LaconsolaIPAM

LainstalacindelafuncionalidadIPAM(IPAddressManagement)tienecomoobjetivocentralizarlaadministracin
del direccionamiento IP utilizando por el conjunto de elementos dependientes de la infraestructura de red de
Microsoft.
Laherramientaestbasadaenunabasededatosquepermiteadministrareldescubrimiento,lasupervisinyla
auditoradeldireccionamiento.Estabasededatosconservayregistralainformacindurante3aosapartirde
criteriostalescomolasdireccionesIP,losnombresdelasmquinasodelosusuarios.Apartirdeestainformacin
centralizadayagregada,laconsolapermitirmodificarlaconfiguracinDNS,DHCPdemaneraremotateniendoen
cuentatodosloselementosnecesarios.
Lasfuncionalidadesquesetienenencuentason:

DHCP

DNS

NPS

Estaconsolanopuedeinstalarsesobreuncontroladordedominio.Encambio,sesposibleinstalarlaconsolade
administracinremotadeIPAMsobreuncontroladordedominio.

1.Ventajasdeestasolucin
Supervisar y administrar el direccionamiento IP sobre una red de empresa es un elemento crtico en la
administracindelared,conformestasevahaciendomsgrandeycompleja.
Muchosadministradoresutilizan,todava,tablasobasesdedatospersonalizadaspararealizarunseguimiento
manualdellugaryelusodelasdireccionesIP.Generalmente,estoconsumebastantetiempoysueleproducir
errores de tipo humano. El servidor IPAM es una herramienta que trata de dar solucin, precisamente, a esta
necesidad.

En trminos de planificacin, IPAM remplaza herramientas manuales y scripts. Permite evitar anlisis
costosos durante las expansiones o modificaciones del nivel de actividad, o durante cambios de
configuracinodetecnologa.
IPAM provee una plataforma de gestin nica para la administracin de las direcciones IP de la red.
PermiteoptimizarelusoylascapacidadesdelosserviciosDHCPyDNSenunentornomultisitio.
IPAMpermitetrazarypreverelusodelconjuntodedireccionesIPutilizadas.Elanlisisdelatendencia
generalpermitirprevermejorciertosincidentes.
LaauditorarealizadaporIPAMayudaacubrirciertasexigenciaslegalesasociadasaleyestalescomo
HIPAAySarbanesOxley,yproveeinformesquepermiteninvestigarygestionarloscambios.

2.LaarquitecturaIPAM
Segn el tamao de la empresa y sus necesidades, el despliegue puede ser distribuido (un servidor IPAM por
sitio)ocentralizado(unnicoservidorparatodalaempresa),oinclusounacombinacindeambos.Ellmitede
coberturadeunservidorIPAMeselbosquedelqueformaparte.
CadaservidorIPAMseconfiguraparaadministrarunmbitoespecfico.Elmbitopuedeserundominio,unsitioy
puede tambin limitarse a una lista filtrada de servidores administrados. Un servidor IPAM puede, tambin,
definirseenlacopiadeseguridad.
IPAMsecomunicademaneraregularconloscontroladoresdedominio,losservidoresDNSyDHCPdelaredque
estnensudominiodecobertura.Cadaservidordeberadefinirsecomoadministradoonoadministrado!

ENI Editions - All rights reserved - Gabriel Alvarez Gomez

- 1-

Para que un servidor pueda ser administrado por IPAM, es necesario configurar la seguridad sobre dicho
servidor, de modo que el servidor IPAM pueda realizar la supervisin y modificar la configuracin si fuera
necesario. Las directivas de grupo son, por tanto, la herramienta ideal para automatizar esta configuracin
segnsielservidorestadministradoono.
Heaqulosprotocolosqueseutilizansegnlosserviciossolicitados:

Protocolosdeacceso
IPAMServer

RPC

WMI

RPC

WMI

RPC

WMI

RPC

SMB

LDAP

Servicios
WSMgmt

DHCP

WSMgmt

DNS

Controladores
dedominio

NPS

3.Instalacin
Comoconlosdemselementos,lainstalacinpuedehacersedeformagrficaomediantecomandosPowerShell.
SeleccionelafuncionalidadServidordeadministracindedireccionesIP(IPAM).

ValidelalistadelasdemsfuncionalidadesnecesariashaciendoclicenAgregarcaractersticas.

- 2-

ENI Editions - All rights reserved - Gabriel Alvarez Gomez

ObservequesenecesitalabasededatosinternadeWindowsparalaprimerainstalacin.IPAMpara
WindowsServer2012R2soportalamigracindeMSSQL,aunquenolopropone,pordefecto,durante
suinstalacin.Lamigracinsedescribealfinaldelmdulo.
HagaclicenSiguiente.

HagaclicenInstalar.

ENI Editions - All rights reserved - Gabriel Alvarez Gomez

- 3-

Instalelaconsolasobreotroservidor2012reservadoparalaadministracinosobreelcontroladorde
dominio.
SielcomponenteIPAMseinstalasobreunservidor,elcomponentesemuestraeneladministradordelservidor,
aunqueslopuedeutilizarsesielclientedegestinIPAMestinstalado.Heaquelcomandoquedebeutilizar
enestecaso:
Install-WindowsFeature IPAM-Client-Feature

4.Configuracininicial
Acceda a la consola de administracin, desde el administrador del servidor, que contiene la
herramientaIPAM/Informacingeneral.

- 4-

ENI Editions - All rights reserved - Gabriel Alvarez Gomez

Laconfiguracinserealizaenseisetapas.
HagaclicenConectarconservidorIPAM(etapanmero1delasistente).
SeleccioneelservidorIPAMdeseadoyhagaclicenAceptar:

Haga clic en Aprovisionar el servidor IPAM (etapa nmero 2 del asistente) y, a continuacin, en
Siguiente.

ENI Editions - All rights reserved - Gabriel Alvarez Gomez

- 5-

Seleccionelaconfiguracinbsicaquedesea.

SeleccioneelmodoMicrosoftSQLServery,acontinuacin,indique:

- 6-

ENI Editions - All rights reserved - Gabriel Alvarez Gomez

elnombredelservidorSQL

elnombredelabasededatosSQL

elpuerto1433

ysiesnecesariocrearelesquemaenlabasededatos.

Acontinuacin,validehaciendoclicenSiguiente.
Observeque,utilizandolabasededatosInterna,ahoraesposiblecambiarlaubicacindedicha
basededatos.
ConfigurelacuentadeaccesoaSQL.

Paraqueelaccesoylacreacindelabasededatosserealicencorrectamente,verifiquebienlos
siguientespuntos:

ElfirewalldebeautorizarlaconexinsobreelpuertoSQL(1433).

ElservidorIPAMdebetenerpermisosparaconectarse.

LasolucinmssencillaconsisteencrearungrupodeACCESO_IPAM_SQLquecontengaalservidor
IPAMenActiveDirectoryy,acontinuacin,crearunloginenSQLparadichogrupo.Asigne,a
continuacin,elrolDbCreatoradichologin.
Seleccioneelmtododeaprovisionamientopordirectivadegrupoeindiqueelprefijoseleccionado.

ENI Editions - All rights reserved - Gabriel Alvarez Gomez

- 7-

ObserveelcomandoquetendrqueejecutarmediantePowerShell:

Invoke-IpamGpoProvisioning
Si no utiliza las directivas de grupo propuestas, deber configurar manualmente los recursos compartidos, las
reglasdefirewallylosgruposdeseguridadnecesarios.
HagaclicenAplicarparaconfirmarlosparmetros.

- 8-

ENI Editions - All rights reserved - Gabriel Alvarez Gomez

HagaclicenCerrar.

CreelasdirectivasmedianteelcomandoInvoke-IpamGpoProvisioning.

ENI Editions - All rights reserved - Gabriel Alvarez Gomez

- 9-

Invoke-IpamGpoProvisioning -Domain MiEmpresa.Priv -GpoPrefixName IPAM

-force

Esimportanteespecificarelmismoprefijodedominioqueelquehaindicadoenelasistente!
Lasdirectivassecreanenlarazdeldominiocorrespondiente.Seaplican,portanto,atodoslosservidoresDNS,
DHCPyDC(paraaccederalaconfiguracindeNPS)deldominio.Idealmente,esposibledesplazarlaaplicacin
de dichas directivas sobre las unidades organizativas que contengan nicamente los servidores
correspondientes.Nohayqueolvidarqueloscontroladoresdedominiopertenecenauncontenedorespecfico.
HagaclicenlaetapasiguienteenConfigurardeteccindeservidores(etapanmero3delasistente).

HagaclicenAgregarsobrecadadominioquequieraadministrary,acontinuacin,validehaciendoclic
enAceptar.
Seleccioneaquellosrolesquedeseadescubrir.
Pordefecto,lostresroles(DNS,DHCP,Controladoresdedominio)estnseleccionados,locual
resultaaconsejable.HagaclicenAceptar.

- 10 -

ENI Editions - All rights reserved - Gabriel Alvarez Gomez

HagaclicenIniciardeteccindeservidores(etapanmero4delasistente).

La ejecucin de la tarea aparece hasta el final de la ejecucin. El trfico no ser importante en un primer
momento,puestoquesetratadeconsultasLDAPeneldirectorio.

Haga clic en Seleccionar o agregar servidores para administrar y comprobar el acceso de IPAM
(etapanmero5delasistente).

Esprecisodefinirelestadodegestindecadaservidor,esdecir,sisedeseaadministrarloono.Esimportante
considerarbienlaaccinrecomendadaespecificadajuntoacadaservidor.
Seleccioneelservidorolosservidoresquedeseaconfigurary,acontinuacin,hagaclicconelbotn
derechoparadesplegarelsiguientemencontextual:

ENI Editions - All rights reserved - Gabriel Alvarez Gomez

- 11 -

HagaclicenEditarservidorparaobtenerlasiguientepantalla:

SeleccioneelmodoAdministradoy,acontinuacin,hagaclicenAceptar.
ElretardoenelestadodelacomunicacinentrecadaservidoryelservidorIPAMapareceenla
parteinferiordelapgina.

- 12 -

ENI Editions - All rights reserved - Gabriel Alvarez Gomez

Existenvarioselementosquepodranimpedirunacorrectacomunicacinsobretodosopartedelosmodosde
accesonecesarios.LasdirectivasanteriorestienencomoobjetivoautorizarIPAMaaccederalosservidoresque
poseanlosrolesadministrados.
Fuerce la aplicacin de las directivas IPAM en cada servidor DC, DHCP o DNS mediante el comando
GPUPDATE/FORCE.
ReinicielosserviciosDHCPyDNS.
Acontinuacin,utilicelaopcinActualizarelestadodeaccesodelservidor.Sitodovabien,elservidorpasaal
estadodesbloqueado(iconoverde).

Cadaunodeloscomponentesdeberapasaralestadodesbloqueado:

Puede ocurrir, generalmente en Windows Server 2008 R2, que el acceso al servicio DHCP se mantenga
bloqueado. En este caso, verifique que el recurso compartido DHCPAUDIT est creado correctamente en la
carpetaC:\Windows\system32\dhcp.
HagaclicenRecuperardatosdeservidoresadministrados(etapanmero6delasistente).
Ahora,todaslasfuncionalidadesIPAMseencuentranhabilitadas.

5.GruposutilizadosporIPAM
LossiguientesgruposdeseguridadsecreanenlabasededatoslocaldecuentasdelservidorIPAM:

UsuariosIPAM:losmiembrosdeestegrupopuedenvertodalainformacindisponibleenelinventario
deservidores,elespaciodedireccionamientoIPyelanlisisdelagestindelaconsolaIPAMascomo
loseventosoperacionalesIPAMyDHCPqueformanpartedelcatlogodeeventos,aunquenoconsultar
lainformacindeseguimientodelasdireccionesIP.
Administradores IPAM MSM: los miembros del grupo Administradores MSM (MultiServer Management,
gestin multiservidor) tienen los mismos permisos que los usuarios IPAM y, adems, pueden realizar
tareasdegestinIPAMcorrientesytareasdeanlisisydeadministracin.
Administradores IPAM ASM: los miembros del grupo de Administradores ASM (Address Space
Management, gestin del espacio de direccionamiento) tienen los mismos permisos que los usuarios
IPAMy,adems,puedenrealizartareasdegestinIPAMcorrientesascomotareasligadasalespacio

ENI Editions - All rights reserved - Gabriel Alvarez Gomez

- 13 -

dedireccionamientoIP.

Administradores de auditora IPAM IP: losmiembrosdelgrupodeadministradoresdeauditoraIPAM

tienenlosmismosprivilegiosquelosusuariosIPAM.Pueden realizartareasdegestinIPAMcorrientesy,
adems,verlainformacindeseguimientodelasdireccionesIP.
Administradores IPAM: los miembros de este grupo tienen permisos sobre todos los datos IPAM y
puedenrealizarcualquiertarea.

ExisteungrupodeseguridaduniversalIPAMUGquesecreasobreeldominiotraslaprimerainstalacin:

EstegrupodeequiposcontieneelprimerservidorIPAMinstalado.

EstegrupoestincluidoenlosEventLogReadersyUsuariosDHCPdeldominio.

6.Tareasdeadministracincotidianas
HagaclicenelmenACCIONESparaobtenerlasoperacioneshabitualessobrelasdireccionesIP:

EstemenAccionescontiene,tambin,lasdistintastareasplanificadas:

7.Limitacionesatenerencuenta

IPAM slo soporta controladores de dominio Microsoft, y servidores Windows 2008 o superior,
integradosenunbosquemedianteserviciosDHCP,DNSyNPS.
Estoquieredecirquelaherramientanogestionalaadministracinylaconfiguracindeelementosno
Microsoftdelared.Noobstante,esposibleincluirlosenlabasededatos.

- 14 -

LainstalacinpuedeahorautilizarlabasededatosinternadeWindowsounabasededatosubicada
enunservidorMSSQL2008osuperior.Presteatencin,labasededatosintegradaenWindowsest
ENI Editions - All rights reserved - Gabriel Alvarez Gomez

limitadaa4GB.

UnservidorIPAMescapazdegestionarhasta150servidoresDHCP,500servidoresDNS,6000mbitos
DHCPy150zonasDNS.
Labasededatosalmacenatresaosdeinformacinhistrica(contratos,direccionesMAC,conexionesy
desconexiones de los usuarios) de hasta 100000 usuarios. No existe ninguna estrategia de purgado
automtico,demodoquetendrquehacersemanualmentesifueranecesario.
ElanlisisdetendenciassobreelusodedireccionesIPydesolicitudessloestdisponibleparaIPv4.
NoexisteningnprocesamientoespecialparadireccionesdetipoIPv6autoconfiguradassinestado,ni
sobrelamigracindemquinasvirtuales.
IPAMnopermiteauditardireccionesIPv6autoconfiguradassobreunequipoquenoestadministrado
paraseguirunusuario.
IPAMnoverificalacoherenciadelasdireccionesIPconlosroutersyswitchsdelared.

8.LamigracindeIPAMaIPAM2012R2
La actualizacin de Windows Server 2012 a 2012 R2 conserva la funcionalidad IPAM, as como la mayora de
componentes instalados y configurados. En cambio, la base de datos IPAM debe actualizarse para poder
continuarsiendoadministraday,principalmente,aprovecharlasnuevasfuncionalidades.
AlarrancarlaherramientadelaconsolaIPAM,traslaconexin,aparecelaopcinActualizar elservidorIPAM.
HagaclicenActualizarelservidorIPAM.

HagaclicenSiguienteparainiciarelasistente.

ENI Editions - All rights reserved - Gabriel Alvarez Gomez

- 15 -

Elasistenterealizaunaverificacindelabasededatos.Unavezterminada,hagaclicenSiguiente.

HagaclicenActualizar.

- 16 -

ENI Editions - All rights reserved - Gabriel Alvarez Gomez

Hagaclic,acontinuacin,enCerrarenelresumendetareasdeactualizacin.
AparecelavisualizacinclsicadetodaslasopcionesdeadministracindelaconsolaIPAM:

9.LosrolesdeIPAM2012R2
LagestindelosrolessevemejoradaconWindowsServer2012R2,yesmuchomsgranular.
Laadministracinsedivide,ahora,en:

Roles:conjuntodeaccionesautorizadasparausuariosconcretos.

mbitosdeacceso:conjuntodeobjetosoderecursosautorizadosalosusuarios.
Pordefecto,existeunnicombitollamadoGlobal,queincluyetodoslosrecursos.

Directivasdeacceso:combinacinderolesydembitosdeacceso.

Ladelegacingranulardelaadministracinconsisteen:

Agregarrolessuplementariossiesnecesario.

Crearynombrarmbitosy,acontinuacin,asociarestosmbitosalosobjetoscorrespondientes.

ENI Editions - All rights reserved - Gabriel Alvarez Gomez

- 17 -

Agregarusuariosogruposautorizados,asociarlessurolysumbitodeacceso.

a.Lalistaderolesintegrados
He aqu la lista de roles que se ofrecen por defecto. Cabe destacar que los roles no se corresponden,
exactamente,conlosgruposcreadosporIPAM.Adems,esposiblecrearnuestrospropiosroles:

RolAdministradorASMIPAM:
Esterolintegradoproveelasautorizacionesrequeridasparagestionarcompletamentelosespaciosde
direccionamiento IP, los bloques de direcciones IP, las subredes de direcciones IP, los rangos de
direccionesIPylasdireccionesIP.

RolAdministradordembitosDHCPIPAM:
EsterolintegradoproveelospermisosrequeridosparagestionarlosmbitosDHCP.

RolAdministradordereservasDHCPIPAM:
EsterolintegradoproveelospermisosrequeridosparagestionarlasreservasDHCP.

RolAdministradorderegistrosdedireccionesIP:
Este rol integrado provee los permisos requeridos para gestionar las direcciones IP, en particular la
bsqueda de direcciones IP no asignadas, as como la creacin y la eliminacin de instancias de
direccionesIP.

RolAdministradorderegistrosDNS:
EsterolintegradoproveelospermisosrequeridosparagestionarlosregistrosderecursosDNS.

RolAdministradorDHCPIPAM:
Este rol integrado provee los permisos requeridos para gestionar completamente un servidor DHCP,
ascomosusmbitosDHCP,susfiltrosdedireccionesMAC,susdirectivasDHCPysusreservasDHCP.

RolAdministradorIPAM:
Este rol integrado provee los permisos especificados por los roles Administrador ASM IPAM y
Administrador MSM IPAM, adems de los permisos necesarios para gestionar mbitos de acceso,
directivasdeaccesoygruposlgicos.

RolAdministradorMSMIPAM:
EsterolintegradoproveelospermisosrequeridosparagestionarcompletamentelosservidoresDHCP,
losmbitosglobalesDHCP,losmbitosDHCP,losfiltrosdedireccionesMAC,lasdirectivasDHCP,las
zonasDNSylosregistrosderecursosDNS.

b.Creacindeunrolpersonalizado
Sisequiere,porejemplo,delegarlamodificacinderegistrosDNSenlazonaDNSpblica nicamente,heaqu
lasetapasquedebeseguir.
Para crear un rol personalizado, basta con ir a la carpeta IPAM/CONTROL DE ACCESO/Roles de la
consola.
ElbotnTAREAS(ubicadoarribaaladerecha)permiteabrirelasistenteparaAgregarunrolde
usuario.

- 18 -

ENI Editions - All rights reserved - Gabriel Alvarez Gomez

EscribaunNombrey,opcionalmente,unaDescripcindelrol.
Seleccione,acontinuacin,todaslasoperacionesautorizadasparaesterol.

c.Creacindeunmbitodeacceso
Paracrearunmbitopersonalizado,bastaconiralacarpetaIPAM/CONTROLDEACCESO/mbitode
accesoenlaconsola.
ElbotnTAREAS(ubicadoarribaaladerecha)permiteabrirelasistenteAgregarmbitode
acceso.

ENI Editions - All rights reserved - Gabriel Alvarez Gomez

- 19 -

ElmbitopuedeubicarsedirectamentebajoelmbitoGlobal,oenotronivelsisedeseacrearuna
arborescenciamscompleja.

Acontinuacinesposibleasociarestembitoalosrecursosuobjetoscorrespondientes.
Pordefecto,todoslosrecursosdependendelmbitoGlobal.

- 20 -

ENI Editions - All rights reserved - Gabriel Alvarez Gomez

Si desea delegar la zona pblica MiEmpresa.es, haga clic en el botn derecho en la zona
miempresa.esyseleccionelaopcindefinirmbitodeacceso.
Seleccioneelmbitodeaccesodeseado.

ENI Editions - All rights reserved - Gabriel Alvarez Gomez

- 21 -

d.Definicindelasdirectivasdeacceso
Hastaahora,nohatenidolugar,realmente,ningunadelegacin.Agregandolosusuariosolosgruposescomo
seotorganlospermisosrealesdeadministracin.
VayaaIPAM/CONTROLDEACCESO/Directivasdeacceso.
HagaclicenelbotnTAREASy,acontinuacin,seleccioneAgregardirectivadeacceso.
Seleccioneelgrupooelusuariodesdeeldirectorio.

Hagaclic,acontinuacin,enConfiguracindeaccesoparapoderagregarcombinacionesderolesy
mbitos.

- 22 -

ENI Editions - All rights reserved - Gabriel Alvarez Gomez

HagaclicenelbotnAgregarconfiguraciny,acontinuacin,enAplicar.
ComoconExchange,yconmuchosotrosproductos,latendenciaeshacialagranularidadenladelegacindela
administracinmedianteelusoderolespersonalizadosquegestionanunmbito.Elobjetivoesnoasignarms
queaquellospermisosnecesariosrelativosalasaccionesymbitosdeseados.

ENI Editions - All rights reserved - Gabriel Alvarez Gomez

- 23 -