Partager via


Exemple de scénario de mise en œuvre de la gestion hors bande dans Configuration Manager

 

S'applique à: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Les sections suivantes de cette rubrique fournissent un exemple de scénario pour l'implémentation de la gestion hors bande dans System Center 2012 Configuration Manager, en utilisant une approche en trois étapes :

  • Pilote : mise en œuvre et test de quelques ordinateurs qui utilisent les services de certificat (autorité de certification interne) pour le certificat de préparation

  • Déploiement : Déploiement complet à l'aide d'une autorité de certification externe pour le certificat de configuration

  • Ajouter le support sans fil : Étendre la gestion aux réseaux sans fil

Dans le scénario suivant, Trey Research envisage d'utiliser la gestion hors bande pour dépanner plus efficacement les ordinateurs qui ne démarrent pas ou ne répondent plus, qui doivent être mis sous tension pour les opérations de maintenance régulière ou dont les paramètres BIOS doivent être redéfinis.Cette société est dotée d'ordinateurs AMT Intel ayant des versions AMT prises en charge par Configuration Manager, mais ne disposant pas d'un microprogramme personnalisé qui inclut l'empreinte de certificat de leur propre autorité de certification racine interne.

Trey Research dispose d'un seul site principal Configuration Manager et tous les ordinateurs internes se trouvent dans le domaine testnet.treyresearch.net.La société possède une infrastructure à clés publiques (PKI) qui utilise les services de certificat Windows Server 2008, et une autorité de certification d'entreprise exécutant Windows Server 2008 Enterprise Edition.

Adam est l'utilisateur administratif Configuration Manager a qui il a été demandé d'implémenter la gestion hors bande en utilisant une approche en trois étapes.Tout d'abord, il teste la fonctionnalité en utilisant un petit nombre d'ordinateurs de bureau et sans acheter de certificat de préparation auprès d'une autorité de certification externe.Si le test aboutit, Adam peut acheter un certificat de préparation AMT et préparer tous les ordinateurs de bureau AMT.Pour l'étape de déploiement finale, Adam est invité à étendre la gestion hors bande aux ordinateurs portables qui utilisent le réseau sans fil.

Pilote : mise en œuvre et test de quelques ordinateurs qui utilisent les services de certificat (autorité de certification interne) pour le certificat de préparation

Pour que l'étape pilote implémente et teste la gestion hors bande, Adam exécute les actions répertoriées dans le tableau suivant.

Processus

Référence

Adam détermine la configuration requise pour la gestion hors bande et décide de créer un serveur de système de site sur lequel il installe le point de service hors bande et le point d'inscription.Cet ordinateur possède le nom de domaine complet (FQDN) server15.treyresearch.net.

Adam vérifie également que la configuration DHCP et DNS existante répond aux conditions AMT.

Pour plus d'informations sur la configuration requise, consultez Conditions requises pour la gestion hors bande dans Configuration Manager.

Adam collabore avec ses administrateurs du service Active Directory pour créer les groupes de sécurité Windows suivants :

  • Un groupe appelé « Points de service hors bande ConfigMgr » contenant server15.

  • Un groupe appelé « Serveurs de site principal ConfigMgr » contenant le compte d'ordinateur du serveur de site principal.

  • Un groupe universel de sécurité nommé « ConfigMgr AMT ordinateurs » qui contiendra les comptes d'ordinateur AMT.

Ils créent ensuite une unité d'organisation (UO) dans le domaine testnet.treyresearch.net pour les comptes d'ordinateur AMT publiés et accordent au nouveau groupe Serveurs de site principal ConfigMgr les autorisations suivantes dans cette UO : Créer des objets ordinateur et Supprimer des objets ordinateur.

Pour plus d'informations sur la création de groupes et d'unités d'organisation, consultez la documentation des services de domaine Active Directory.

Adam collabore avec l'équipe PKI et obtient les résultats suivants :

  • Le modèle de certificat de serveur Web est dupliqué et configuré pour le point d'inscription.Il est installé et configuré dans IIS sur server15.

  • Un modèle personnalisé est créé pour demander et installer le certificat de préparation AMT sur server15.

  • Le modèle de certificat de serveur Web est dupliqué et configuré en vue de l'adapter à la gestion hors bande.

  • Ils identifient et notent l'empreinte de certificat de l'unité de certification racine, qui doit être ajoutée manuellement au microprogramme AMT, jusqu'à ce qu'ils achètent un certificat de préparation auprès d'une autorité de certification externe.

Pour obtenir des instructions sur la façon de déployer les certificats PKI requis pour la gestion hors bande, consultez la Déploiement des certificats pour AMT section dans le Exemple détaillé de déploiement des certificats PKI pour Configuration Manager : Autorité de certification Windows Server 2008 rubrique.

Pour plus d'informations sur les certificats requis, voir Configuration requise des certificats PKI pour Configuration Manager.

Pour préparer les ordinateurs de bureau AMT qu'Adam utilisera dans le test initial, il vérifie que la configuration du microprogramme AMT est correcte et il ajoute l'empreinte de certificat de son autorité de certification racine interne :

  1. Lorsque l'ordinateur démarre, il appuie sur CTRL + P pour configurer le module ME.

  2. Il sélectionne Intel (R) ME Configuration, Intel (R) ME Feature Control, Sélection des fonctionnalités de gestion, puis Intel (R) AMT.Il quitte et redémarre l'ordinateur.

  3. Il exécute de nouveau le module ME et sélectionne Intel (R) AMT Configuration, Installation et configuration afin de vérifier que la valeur du mode de préparation actuel est PKI.La valeur n'est pas PKI. Il sélectionne donc TLS PKI et affecte à Configuration distante la valeur Activer.

  4. Dans la section TLS PKI, il sélectionne Gérer les hachages de certificat, il appuie sur la touche Inser et il entre l'empreinte de certificat de son autorité de certification racine interne.

  5. Il enregistre les modifications, quitte, puis redémarre l'ordinateur.

Pour plus d'informations, consultez la documentation Intel.

Adam configure ensuite le site principal Configuration Manager et effectue les changements suivants :

  • Il installe un nouveau serveur de système de site sur server15, il le configure avec le nom de domaine complet (FQDN) intranet server15.treyresearch.net, puis il installe le point de service hors bande et le point d'inscription.Il configure ensuite le composant de gestion hors bande.

  • Sur la page Certificat de configuration AMT pour la sortie du point de service hors bande, il accède au certificat de configuration AMT qu'il a installé.

  • Dans la boîte de dialogue Propriétés du composant de gestion hors bande, il configure les éléments suivants :

    • sur l'onglet Général, il définit l'UO qu'il a créée dans testnet.treyresearch.net, le groupe de sécurité universel qu'il a créé, il accède au modèle de certificat de serveur Web AMT qu'il a créé et il configure un mot de passe fort pour le compte MEBx.

    • Sur l'onglet Paramètres AMT, il définit son propre compte comme compte d'utilisateur AMT et un groupe de sécurité de domaine globale Windows qui contient les techniciens de l'assistance qui utiliseront la console de gestion hors bande.Il sélectionne également les options Activer la redirection IDE et série sur réseau local, Autoriser les réponses de ping et Activer le contournement de mot de passe de BIOS pour les commandes de la mise sous tension.

Pour plus d'informations, consultez les sections suivantes de la Comment configurer les ordinateurs AMT dans Configuration Manager rubrique :

Adam souhaite utiliser la technologie Wake On LAN pour installer les mises à jour logicielles critiques sur les ordinateurs.Il a déjà testé cette fonction et s'est rendu compte que les diffusions dirigées vers le sous-réseau consomment trop de bande passante sur les liaisons distantes et qu'un petit nombre de ses cartes réseau fonctionnent avec des transmissions en monodiffusion.

Il active Wake on LAN et décide de garder l'option par défaut Utiliser les commandes de mise sous tension si les ordinateurs prennent en charge cette technologie, sinon, utiliser les paquets de mise en éveil.

Pour plus d'informations, consultez la Étape 6 : Configuration du site pour qu'il envoie des commandes de mise sous tension pour les activités planifiées de sortie de veille étape dans la Comment configurer les ordinateurs AMT dans Configuration Manager rubrique.

Adam ajoute la colonne État AMT à la console Configuration Manager et crée un regroupement qui contient seulement cinq ordinateurs AMT comme pilote initial.Ces ordinateurs sont destinés aux tests uniquement et contiennent des versions AMT prises en charge différentes.Il configure ce regroupement pour la préparation AMT.

Pour plus d'informations, consultez la Étape 7 : Affichage de l'état AMT et activation de la configuration AMT étape dans la Comment configurer les ordinateurs AMT dans Configuration Manager rubrique.

Adam surveille le processus de préparation AMT.

Pour plus d'informations, consultez la Étape 8 : Surveillance de la configuration AMT étape dans la Comment configurer les ordinateurs AMT dans Configuration Manager rubrique.

Lorsque les ordinateurs sont correctement préparés pour AMT, Adam lance les tests sur ces ordinateurs pour la gestion hors bande.

Pour des exemples de scénarios d'utilisation de la gestion hors bande, consultez Exemples de scénarios d'utilisation de la gestion hors bande dans Configuration Manager.

Déploiement : Déploiement complet à l'aide d'une autorité de certification externe pour le certificat de configuration

Lorsque le test initial est terminé, le directeur d'Adam confirme que la gestion hors bande peut être déployée sur tous les ordinateurs de station de travail AMT.Pour ne pas avoir à ajouter l'empreinte de leur certificat d'autorité de certification racine interne à chaque ordinateur AMT, Adam achète un certificat de configuration auprès d'une autorité de certification externe et l'installe sur server15 conformément aux instructions jointes.

Ensuite, il exécute les actions répertoriées dans le tableau suivant.

Processus

Référence

Il vérifie à nouveau la configuration requise pour la gestion hors bande pour déterminer s'il doit effectuer des modifications supplémentaires.Il note ce qui suit :

  • il existe des exigences de ports qu'il doit signaler à l'administrateur du pare-feu pour que les techniciens de l'assistance puissent se connecter aux ordinateurs AMT dans les sites distants protégés par le pare-feu interne de la société.

  • Certains ordinateurs de l'assistance exécutent toujours Windows XP et il doit donc vérifier leur version de Windows Remote Management (WinRM) et mettre à jour la version, si nécessaire.

  • Il doit ajouter les techniciens de l'assistance à un rôle de sécurité approprié pour exécuter la console de gestion hors bande.

Pour plus d'informations, voir Conditions requises pour la gestion hors bande dans Configuration Manager.

Adam configure les propriétés du point de service hors bande, accède au certificat de configuration AMT qui vient d'être acheté et enregistre les modifications.

Pour plus d'informations, consultez la Étape 4 : Configuration du point d'inscription et du point de service hors bande pour la préparation AMT étape dans la Comment configurer les ordinateurs AMT dans Configuration Manager rubrique.

Adam crée des regroupements pour déployer progressivement la préparation AMT pour les stations de travail.Sur une période de quatre semaines, il active ces regroupements pour la préparation AMT et il surveille l'avancement.

Pour plus d'informations, consultez la Étape 7 : Affichage de l'état AMT et activation de la configuration AMT étape dans la Comment configurer les ordinateurs AMT dans Configuration Manager rubrique.

À la suite de ces actions, tous les ordinateurs de station de travail AMT Intel sont préparés pour AMT et peuvent être gérés hors bande par l'assistance.La possibilité d'identifier les problèmes et de réparer les ordinateurs lorsque le système d'exploitation ne fonctionne pas correctement réduit considérablement le coût total de possession de la société, car les techniciens n'ont plus à accéder localement aux ordinateurs.

Ajouter le support sans fil : Étendre la gestion aux réseaux sans fil

Après le déploiement réussi permettant aux stations de travail d'utiliser la gestion hors bande, Trey Research souhaite étendre ce support aux ordinateurs portables qui utilisent le réseau sans fil.Le réseau sans fil utilise un serveur Windows Server 2008 qui exécute NPS (Network Policy Server) et nécessite un certificat client pour l'authentification.

Adam exécute les actions répertoriées dans le tableau suivant.

Processus

Référence

Il vérifie la configuration requise de la prise en charge des réseaux fil pour la gestion hors bande et s'assure que les versions d'AMT sur les ordinateurs portables prennent en charge les profils sans fil.Il note les paramètres de configuration sans fil requis par NPS (Network Policy Server), tels que la sécurité WPA2, le chiffrement AES et l'authentification EAP-TLS.

Pour plus d'informations sur la configuration requise, consultez Conditions requises pour la gestion hors bande dans Configuration Manager.

Adam collabore avec l'équipe PKI pour créer un modèle de certificat supplémentaire qui sera utilisé par les ordinateurs AMT pour l'authentification auprès de Network Policy Server.

Pour plus d'informations sur la création du modèle de certificat client, consultez « Création et émettre les certificats d'authentification Client 802. 1 X des ordinateurs AMT » dans la Déploiement des certificats pour AMT section de la Exemple détaillé de déploiement des certificats PKI pour Configuration Manager : Autorité de certification Windows Server 2008 rubrique.

Pour plus d'informations sur les certificats requis, voir Configuration requise des certificats PKI pour Configuration Manager.

ADAM configure le Propriétés du composant Gestion hors bande : 802. 1 X et sans fil onglet :

  • Il crée un profil sans fil contenant le nom du réseau sans fil, le type de sécurité WPA2-Enterprise et la méthode de chiffrement AES.Il sélectionne ensuite le certificat racine approuvé pour NPS (Network Policy Server) et le modèle de certificat client créé précédemment.

Pour plus d'informations, consultez les étapes 26 à 39 de la Étape 5 : Configuration du composant de gestion hors bande section dans le Comment configurer les ordinateurs AMT dans Configuration Manager rubrique.

Adam crée un regroupement pour les ordinateurs portables qui peuvent prendre en charge AMT.Sur l'onglet Gestion hors bande, il sélectionne Activer la préparation d'ordinateurs basés sur AMT.

Adam surveille ensuite l'état de préparation de ces ordinateurs portables et utilise le fichier journal Amtopmgr.log pour vérifier que le profil sans fil est correctement configuré pour ces ordinateurs AMT.

System_CAPS_tipConseil

Si ces ordinateurs portables sont déjà préparés pour AMT sans le profil sans fil, Adam exécute la commande de mise à jour des données de préparation dans la mémoire du contrôleur de gestion pour appliquer les paramètres sans fil.Pour plus d'informations, voir la section Comment mettre à jour les ordinateurs pour les nouveaux paramètres AMT dans la rubrique Comment gérer les informations de configuration AMT dans Configuration Manager.

Pour plus d'informations sur l'analyse de configuration AMT, consultez le Étape 8 : Surveillance de la configuration AMT étape dans la Comment configurer les ordinateurs AMT dans Configuration Manager rubrique.

Désormais, suite à ces actions, les ordinateurs portables peuvent être également gérés hors bande par l'assistance, ce qui accélère la résolution des problèmes signalés par les utilisateurs de ces ordinateurs.