Megosztás a következőn keresztül:


Bevezetés a sávon kívüli felügyelet a Configuration Manager

 

Érvényes: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Sávon kívüli felügyelet a System Center 2012 Configuration Manager egy hatékony felügyeleti felügyeletet biztosít a számítógépek, amelyek az Intel vPro chip beállítva, és egy Intel aktív felügyeleti Technology (Intel AMT) verziója, amely Configuration Manager támogatja.

Sávon kívüli felügyeleti lehetővé teszi, hogy egy számítógép AMT felügyeleti vezérlő kapcsolódni, ha a számítógép ki van kapcsolva, hibernált, vagy ellenkező esetben nem válaszol az operációs rendszeren keresztül rendszergazdai jogosultságokkal.Ezzel szemben sávon felügyeleti klasszikus megközelítéséhez, hogy-e Configuration Manager és megelőző használatát, amellyel egy ügynök a teljes operációs rendszer fut, a felügyelt számítógépen, és a felügyeleti vezérlő műveletek a feladatok által kommunikálnak a felügyeleti ügynököt.

Sávon kívüli felügyeleti sávon felügyeleti egészíti ki.Sávon felügyeleti műveletek szélesebb köre támogatja, mert a környezet a teljes operációs rendszer, amíg a előfordulhat, hogy nem lehet funkcionális sávon felügyeleti, ha az operációs rendszer nem található vagy nem működési.Ezekben a helyzetekben sávon kívüli felügyelet, kiegészítő képességeit használatával felügyeleti felhasználó kezelheti ezek a számítógépek anélkül, hogy a számítógép helyi elérését.

Sávon kívüli felügyelet feladatok a következők lehetnek:

  • – Áttekintés, (például a karbantartási kívül munkaidő számítógépeken) egy vagy több számítógépeken.

  • Egy vagy több számítógépek (például az operációs rendszer nem válaszol).

  • Egy biztonsági számítógép újraindításával, vagy egy helyileg csatlakoztatott eszköz vagy az ismert helyes rendszerindítási bináris fájl ről.

  • Számítógép lemezképének újbóli elkészítése a hálózaton lévő rendszerindító lemezképfájlról való indítással vagy PXE-kiszolgáló használatával.

  • Újrakonfigurálásához szükséges a BIOS-beállításai a kiválasztott számítógép (és a Mellőzés a BIOS jelszót, ha ez a BIOS gyártója által támogatott).

  • Rendszerindítás parancsalapú operációs rendszerrel parancsok, javítóeszközök vagy diagnosztikai alkalmazások futtatásához (például a firmware frissítése vagy lemezjavító eszköz futtatása céljából).

  • Ütemezett szoftvereket felébresztése számítógépek, mielőtt a számítógépen fut konfigurálása.

Ezek a sávon felügyeleti feladatok támogatottak, nem hitelesített, vezetékes kapcsolatban, és egy hitelesített 802.1 X vezetékes kapcsolat és a vezeték nélküli csatlakozási.Sávon kívüli felügyeleti a következő további funkciókat is tartalmaz:

  • A naplózás kiválasztott AMT-szolgáltatásokhoz.

  • Támogatja a különböző power állapotok megőrizni a power-felhasználás és az IT-házirend betartása érdekében.

  • Az adattárolás AMT, ASCII-karakterekből 4096 bájt legfeljebb mentési helyét a felügyeleti vezérlő nonvolatile véletlen hozzáférésű memória (NVRAM).

Például a forgatókönyve hogyan ki sávon felügyeleti használható, lásd: Példa forgatókönyvek a sávon kívüli felügyelet a Configuration Manager használatával.

Előző feladatokat a megtörténik a Configuration Manager konzolon, míg más futó sávon management Console, hogy az a kimenő Configuration Manager.Sávon kívüli felügyeleti való csatlakozáshoz a számítógépen a AMT-felügyeleti vezérlő használja a Windows Rendszerfelügyeleti webszolgáltatások technológia (WS-ember).

System_CAPS_noteMegjegyzés

Sávon kívüli felügyeleti internetes ügyfél felügyeleti az interneten keresztül kezelt ügyfelek nem támogatott.Configuration Manager ügyfelek, amelyek a letiltott vagy jóvá nem hagyott által Configuration Manager sávon kívüli nem tudja kezelni.

Az alábbi táblázat ismerteti, a beállításokat és szolgáltatásokat biztosító sávon kívüli felügyelet a Configuration Manager.

A szolgáltatás vagy az eset

További információ

A felügyeleti biztonsági-alapú

Sávon kívüli felügyeleti integrálódik az egy belső nyilvános kulcs infrastruktúra (PKI) a következő tanúsítvány használatával:

  • A sávon kívüli szolgáltatási pontot, amely lehetővé teszi a számítógépek kell konfigurálni az sávon kívüli felügyelet kimenő telepített létesítési tanúsítványt.

  • A kiszolgálói tanúsítvány, hogy telepítve van a beléptetési pont a biztonságos kommunikáció a a kimenő sávon kívüli szolgáltatási pontot kerülhet a jogosultságkiosztás folyamata során.

  • A kiszolgálói tanúsítvány, amely minden, hogy a kommunikáció hitelesítése megtörtént, és a Transport Layer Security (TLS) használatával titkosítja a sávon kívüli kezelt számítógépen telepítve van.

  • Ügyféltanúsítványok, ha a 802.1 X hitelesítéshez szükséges.

További információ ezekről a tanúsítványokról: PKI-tanúsítványkövetelmények a Configuration Managerben.

A rendszergazdák hitelesíteni kell a Kerberos használatával, mielőtt a számítógépek a kimenő sávon management Console segítségével kezelheti azokat.

Sávon kívüli felügyelet tevékenysége rögzített, és a naplózható AMT-alapú számítógépek műveletnapló használatával.

802.1 X támogatása hitelesített vezetékes hálózatok és vezeték nélküli hálózatok:

  • Hitelesített vezetékes 802.1 X támogatja: EAP-TLS vagy EAP-TTLS/MSCHAPv2 vagy PEAPv0/EAP-MSCHAPv2 ügyfél-hitelesítés beállításai.

  • Vezeték nélküli támogatása: WPA és WPA2 biztonsági, AES vagy TKIP titkosítási, EAP-TLS vagy EAP-TTLS/MSCHAPv2 vagy PEAPv0/EAP-MSCHAPv2 ügyfél-hitelesítés beállításai.

AMT kiépítés

Engedélyezi és konfigurálja a Configuration Manager-ügyfél Intel AMT-alapú számítógépek.

Funkciójú szoftverleltár-adatok

Hardverleltár-adatait az AMT-chip, például a eszközcímke BIOS UUID, / kikapcsolt állapota, processzor, memória és meghajtó információt tartalmaz.

AMT-felügyeleti vezérlők azonosítása

Az AMT-felügyeleti vezérlő és a hozzá tartozó létesítési állapot azonosítja a számítógépet.

Ezt az információt a lekérdezés alapú gyűjtemények csoport számítógépekre vonatkozó sávon felügyeleti tevékenységekből, például a létesítési és energiagazdálkodási vezérlő készítsen használható.

Teljesítmény-vezérlő

Lehetővé teszi a power, kikapcsolására és ugyanazon a számítógépen, a kijelölt számítógépek vagy a számítógépek csoportja újraindítási lehetőségeit.

Számítógépek is lehet szintűre, által az ütemezett határidő ütemezett szoftvereket.

A kezelőkonzol sávon kívüli

Egy dedikált felügyeleti konzolt, amely a is fut a Configuration Manager konzolon, vagy a parancsot a parancssorba kezdeményezhessen sávon felügyeleti feladatok, beleértve a IDE átirányítási és soros keresztüli helyi hálózati munkamenetek.

System_CAPS_noteMegjegyzés

Képességei a felügyelt számítógép gyártója függően változhat.IDE-átirányítási és soros-keresztüli-LAN képesség például a gyártó által lehet letiltani.

IDE-átirányítás

Lehetővé teszi, hogy a számítógép egy rendszerindítási bináris fájl vagy a helyileg csatlakoztatott eszköz-ről, nem pedig a lemezről IDE illesztő.Ez akkor hasznos, feltárására, kijavítása vagy imaging merevlemez-meghajtó.

Soros helyi hálózaton keresztül

A hálózati keresztüli soros technológia más virtuális soros port adatait, és a meglévő hálózati kapcsolat a kimenő sávon felügyeleti konzol által létrehozott keresztül elküldi.

A hálózati keresztüli soros technológia lehetővé teszi, hogy a terminálemuláció munkamenetet a felügyelt számítógép, amelyben futtathatja a parancsok és a karakter-alapú alkalmazások futtatása.Például a következőket tartalmazhatják a BIOS újrakonfigurálásához szükséges, vagy IDE átirányítás együtt működik, a belső vezérlőprogram frissítése vagy diagnosztikai eszközöket.

Sávon kívüli felügyelet a Configuration Manager kiterjesztése

További technikai információk támogatására, és a sávon kívüli felügyelet a kiterjesztése Configuration Manager, lásd: Intel alkalmazás ajánlatok a Microsoft Pinpointban helyen.

A Configuration Manager újdonságai

System_CAPS_noteMegjegyzés

Az ebben a szakaszban szereplő információk a következő helyen is megjelennek: az Getting Started with System Center 2012 Configuration Manager (Az első lépések a System Center 2012 Configuration Managerrel) útmutatóban.

A következő elemek új, vagy a sávon kívüli felügyelet óta megváltozott Configuration Manager 2007:

  • A System Center 2012 Configuration Manager már nem támogatja a sávon kívüli kiépítést, ami abban az esetben volt használható a Configuration Manager 2007 rendszerben, ha a Configuration Manager-ügyfél nem volt telepítve, vagy a számítógépen nem volt operációs rendszer.Annak érdekében, hogy a számítógépek képesek legyenek kezelni az AMT technológiát a System Center 2012 Configuration Manager rendszerben, Active Directory tartományhoz kell tartozniuk, telepített System Center 2012 Configuration Manager-ügyféllel kell rendelkezniük, és System Center 2012 Configuration Manager elődleges helyhez kell hozzárendelni őket.

  • Ahhoz, hogy a számítógépek képesek legyenek kezelni az AMT technológiát, a sávon kívüli szolgáltatási ponton kívül telepíteni kell az új helyrendszerszerepkört és a beléptetési pontot.Minkét helyrendszerszerepkört ugyanarra az elsődleges helyre kell telepíteni.

  • Van egy új fiók a AMT kiépítés eltávolítása fiók, amely meg kell adnia a kívüli sávon felügyeleti összetevő tulajdonságai: Létesítési fülre.A fiók megadása esetén – feltéve, hogy ugyanazt a Windows-fiókot használja, amelyet AMT felhasználói fiókként megadott – az AMT kiépítési információk eltávolításához használhatja ezt a fiókot, ha helyre kell állítania a helyet.Előfordulhat, hogy akkor is használni tudja a fiókot, ha az ügyfelet új helyhez rendelték, és az AMT kiépítési információkat nem távolították el a régi helyről.

  • Configuration Manager már nem állít elő, állapotüzenet figyelmezteti a felhasználót, hogy-e az AMT konfigurálási tanúsítvány lejár.A tanúsítvány fennálló érvényességi időszakát a felhasználónak magának kell ellenőriznie és megújítania a lejárat előtt.

  • Az AMT felderítés már nem a TCP 16992 portot, hanem csak a TCP 16993 portot használja.

  • A rendszer már nem a TCP 9971 portot használja ahhoz, hogy a az AMT felügyeleti vezérlőt a sávon kívüli szolgáltatási ponthoz csatlakoztassa abból a célból, hogy a számítógépek képesek legyenek kezelni az AMT technológiát.

  • A sávon kívüli szolgáltatási pont HTTPS protokollt használ (alapértelmezettként a TCP 443 portot) a beléptetési ponthoz való csatlakozáshoz.

  • A rendszer már nem támogatja a WS-MAN fordítót.

  • Az AMT számítógép-jelszavak visszaállítása karbantartási feladatot eltávolították.

  • Már nem kell egyedi engedélyeket kiválasztania az egyes AMT felhasználói fiókokhoz.A rendszer ehelyett minden AMT felhasználói fiókot automatikusan konfigurál a PT-felügyelet (Configuration Manager 2007 SP1) vagy Platformfelügyelet (Configuration Manager 2007 SP2) jogosultsághoz, ami minden AMT-funkcióhoz engedélyt ad.

  • Meg kell adnia egy univerzális biztonsági csoportot a Sávon kívüli felügyeleti összetevő tulajdonságai beállításban, amely tartalmazza azokat az AMT számítógépfiókokat, amelyeket a Configuration Manager létrehoz az AMT kiépítési folyamat során.

  • A helykiszolgáló-számítógép már nem igényel teljes hozzáférést az AMT kiépítés során használt szervezeti egységhez (OU).Ehelyett olvasási engedéllyel rendelkező tagjai és írási engedéllyel rendelkező tagjai számára (csak ehhez az objektumhoz) engedélyeket ad.

  • Már nem az elsődleges helykiszolgáló számítógépe, hanem a beléptetési pont igényli a tanúsítványkiállítási és -felügyeleti engedélyt a kiállító hitelesítésszolgáltatóra vonatkozóan.Ez az engedély szükséges az AMT tanúsítványok visszavonásához.Csakúgy, mint a Configuration Manager 2007 esetében, ennek a számítógépfióknak is kellenek DCOM-engedélyek, hogy kommunikálni tudjon a kibocsátó hitelesítésszolgáltatóval.Ennek konfigurálásához Windows Server 2008 esetében a beléptetési pont helyrendszer-kiszolgálójához tartozó számítógépfióknak a szolgáltatástanúsítvány DCOM-hozzáférési biztonsági csoport tagjának kell lennie, vagy Windows Server 2003 SP1 és újabb verzió esetében a CERTSVC_DCOM_ACCESS biztonsági csoport tagjának abban a tartományban, amelyben a kiállító hitelesítésszolgáltató található.

  • Az AMT webkiszolgáló-tanúsítvány és az AMT 802.1X ügyféltanúsítvány tanúsítványsablonjai már nem használják a A kérelem fogja tartalmazni beállítást, és a helykiszolgáló számítógépfiókjának már nincs szüksége engedélyekre a következő tanúsítványsablonokhoz:

    • Az AMT webkiszolgáló-tanúsítvány sablonja esetében: A Tulajdonos lapon válassza ki a Az Active Directoryból elemet, majd a Tulajdonos nevének formátuma mezőhöz tartozó Köznapi név elemet.A Biztonság lapon adjon Olvasási és Beléptetés engedélyt a Sávon kívüli felügyeleti összetevő tulajdonságai beállításban megadott univerzális biztonsági csoportnak.

    • Az AMT 802.1X ügyféltanúsítvány sablonja esetében: A Tulajdonos lapon válassza ki a Az Active Directoryból elemet, majd a Tulajdonos nevének formátuma mezőhöz tartozó Köznapi név elemet.Törölje a jelölést a DNS-név jelölőnégyzetből, majd alternatív tulajdonosnévként válassza ki az Egyszerű felhasználónév (UPN) elemet.A Biztonság lapon adjon Olvasási és Beléptetés engedélyt a Sávon kívüli felügyeleti összetevőpont tulajdonságai beállításban megadott univerzális biztonsági csoportnak.

  • Az AMT kiépítési tanúsítvány már nem igényli, hogy a titkos kulcs exportálható legyen.

  • A sávon kívüli szolgáltatási pont alapértelmezés szerint ellenőrzi az AMT kiépítési tanúsítványt a tanúsítvány-visszavonással kapcsolatban.Erre akkor kerül sor, amikor a helyrendszer először üzemel, és az AMT kiépítési tanúsítvány megváltozott.Ez a Sávon kívüli szolgáltatási pont tulajdonság beállításban tiltható le.

  • Az AMT webkiszolgáló-tanúsítványhoz tartozó CRL-ellenőrzés a sávon kívüli felügyeleti konzolban engedélyezhető vagy tiltható le.A beállítások az Eszközök menüben található Beállítások elemre kattintva módosíthatók.Az új beállítás akkor lép érvénybe, amikor a rendszer ismételten AMT-alapú számítógéphez csatlakozik.

  • AMT-alapú számítógép tanúsítványának visszavonása esetén a visszavonás indoka már nem Felváltott, hanem A tevékenység megszűnt.

  • Az ugyanahhoz a Configuration Manager-helyhez hozzárendelt AMT-alapú számítógépeknek egyedi névvel kell rendelkezniük, még abban az esetben is, ha különböző tartományokhoz tartoznak, és ezért egyedi teljes tartománynévvel rendelkeznek.

  • Ha egy AMT-alapú számítógépet az egyik Configuration Manager-helyről másik helyhez rendeli hozzá, ahhoz először el kell távolítania az AMT kiépítési információkat, ismételten hozzá kell rendelnie az ügyfelet a helyhez, majd kiépíteni az AMT-hez.

  • A biztonsági engedélyeit felügyeleti vezérlők megjelenítése és felügyeleti vezérlőket kezelése a Configuration Manager 2007 most elnevezése rendelkezés AMT és vezérlő AMT, illetve.Az AMT vezérlése engedély automatikusan bekerül a Távolieszköz-kezelő biztonsági szerepkörbe.Ha egy rendszergazda felhasználó a Távolieszköz-kezelő biztonsági szerepkörhöz van hozzárendelve, és Ön ezt a rendszergazda felhasználót AMT-alapú számítógépek kiépítésére vagy AMT-napló vezérlésére kívánja használni, hozzá kell adnia az AMT kiépítése engedélyt ehhez a biztonsági szerepkörhöz, illetve ellenőriznie kell, hogy a rendszergazda felhasználó egy olyan másik biztonsági szerepkörhöz tartozik-e, amely tartalmazza ezt az engedélyt.