Out of Band Management in Configuration Manager の帯域外管理の実装のシナリオ例

 

適用対象: System Center 2012 Configuration Manager,System Center 2012 Configuration Manager SP1,System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1

このトピックの以下のセクションでは、次の 3 段階のアプローチを使用して System Center 2012 Configuration Manager で帯域外管理を実装するシナリオ例について説明します。

  • パイロット:プロビジョニング証明書に証明書サービス (内部 CA) を使用した、数台のコンピューターの実装およびテスト

  • 展開:プロビジョニング証明書に外部 CA を使用した完全な展開

  • ワイヤレス サポートの追加:ワイヤレス ネットワークへの管理の拡張

次のシナリオの Trey Research では、起動に失敗したり応答を停止したコンピューター、定期メンテナンスのために電源投入が必要なコンピューター、または BIOS 設定の再構成が必要なコンピューターのトラブルシューティングを効率よく行うために、帯域外管理を使用することに関心を持っています。Trey Research では、Configuration Manager によってサポートされているバージョンの AMT を装備した Intel AMT 搭載コンピューターを使用していますが、独自の内部ルート証明機関 (CA) の証明書の拇印が含まれた、カスタマイズされたファームウェアは所有していません。

Trey Research では、単一の Configuration Manager プライマリ サイトを使用しており、すべての社内コンピューターが testnet.treyresearch.net ドメイン内に存在します。Trey Research には既に、Windows Server 2008 証明書サービスを使用する既存の公開キー基盤 (PKI) インフラストラクチャがあり、Windows Server 2008 Enterprise Edition で実行されるエンタープライズ証明機関も所有しています。

Adam は Configuration Manager の管理ユーザーで、3 段階のアプローチを使用して帯域外管理を実装するように指示されています。Adam はまず、数台のデスクトップ コンピューターを使用して、外部 CA からプロビジョニング証明書を購入せずに機能をテストします。テストが成功したら、AMT プロビジョニング証明書を購入して、すべての AMT 搭載デスクトップ コンピューターをプロビジョニングすることができます。最初の展開段階では、ワイヤレス ネットワークを使用するラップトップに帯域外管理を拡張するように指示されています。

パイロット:プロビジョニング証明書に証明書サービス (内部 CA) を使用した、数台のコンピューターの実装およびテスト

帯域外管理を実装してテストするパイロット段階では、Adam は次の表に示す一連のプロセスで作業を行います。

プロセス

参照先

Adam は、帯域外管理の前提条件を確認し、帯域外サービス ポイントと登録ポイントをインストールするサイト システム サーバーを作成することを決定します。このコンピューターには、完全修飾ドメイン名 (FQDN) server15.testnet.treyresearch.net が指定されています。

また、既存の DHCP と DNS の構成が AMT の要件を満たしていることを確認します。

前提条件の詳細については、「Configuration Manager での帯域外管理の前提条件」を参照してください。

Active Directory サービス管理者と協力し、以下の Windows セキュリティ グループを作成します。

  • server15 が含まれた ConfigMgr Out Band Service Points という名前のグループ。

  • プライマリ サイト サーバーのコンピューター アカウントが含まれた ConfigMgr Primary Site Servers という名前のグループ。

  • AMT コンピューター アカウントを含める ConfigMgr AMT Computers という名前のユニバーサル セキュリティ グループ

次に、公開された AMT 搭載コンピューター アカウント用に testnet.treyresearch.net ドメイン内に組織単位 (OU) を作成し、新しく作成したグループ ConfigMgr Primary Site Servers にこの OU に対するアクセス許可コンピューター オブジェクトの作成コンピューター オブジェクトの削除を付与します。

グループと OU の作成方法については、Active Directory ドメイン サービスのドキュメントを参照してください。

次の結果に基づいて、PKI チームとともに作業を行います。

  • Web サーバー証明書テンプレートが複製され、登録ポイント用に構成されて、server15 にインストールされて IIS で構成されています。

  • AMT プロビジョニング証明書を要求して server15 にインストールするためのカスタム テンプレートが作成されています。

  • Web サーバー証明書テンプレートが複製されて、帯域外管理用に構成されています。

  • 外部 CA からプロビジョニング証明書を購入するまで AMT ファームウェアに手動で追加する必要がある、ルート CA の証明書の拇印を特定して書き留めます。

帯域外管理に必要な PKI 証明書を展開する方法については、次を参照してください。、 AMT 用の証明書の展開 セクション、 Configuration Manager PKI 証明書の展開手順の例:Windows Server 2008 証明機関 トピックです。

証明書の要件の詳細については、「Configuration Manager での PKI 証明書の要件」を参照してください。

最初のテストで使用する AMT 搭載デスクトップ コンピューターを準備するため、Adam は AMT のファームウェア構成が正しいことを確認し、次の手順を実行して内部ルート CA の証明書の拇印を追加します。

  1. コンピューターが起動したら、CTRL キーを押しながら P キーを押して ME モジュールを構成します。

  2. [Intel (R) ME Configuration]、[Intel (R) ME Feature Control]、[Manageability Feature Selection] を選択してから、[Intel (R) AMT] を選択します。ME モジュールを終了し、コンピューターを再起動します。

  3. [Current provision mode] の値が [PKI] であることを確認するため、ME モジュールを再度実行して、[Intel (R) AMT Configuration]、[Setup and Configuration] を選択します。値が PKI でないため、[TLS PKI] を選択して、[Remote Configuration] を [Enable] に設定します。

  4. [TLS-PKI] セクションで [Manage Certificate Hashes] を選択し、Insert キーを押して、内部ルート CA の証明書の拇印を入力します。

  5. 変更を保存し、ME モジュールを終了してから、コンピューターを再起動します。

詳細については、Intel のドキュメントを参照してください。

次に、Configuration Manager のプライマリ サイトを構成し、次の変更を行います。

  • server15 に新しいサイト システム サーバーをインストールし、このサーバーを server15.treyresearch.net というイントラネットの FQDN を使用して構成してから、帯域外サービス ポイントと登録ポイントをインストールします。次に、[帯域外管理] コンポーネントを構成します。

  • 帯域外サービス ポイントの [AMT プロビジョニング証明書] ページで、インストールした AMT プロビジョニング証明書に移動します。

  • [帯域外管理コンポーネントのプロパティ] ダイアログ ボックスで、次の構成を行います。

    • 全般的な ] タブで、彼の指定に作成した OU testnet.treyresearch.net, 、彼が作成したユニバーサル セキュリティ グループは、AMT web サーバー証明書テンプレート彼は、前に作成し、MEBx アカウントの強力なパスワードを構成することを参照します。

    • [AMT 設定] タブで、AMT ユーザーアカウントに自身のアカウントを指定し、帯域外管理コンソールを使用するヘルプ デスクのエンジニアが含まれる Windows グローバル ドメイン セキュリティ グループを指定します。また、[Serial over LAN と IDE リダイレクトを有効にする]、[Ping に応答する]、[電源オン コマンドおよび再起動コマンドの BIOS パスワード バイパスを有効にする] も選択します。

詳細については、「Configuration Manager でAMT ベースのコンピューターをプロビジョニングし、設定する方法」の以下のセクションを参照してください。

Adam は、Wake on LAN テクノロジを使用して、重要なソフトウェアの更新をコンピューターにインストールする必要があります。以前この機能を使用したことがありますが、サブネット向けのブロードキャストがリモート リンク経由で使用するネットワーク帯域幅が大きすぎることと、そのほとんどのネットワーク アダプターはユニキャスト送信で動作しないことに気付きました。

そのため、Wake on LAN を有効にし、既定のオプション [コンピューターが電源オン コマンドをサポートしている場合はこのコマンドを使用し、サポートしていない場合はウェイクアップ パケットを使用する] をそのまま使用することにします。

詳細については、次を参照してください。、 手順 6:スケジュールされたウェイクアップ アクティビティ用に電源オン コマンドを送信するためのサイト構成 手順、 Configuration Manager でAMT ベースのコンピューターをプロビジョニングし、設定する方法 トピックです。

Configuration Manager コンソールに [AMT のステータス] 列を追加し、最初のパイロットとして 5 台の AMT 搭載コンピューターのみが含まれる新しいコレクションを作成します。これらのコンピューターはテスト用にのみ使用され、サポートされている複数のバージョンの AMT を搭載しています。このコレクションを AMT プロビジョニング用に構成します。

詳細については、次を参照してください。、 手順 7:AMT ステータスの表示と AMT プロビジョニングの有効化 手順、 Configuration Manager でAMT ベースのコンピューターをプロビジョニングし、設定する方法 トピックです。

AMT のプロビジョニング プロセスを監視します。

詳細については、次を参照してください。、 手順 8:AMT プロビジョニングの監視 手順、 Configuration Manager でAMT ベースのコンピューターをプロビジョニングし、設定する方法 トピックです。

コンピューターが AMT 用に正常にプロビジョニングされたら、これらのコンピューターで帯域外管理のテストを開始できます。

帯域外管理を使用したシナリオ例については、「Configuration Manager の帯域外管理の使用のシナリオ例」を参照してください。

展開:プロビジョニング証明書に外部 CA を使用した完全な展開

最初のテストが完了すると、Adam はマネージャーから、帯域外管理をすべての AMT 搭載ワークステーション コンピューターに展開してもよいという確認を得ます。内部ルート CA 証明書の拇印を各 AMT 搭載 コンピューターに追加するという要件をなくすため、Adam は外部 CA からプロビジョニング証明書を購入し、添付の指示内容に従って server15 にインストールします。

次に、次の表に示す一連のプロセスで作業を行います。

プロセス

参照先

帯域外管理の前提条件を再度確認し、さらに変更を行う必要がないかどうかを確認します。以下のことに気付きます。

  • 会社の内部ファイアウォールで保護されているリモート サイトの AMT 搭載コンピューターにヘルプ デスク エンジニアが接続できるよう、ポート要件についてファイアウォール管理者と連携する必要があります。

  • ヘルプ デスクの一部のコンピューターではまだなお Windows XP が実行されているため、これらのコンピューターの Windows Remote Management (WinRM) のバージョンを確認し、必要に応じてバージョンを更新する必要があります。

  • 帯域外管理コンソールを実行するのに適したセキュリティ ロールに、ヘルプ デスク エンジニアを追加する必要があります。

詳細については、「Configuration Manager での帯域外管理の前提条件」をご覧ください。

帯域外サービス ポイントのプロパティを構成し、新しく購入した AMT プロビジョニング証明書を参照し、変更を保存します。

詳細については、次を参照してください。、 手順 4:AMT プロビジョニング用の登録ポイントと 帯域外サービス ポイントの構成 手順、 Configuration Manager でAMT ベースのコンピューターをプロビジョニングし、設定する方法 トピックです。

新しいコレクションを作成して、ワークステーション コンピューターの AMT プロビジョニングを徐々に展開します。4 週間かけて、これらのコレクションで AMT プロビジョニングを有効にし、進捗状況を監視します。

詳細については、次を参照してください。、 手順 7:AMT ステータスの表示と AMT プロビジョニングの有効化 手順、 Configuration Manager でAMT ベースのコンピューターをプロビジョニングし、設定する方法 トピックです。

この一連のプロセスの結果、すべての Intel AMT 搭載ワークステーション コンピューターが AMT 用にプロビジョニングされ、ヘルプ デスクが帯域外管理を実行できるようになりました。エンジニアがコンピューターにローカルでアクセスせずに済むようになったため、オペレーティング システムが機能していないコンピューターのトラブルシューティングと修復作業において、会社の総所有コストが大幅に削減されています。

ワイヤレス サポートの追加:ワイヤレス ネットワークへの管理の拡張

帯域外管理を使用するためのワークステーションの展開が成功し、現在、Trey Research では、このサポートをワイヤレス ネットワークを使用するラップトップ コンピューターに拡張することを考えています。同社のワイヤレス ネットワークでは、ネットワーク ポリシー サーバー (NPS) を実行し、認証にクライアント証明書を必要とする Windows Server 2008 ベースのサーバーを使用しています。

Adam は、次の表に示す一連のプロセスで作業を行います。

プロセス

参照先

Adam は帯域外管理用のワイヤレス サポートの前提条件を調べ、ラップトップに搭載されているバージョンの AMT がワイヤレス プロファイルをサポートすることを確認します。ネットワーク ポリシー サーバーで必要となるワイヤレス構成設定は、WPA2 セキュリティ、AES 暗号化、および EAP-TLS 認証であることを確認します。

前提条件の詳細については、「Configuration Manager での帯域外管理の前提条件」を参照してください。

Adam は PKI チームと協力し、AMT 搭載コンピューターがネットワーク ポリシー サーバーでの認証に使用する追加の証明書テンプレートを作成します。

詳細については、クライアントの証明書テンプレートを作成するを参照してください「の作成と 802.1 X AMT ベース コンピュータ用のクライアント認証証明書を発行する」、 AMT 用の証明書の展開 のセクション、 Configuration Manager PKI 証明書の展開手順の例:Windows Server 2008 証明機関 トピックです。

証明書の要件の詳細については、「Configuration Manager での PKI 証明書の要件」を参照してください。

構成、 の帯域外管理コンポーネントのプロパティ:802.1 X とワイヤレス ] タブ。

  • ワイヤレス ネットワーク名、WPA2-Enterprise のセキュリティの種類、AES の暗号化方式を含むワイヤレス プロファイルを作成します。次に、ネットワーク ポリシー サーバーの信頼されたルート証明書、および先ほど作成したクライアント証明書テンプレートを選択します。

詳細については、次の手順 26 ~ 39 を参照してください、 手順 5:帯域外管理コンポーネントの構成 セクション、 Configuration Manager でAMT ベースのコンピューターをプロビジョニングし、設定する方法 トピックです。

Adam は、AMT をサポートできる、ラップトップの新しいコレクションを作成します。[帯域外管理] タブで、[AMT 搭載コンピューターのプロビジョニングを有効にする] を選択します。

これらのラップトップのプロビジョニング ステータスを監視し、ログ ファイル Amtopmgr.log を使用して、これらの AMT 搭載コンピューターにワイヤレス プロファイルが正しく構成されていることを確認します。

System_CAPS_tipヒント

これらのラップトップがワイヤレス プロファイルを構成せずに AMT 用に既にプロビジョニングされている場合、[管理コントローラーのメモリ内のプロビジョニング データを更新する] コマンドを実行してワイヤレス設定を適用します。詳細については、「新しい AMT 設定用にコンピューターを更新する方法」トピックの「Configuration Manager の AMT プロビジョニング情報の管理方法」セクションを参照してください。

AMT プロビジョニングの監視の詳細については、次を参照してください。、 手順 8:AMT プロビジョニングの監視 手順、 Configuration Manager でAMT ベースのコンピューターをプロビジョニングし、設定する方法 トピックです。

この一連のプロセスの結果、ラップトップについてもヘルプ デスクが帯域外管理を実行できるようになり、ラップトップ ユーザーから報告された問題を解決するのにかかる時間が短縮されています。