次の方法で共有

帯域外管理用の AMT プロビジョニングについて

  • [アーティクル]

適用対象: System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

AMT ベースのコンピュータを Configuration Manager 2007 SP1 以降で帯域外管理するには、事前にコンピュータを AMT 用にプロビジョニング (設定および構成) する必要があります。

注意

このトピックの情報は、Configuration Manager 2007 SP1 のみに適用されます。

AMT プロビジョニングを実行すると、Configuration Manager とネットワーク インフラストラクチャの間で次の対話が行われます。

  • サイト サーバーが Configuration Manager データベースを確認し、サーバー認証の機能が付いた、公開キー基盤 (PKI) の証明書が AMT ベースのコンピュータに発行されていないことを確認します。証明書が見つかった場合、証明書は失効します。

  • サイト サーバーが AMT ベースのコンピュータに代わって内部の発行元の証明機関に 1 つ以上の PKI 証明書を要求します。Configuration Manager 2007 SP1 でのみ、サーバー認証の機能に単一の証明書が要求されます。この証明書要求には帯域外管理するコンピュータの FQDN が含まれ、サーバー認証の機能が構成された証明書テンプレートが使用されます。また、Configuration Manager 2007 SP2 以降では、802.1X 認証ネットワーク用か 1 つ以上のワイヤレス ネットワーク用にクライアント証明書が構成されていると、これらの証明書も要求されます。また、これらの証明書要求には帯域外管理するコンピュータの FQDN が含まれ、クライアント認証の機能が構成された証明書テンプレートが使用されます。発行元の証明機関 (CA) のサーバーは要求を承認し、サイト サーバー コンピュータに証明書が付与されます。

  • AMT ベースのコンピュータは、Active Directory ドメイン サービスの Windows コンピュータ オブジェクトへのリンクとともに、AMT アカウントとして Active Directory ドメイン サービスに公開されます。

  • 管理者が帯域外管理コンソールを使用して接続できるように、AMT ベースのコンピュータのサービス プリンシパル名 (SPN) が Active Directory ドメイン サービスに登録されます。

  • Configuration Manager 2007 SP2 以降では帯域内でプロビジョニングすると、AMT アカウントが 802.1X およびワイヤレス ネットワーク用に指定されたセキュリティ グループに自動的に追加されます。ただし既定では、このオプションは無効になっています。

また、サイト サーバー上の帯域外管理コンポーネントが指定した AMT プロビジョニング アカウントとポート番号を使用して AMT ベースのコンピュータに接続した後、Configuration Manager と AMT ベースのコンピュータの管理コントローラの不揮発性ランダム アクセス メモリ (NVRAM) の間に次の内部的な対話が発生します。

  • ルート CA 証明書までの証明書チェーンを含め、サイト サーバーによって取得された、サーバー認証機能付き PKI 証明書が AMT ベースのコンピュータにインストールされます。Configuration Manager 2007 SP2 以降では、RADIUS サーバー用のルート証明書と共に、サイト サーバーによって取得された、サーバー認証機能付き PKI 証明書も AMT ベースのコンピュータにインストールされます。

  • AMT ベースのコンピュータの完全修飾ドメイン名 (FQDN) が Configuration Manager データベースから取得され、AMT ベースのコンピュータ上に AMT で構成されます。システム時刻の構成には Windows コンピュータの時刻が使用されます。

  • IDE リダイレクトや Serial over LAN を使用するかどうか、ネットワーク Ping に応答するかどうか、Web インターフェイスをサポートするかどうかなど、Configuration Manager で構成された AMT 設定が AMT ベースのコンピュータ上に AMT で構成されます。Configuration Manager 2007 SP2 ではこれに電源状態の設定が含まれます。AMT 設定の他に、AMT ベースのコンピュータで AMT リモート パスワードがランダムで強力なパスワードにリセットされ、任意の AMT ユーザー アカウントが削除され、Kerberos 認証のサポートが有効になります。

注意

ログ ファイル Amtopmgr.log に、第 1 段階のプロビジョニングおよび第 2 段階のプロビジョニングへの参照が表示されます。上記のリストの最初の 2 つは、第 1 段階のプロビジョニング中に発生します。上記のリストの最後の 1 つは、第 2 段階のプロビジョニング中に発生します。帯域外管理で使用されるログ ファイルの詳細については、「帯域外管理のログ ファイル」を参照してください。

コンピュータのプロビジョニングを行う方法の詳細については、「コンピュータを AMT 用にプロビジョニングする方法」を参照してください。

AMT プロビジョニングに使用する証明書の詳細については、「帯域外管理の証明書について」を参照してください。

管理コントローラのメモリ内のデータの更新

AMT 用に既にプロビジョニングされているコンピュータは、Configuration Manager で構成された新しい AMT 設定によって動的に再構成されません。AMT ベースのコンピュータを AMT 用にプロビジョニングした後に Configuration Manager の AMT 設定を変更する場合は、これらのコンピュータ リソースで管理コントローラのメモリ内のデータの更新操作を開始する必要があります。AMT ベースのコンピュータの管理コントローラのメモリ内のデータを更新すると、最新の AMT 設定と構成を取得できます。また、AMT ベースのコンピュータの SPN が再登録され、その Active Directory オブジェクトが更新されます (存在しない場合は、公開されます)。管理コントローラのメモリ内のデータを更新しても、サーバー認証用 AMT 証明書は失効しませんが、802.1X 認証有線ネットワークやワイヤレス ネットワーク用に構成されたクライアント認証証明書は失効します。新しいクライアント認証証明書が 802.1X 認証有線構成やワイヤレス構成で指定されていると、これらの証明書が要求されます。

Configuration Manager 2007 SP2 を使って、802.1X 認証有線ネットワーク サポートやワイヤレス ネットワーク サポートを構成すると、これらのネットワーク上では管理コントローラの更新がサポートされますが、次のような注意事項があります。

  • AMT ベースのコンピュータがワイヤレス ネットワークに接続されている場合は、ワイヤレス プロファイルの設定が更新されない。

  • AMT ベースのコンピュータが 802.1X 認証有線ネットワークに接続されている場合は、この構成の設定は更新される。新しい設定と必要なネットワーク設定との間に互換性がない場合、オペレーティング システムが実行中でないと接続が切断される。

AMT のプロビジョニング情報の削除

AMT ベースのコンピュータのプロビジョニング情報の削除が必要な場合があります。たとえば、コンピュータの帯域外管理に Configuration Manager 2007 ではなく、別の帯域外ソリューションを使用したい場合などです。コンピュータからのプロビジョニング情報の削除では、次のオプションを使用できます。

  • 管理コントローラから構成データを削除し、名前、IP アドレス、DNS サフィックスなど、コンピュータの識別情報を残します。構成データとは、IDE リダイレクトや Serial over LAN が有効かどうか、ネットワーク Ping がサポートされるかどうか、Web インターフェイスが有効かどうかなどです。

  • 管理コントローラから構成データと識別情報の両方を削除します。

どちらの場合も、AMT でインストールされた証明書はすべて失効し、SPN は削除され、ATM アカウントは Active Directory ドメイン サービスから削除されます。

AMT プロビジョニング情報を削除すると、Configuration Manager により自動的に再度、その情報のプロビジョニングが行われる場合があります。たとえば、AMT ベースのコンピュータによる帯域内プロビジョニングが可能で、かつそのコンピュータが、自動 AMT プロビジョニングが有効になっているコレクション内にある場合は、これが既定で当てはまります。また既定では、AMT ベースのコンピュータによる帯域内プロビジョニングが可能な場合も当てはまります。ただしプロビジョニング情報を削除するオプションを選択する場合は、自動プロビジョニングを無効にし、後で必要なときに再び有効にすることができます。

AMT ベースのコンピュータのプロビジョニング情報を削除して自動プロビジョニングを再び使用する方法の詳細については、「AMT ベース コンピュータのプロビジョニング情報の削除方法」を参照してください。

AMT ベースのコンピュータの名前変更およびドメイン変更

Configuration Manager によって既に AMT 用にプロビジョニングされているコンピュータの名前を変更したり、コンピュータを別のドメインに移動する場合は、AMT ベースのコンピュータからプロビジョニング情報をすべて削除し、コンピュータのプロビジョニングを再度行う必要があります。プロビジョニング情報を削除するのは、コンピュータの名前変更または移動の前でも後でもかまいません。ただし、名前変更またはドメイン移動が完了するまで、コンピュータのプロビジョニングを再度行わないでください。これらの手順を実行しないと、名前変更またはドメイン移動後に AMT ベースのコンピュータを帯域外管理できなくなります。

プロビジョニング情報を削除する場合は、構成データおよび識別情報の両方を管理コントローラから削除するオプションを選択してください。また、必要に応じて自動プロビジョニングを無効にし、名前変更またはドメイン移動後に再び有効にするオプションを選択してください。

参照:

タスク

帯域外管理コンソールの実行方法

概念

帯域外管理の証明書について
帯域外管理の証明書要件
帯域外管理の Configuration Manager AMT プロビジョニング プロセス
AMT ベースの管理ソリューションから Configuration Manager の帯域外管理に移行する方法を決定する
帯域外管理の概要