Exempel för att implementera out-of-Band-hantering i Configuration Manager

 

Gäller för: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Följande avsnitt i det här avsnittet innehåller ett exempel för att implementera out-of-band-hantering i System Center 2012 Configuration Manager, med hjälp av ett bort tre sätt:

  • Ledare: Implementera och testa några datorer som använder Certificate Services (intern CA) för allokering certifikatet

  • Lansering: Fullständig distribution med hjälp av en extern Certifikatutfärdare för allokering certifikatet

  • Lägg till stöd för trådlös: Utöka Management till trådlösa nätverk

I följande fall Trey forskning berörda kräver startas för rutinunderhåll med out-of-band-hantering effektivare felsökning av datorer som inte startar eller slutar svara eller kräver omkonfigurera BIOS-inställningarna.Företaget har Intel AMT-baserade datorer med versioner av AMT som stöds av Configuration Manager, men de inte har anpassade inbyggd programvara som innehåller tumavtrycket för sina egna interna roten certifikatutfärdaren (CA).

Trey forskning har ett enda Configuration Manager primär plats och alla de interna datorerna som finns i den testnet.treyresearch.net domän.Företaget har redan en infrastruktur för (PKI)-infrastruktur som använder Windows Server 2008 certifikatet Services och har en certifikatutfärdare som kör Windows Server 2008 Enterprise Edition.

ADAM är den Configuration Manager administrativa användare ombeds implementera out-of-band-hantering med hjälp av en metod för tre fas.Han först testar funktionen genom att använda ett litet antal av stationära datorer och utan att köpa en allokering certifikat från en extern Certifikatutfärdare.Om de testning försätta väl Adam kan köpa en AMT-etablering och certifikat etablera alla AMT-baserad stationära datorer.För fasen slutlig distribution ombeds Adam att utöka out-of-band-hantering för bärbara datorer som använder det trådlösa nätverket.

Ledare: Implementera och testa några datorer som använder Certificate Services (intern CA) för allokering certifikatet

Adam tar för pilotprojekt, för att implementera och testa out-of-band-hantering, vilka åtgärder som beskrivs i följande tabell.

Process

Referens

ADAM kontrollerar förutsättningar för out-of-band-hantering och bestämmer sig för att skapa en platssystemservern som han installerar out-of-band-servicepunkten och registreringsplatsen.Den här datorn har fullständigt kvalificerade domännamn (FQDN) för server15.testnet.treyresearch.net.

ADAM bekräftar också att den befintliga DHCP och DNS-konfigurationen uppfyller kraven för belopp

Mer information om förutsättningar finns Förutsättningar för out-of-Band-hantering i Configuration Manager.

ADAM fungerar med sin administratörer att skapa säkerhetsgrupper för följande Windows Active Directory:

  • En grupp med namnet ConfigMgr Out-of-Band-tjänsten poäng som innehåller server15.

  • En grupp med namnet ConfigMgr primära Platsservrar som innehåller datorkontot på primära platsservern.

  • En universell säkerhetsgrupp med namnet ConfigMgr AMT datorer som innehåller AMT datorkontona.

De sedan skapa en organisationsenhet (Organisationsenhet) i den testnet.treyresearch.net domänen för publicerade AMT-baserad datorkonton och ge den nyskapade gruppen ConfigMgr primära Platsservrar följande behörigheter för den här Organisationsenhet: Skapa datorobjekt och Ta bort datorobjekt.

Mer information om hur du skapar grupper och organisationsenheter finns i Active Directory Domain Services-dokumentationen.

ADAM fungerar med PKI team med följande resultat:

  • Certifikatmallen server duplicerade och konfigurerats för registreringsplatsen.Den installeras och konfigureras i IIS på server15.

  • En anpassad mall skapas för att begära och installera certifikatet för AMT-etablering på server15.

  • Certifikatmallen servern är en dubblett och konfigurerats så att det är lämpligt för out-of-band-hantering.

  • De identifiera och anteckna tumavtrycket för rot-CA som ska läggas till manuellt AMT-programvaran tills de köpa en allokering certifikat från en extern Certifikatutfärdare.

Instruktioner om hur du distribuerar PKI-certifikat som krävs för out-of-band-hantering finns i Distribuera certifikaten för AMT under den Detaljerat distributionsexempel av PKI-certifikaten för Configuration Manager: Windows Server 2008 certifikatutfärdare ämne.

Mer information om certifikatkraven finns i PKI-certifikatkrav för Configuration Manager.

För att förbereda fjärrskrivbord AMT-baserade datorer som Adam används i den ursprungliga testning kontrollerar Adam att konfigurationen för AMT-programvaran är korrekt och lägger till tumavtrycket för sina intern rotcertifikatutfärdare:

  1. När datorn startas han trycker på CTRL + P för att konfigurera ME modulen.

  2. Väljer han Intel (R) ME Configuration, Intel (R) ME funktionen kontroll, hantering Funktionsurval, och väljer sedan Intel (R) AMT.Han avslutar och startar om datorn.

  3. Han körs ME modulen igen, väljer Intel (R) AMT Configuration, installation och konfiguration, kontrollera att värdet för den aktuella tillhandahållande läge är PKI.Värdet är inte PKI, så väljer han TLS PKI, och anger det konfiguration av till Aktivera.

  4. I den TLS-PKI avsnittet väljer han Hantera certifikatets hash-värden, trycka på INSERT och typerna tumavtrycket för sin intern rotcertifikatutfärdare.

  5. Han sparar ändringarna avslutar, och datorn startas om.

Mer information finns i dokumentationen Intel.

ADAM sedan konfigurerar den primära platsen för Configuration Manager och gör följande ändringar:

  • Han installerar en ny platssystemservern på server15, konfigurerar med intranätet FQDN för server15.treyresearch.net, och installerar out-of-band-servicepunkten och registreringsplatsen.Han konfigurerar sedan den Out-of Band-hantering komponent.

  • På den AMT-etablering certifikatet för out-of-band-servicepunkten han Active Directory-bläddringar till AMT allokering certifikatet som han har installerats.

  • På den Out-of Band Management egenskaper dialogrutan han anger du följande:

    • På den allmänna fliken han anger Organisationsenhet som han har skapats i testnet.treyresearch.net, universal säkerhetsgruppen som han skapade bläddrar till AMT web server certifikatmallen han skapade tidigare och konfigurerar ett starkt lösenord för kontot MEBx.

    • På den AMT-inställningar fliken han anger eget konto som en AMT-användarkonto och en säkerhetsgrupp för Windows-global domän som innehåller hjälp skrivbord tekniker som använder out-of-band-konsolen.Han markerar även alternativen Aktivera serienr över LAN och IDE omdirigeringen, Tillåt ping-svar, och Aktivera BIOS-lösenord kringgå för power på och starta om kommandon.

Mer information finns i följande avsnitt i den Etablera och konfigurera AMT-baserade datorer i Configuration Manager ämne:

ADAM vill använda Wake på LAN-teknik för att installera viktiga uppdateringar på datorer.Han har gjort den här funktionen tidigare och identifierade att undernät riktad broadcast används för mycket bandbredd över remote länkar och att få sina nätverkskort arbetade med unicast-överföringar.

Han kan Wake on LAN och beslutar att alternativet för använda power på kommandon om datorn stöder teknik, annars kan du använda aktiveringspaket.

Mer information finns i Steg 6: Konfigurera webbplats om du vill skicka Power på kommandon för schemalagd Wake-Up aktiviteter steg i den Etablera och konfigurera AMT-baserade datorer i Configuration Manager ämne.

ADAM lägger till kolumnen AMT-Status för de Configuration Manager konsolen och skapar en ny samling som innehåller bara fem AMT-baserade datorer som sin första ledare.Dessa datorer är endast för testning och innehåller olika versioner av belopp som stödsHan konfigurerar den här samlingen för AMT-etablering.

Mer information finns i Steg 7: Visa Status för AMT och aktivera AMT-etablering. steg i den Etablera och konfigurera AMT-baserade datorer i Configuration Manager ämne.

ADAM övervakar AMT etablering pågår.

Mer information finns i Steg 8: Övervaka AMT-etablering. steg i den Etablera och konfigurera AMT-baserade datorer i Configuration Manager ämne.

När datorerna är har etablerats för AMT, startar Adam testa dessa datorer för out-of-band-hantering.

Till exempel scenarier via out-of-band-hantering, se Scenarier för att använda out-of-Band-hantering i Configuration Manager.

Lansering: Fullständig distribution med hjälp av en extern Certifikatutfärdare för allokering certifikatet

När den ursprungliga testning är klar får Adam bekräftelse från sin manager som out-of-band-hantering kan rullas till alla AMT-baserad workstation-datorer.Om du vill ta bort kravet på att lägga till tumavtrycket för certifikatet intern rotcertifikatutfärdare i varje AMT-baserad dator Adam inköp allokering certifikat från en extern Certifikatutfärdare och installeras på server15, enligt anvisningarna i medföljande.

ADAM vidtar sedan den åtgärd som beskrivs i följande tabell.

Process

Referens

ADAM kontrollerar förutsättningar för out-of-band-hantering igen om du vill se om det finns några ytterligare ändringar som han har att göra.Viktigt han till:

  • Det finns portar krav som han måste handlar om att brandväggen administratören så att hjälp skrivbord tekniker kan ansluta till AMT-baserade datorer i remote webbplatser som skyddas av brandväggen internt företag.

  • Vissa hjälpa skrivbord datorer som fortfarande kör Windows XP och så han måste kontrollera de här datorerna för deras version av Windows Remote Management (WinRM) och uppdatera versionen om det behövs.

  • Han måste lägga till hjälp skrivbord tekniker till en lämplig roll att köra out-of-band-konsolen.

Mer information finns i avsnittet Förutsättningar för out-of-Band-hantering i Configuration Manager.

Konfigurerar egenskaper för out-of-band-servicepunkten ADAM, bläddrar till nya AMT allokering certifikatet och sparar ändringarna.

Mer information finns i Steg 4: Konfigurera Registreringsplatsen och Out-of-Band-servicepunkten för AMT-etablering. steg i den Etablera och konfigurera AMT-baserade datorer i Configuration Manager ämne.

ADAM skapar nya samlingar stegvis lansera AMT-etablering för workstation-datorer.Under en viss fyra veckor kan han dessa samlingar för AMT-etablering och Övervakare pågår.

Mer information finns i Steg 7: Visa Status för AMT och aktivera AMT-etablering. steg i den Etablera och konfigurera AMT-baserade datorer i Configuration Manager ämne.

På grund av den här kursen åtgärd alla Intel AMT-baserad arbetsstationer etablerats för AMT och kan hanteras av supporten out-of-band.Möjligheten att felsöka och reparera datorer när operativsystemet inte fungerar avsevärt minskar totalkostnaden för företaget eftersom tekniker kräver inte längre åtkomst till datorn.

Lägg till stöd för trådlös: Utöka Management till trådlösa nätverk

Efter den lyckas installationen för arbetsstationer att använda out-of-band-hantering vill Trey forskning nu utöka detta stöd till bärbara datorer som använder det trådlösa nätverket.Det trådlösa nätverket använder en server med Windows Server 2008 som kör Server (NPS) och som kräver ett klientcertifikat för autentisering.

ADAM vidtar den åtgärd som beskrivs i följande tabell.

Process

Referens

ADAM kontrollerar stöd för trådlös förutsättningar för out-of-band-hantering och bekräftar att AMT-versioner på de bärbara datorer stöder trådlösa profiler.Han anteckningar trådlösa konfigurationsinställningarna som krävs av nätverksprincipservern som WPA2 säkerhet, AES-kryptering och EAP-TLS-autentisering.

Mer information om förutsättningar finns Förutsättningar för out-of-Band-hantering i Configuration Manager.

ADAM fungerar med PKI-gruppen för att skapa en ytterligare certifikatmall som AMT-baserade datorer använder för att autentisera med nätverksprincipservern.

Mer information om hur du skapar certifikatmallen klient finns i "Skapa och utfärda certifikat för klientautentisering för 802.1 X AMT-baserade datorer" i den Distribuera certifikaten för AMT delen av den Detaljerat distributionsexempel av PKI-certifikaten för Configuration Manager: Windows Server 2008 certifikatutfärdare ämne.

Mer information om certifikatkraven finns i PKI-certifikatkrav för Configuration Manager.

ADAM konfigurerar den Out-of Band Management egenskaper: 802.1 X och trådlösa fliken:

  • Skapar en trådlös profil som innehåller namnet på trådlösa nätverk, Säkerhetstyp av WPA2-Enterprise och kryptering för att AES.Sedan väljer han betrott rotcertifikat för nätverksprincipservern och klienten certifikatmallen som har skapats tidigare.

Mer information finns i steg 26 till 39 i den Steg 5: Konfigurera Out-of-Band-hantering komponent under den Etablera och konfigurera AMT-baserade datorer i Configuration Manager ämne.

ADAM skapar en ny samling för bärbara datorer som har stöd för beloppPå den Out-of Band-hantering fliken väljer han Aktivera etablering för AMT-baserade datorer.

ADAM övervakar Etableringsstatus för dessa bärbara datorer och använder loggfilen Amtopmgr.log, för att kontrollera att den trådlösa profilen har konfigurerats för dessa AMT-baserade datorer.

System_CAPS_tipTips

Om dessa bärbara datorer är redan etablerats för AMT utan trådlös profil, Adam körs den Uppdatera etablering Data i Management Controller minnet kommandot inställningar som ska användas.Mer information finns i Så här uppdaterar du datorer för nya AMT-inställningarna under den Så här hanterar du AMT-Etableringsinformation i Configuration Manager ämne.

Mer information om hur du övervakar AMT-etablering finns det Steg 8: Övervaka AMT-etablering. steg i den Etablera och konfigurera AMT-baserade datorer i Configuration Manager ämne.

På grund av den här kursen åtgärd kan bärbara datorer även hanteras out-of-band av supportavdelning, vilket minskar det hög tid att lösa problemen som rapporteras av bärbara datorer.