShell 3.0
Windows Server 2012 enthält auch eine neue Version der PowerShell mit einer Vielzahl neuer Funktionen. - Windows Server 2012 Essentials
Clientcomputer mit Windows 8 können Daten auf Server mit Windows Server 2012 Essentials über einen Agenten sichern.
Was ist die IP-Adressverwaltung?
Für die meisten Administratoren gehört es zum Tagesgeschäft, die IP-Adressen in ihrem Netzwerk zu verwalten. Doch auf die Frage, wie diese Adressen eigentlich verwaltet werden, geben viele IT- und Systemverantwortliche dann doch eher eine ausweichende Antwort. Es zeigt sich, dass eine eigentliche "Verwaltung" dieser Adresse häufig nicht stattfindet - und wenn doch, dann beschränkt sie sich mindestens ebenso häufig auf die Auflistung der IP-Adressen in einem Excel-Tabellenblatt.
Foto: Microsoft TechNet
Die eigentliche Verwaltungsarbeit wird in Einsatz und Pflege der DNS- und DHCP-Server im Unternehmensnetzwerk gesteckt. Aber die Anzahl der unterschiedlichsten Geräte im Netzwerk steigt stetig an, und der "Verbrauch" an IP-Adressen wird nicht zuletzt auch durch den stetigen Zuwachs an virtualisierten Systemen immer weiter steigen. Rechnet man dann noch hinzu, dass sich in den Unternehmensnetzen in nächster Zeit immer mehr IPv6-Geräte befinden werden, so wird klar, dass es für Administratoren immer schwerer und zeitaufwendiger wird, den Überblick über die vergebenen und verwendeten IP-Adressen zu behalten.
Hier soll IPAM die Administratoren durch eine weitgehende Automatisierung entlasten können. IPAM ist, kurz gesagt, eine Technik, die Netzwerk- und Systemadministratoren dabei unterstützen soll, ihre IP-Adressen zu finden sowie den eigenen IP-Adressbereich im Unternehmensnetzwerk zu überwachen, zu kontrollieren und zu verwalten.
IPAM - die Funktionen
Microsoft bezeichnet die IP-Adressverwaltung als Framework, mit dem die Systemadministratoren nicht nur die IP-Adressen, sondern auch die DNS- und DHCP-Server verwalten und überwachen können. Dazu stellt dieses Framework grundsätzlich die folgenden Funktionen bereit:
-
Adressen planen und zuteilen: Administratoren können beispielsweise die Adressblöcke planen, die von den verschiedenen Sites im Netzwerk benötigt werden. Ebenso können sie statische und auch öffentliche Adresse verwalten und diese je nach Bedarf zuweisen.
-
IP-Adressbereiche anzeigen: Hier kann der Systemverwalter sowohl den IPv4- als auch den iPv6-Bereich der Adressen in Form von IP-Adressblöcken wie auch in Adressbereichen oder in individuellen Adressen organisieren.
-
Server zentralisiert finden und verwalten: Die Software findet DHCP- und DNS-Server sowie die Domänen-Controller im eigenen Netzwerk automatisch. Mithilfe von IPAM können Administratoren diese dann zentral verwalten, sie aktivieren und deaktivieren und beispielsweise dynamische IP-Adressbereiche verwalten. Zudem überwacht IPAM die Verfügbarkeit dieser beiden Dienste.
-
Audit-Fähigkeiten: Aktivitäten und Änderungen an IP-Adressen können auf Geräte/Anwender-Basis nachverfolgt und kontrolliert werden. DHCP-Lease- und Anmeldungsereignisse werden vom Network Policy Server (NPS, Server für die Netzwerkrichtlinien), von den vorhandenen Domänen-Controllern und den DHCP-Servern gesammelt. Auch die Nachverfolgung kann auf Basis der IP-Adresse, der Client-ID, des Host- oder des Benutzernamens erfolgen.
Einsatz und Einschränkungen eines IPAM-Servers
Wie bereits erwähnt, steht der Microsoft-IPAM-Server nur auf Windows Server 2012 zur Verfügung. Innerhalb der Netzwerkinfrastruktur kann dieser Server auch andere DHCP-, DNS-, Domänencontroller- und Netzwerkrichtlinien-Server unter Windows Server 2008 und höher einbinden und verwalten. Andere Server werden nicht verwaltet, und auch andere Netzwerkgeräte wie Switches, Drucker oder Router beziehungsweise DHCP-Relays können nicht erfasst werden. Es werden jeweils nur die DHCP-, DNS- und NPS-Server einer einzelnen Active-Directory-Gesamtstruktur unterstützt.
Die Daten, die vom IPAM-Server ermittelt werden, speichert dieser in einer internen Windows-Datenbank. Diese kann vom Nutzer nicht durch eine andere Datenbank seiner eigenen Wahl ersetzt werden. In dieser Datenbank werden Daten wie An- und Abmeldeinformationen der Nutzer, MAC-Adressen der Hosts sowie die Adress-Leases der IP-Adressen laut Microsoft für bis zu 100.000 Nutzer (!)insgesamt drei Jahre lang abgespeichert. Leider stellt der Hersteller standardmäßig keine Richtlinie zur Verfügung, die ein automatisches Löschen dieser Daten erlaubt: An dieser Stelle muss der Administrator manuell eingreifen, um die Daten aus der internen Datenbank zu löschen. Insgesamt soll ein einziger dieser IPAM-Server bis zu 150 DHCP- und bis zu 500 DNS-Server unterstützen können. Weiterhin gibt Microsoft an, dass ein solcher Server mit bis zu 6000 DHCP-Bereichen und 150 DNS-Zonen arbeiten kann.
Weitere wichtige Voraussetzungen beim Einsatz von Windows Server 2012 als IPAM-Server: Der Rechner mit dem IPAM-Server sollte Mitglied einer Domäne sein, und das IPAM-Feature kann nicht auf einem Server installiert werden, der die Rolle eines Domänenservers ausführt.
Installation und Betrieb
Installation und Inbetriebnahme eines IPAM-Servers gehen mithilfe des Server-Managers relativ leicht und vor allen Dingen relativ konsistent (mit Ausnahme des Anlegens der Gruppenrichtlinienobjekte, auf das wir noch eingehen) von der Hand: Beim IP-Adressverwaltungsserver (IPAM-Server) handelt es sich um ein Feature von Windows Server 2012, das mithilfe des Assistenten zum Hinzufügen von Rollen und Features auf das System gelangt. Nachdem diese Installation durchgelaufen ist, findet der Administrator im Server-Manager nun auch den Verwaltungseintrag für den IPAM-Server.
Wird dieser ausgewählt, steht wiederum der sogenannte Schnellstart-Assistent bereit, der durch die ersten Schritte zur Installation des IPAM-Servers leitet. Sehr gut dabei: Der Server-Manager warnt den Nutzer, wenn er den IPAM-Server auf einem System installieren will, das nicht Mitglied einer AD-Domäne ist, und verweigert die Installation auf einem Server, auf dem die Rolle des Domänen-Controllers ausgeführt wird.
Als erster Schritt muss die Verbindung zu einem IPAM-Server hergestellt werden. Es ist möglich, IPAM-Server grundsätzlich auf zwei Arten bereitzustellen: Bei der verteilten Bereitstellung wird beispielsweise an jedem Unternehmensstandort ein separater IPAM-Server aufgestellt, während bei der zentralisierten Bereitstellung nur ein Server zum Einsatz kommt. Allerdings werden dabei die Daten, die von den IPAM-Servern in ihren Datenbanken gesammelt werden, nicht untereinander ausgetauscht, sodass sich Administratoren sehr genau überlegen sollten, auf welche Weise sie diese Server in ihrer Netzwerkinfrastruktur platzieren.
- IP Adress Management
Der Assistent im Server-Manager hilft bei der Einrichtung: Nachdem die Verbindung zum eigentlichem IPAM-Server hergestellt wurde, muss nun die zu verwaltende Domäne ausgewählt werden. - IP Adress Management
Die Bereitstellungsmethode für den IPAM-Server wählen: Hier gibt der Administrator an, ob die Bereitstellung auf Basis von Gruppenrichtlinien (Standard – müssen aber noch angelegt werden!) oder manuell erfolgen soll. - IP Adress Management
Um die notwendigen GPOs (Group Policy Objects) für Gruppenrichtlinien-basierte Bereitstellung anzulegen, muss der Administrator zur PowerShell greifen. Das Cmdlet Invoke-IpamGpoProvisioning arbeitet aber auch – wie hier zu sehen – im interaktiven Modus und fragt die benötigten Parameter ab. - IP Adress Management
Übersicht: Wer sehen will, welche zusätzlichen Cmdlets auf dem Windows-Server 2012 für IPAM bereitstehen, kann das mit Hilfe des Befehls Get-command -module IpamServer erreichen. Eine deutsche Hilfedatei steht wie unter Windows Server 2012 leider üblich, auch hier nicht zur Verfügung. - IP Adress Management
Die Gruppenrichtlinien sind angekommen und verknüpft: Auf dem verwalteten Windows-2008-Server sollen sie dafür sorgen, dass der IPAM-Server richtig und ohne Probleme auf die benötigten Daten zugreifen kann. - IP Adress Management
Verfügbare IP-Adresse suchen und zuordnen: Nach der Installation und Konfiguration bietet der IPAM-Server dem Administrator eine Reihe von Möglichkeiten, den Pool seiner IP-Adresse immer im Griff zu behalten.
Nachdem die Domäne(n) ausgewählt wurde, muss nun die Entscheidung fallen, wie die Bereitstellung erfolgen soll: Standardmäßig gibt der IPAM-Server vor, dass dies auf Basis von Gruppenrichtlinien erfolgt. Dadurch werden viele (aber leider nicht alle!) Einstellungen auf den verwalteten Servern automatisch konfiguriert. Dazu muss der Administrator an dieser Stelle nur ein Präfix für diese Gruppenrichtlinien eingeben. Das Anlegen der dazu nötigen Gruppenrichtlinien-Objekte (GPOs, Group Policy Objects) muss er dann allerdings nicht im Server-Manager, sondern mithilfe eines PowerShell-Cmdlets mit dem Namen:
Invoke-IpamGpoProvisioning
ausführen. Es bleibt für uns unverständlich, warum Microsoft diese Wechsel in der Administration erzwingt. Weitaus geradliniger wäre es nach unserem Dafürhalten, wenn der Administrator alle Tätigkeiten in der Windows-Oberfläche des Server-Managers durchführen könnte.
Mit dem Cmdlet Invoke-IpamProvisioning werden in der Domäne die drei Gruppenrichtlinienobjekte in einer Domäne angelegt, die dem Cmdlet mithilfe des Parameters "Domain" übergeben wird. Aber dieses Cmdlet kann auch im interaktiven Modus arbeiten, wenn es einfach ohne Parameter aufgerufen wird, und fragt dann die wichtigen Parameter vom Anwender ab (Bild 5).
Ist diese Einrichtung abgeschlossen, kann der Administrator nun die Server auswählen, die er mit IPAM verwalten möchte. Hier ist es besonders praktisch, dass die IPAM-Software zwar alle entsprechenden DHCP-, DNS- und Domänen-Server ab Windows 2008 findet, die sich im Netzwerk befinden, es aber allein die Entscheidung des Administrators bleibt, welche diese Server er mit der Software verwalten und überwachen möchte. Durch die vorher ausgerollten Gruppenrichtlinien sind grundsätzlich die Zugriffe auf die verwalteten Server möglich - allerdings müssen Administratoren noch dafür sorgen, dass auch wirklich alle Zugriffe sowie Firewall-Regeln richtig gesetzt sind.
Wir konnten bei unserer Testinstallation feststellen, dass trotz korrektem Ausrollen mithilfe der GPOs nicht alle Zugriffe sofort möglich waren. Erst mit Unterstützung der verschiedenen Fehlerbeschreibungen, die glücklicherweise von den Hilfedateien auf dem Windows Server angeboten wurden, konnten wir dann schließlich erreichen, dass für alle Server-Rollen, die wir auf Windows Server 2008 überwachen wollten, der Status "Blockierung aufgehoben" angezeigt wurde. Ist die Einrichtung abgeschlossen, so überwacht der IPAM-Server die entsprechenden Bereiche automatisch. Zudem existiert ein Zeitplan, über den der Server ständig nach neuen Servern innerhalb dieses Bereiches sucht.