IPAM es una herramienta integrada en Server Manager que nos permite monitorizar servidores de infraestructuras como DC, DNS y NPS y además de monitorizar también permite gestionar el DHCP. Está disponible a partir de Windows Server 2012.

Prerrequisitos para instalar IPAM:

  • El servidor IPAM tiene que estar unido al dominio.
  • Tenemos que usar una cuenta de dominio para instalarlo, nosotros vamos a usar una Enterprise Admin.
  • IPv6 tiene que estar habilitado para poder administrar IPv6.
  • Debes estar en el grupo correcto de IPAM, esto se hace una vez instalado.
  • Tenemos que habilitar una cuenta para los eventos de inicio de sesión de cuentas.
  • Tenemos que evitar instalarlo en un DC, DNS o NPS y NO puede instalarse un DHCP ya que se queda sordo e IPAM Discovery no funcionaría.

Requerimientos de Hardware y Software:

  • CPU Dual Core 2.0 GHz
  • Windows Server 2012
  • 4 GB de RAM
  • 80 GB de espacio libre en disco

Para hacer la demostración vamos a usar 3 máquinas, todas ejecutan Windows Server 2012 R2:

  • DC -> Es DC y DNS
  • DHCP -> Servidor DHCP
  • IPAM -> Va a ser nuestro servidor IPAM

 

Instalar IPAM:

Lo primero que tenemos que hacer es crear en Directorio Activo los grupos DHCP Administrators y DHCP Users, se puede hacer de dos formas:

1.      Terminando el proceso de configuración del DHCP en Server Manager:

2.      Por línea de comando con netsh, primero lanzamos el comando para crear los grupos y luego reiniciamos el servicio de DHCP:

 

Una vez realizado veremos en el Directorio Activo los dos grupos:

Ahora nos vamos al servidor IPAM e instalamos la característica de IPAM:

Una vez instalado accedemos desde la consola de Server Manager para hacer la configuración, como podemos ver nos indica los pasos que tenemos que seguir para configurarlo, el paso 1 ya está hecho, le daríamos al paso 2 que es el Aprovisionamiento del Servidor IPAM:

 

2. APROVISIONAMIENTO DE SERVIDOR IPAM

Este paso lo que hace es crear las reglas, grupos, etc que necesita IPAM para funcionar

En la primera ventana nos explica lo que es IPAM y nos sale una advertencia debajo en la que nos explica que si hacemos el aprovisionamiento basado en GPOs no podremos cambiar la configuración una vez finalice el asistente, tendríamos que hacer todo de nuevo.

En la siguiente ventana nos pide que indiquemos que base de datos queremos utilizar, en nuestro caso elegiremos WID porque no tenemos un SQL Server.

Después nos indica que tipo de aprovisionamiento queremos hacer, elegimos por GPOs y le ponemos el prefijo que queramos para las GPOs que vamos a crear:

En la siguiente ventana nos hace un resumen de lo que va a hacer y nos vuelve a avisar que si lo hacemos por GPOs no hay marcha atrás. Aplicamos y empieza el aprovisionamiento.

Una vez terminado nos indica que ha creado todas las reglas, grupos, etc y que para crear las GPOs deberemos usar el cmdlet Invoke-IpamGpoProvisiong, este comando lo usaremos una vez terminemos toda la configuración y así crear los filtros de seguridad necesarios para que sólo se aplique a los servidores que deba.

3. CONFIGURAR DESCUBRIENTO DE SERVIDORES

En este paso lo que hacemos es indicar cuál o cuales son nuestros dominios y que servidores tiene que buscar en ellos

Como podéis ver en la imagen, hemos añadido nuestro único dominio, adatum.com, y le hemos indicado que busque todos los Domain Controller, DHCP Server y DNS Server, en nuestro caso DC (Domain Controller y DNS Server) y DHCP (DHCP Server).

4. EMPEZAR DESCUBRIMIENTO DE SERVIDORES

Este paso lo que hace es buscar en el dominio o dominios que le hemos indicado, los servidores de infraestructura que le hemos marcado.

Una vez completado vamos a crear las GPOs necesarias por medio de PowerShell, el comando es Invoke-IpamGpoProvisioning y le tenemos que indicar el dominio, el prefijo de las GPOs, el FQDS del servidor IPAM y el usuario que va a administrar IPAM inicialmente:

Invoke-IpamGpoProvisioning -Domain adatum.com -GpoPrefixName IPAM –IpamServerFqdn ipam.adatum.com -DelegatedGpoUser Administrator

Lo que nos dice es que vamos a crear 3 GPOs y que el prefijo que vamos a utilizar tiene que ser el mismo que hemos puesto antes.

Una vez creadas las GPOs vamos al DC y añadimos los filtros de seguridad necesarios para que cada GPO se aplique al servidor, o servidores, correspondiente:

En el DC y en el DHCP hacemos un gpupdate /force y un gpresult /r y vemos si se aplican las políticas:

DC:

DHCP:

Uno de los grupos que crea en el aprovisionamiento es IPAMUG, este grupo tiene que tener como miembro al servidor de IPAM y a su vez tiene que ser miembro del grupo Event Log Reader para poder llevar a cabo tareas de auditoria mirando los log de eventos. Lo comprobamos en el DC:


También una de las tareas que hace en la configuración es compartir la base de datos DHCP que se encuentra en el servidor como dhcpaudit, si vamos a Server Manager a File and Storage Services / Shares veremos que está compartida:

Por último nos queda configurar en IPAM los servidores gestionados, por defecto todos los servidores de infraestructuras que ha descubierto los deja como No Gestionado, debemos cambiar el estado a Gestionado y decidir lo que queremos gestionar de cada servidor.

Así que nos vamos en Server Manager a IPAM / Server Inventory, pinchamos en el servidor que queremos gestionar y le damos a Edit Server…:

Cambiamos el valor a Managed y marcamos DC y DNS Server en DC y DHCP Server en DHCP:

Puede ser que nos de estado Blocked (Bloqueado), si es así deberemos reiniciar los servidores de infraestructuras para que se apliquen correctamente las GPOs:

Una vez reiniciado, aparece Unblocked:

Ya tenemos completamente instalado y configurado nuestro servidor IPAM.

Autor: Miguel Ángel Rentero Lavín
Curso: MCSA+MCSE, Tajamar 2015/16