• Artikel

Förutsättningar för out-of-Band-hantering i Configuration Manager

 

Gäller för: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Out-of-band-hantering i System Center 2012 Configuration Manager har externa samband och beroenden i produkten.

System_CAPS_importantViktigt

Out-of-band-hantering i Configuration Manager har externa samband på Intel Active Management teknik (Intel AMT) och tekniker för Microsoft-infrastruktur för (PKI).Ändringen information om konfiguration eller teknisk information om dessa externa beroenden finns i produktdokumentationen för relaterade tekniker.

Information om Intel AMT- och Intel installationen och konfigurationsprogramvara finns i Intel-dokumentation eller i dokumentationen från datortillverkaren av din.Mer information finns i Intel vPro Expert Center: Microsoft vPro hantering.

Information om Microsofts infrastruktur för (PKI) tekniker, se Windows Server 2008 Active Directory Certificate Services.

Beroenden extern i Configuration Manager

I följande tabell visas externa beroenden för slut på band-hantering.

Beroende

Mer information

Microsoft enterprise certifikatutfärdare (CA) med mallar för att distribuera och hantera certifikat som krävs för out-of-band-hantering.

Certifikatutfärdaren måste automatiskt godkänna certifikat begäranden från AMT-dator konton som Configuration Manager skapas i Active Directory Domain Services under AMT etablering pågår.

Om du vill återkalla certifikat för AMT måste Certifikatutfärdaren konfigureras med behörighet att utfärda och hantera certifikat för den server där registreringen återställningspunkt platsroll system är installerad.

System_CAPS_importantViktigt

AMT stöder inte certifikat med en nyckellängd som är större än 2 048 bitar.

Out-of-band-servicepunkten och varje stationär eller bärbar dator som hanteras out-of-band måste ha specifika PKI-certifikat som hanteras oberoende från Configuration Manager.

Mer information om certifikatkraven finns i PKI-certifikatkrav för Configuration Manager.

Stegvisa anvisningar finns i Distribuera certifikaten för AMT.

Datorkontot för registrering punkt platssystemservern måste ha DCOM behörighet att återkalla certifikat för AMT-certifikat från Certifikatutfärdaren.Kontrollera att den här platsen system-datorn är medlem i säkerhetsgruppen certifikatet tjänsten DCOM-anslutning (för Windows Server 2008) eller CERTSVC_DCOM_ACCESS (för Windows Server 2003 SP1 och senare) i den domän där Certifikatutfärdaren finns.

Stationära och bärbara datorer med följande konfiguration:

  • Intel vPro teknik eller Intel Centrino Pro-teknik

  • En version av Intel AMT som konfigurerats för Enterprise-läge med tillhandahållande läget för PKI stöds

  • Intel HECI drivrutin

Information om AMT-versioner som Configuration Manager stöder finns i under den ämne..c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigOOB

Hämta den senaste HECI drivrutinen från Intel-webbplatsen och din datortillverkare i dokumentationen för Intel-krav.

En Active Directory-behållare och en universell säkerhetsgrupp:

  • Active Directory-behållare måste konfigureras med rätt behörighet för den domän där AMT-baserade datorer finns.Om webbplatsen hanterar AMT-baserade datorer från flera domäner, användas samma behållarens namn och sökväg för alla domäner.

  • En universell säkerhetsgrupp som innehåller dator konton för AMT-baserade datorer.

System_CAPS_noteInformation

Du behöver inte utöka Active Directory-schemat för out-of-band-hantering.

Vid allokering processen AMT Configuration Manager skapar konton i Active Directory-behållare eller organisationsenhet (Organisationsenhet) och lägger till kontona som universal säkerhetsgruppen.

Plats-serverdatorn måste följande behörigheter:

  • För den Organisationsenhet som ska användas vid AMT etablering pågår: Tillåt Skapa alla underordnade objekt och Ta bort alla underordnade objekt och gäller för endast det här objektet.

  • För universal säkerhetsgruppen som används vid AMT etablering pågår: Tillåt läsa och skriva, och gäller för endast det här objektet.

Följande nätverkstjänster:

  • DHCP-server med ett aktivt scope

  • DNS-servrar för namnmatchning

DHCP, se till att DHCP-scope-alternativ inkluderar DNS-servrar (006) och domännamn (015) och att DHCP-servern dynamiskt DNS uppdateras med datorn posten.

WINS kan inte användas för att lösa datornamn och DNS krävs för alla anslutningar som används för out-of-band-hantering.Här ingår att ansluta till en AMT-baserade datorer från out-of-band-hanteringskonsol dessutom AMT-etablering.

System_CAPS_noteInformation

AMT kan inte registrera en host-post i DNS, så måste du se till att DHCP eller operativsystemet DNS uppdateras med en host-post för den AMT-baserad dator fullständigt domännamn (FQDN).Alternativt kan skapar du manuellt posterna i DNS efter behov.Kontrollera att DNS innehåller poster med trådlösa IP-adressen för datorn för AMT-baserad fullständigt domännamn för trådlösa support.

Webbplats system roll beroenden för datorer som kör registreringsplatsen och out-of-band-servicepunkten platssystemroller.

Se stycket i avsnittet ..c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SiteSystemRolePrereqs

Windows Remote Management (WinRM) 1.1 eller senare måste installeras på datorer som kör Windows XP om de körs out-of-band-konsolen.

Mer information om WinRM versioner, se versioner av Windows Remote Management.

MSXML 6.0 krävs på datorer som kör out-of-band-konsolen.

Förutsättningar för installationen layout för Configuration Manager innehåller kontroll för Microsoft MSXML 6.0.

Windows-funktionen Telnet-klienten måste vara installerad på datorer som kör Windows 7, Windows Vista eller Windows Server 2008 om de datorer som kör out-of-band-hantering konsol och utför serie-över-LAN-kommandon.

Serienummer via LAN använder Telnet-protokollet för att köra en terminalemulering session för den hanterade datorn där du kan köra kommandon och tecknet-baserade program.Mer information finns i avsnittet Introduktion till out-of-Band-hantering i Configuration Manager.

Datorer som hanteras out-of-band måste tillhöra samma Active Directory-skog som platssystemservrarna som kör out-of-band-servicepunkten och registreringsplatsen.

Dessutom måste datorer ha samma namnområde; icke-sammanhängande namnområden stöds inte.

I följande scenarion identifiera datorer som inte stöds för out-of-band-hantering.AMT bör inaktiveras på de här datorerna:

  • Datorer i arbetsgrupper.

  • Datorer som finns i en annan Active Directory-skog från datorer som kör out-of-band-tjänsten peka platssystem och registreringsplatsen.

  • Datorer som finns i samma Active Directory-skog som platssystemservrarna som kör out-of-band service servicepunkten och registreringsplatsen men inte har samma namnområde (självständigt namnområde).

    Till exempel går inte att etablera en AMT-baserad dator med FQDN för computer1.northwindtraders.com av out-of-band service återställningspunkt platssystemet med FQDN för contoso.com, även om de hör till samma Active Directory-skogen.

  • Datorer som finns i samma Active Directory-skog som out-of-band-servicepunkten system för platsserver men har ett icke sammanhängande namnområde, till exempel en AMT-baserad dator som har ett DNS-namn på computer1.corp.fabrikam.com och finns i Active Directory-domänen med namnet na.corp.fabrikam.com.

Mellanliggande nätverksenheter som routrar och brandväggar och Windows-brandväggen om tillämpligt, tillåta trafik som är associerade med out-of-band-hantering aktivitet.

Följande portar används av out-of-band-hantering:

  • Från out-of-band-servicepunkten till registreringsplatsen: HTTPS (som standard port 443 TCP).

  • Out-of-band servicepunkt platssystemservern AMT management styrenheter för strömförsörjning initieras från Configuration Manager-konsolen och schemalagda aktiviteter, etablering och identifiering: TCP 16993.

  • Från datorer som kör out-of-band-hanteringskonsol till AMT management styrenheter för alla hanteringsuppgifter initieras från out-of-band-hanteringskonsol (inklusive power på kommandon): TCP 16993.

  • Från datorer som kör out-of-band-hanteringskonsol till AMT styrenheter för serienummer över LAN och IDE omdirigeringen: TCP 16995.

IPv4.

IPv6 stöds inte.Out-of-band använder management endast IPv4.

Fullständig IPsec miljöer stöds inte.

Konfigurera inte IPSec-principer för AMT-kommunikation mellan out-of-band-tjänsten punkt platssystemservern och datorer som hanteras out-of-band.

Stöd för infrastrukturen för 802.1 X autentiserad kabelanslutna nätverk och trådlösa nätverk:

  • Stöd för autentiserad kabelanslutna 802.1 X: Klienten verifieringsalternativ EAP-TLS eller EAP-TTL-värden/MSCHAPv2 PEAPv0/EAP-MSCHAPv2.

  • Stöd för trådlös: WPA och WPA2 säkerhet, AES eller TKIP kryptering klienten verifieringsalternativ EAP-TLS eller EAP-TTL-värden/MSCHAPv2 PEAPv0/EAP-MSCHAPv2.

System_CAPS_noteInformation

Om du använder klienten autentiseringsmetoder EAP-TLS eller EAP-TTL-värden/MSCHAPv2 med ett klientcertifikat RADIUS-lösning stöder autentisering med hjälp av följande format: domain\computer_account.

Om du vill hantera AMT-baserade datorer out-of-band på 802.1 X autentiserad kabelanslutna nätverket eller en trådlös anslutning, måste du ha en stöder infrastruktur för dessa miljöer.Dessa nätverk kan konfigureras med hjälp av en Microsoft RADIUS-lösning, till exempel nätverksprincipservern på Windows Server 2008.Andra RADIUS-lösningar kan användas om de är 802.1 X-kompatibel och support konfigurationsalternativen som anges för autentiserad kabelanslutna 802.1 X support och trådlösa support.

Mer information om Nätverksprincipserverns på Windows Server 2008, se Nätverksprincipserverns.

Mer information om andra RADIUS-lösningar finns i Intel vPro Expert Center: Microsoft vPro hantering.

Configuration Manager-beroenden

I följande tabell anges beroenden inom Configuration Manager för körning out-of-band-hantering.

Beroende

Mer information

Den primära platsen måste köras System Center 2012 Configuration Manager och har installerat out-of-band-servicepunkten och registreringsplatsen.

Out-of-band-servicepunkten måste i samma Active Directory-skog som platsservern och du kan installera endast en out-of-band-servicepunkt i varje primär plats.

Steg 4: Konfigurera Registreringsplatsen och Out-of-Band-servicepunkten för AMT-etablering. 

Datorer som du vill hantera out-of-band måste ha den Configuration Manager klienten installeras och måste tilldelas en primär plats.

System_CAPS_importantViktigt

Intel AMT-baserade datorer som har tilldelats samma Configuration Manager webbplats måste ha ett unikt datornamn, även om de tillhör olika domäner och därför har ett unikt FQDN.

 Installera klienter på Windows-baserade datorer i Configuration Manager

Om du vill konfigurera out-of-band-hantering, måste du ha följande behörigheter:

  • Site: Läsa och ändra

  • Mobil enhet registreringen profil: Läsa, skapa, ändra, Läs webbplats, och hantera certifikat för distributionen av operativsystemet

Den fullständiga administratören innehåller följande behörigheter för rollen.

Om du vill hantera datorer out-of-band måste du ha följande säkerhetsbehörigheter för samlingar som innehåller datorerna:

  • Etablera AMT: Denna behörighet kan du hantera AMT-datorer från Configuration Manager-konsolen som innehåller identifiering av status för styrenheter för AMT, etablering datorer för AMT- och granska åtgärder för att aktivera och använda inställningar för granskningslogg, inaktivera granskning och rensa händelseloggen.

  • Styr AMT: Denna behörighet kan du visa och hantera datorer med hjälp av out-of-band-hanteringskonsol och initiera power kontroll åtgärder i Configuration Manager-konsolen.Den fjärrverktyg roll innehåller den kontroll AMT behörighet.

  • Läsa och ändra inställningen för insamling av att aktivera AMT-etablering för samlingen.

  • Tillhandahållande AMT, läsa, och läsa resurs att ta bort Etableringsinformation och uppdatera AMT styrenheter.

Mer information om hur du konfigurerar behörigheter finns Konfigurera rollbaserad administration.

Rapporteringstjänstpunkt.

Använda Configuration Manager rapporter för out-of-band-hantering, måste du installera och konfigurera en rapporteringstjänstpunkt.

Mer information finns i avsnittet Rapportering i Configuration Manager.