MINI-PROJET : IPAM

Filière : IDOSR

Groupe : 201

Réalisé par : HALA SADIQI & HIND EL QASIMY

Définition IPAM :
IPAM (IP Address Management) est une fonctionnalité intégrée dans les systèmes
d’exploitation Microsoft depuis Windows Server 2012. Elle donne la possibilité de découvrir,
surveiller, auditer et gérer une ou plusieurs plages d’adresses IP. De plus il est possible
d’effectuer des tâches d’administration et de surveillance des serveurs DHCP et DNS.

Les composants suivants sont compris dans la fonctionnalité :

Découverte automatique de l’infrastructure des adresses IP : cela permet d’effectuer la
découverte des contrôleurs de domaine, des serveurs DHCP et des serveurs DNS dans le domaine
souhaité.

Affichage, création de rapports et gestion personnalisés de l’espace d’adressage IP : cela

permet d’obtenir des informations sur le suivi et l’utilisation des adresses IP. Ainsi les espaces
d’adressages IPv4 et IPv6 peuvent être organisés en blocs d’adresses IP, en plages d’adresses IP et en
adresses IP individuelles.

Audit des modifications de configuration du serveur et suivi de l’utilisation des adresses IP :

permet l’affichage des différents événements opérationnels du serveur IPAM et DHCP géré par la
fonctionnalité. Un suivi des adresses IP, ID de client, nom d’hôte ou nom d’utilisateur est également
effectué. De plus les événements de baux DHCP et les événements d’ouverture de session utilisateur
sont collectés sur les serveurs NPS (Network Policy Server), sur les contrôleurs de domaine et sur les
serveurs DHCP.

Deux méthodes sont envisageables pour déployer des serveurs IPAM :

Distribuée : un serveur IPAM sur chaque site de l’entreprise.

Centralisée : un serveur pour l’ensemble de l’entreprise.

IPAM effectue des tentatives périodiques de localisation des contrôleurs de domaine, des serveurs
DNS et DHCP. Cette opération concerne évidemment les serveurs qui se trouvent dans l’étendue
(unité d’organisation, domaine ou site AD) des stratégies de groupe. Afin d’être gérés par IPAM et
d’autoriser l’accès à ce dernier, les paramètres de sécurité et les ports du serveur doivent être
configurés.
La communication entre le serveur IPAM et les serveurs gérés se fait par le biais de WMI ou RPC.

2. Les spécifications d’IPAM

L’étendue de la découverte pour les serveurs IPAM est limitée uniquement à une seule forêt Active
Directory. Les serveurs pris en charge (NPS, DNS et DHCP) doivent exécuter Windows Server 2008 (ou
versions ultérieures) et être joints à un domaine. Attention certains éléments réseau (WINS
Windows Internet Naming Service , proxys…) ne sont pas pris en charge par le serveur IPAM.

Une base de données de type interne peut être utilisée, il est également possible d’utiliser SQL
Server.

Un serveur IPAM peut prendre en charge plusieurs centaines de serveurs DHCP et serveurs DNS.

Néanmoins aucune stratégie consistant à nettoyer la base de données au bout d’un certain temps
n’est présente.

L’administrateur doit donc effectuer cette opération manuellement.

Avec l’installation d’IPAM, les fonctionnalités suivantes sont également installées :

Outils d’administration de serveur distant : installation des outils DHCP, DNS et du client
IPAM, ceci afin d’effectuer la gestion à distance des différents serveurs gérés.

Base de données interne Windows : une base de données doit être utilisée, elle peut être de
type interne (utilisable uniquement par certains rôles et fonctionnalités du système d’exploitation).
Depuis Windows Server 2012 R2, il est possible d’utiliser une base de données SQL Server (sur le
serveur IPAM ou un autre serveur).

Service d’activation des processus Windows : élimine la dépendance au protocole HTTP en

généralisant le modèle de processus IIS.

Gestion des stratégies de groupe : installe la console MMC permettant la gestion des
stratégies de groupe.

.NET Framework : installation de la fonctionnalité .NET Framework 4.5.

3. Fonctionnalité d’IPAM
Lors de l’installation de la fonctionnalité, les groupes locaux suivants sont créés :

Utilisateurs IPAM : les membres de ce groupe ont la possibilité d’afficher toutes les informations de
la découverte de serveur, ainsi que celles concernant l’espace d’adressage IP et la gestion de serveur.
L’accès aux informations de suivi des adresses IP leur est interdit.

Administrateurs IPAM MSM (MultiServer Management) : des droits d’utilisateur IPAM leur
sont attribués, ils ont également la possibilité d’effectuer des tâches de gestion de serveur et des
tâches de gestion courantes.

Administrateurs IPAM ASM (Address Space Management) : en plus des droits d’utilisateur
IPAM qui leur sont attribués, ils ont la possibilité d’effectuer des tâches d’adressage IP et des tâches
de gestion courantes.

Administrateurs d’Audit IPAM IP : les membres de ce groupe peuvent effectuer des tâches
de gestion courantes ainsi qu’afficher les informations de suivi d’adresse IP.
 Ces dernières sont régulièrement lancées en fonction d’une périodicité donnée. Elles sont
présentes dans le planificateur de tâches (Microsoft / Windows / IPAM).

Discovery Task : permet la découverte de manière automatique des serveurs DC, DHCP et
DNS.

Address Utilization Collection Task : effectue la collecte des données d’utilisation de

l’espace d’adressage pour les serveurs DHCP.

Audit Task : collecte des informations d’audit des serveurs DHCP, IPAM, NPS et DC ainsi que
celles des baux DHCP.

Configuration Task : les informations de configuration des serveurs DHCP, DNS pour ASM et
MSM sont recueillies.

Server Availability Task : l’état du service des serveurs DHCP et DNS est récupéré.

4. Installation d’IPAM
 Sur AD1, supprimez le basculement au niveau DHCP afin que lui seul soit serveur DHCP.
 Sur AD2, lancez la console Gestionnaire de serveur puis cliquez sur Ajouter des rôles et des
fonctionnalités.

IPAM ne doit pas être installé sur un contrôleur de domaine

 Lancez la console Gestionnaire de serveur sur le serveur AD2.
 Dans les fenêtres Sélectionner le type d’installation et Sélectionner le serveur de destination,
cliquez sur Suivant en laissant le choix par défaut.
 Dans la fenêtre de sélection des fonctionnalités, cochez la case Serveur de gestion des
adresses IP puis cliquez sur le bouton Ajouter des fonctionnalités dans la fenêtre qui
apparaît.
  Cliquez sur Installer pour lancer l’installation de la fonctionnalité.
 Dans la console Gestionnaire de serveur, cliquez sur IPAM afin d’afficher la page de
présentation

 Cliquez sur le lien Configurer le serveur IPAM.

 Cliquez sur Suivant dans la fenêtre Avant de commencer.
 Dans la fenêtre Configurer la base, laissez le choix par défaut est cliquer sur suivant

Choisissez une méthode d’approvisionnement Basée sur une stratégie de groupe.

Dans le champ Préfixe du nom d’objet de stratégie de groupe, saisissez SRVIPAM.

Validez les choix en cliquant sur Suivant et Appliquer.

L’approvisionnement est en cours…

Vérifiez à la fin la présence du message Approvisionnement IPAM correctement effectué

puis cliquez sur

Terminer.
Cliquez sur Configurer la découverte de serveurs.

Cliquez sur Obtenir les forêts afin d’ajouter le domaine Formation.local dans l’étendue.

Cliquez sur Ajouter.

Configurez les rôles à découvrir en décochant ceux non souhaités.

  Cliquez sur OK.
 Dans la fenêtre VUE D’ENSEMBLE, cliquez sur Démarrer la découverte.
 Cliquez sur Autres dans le bandeau jaune afin d’avoir plus de détails.

Attendez la fin de l’exécution.

Quand le champ Étape a la valeur Terminé pour l’ensemble des actions, fermez la fenêtre Détails et

notifications de la tâche Overview.

 Afin de limiter le nombre de serveurs utilisé, j’ai effectué une dépromotion du
serveur AD3. Vous pouvez ignorer cette dépromotion si vous le souhaitez.

 Cliquez sur Sélectionner ou ajouter des serveurs à gérer et vérifier l’accès IPAM.
 Le ou les serveurs ont l’état Bloqué dans État de l’accès IPAM et Non spécifié dans État de la
facilité de gestion.

Il est maintenant nécessaire de donner à AD2 le droit de gérer les différents

serveurs. Nous allons donc utiliser les objets de stratégie de groupe pour autoriser l’accès aux
serveurs NPS (Network Policy Server), DHCP (Dynamic Host Configuration Protocol) et DNS
(Domain Name System). Dans notre cas seul, DNS et DHCP sont présents sur le réseau local.

 Sur AD2, lancez une console Power Shell en tant qu’administrateur. Saisissez la commande
ci-dessous puis appuyez sur [Entrée] :

Invoke-IpamGpoProvisioning -Domain formation.local -GpoPrefixName

SRVIPAM -IpamServerFqdn ad2.formation.local

Le script peut être téléchargé depuis la page Informations générales.

 Cliquez sur la touche du clavier O, puis sur la touche [Entrée] pour valider la modification.
 De nouvelles stratégies sont présentes dans la console Gestion de stratégie de groupe.
  La stratégie SRVIPAM_DHCP contient les paramètres suivants :

Les stratégies sont liées par défaut à la racine du domaine.

Dans la console de configuration d’IPAM, effectuez un clic droit sur la ligne AD1 puis sélectionnez
Modifier serveur.

Cette opération devra être effectuée sur les autres serveurs présents dans la console.
Dans la liste déroulante État de gérabilité, sélectionnez Géré.

 Cliquez sur OK.

 Sur le serveur AD1, ouvrez une invite de commandes DOS et saisissez la commande gpupdate
/force
 puis redémarrez le serveur. Ceci permet l’application des stratégies de groupe
précédemment créées avec la commande PowerShell.
 Effectuez un clic droit sur la ligne Débloquer l’accès IPAM puis cliquez sur Actualiser l’état de
l’accès serveur. L’état de l’accès IPAM est maintenant Débloqué.
Si l’état n’est pas Débloqué, actualisez la console Gestionnaire de
serveur.
 Vérifiez l’application des stratégies de groupe si l’état reste bloqué.
Dans le bandeau VUE D’ENSEMBLE, cliquez sur Récupérer les données des serveurs gérés.

 Attendez la fin de la récupération (baux en cours…).

 Cliquez sur Blocs d’adresse IP dans la catégorie Espace d’adressage IP.
Les informations récupérées depuis le serveur DHCP s’affichent.

5. Opérations sur les adresses IP

IPAM a la possibilité de rechercher une adresse IP mais également d’effectuer la réservation et la
récupération d’une adresse. Ceci permet de pouvoir attribuer l’adresse fournie par IPAM à un poste
de façon statique.
 Cliquez sur Blocs d’adresse IP.
 Sélectionnez dans la liste déroulante Affichage actuel la valeur Plages d’adresses IP.

 Effectuez un clic droit sur la ligne de la plage d’adresses puis sélectionnez Rechercher et
attribuer une adresse IP disponible.
Un test de ping sur l’adresse IP ainsi que la recherche de l’enregistrement dans le DNS sont effectués.
Le résultat est affiché dans la fenêtre.
 Cliquez sur le bouton Rechercher la suivante.

 Cliquez sur le nœud Configurations de base.

 Saisissez 112233445566 dans le champ Adresse MAC.


Cliquez sur le nœud Réservation DHCP.
 Cochez la case Associer une adresse MAC à l’ID du client.
 Sélectionnez AD1.Formation.local dans la liste déroulante Nom du serveur de réservations.
 Saisissez PCFORM1 dans le champ Nom de la réservation puis sélectionnez Les deux dans la
liste
 déroulante Type de réservation.

 Développez le nœud Enregistrement DNS.

 Saisissez PCFORM1 dans le champ Nom du périphérique puis sélectionnez
Formation.local dans la liste déroulante Zone de recherche directe.
 Sélectionnez AD1.Formation.local dans Serveur de recherche directe.

 Cliquez sur OK pour créer les enregistrements.

 Dans ESPACE D’ADRESSAGE IP, cliquez sur Inventaire d’adresse IP.
 Effectuez un clic droit sur l’adresse IP 192.168.1.101, puis sélectionnez Créer un
enregistrement d’hôte DNS.
Attendez la fin de l’opération…
 Renouvelez l’opération en sélectionnant Créer une réservation DHCP.
 Vérifiez si les champs Synchronisation des réservations DHCP et Synchronisation des
enregistrements d’hôtes DNS ne sont pas en erreur.

 Vérifiez la présence de la réservation dans la console DHCP.

  Vérifiez aussi la présence de l’enregistrement d’hôtes dans le DNS.
 Dans la console IPAM, effectuez un clic droit sur l’adresse IP 192.168.1.101, puis cliquez
sur Modifier l’adresse IP.
 Dans le champ Date d’attribution, sélectionnez la date du jour puis, dans Date
d’expiration, sélectionnez une date postérieure d’un mois à la date du jour et cliquez sur
OK.
Les dates d’expiration permettent la mise en place des alertes pour les objets dans la base
de données IPAM.Lorsque la date est passée, l’adresse IP sur laquelle l’alerte a été mise
n’est pas supprimée des réservations dans le DHCP mais seules des alertes sont remontées
par IPAM.

Cliquez sur Tâches et sélectionnez Paramètres du journal d’expiration des adresses IP.
Saisissez 31 dans Adresse de transition vers l’état d’expiration échue puis cochez Enregistrez
régulièrement tous les messages d’état d’expiration

 Validez en cliquant sur OK.

 Actualisez la console IPAM et vérifiez la présence du statut Expiration échue.
 Effectuez un clic droit sur l’adresse IP 192.168.1.101, puis cliquez sur Modifier l’adresse IP.
 Dans le champ Date d’expiration, sélectionnez la date du jour et cliquez sur OK. Le statut de
l’adresse est maintenant Expiré.

 Effectuez un clic droit sur l’adresse 192.168.1.100, puis cliquez sur Supprimer la réservation
DHCP.La réservation DHCP n’est plus présente dans la console DHCP.
Recommencez l’opération en sélectionnant cette fois Supprimer un enregistrement d’hôte DNS.

L’enregistrement est également supprimé du serveur DNS.

Cliquez sur Blocs d’adresse IP puis sélectionnez dans la liste déroulante Affichage actuel la valeur

Plages d’adresses IP.

Effectuez un clic droit sur la plage d’adresses IP puis cliquez sur Récupérer les adresses IP.
Cochez l’adresse 192.168.1.100, cliquez sur Récupérer, puis cliquez sur Fermer.

L’adresse sélectionnée est supprimée de la base de données IPAM.

6. Surveillance et gestion des serveurs DNS et DHCP

 Sélectionnez le nœud de la console SURVEILLER ET GÉRER puis cliquez sur Serveurs DNS et
DHCP.
 Il est possible de sélectionner un des deux rôles ou de surveiller DNS et DHCP. La console
montre le nom du serveur, le nom de domaine, son adresse IP…
 Cliquez sur une des deux lignes puis dans Mode Détails, visualisez les informations fournies.
 Cliquez avec le bouton droit sur le serveur DHCP. La configuration du serveur DHCP peut être
faite depuis la console IPAM.
 Configurez les listes déroulantes Type de serveur et Affichage comme cidessous :

Type de serveur : DHCP

Affichage : Propriétés de l’étendue.

 Effectuez un clic droit sur l’étendue DHCP puis cliquez sur Dupliquer l’étendue DHCP.
 Modifiez la valeur du champ Nom de l’étendue par Etendue Formation 2.
 Configurez le reste de la fenêtre comme cidessous :

Adresse IP de début : 192.168.2.1

Adresse IP de fin : 192.168.2.254

 Masque de sousréseau : 255.255.255.0

 Vérifiez les nœuds Mises à jour DNS, Options et enfin Avancé.

Les propriétés de l’étendue sont configurées de la même manière que les
propriétés de celle qui a servi de modèle.
 Cliquez sur OK et vérifiez la présence d’une nouvelle étendue DHCP dans
la console.

L’étendue doit avoir l’état Actif.

Sélectionnez les deux étendues puis, à l’aide d’un clic droit sur la sélection, cliquez sur Modifier
l’étendue
DHCP.

Développez le nœud Options et sélectionnez Ajouter dans Action de configuration.

Cliquez sur le bouton Nouveau.

Sélectionnez l’option 003 Routeur.

Saisissez 192.168.1.254 dans le champ Nom du serveur.

Cliquez sur Résoudre puis sur OK.

Dans la liste déroulante Type de serveur, sélectionnez DNS.

Examinez les informations présentes sous les onglets Propriétés du serveur, Zones DNS et Catalogue

des événements.

Effectuez un clic droit sur AD1.Formation.local et sélectionnez l’option Lancer la console MMC.

La console DNS s’affiche.

7. Consultation des journaux et événements d’audit

IPAM permet d’effectuer un suivi des événements des serveurs DNS et DHCP.

Cliquez sur le nœud CATALOGUE DES ÉVÉNEMENTS de la console IPAM.

Cliquez sur TÂCHES, puis sur Exporter.

Les événements peuvent être exportés dans un fichier CSV.