IPAM – Installation et configuration sous Windows Server 2022
Sommaire
I. Présentation
Dans ce tutoriel, nous allons apprendre à installer et configurer la fonctionnalité IPAM de Windows Server. En quelques mots, on peut dire que le rôle IPAM de Windows Server permet à un administrateur de surveiller et de gérer l'adressage IP dans un réseau. Il fournit une vue centralisée de l'utilisation des adresses IP et offre des outils pour faciliter la gestion des plages d'adresses IP et des enregistrements DNS. Ce qui n'est pas surprenant quand on sait que IPAM signifie IP Address Manager.
Ainsi, vous avez une meilleure visibilité sur le taux d'utilisation de vos étendues DHCP (étendue surutilisée, étendue sous-utilisée, tendance dans le temps, etc.), mais aussi sur les réseaux que vous gérez via adresses IP fixes, car vous pouvez gérer les plages IP statiques et dynamiques avec la console IPAM. Quand vous devez intégrer un nouvel hôte avec une adresse IP statique, vous pouvez demander à IPAM de trouver une adresse IP disponible à votre place. Cette gestion des adresses IP est bien souvent réalisée à l'aide d'un fichier Excel, mais IPAM offre une vraie solution intégrée à Windows Server.
Pour cette mise en pratique, où nous allons installer et configurer IPAM sur Windows Server 2022, je vais utiliser un serveur applicatif sur lequel le rôle IPAM sera installé. Les serveurs DHCP et contrôleurs de domaine sont des serveurs différents, notamment car IPAM ne doit pas être mis en place sur un serveur DHCP. Il est à noter qu'IPAM est disponible sur les versions précédentes de Windows Server.
Remarque : IPAM prend en charge aussi bien l'adressage IPv4 qu'IPv6.
II. Installation d'IPAM sous Windows Server
Pour commencer, nous devons installer cette fonctionnalité à l'aide du Gestionnaire de serveur ou de PowerShell. Procédure habituelle, cliquez sur "Gérer" puis "Ajouter des rôles et fonctionnalités".
Passez la première étape, puis choisissez "Installation basée sur un rôle ou une fonctionnalité" et poursuivez.
Continuez jusqu'à l'étape "Fonctionnalités" où vous devez cocher "Serveur de gestion des adresses IP (IPAM)". Une seconde fenêtre va apparaître, cliquez sur "Ajouter des fonctionnalités" sans faire de modification dans le but d'installer tous les outils d'administrations liés à IPAM.
Une fois la sélection effectuée, poursuivez.
Lancez l'installation et patientez un instant.
Fermez l'assistant lorsque l'installation est terminée.
Au sein du Gestionnaire de serveur, à gauche, il y a une nouvelle entrée pour IPAM. Ceci permet d'accéder à une console d'utilisation et de configuration d'IPAM.
Cela tombe bien, car nous allons passer à la configuration du serveur IPAM.
III. Configurer le serveur IPAM
Pour commencer la configuration d'IPAM, cliquez sur "Configurer le serveur IPAM" (voir copie d'écran précédente). Un assistant va s'exécuter. Le premier écran vous informe sur les grands principes d'IPAM et de sa configuration.
Pour stocker ses informations, notamment celles relatives aux adresses IP, IPAM a besoin d'une base de données. Comme pour WSUS, nous pouvons utiliser une base de données interne Windows ou une base SQL Server. Ici, on s'oriente vers l'utilisation d'une "Base de données interne Windows (WID)".
Remarque : par défaut, la base de données sera stockée dans le répertoire de Windows, comme l'indique l'assistant.
Pour l'approvisionnement, c'est-à-dire la façon d'intégrer les serveurs gérés à IPAM, il y a le mode manuel ou le mode GPO. Clairement, le mode GPO est beaucoup plus simple et pratique, car on va automatiser la configuration via des stratégies de groupe. Cela est d'autant plus vrai qu'IPAM s'occupe d'appliquer les GPO aux bonnes machines.
Choisissez "Basée sur une stratégie de groupe" et indiquez un préfixe pour ces GPOs. Pour ma part, ce sera tout simplement le préfixe "IPAM".
Au final, l'assistant va créer trois GPO sur le domaine Active Directory : IPAM_DHCP, IPAM_DNS, IPAM_DC_NPS. En fait, si l'on gère un serveur DHCP avec IPAM, il héritera de la GPO "IPAM_DHCP".
Cliquez sur "Appliquer".
Lancez l'approvisionnement... Quand c'est fait, le message "Approvisionnement IPAM correctement effectué" est indiqué à l'écran.
Exécutez cette commande PowerShell en adaptant le nom du domaine AD pour créer les GPO IPAM :
Invoke-IpamGpoProvisioning -Domain it-connect.local -GpoPrefixName IPAMÀ partir de la console de gestion des GPOs, on peut visualiser les trois GPO évoquées par l'assistant de configuration d'IPAM.
Cette première étape de configuration est terminée.
IV. Configurer la découverte des serveurs avec IPAM
Poursuivons avec l'étape "Configurer la découverte de serveurs", accessible via la console IPAM.
Cliquez sur le bouton "Obtenir les forêts", ce qui aura pour effet de lancer une tâche de fond. Fermer la fenêtre "Configurer la découverte de serveurs" et quand la tâche est finalisée (ce sera indiqué dans le bandeau jaune), cliquez à nouveau sur "Configurer la découverte de serveurs".
Cette fois-ci, la forêt "it-connect.local" est visible ! On peut cliquer sur le bouton "Ajouter" en laissant tous les rôles cochés. Terminez en cliquant sur "OK".
Maintenant que la découverte est configurée, on va lancer cette fameuse découverte afin qu'IPAM analyse l'infrastructure à la recherche de serveurs qu'il peut gérer : contrôleurs de domaine, serveurs DHCP, serveurs DNS, et serveurs NPS.
Cliquez sur "Démarrer la découverte de serveurs".
Une tâche de fond est exécutée... Patientez pendant ce temps.
V. Gérer ses premiers serveurs avec IPAM
Quand la tâche est terminée, cliquez sur le bouton "Sélectionner ou ajouter des serveurs à gérer et vérifier l'accès IPAM".
Ici, il me détecte seulement un contrôleur de domaine. Par la suite, je vais déployer un serveur DHCP et l'ajouter à IPAM.
Effectuez un clic droit sur la machine et cliquez sur "Modifier le serveur".
Le serveur doit être passé sur l'état "Géré" au niveau de l'option "État de gérabilité". On peut constater qu'il a détecté automatiquement les rôles de ce serveur : Contrôleur de domaine et DNS. Cliquez sur "OK".
Le serveur passe en "Accès IPAM débloqué".
Par curiosité, on peut regarder les GPO afin de constater que la GPO "IPAM_DNS" (mais pas qu'elle) est liée au serveur "SRV-ADDS-01" grâce au filtrage de sécurité.
La console IPAM indique "Non démarré" sous "État de la récupération de données". Cela signifie que le serveur IPAM n'a pas encore récolté les informations du serveur désormais géré. L'idéal étant d'aller sur le serveur (SRV-ADDS-01) pour lancer un "gpupdate /force" puis de le redémarrer pour accélérer les choses ou de patienter.
D'ailleurs, cette GPO aura pour effet de créer une tâche planifiée.
Au bout d'un moment, la récupération des données sera terminée comme on peut le voir sur l'image ci-dessous.
À ce stade, le serveur IPAM est initialisé et gère un premier serveur. Voyons comment utiliser IPAM et comment ajouter un nouveau serveur manuellement, en l'occurrence un serveur DHCP.
VI. Exemples d'utilisation d'IPAM
Maintenant que le serveur IPAM est en place, nous allons le manipuler. Tout d'abord, dans la section IPAM du Gestionnaire de serveur, vous avez accès à un ensemble de menus que je vous invite à parcourir pour prendre en main IPAM. D'ailleurs, c'est dans la section "INVENTAIRE DE SERVEUR" que l'on voit les serveurs référencés par IPAM. En cliquant sur "Tâches" puis "Ajouter un serveur", on peut ajouter un serveur manuellement sinon il faut relancer la tâche de découverte.
A. Créer une réservation DHCP
À partir du moment où l'on gère des serveurs DHCP avec IPAM, on peut gérer toute la configuration à partir de cette console. Par exemple, on peut créer une réservation DHCP pour une machine. Pour cela, on choisit "Étendues DHCP" à gauche, puis on effectue un clic droit sur l'étendue concernée et on sélectionne "Créer une réservation DHCP".
Un assistant se lance : on doit donner un nom à cette réservation, indiquer l'adresse IP et l'ID du client c'est-à-dire l'adresse MAC. On peut aussi configurer les paramètres DNS pour cet enregistrement, ce qui n'est pas possible avec la console DHCP native.
Voilà, la réservation DHCP est créée sur mon serveur DHCP ! Même si l'on travaille via la console IPAM, cette réservation est visible dans la console DHCP !
B. Ajouter une plage d'adresses IP
On peut voir que mon serveur IPAM me permet de gérer mon serveur DHCP, et plus précisément, une plage d'adresses IP distribuées dynamiquement. J'aimerais utiliser IPAM pour gérer une plage d'adresses IP fixes que j'attribue au fur et à mesure à mes serveurs et équipements réseaux. Dans ce cas, c'est tout à fait possible en allant dans : ESPACE D'ADRESSAGE IP > Blocs d'adresses IP. Ici, on clique sur "Tâches" puis "Ajouter une plage d'adresses IP".
On configure la page d'adresses IP, en indiquant l'IP du réseau et le masque. Ensuite, on indique qu'il s'agit d'adresses IP distribuées manuellement en positionnant l'option "Adresses attribuées automatiquement" sur "Non". Puis, on indique l'adresse IP de début et l'adresse IP de fin, et on choisit le type d'attribution "Statique". Ce qui donne :
Voilà, mon serveur IPAM a deux plages d'adresses : celle gérée par mon serveur DHCP et celle gérée manuellement.
Maintenant, dans la section "Inventaire d'adresses IP", on peut ajouter une adresse IP : Tâches > Ajouter une adresse IP.
Ceci va me permettre de déclarer l'adresse IP utilisée par mes différents équipements. Par exemple, l'adresse IP "192.168.100.1" associée à un pare-feu. Voici comment compléter le formulaire :
Il ne reste plus qu'à valider afin que cette adresse IP soit enregistrée dans l'inventaire ! Désormais, on sait qu'elle est utilisée !
C. Rechercher une adresse IP disponible sur le réseau
Admettons que l'on souhaite rechercher une nouvelle adresse IP disponible sur le réseau (dans le bloc d'adresses IP de notre choix) dans l'optique d'attribuer cette adresse IP à une machine... Dans la section "Blocs d'adresses IP", on peut initier l'action "Rechercher et attribuer une adresse IP disponible".
Là, le serveur IPAM va faire en sorte d'identifier une adresse IP disponible à votre place. Pour cela, il effectue des pings sur les adresses IP donc il faut admettre que ce n'est pas 100% fiable à moins de faire le nécessaire pour autoriser le serveur IPAM à pinguer toutes les machines de l'entreprise. Une fois que l'adresse IP est identifiée, on peut créer une réservation DHCP dans la foulée (s'il s'agit d'une IP faisant partie d'une étendue DHCP).
VII. Conclusion
Grâce à ce tutoriel, vous êtes en mesure de mettre en place un serveur IPAM sous Windows Server 2022 pour gérer vos étendues DHCP et vos plages d'adresses IP statiques ! N'hésitez pas à explorer les différentes options (la gestion des zones DNS, par exemple) de cet outil très complet afin d'aller plus loin que les quelques exemples évoqués dans cet article.
Malgré ce très bon tuto, je n’ai pas la visu sur mes serveurs DHCP, je cherche de mon côté si je trouve quelque chose je vous en fait part 😉
Ok alors truc tout con, il fallait sélectionner les serveurs et rajouter le rôle DHCP à la mano
Puis, si jamais ça met le statut en rouge avec un IPAM bloqué, assurez vous que les GPO sont bien créés et que vous voyez bien vos bécanes dedans
retour sur l’interface IPAM, clique droit sur vos serveurs et > récupérer toutes les données serveurs
En esperant que ça aide une âme en peine
oui ça aide
merci pour l’info 😉
bonjour
j’ai fait avec mes stagiaires
il manque des infos
il faut rajouter les règles de filtrage du parefeu dans le serveur dhcp (port c’est 48885 ) snon il ne laisse pas le serveur ipam communiquer avec lui
si les gpo n’apparaissent pas dans le gestionnaire de stratégie de sécurité faire la commande powershell suivant
Invoke-IpamGpoProvisioning -domain $nom de domaine -gpoprefixname $nom de la regle -Ipamserverfqdn $nom fqdn du serveur ipam
il faut rajouter les utilisateurs authentifié dans les objets autorisé a utiliser les GPO, il faut que les GPO soit appliqué , pour appliquer un pti gpupdate /force et pour vérifié qu’elles sont bien appliqué gpresult /r
merci Loic
Je confirme les GPO n’étaient pas créées il faut effectivement lancer la commande Invoke + filtrage firewall + rajout utilisateurs authentifiés et appliquer les GPO
grand merci, il faudrait que l’auteur modifie l’article pour le mettre à jour.
Bonjour,
Quand j’ai fait mes tests, je n’ai pas eu besoin de lancer la commande Invoke pour créer les GPO. Et je vous déconseille de modifier le filtrage de sécurité sur les GPO IPAM car c’est lui qui va ajuster le filtrage en fonction des serveurs à cibler.
Bonjour,
J’ai suivi avec intérêt ce tuto et je suis malgré tout bloqué avec la création des GPO !
l’assistant de la première config s’était parfaitement déroulé mais les GPO ne se sont pas créées. J’ai utilisé la commande Invoke-IpamGpoProvisioning avec différentes combinaisons de paramètres et malgré ça j’ai systématiquement un message d’erreur « Invoke-IpamGpoProvisioning : Échec de l‘importation de l‘objet de stratégie de groupe. Données non valides. (Exception de HRESULT : 0x8007000D) ». Google ne m’a pas été d’un grand secours donc je me tourne vers des âmes charitables qui sauront peut-être m’aider !
Merci
Bonjour,
Il faut mettre le serveur à jour
Cordialement.
Bonjour Florian,
Merci pour ce Tuto (ton site est une mine d’or).
Je suis, comme certains visiblement, dans le cas ou les GPO ne se créent pas au moment du provisionning.
J’ai vu que des solutions étaient proposées par la communoté, mais que tu déconseilles de faire cela.
Quelle est la bonne pratique, que conseilles tu de faire pour « débloquer » ces gpo ?
bonjour
je recherche la console RSAT de IPAM
j’ai télécharger le RSAT mais je ne sais pas ou le trouver
Merci
Bonjour,
Pour IPAM, ça se passe directement dans le Gestionnaire de serveur, comme je le montre dans le tutoriel.