Condividi tramite

  • Articolo

Scenario di esempio per l'implementazione di gestione fuori banda in Configuration Manager

 

Si applica a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Nota

Questo argomento è presente in: guida Risorse e conformità a System Center 2012 Configuration Manager e guida Scenari e soluzioni per System Center 2012 Configuration Manager.

Nelle sezioni seguenti in questo argomento è fornire uno scenario di esempio per l'implementazione di gestione fuori banda in System Center 2012 Configuration Manager, utilizzando un approccio in tre fasi:

  • Progetto pilota: Implementazione e il Testing di alcuni computer che utilizzano i servizi certificati (autorità di certificazione interna) per il certificato di Provisioning

  • Implementazione: Distribuzione completa utilizzando una CA esterna per il certificato di Provisioning

  • Aggiungere il supporto Wireless: Estendere gestione alle reti Wireless

Nel seguente scenario Trey Research desidera utilizzando gestione fuori banda per risolvere in modo più efficiente i computer che non è possibile avviare o arrestare risponde, richiedono accensione per operazioni di manutenzione o richiedono la riconfigurazione delle impostazioni del BIOS.La società dispone di computer basati su Intel AMT con le versioni di AMT supportati da Configuration Manager, ma non dispongono di firmware personalizzato che include l'identificazione personale del certificato dell'autorità di certificazione (CA) propri radice interna.

Trey Research dispone di un singolo Configuration Manager sito primario e tutti i computer interni si trovano nel testnet.treyresearch.net dominio.La società dispone già di un'infrastruttura di infrastruttura a chiave pubblica (PKI) esistente che utilizza Servizi certificati di Windows Server 2008 e dispone di un'autorità di certificazione in esecuzione Windows Server 2008 Enterprise Edition.

ADAM è il Configuration Manager utente amministratore che è stato richiesto per implementare gestione fuori banda tramite un approccio in tre fasi.Si verifica innanzitutto la funzionalità utilizzando un numero ridotto di computer desktop e senza dover acquistare un certificato di provisioning da una CA esterna.Se il test passa insomma, Adam è possibile acquistare un provisioning AMT del certificato ed eseguire il provisioning di tutti i basati su AMT computer desktop.Per la fase di distribuzione finale, Adam è richiesto per estendere la gestione fuori banda per computer portatili che utilizzano la rete wireless.

Progetto pilota: Implementazione e il Testing di alcuni computer che utilizzano i servizi certificati (autorità di certificazione interna) per il certificato di Provisioning

Per la fase pilota implementare e testare gestione fuori banda, Adam accetta la linea di condotta descritta nella tabella seguente.

Processo

Riferimento

Davide verifica i prerequisiti per la gestione fuori banda e decide di creare un server di sistema del sito in cui installa fuori banda punto per servizi e il punto di registrazione.Questo computer ha il nome di dominio completo (FQDN) di server15.testnet.treyresearch.net.

ADAM conferma inoltre che la configurazione DNS e DHCP esistente soddisfi i requisiti per AMT.

Per ulteriori informazioni sui prerequisiti, vedere Prerequisiti per la gestione fuori banda in Configuration Manager.

ADAM funziona con il suo gli amministratori del servizio Active Directory per creare i gruppi di sicurezza di Windows seguenti:

  • Un gruppo denominato punti di servizio ConfigMgr fuori banda contenente server15.

  • Un gruppo denominato server del sito primario ConfigMgr che contiene l'account di computer server sito primario.

  • Un gruppo di protezione universale denominato computer AMT di ConfigMgr che conterrà gli account computer AMT.

Vengono quindi creare un'unità organizzativa (OU) nel testnet.treyresearch.net dominio per l'account computer basati su AMT pubblicato e concedere il gruppo appena creato server del sito primario ConfigMgr le seguenti autorizzazioni a questa unità Organizzativa: Creare oggetti Computer e eliminare oggetti Computer.

Per ulteriori informazioni su come creare gruppi e unità organizzative, vedere la documentazione di servizi di dominio Active Directory.

ADAM funziona con il team PKI con i risultati seguenti:

  • Il modello di certificato server web è duplicato e configurato per il punto di registrazione.Questa viene installata e configurata in IIS su server15.

  • Viene creato un modello personalizzato per richiedere e installare il certificato di provisioning AMT in server15.

  • Il modello di certificato server web è duplicato e configurato in modo che sia appropriato per la gestione fuori banda.

  • Che l'identificazione e annotare l'identificazione personale del certificato della CA, che deve essere aggiunta manualmente al firmware AMT fino a quando l'acquisto di un certificato di provisioning da una CA esterna principale.

Per istruzioni su come distribuire i certificati PKI richiesti per la gestione fuori banda, vedere il Distribuzione dei certificati per AMT sezione il Esempio dettagliato di distribuzione dei certificati PKI per Configuration Manager: Autorità di certificazione di Windows Server 2008 argomento.

Per altre informazioni sui requisiti dei certificati, vedere Requisiti dei certificati PKI per Configuration Manager.

Per preparare i computer desktop basati su AMT che Adam verrà utilizzato nel test iniziale, Davide verifica che la configurazione del firmware AMT sia corretta e aggiunge l'identificazione personale le CA radice interna:

  1. All'avvio del computer, si preme CTRL + P per configurare il ME modulo.

  2. Seleziona Intel (R) ME configurazione, Intel (R) ME funzionalità controllo, Selezione funzionalità di gestibilità, quindi seleziona Intel (R) AMT.Egli viene chiuso e riavviato il computer.

  3. Dirige il ME modulo Seleziona nuovamente, configurazione Intel (R) AMT, installazione e configurazione, per verificare che il valore per il modalità di provisioning corrente è PKI.Il valore non è PKI, quindi seleziona PKI TLS, e imposta il configurazione remota a abilitare.

  4. Nel TLS PKI sezione seleziona gestire hash certificato, preme il tasto INS e tipi di identificazione personale del suo CA radice interna.

  5. Ha Salva le modifiche, viene chiusa e si riavvia il computer.

Per ulteriori informazioni, vedere la documentazione di Intel.

Quindi, Davide configura il sito primario di Configuration Manager e apporta le modifiche seguenti:

  • Installa un nuovo server del sistema del sito su server15, viene configurata con il FQDN intranet di server15.treyresearch.net, e quindi installa il fuori banda punto per servizi e il punto di registrazione.Quindi Configura il gestione fuori banda componente.

  • Nel certificato di Provisioning AMT pagina per il fuori banda nel punto di servizio esplorazioni he per il certificato di provisioning AMT che ha installato.

  • Nel proprietà componente Gestione fuori banda nella finestra di dialogo Configura le operazioni seguenti:

    • Nel Generale scheda specifica unità Organizzativa che ha creato in testnet.treyresearch.net, il gruppo di protezione universale che ha creato, cerca di AMT modello certificato server web che ha creato in precedenza e consente di configurare una password complessa per il MEBx Account.

    • Nel Impostazioni AMT scheda, specifica il proprio account come Account utente AMT e un gruppo di sicurezza globali di dominio di Windows che contiene i tecnici del supporto tecnico che utilizzeranno il fuori banda console di gestione.Seleziona inoltre le opzioni Attiva seriale su LAN e reindirizzamento IDE, Consenti risposte ping, e password del BIOS abilitare ignorare per l'alimentazione in e riavviare comandi.

Per ulteriori informazioni, vedere le sezioni seguenti di Il provisioning e configurare i computer basati su AMT in Configuration Manager argomento:

Davide desidera utilizzare riattivazione sulla tecnologia LAN per installare gli aggiornamenti software critici nei computer.Ha tentato di questa funzionalità in precedenza ed scoperto che broadcast con riferimento a subnet utilizzata troppa larghezza di banda di rete su collegamenti remoti e numero di schede di rete lavorato trasmissioni unicast.

Consente di riattivazione LAN e si decide di mantenere l'opzione predefinita di utilizzano energia sui comandi se il computer supporta tale tecnologia; in caso contrario, utilizzare i pacchetti di riattivazione.

Per ulteriori informazioni, vedere il Passaggio 6. Configurazione del sito per inviare l'alimentazione sui comandi per le attività pianificate di riattivazione passaggio il Il provisioning e configurare i computer basati su AMT in Configuration Manager argomento.

Davide aggiunge la colonna Stato AMT per il Configuration Manager console e crea una nuova raccolta che contiene solo cinque computer basati su AMT come suo progetto pilota.Questi computer sono solo per i test e contengono diverse versioni supportate di AMT.Configura questa raccolta per il provisioning AMT.

Per ulteriori informazioni, vedere il Passaggio 7. Visualizzazione stato AMT e attivazione del provisioning AMT passaggio il Il provisioning e configurare i computer basati su AMT in Configuration Manager argomento.

ADAM consente di monitorare il processo di provisioning AMT.

Per ulteriori informazioni, vedere il Passaggio 8. Monitoraggio di Provisioning AMT passaggio il Il provisioning e configurare i computer basati su AMT in Configuration Manager argomento.

Quando i computer sono correttamente il provisioning per AMT, Adam Avvia test di questi computer per la gestione fuori banda.

Ad esempio gli scenari di utilizzo di gestione fuori banda, vedere Scenari di esempio per l'utilizzo di gestione fuori banda in Configuration Manager.

Implementazione: Distribuzione completa utilizzando una CA esterna per il certificato di Provisioning

Quando viene completato il test iniziale, Adam riceve conferma dal suo responsabile che gestione fuori banda può essere implementata per tutti i computer basati su AMT workstation.Per eliminare la necessità di aggiungere l'identificazione personale del certificato CA radice interna in ciascun computer basati su AMT, Adam acquista un certificato di provisioning da un'autorità di certificazione esterna e la installa nel server15, seguendo le istruzioni di accompagnamento.

ADAM accetta quindi la linea di condotta descritta nella tabella seguente.

Processo

Riferimento

ADAM controlla di nuovo, i prerequisiti per la gestione fuori banda per verificare se sono presenti modifiche aggiuntive che avrebbe da apportare.Dice le operazioni seguenti:

  • Esistono requisiti di porte che egli deve essere correlato all'amministratore del firewall in modo che i tecnici del supporto tecnico possono connettersi ai computer basati su AMT in siti remoti che sono protetti dal firewall aziendale interna.

  • Alcuni utili computer tecnico eseguono ancora Windows XP, e pertanto è necessario verificare questi computer per la versione di gestione remota Windows (WinRM) e aggiornare la versione se necessario.

  • È necessario aggiungere tecnici del supporto tecnico a un ruolo di sicurezza appropriate per eseguire la console fuori banda management.

Per altre informazioni, vedere Prerequisiti per la gestione fuori banda in Configuration Manager.

Davide Configura le proprietà del punto di servizio di banda fuori, Cerca il certificato di provisioning AMT appena acquistato e Salva le modifiche.

Per ulteriori informazioni, vedere il Passaggio 4: Configurare il punto di registrazione e punto fuori banda del servizio per il Provisioning AMT passaggio il Il provisioning e configurare i computer basati su AMT in Configuration Manager argomento.

Davide crea nuove raccolte per implementare gradualmente provisioning AMT per computer workstation.In un periodo di quattro settimane, Abilita queste raccolte per il corso di monitor e provisioning AMT.

Per ulteriori informazioni, vedere il Passaggio 7. Visualizzazione stato AMT e attivazione del provisioning AMT passaggio il Il provisioning e configurare i computer basati su AMT in Configuration Manager argomento.

In seguito a questa linea di condotta, tutti i computer basati su Intel AMT workstation vengono effettuato il provisioning per AMT e fuori banda per gestire il supporto tecnico.La possibilità di risolvere i problemi e riparare i computer quando il sistema operativo non funziona notevolmente riduce il costo totale di proprietà per la società perché tecnici non richiedono l'accesso locale al computer.

Aggiungere il supporto Wireless: Estendere gestione alle reti Wireless

Dopo l'implementazione corretta per le workstation utilizzare Gestione fuori banda, Trey Research desidera estendere il supporto per computer portatili che utilizzano la rete wireless.La rete wireless utilizza un server basato su Windows Server 2008 che esegue Server dei criteri di rete (NPS) e richiede un certificato client per l'autenticazione.

ADAM accetta la linea di condotta descritta nella tabella seguente.

Processo

Riferimento

ADAM prerequisiti supporto wireless per gestione fuori banda e conferma che le versioni di AMT i laptop supporta i profili wireless.Dice le impostazioni di configurazione senza fili necessari per il Server dei criteri di rete come protezione WPA2, la crittografia AES e l'autenticazione EAP-TLS.

Per ulteriori informazioni sui prerequisiti, vedere Prerequisiti per la gestione fuori banda in Configuration Manager.

ADAM funziona con il team di infrastruttura a chiave pubblica per creare un modello di certificato aggiuntivi che utilizzano i computer basati su AMT per l'autenticazione con il Server dei criteri di rete.

Per ulteriori informazioni sulla creazione del modello di certificato client, vedere "Creazione ed emissione di certificati di autenticazione Client 802.1 X basato su AMT computer" nella Distribuzione dei certificati per AMT sezione il Esempio dettagliato di distribuzione dei certificati PKI per Configuration Manager: Autorità di certificazione di Windows Server 2008 argomento.

Per altre informazioni sui requisiti dei certificati, vedere Requisiti dei certificati PKI per Configuration Manager.

Davide configura il proprietà componente Gestione fuori banda: 802.1 X e Wireless scheda:

  • Crea un profilo wireless contenente il nome di rete wireless, il tipo di sicurezza di WPA2-Enterprise e il metodo di crittografia di AES.Seleziona quindi il certificato radice attendibile per il Server dei criteri di rete e il modello di certificato client è stato creato in precedenza.

Per ulteriori informazioni, vedere i passaggi da 26 a 39 nel Passaggio 5: Configurazione fuori banda componente di gestione sezione il Il provisioning e configurare i computer basati su AMT in Configuration Manager argomento.

Davide crea una nuova raccolta per i computer portatili in grado di supportare AMT.Nel gestione fuori banda scheda Seleziona abilitare il provisioning per computer basati su AMT.

ADAM consente di monitorare lo stato di provisioning per i portatili e utilizza il file di registro amtopmgr. log, per verificare che il profilo wireless è configurato correttamente per questi computer basati su AMT.

System_CAPS_tipSuggerimento

Se i portatili sono già eseguito il provisioning per AMT senza il profilo wireless, Adam viene eseguito il aggiornare i dati di Provisioning in memoria di Controller di gestione comando applicare le impostazioni wireless.Per ulteriori informazioni, vedere il Come aggiornare i computer per le nuove impostazioni AMT sezione il Come gestire informazioni in Configuration Manager di Provisioning AMT argomento.

Per ulteriori informazioni sul monitoraggio di provisioning AMT, vedere il Passaggio 8. Monitoraggio di Provisioning AMT passaggio il Il provisioning e configurare i computer basati su AMT in Configuration Manager argomento.

In seguito a questa linea di condotta, computer portatili anche fuori banda per gestire il supporto tecnico, riducendo il tempo necessario per risolvere i problemi segnalati dagli utenti di computer portatile.