次の方法で共有


帯域外管理の実装のシナリオ例

適用対象: System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

このトピックの次のセクションでは、Configuration Manager 2007 SP1 以降で帯域外管理を実装するためのシナリオの例を説明します。

  • 新しいコンピュータの帯域外 AMT プロビジョニング

  • Configuration Manager クライアント コンピュータの帯域内 AMT プロビジョニング

  • Configuration Manager 2007 SP2 を使ったワイヤレス ネットワーク のAMT プロビジョニング

注意

このトピックの情報は、Configuration Manager 2007 SP1 のみに適用されます。

次のシナリオでは、会社には既に Windows Server 2003 証明書サービスを使用する既存の公開キー基盤 (PKI) インフラストラクチャがあり、Windows Server 2003 Enterprise Edition で実行されるエンタープライズ証明機関も所有しています。

新しいコンピュータの帯域外 AMT プロビジョニング

このシナリオでは、オペレーティング システムがインストールされていない新しいコンピュータに対し、AMT ベースのコンピュータの帯域外プロビジョニングを使用する方法について説明します。

A. Datum Corporation は、一連の新しい AMT ベースのコンピュータを受け取りました。これらのコンピュータは、Configuration Manager 2007 で帯域外管理を行うためのすべての前提条件を満たしています。この会社では、最近、セントラル サイトを Configuration Manager 2007 SP1 に更新しましたが、ほかのサイトではまだ Configuration Manager 2007 を実行しており、すべての Configuration Manager のクライアントも Configuration Manager 2007 を実行しています。

クライアントがConfiguration Manager 2007 SP1 以降の AMT をサポートするバージョンに更新されるまでは、これらのコンピュータは帯域内でプロビジョニングされません。

Tommy Hartono は、Configuration Manager 管理者であり、セントラル サイトでこれらのコンピュータのプロビジョニングを担当しています。コンピュータは、すべて会社の単一のドメインに結合され、Configuration Manager 2007 SP1 以降の帯域外管理をサポートするためのすべての要件を満たしています。

AMT ベースのコンピュータには、カスタマイズされたファームウェア イメージは存在しないため、Tommy は上司の承認を得て、これらのコンピュータのファームウェア内に設定された外部の証明機関 (CA) から AMT プロビジョニング証明書を購入します。

これらの新しい AMT ベースのコンピュータを帯域外でプロビジョニングするために、Tommy は次の表に記載した順序で作業を行います。

プロセス 参照

帯域外管理の前提条件を確認し、Configuration Manager サイトに次のような変更を加えます。

  • 帯域外サービス ポイントのインストール場所としてサイト システム サーバーを指定します。このコンピュータには、完全修飾ドメイン名 (FQDN) server15.adatum.com が指定されています。このサーバーでは Windows Server 2003 SP2 を実行しているため、必要な修正プログラム 942841 をインストールします。

  • また、サイト システム サーバーには Windows Remote Management (WinRM) の最新のバージョンをインストールします。

修正プログラムの詳細については、https://go.microsoft.com/fwlink/?LinkId=106107 を参照してください。

WinRM の最新バージョンのダウンロードと詳細については、https://go.microsoft.com/fwlink/?LinkId=105682 を参照してください。

次に、Active Directory サービス管理者と協力し、公開された AMT ベースのコンピュータ オブジェクト用に adatum.com ドメイン内に OU を作成し、サイト サーバーがこの OU とそのすべての子オブジェクトのフル コントロールを所持できるように、OU を構成します。

また、PKI 証明書の準備の際に、次の Windows セキュリティ グループも作成されます。

  • server15 が含まれた ConfigMgr Out Band Service Points という名前のグループ。

  • セントラル サイト内のプライマリ サイト サーバーが含まれた ConfigMgr Primary Site Servers という名前のグループ。

詳細については、次のトピックを参照してください。

次の結果を使用して、インフラストラクチャ サービス チームとともに作業を行います。

  • 帯域外通信用にルーターとファイアウォールを再構成する必要がないことを確認します。

  • 帯域外サービス ポイントをインストールする新しいサイト システム サーバーが、DNS 内のエイリアス レコードを自動的に登録できるように、DNS サーバーが動的な更新を受け入れることを確認します。

  • DHCP サーバーが、次のような設定で、既に適切に構成されていることを確認します。

    1. 使用可能なアドレスを持つ、アクティブなスコープが存在する。

    2. このスコープは、ドメイン サーバー用のオプション 006 と、ドメイン名用のオプション 015 で構成されている。

    3. DHCP サーバーは、コンピュータのリソース レコードで自動的に DNS を更新する。

帯域外管理通信で使用されるポートの詳細については、「帯域外管理の前提条件」に記載された外部との依存関係にある場合のポート情報を参照してください。

DNS と DHCP 設定の詳細については、次のトピックを参照してください。

次の結果を使用して、PKI チームとともに作業を行います。

  • 外部 CA から AMT プロビジョニング証明書を要求するためのカスタム テンプレートが作成されます。

  • AMT プロビジョニング証明書の証明書要求は、server15 から発行され、外部 CA に送信できるようにファイルに保存されます。

  • 証明書要求ファイルは、注文書とともに外部 CA に送信されます。Tommy は翌日電子メールで証明書の応答を受け取ります。この証明書を server15 にインストールします。

  • インストールされた AMT プロビジョニング証明書は .PFX ファイルにエクスポートされ、サーバー上に安全に保存されます。

  • Web サーバー証明書のテンプレートは、帯域外管理用に複製され、構成されます。

帯域外管理に必要な PKI 証明書の展開方法については、「AMT および帯域外管理に必要な PKI 証明書の展開手順の例: Windows Server 2003 証明機関」を参照してください。

証明書の要件の詳細については、「帯域外管理の証明書要件」を参照してください。

帯域外管理における証明書の使用方法の詳細については、「帯域外管理の証明書について」を参照してください。

次に、セントラル サイトを構成し、プライマリ サイトで次の変更を行います。

  • server15 に新しいサイト システム サーバーをインストールし、このサーバーを server15.adatum.com というイントラネットの FQDN を使用して構成し、帯域外サービス ポイントをインストールします。

  • [帯域外管理コンポーネントのプロパティ] ダイアログ ボックスで、次の手順で帯域外管理を構成します。

    • [全般] タブで、adatum.com に作成した OU を指定し、[DNS 内でプロビジョニング サーバーをエイリアスとして登録する] オプションを有効にし、MEBx アカウントに対して強力なパスワードを構成して、エクスポートした AMT 証明書ファイルを参照します。次に、エクスポート処理時に使用したパスワードを入力し、CA の発行と使用する AMT 証明書テンプレートを選択します。

    • [AMT 設定] タブで、AMT ユーザー アカウントに Windows ドメイン グローバル セキュリティ グループを指定します。このグループには、帯域外管理コンソールを使用するヘルプ デスクのエンジニアが含まれます。この AMT ユーザー アカウントには、使用できる AMT 機能をすべて選択します。また、[Serial over LAN と IDE リダイレクトを有効にする] オプションもオンにします。

詳細については、次のトピックを参照してください。

ここで、次の作業を実行し、AMT 用の帯域外コンピュータのプロビジョニングに必要な最後の手順を行います。

  • AMT ベースのコンピュータを含む新しいコレクションを作成します。

  • FQDN や UUID などのコンピュータの詳細を指定したカンマ区切り (CSV) のファイルを準備します。

  • 帯域外管理用コンピュータのインポート ウィザードを実行し、CSV ファイルと作成したコレクションを指定します。

  • コレクションを更新し、インポートしたコンピュータを表示して確認します。

詳細については、次のトピックを参照してください。

コンピュータの配布時に、コンピュータには電源とネットワーク アダプタが接続されているがこれらをオンにする必要はないことを記載した指示書を提供します。

プロビジョニング プロセスを監視します。

詳細については、「AMT 用にプロビジョニングされているコンピュータを特定する方法」を参照してください。

この一連の措置の結果、新しいコンピュータが AMT 用にプロビジョニングされます。各コンピュータにオペレーティング システムがインストールされると、CSV ファイルで指定された同一の FQDN が使用されるようになり、これらのコンピュータを帯域外管理することができるようになります。

Configuration Manager クライアント コンピュータの帯域内 AMT プロビジョニング

このシナリオでは、Configuration Manager 2007 SP1 クライアントを実行する AMT ベースのコンピュータで、帯域内プロビジョニングを使用する方法について説明します。

Trey Research には Configuration Manager 2007 SP1 の階層があり、帯域外管理を使用して支社に配置されたコンピュータを管理する方法に関心を示しています。この会社はすべてのコンピュータを同じ製造元から購入します。これらのコンピュータは支社に直接納品されるため、コンピュータは、Windows オペレーティング システム、標準アプリケーションと設定、Configuration Manager 2007 SP1 クライアントを含む Trey Research 固有のビルド イメージを使用してインストールされます。

このコンピュータのカスタム ビルドに加え、Trey Research では、外部 CA から AMT プロビジョニング証明書を購入する必要がないように、内部のルート CA の証明書の拇印を含む、カスタマイズされたファームウェア イメージが必要です。製造元は、証明書の拇印をルート CA のハッシュとみなし、この値は次の手順を使用して検索されます。AMT プロビジョニング用の内部ルート証明書の拇印を検出する方法.

Terry Adams は、Configuration Manager 管理者であり、Configuration Manager サイトでこれらのコンピュータのプロビジョニングを担当しています。コンピュータはすべて会社の子ドメインである testnet.treyresearch.net に結合され、サイト システム サーバーは treyresearch.net 内に存在します。Configuration Manager クライアントをサイトの自動割り当てを使用してインストールすると、すべてがセントラル サイトに属する複数のセカンダリ サイトの境界内に配置されます。

これらの新しい AMT ベースのコンピュータを帯域内でプロビジョニングするために、Terry は次の表に記載した順序で作業を行います。

プロセス 参照

帯域外管理の前提条件を確認し、Configuration Manager サイトに次のような変更を加えます。

  • 帯域外サービス ポイントのインストール場所としてサイト システム サーバーを指定します。このコンピュータには、完全修飾ドメイン名 (FQDN) server15.treyresearch.net が指定されています。このサーバーでは Windows Server 2003 SP2 を実行しているため、必要な修正プログラム 942841 をインストールします。

  • また、サイト システム サーバーには Windows Remote Management (WinRM) の最新のバージョンをインストールします。

修正プログラムの詳細については、https://go.microsoft.com/fwlink/?LinkId=106107 を参照してください。

WinRM の最新バージョンのダウンロードと詳細については、https://go.microsoft.com/fwlink/?LinkId=105682 を参照してください。

次に、Active Directory サービス管理者と協力し、公開された AMT ベースのコンピュータ オブジェクト用に testnet.treyresearch.net ドメイン内に OU を作成し、この OU とそのすべての子オブジェクトのフル コントロールを所持できるようにサイト サーバーを構成します。

また、PKI 証明書の準備の際に、次の Windows セキュリティ グループも作成されます。

  • server15 が含まれた ConfigMgr Out Band Service Points という名前のグループ。

  • セントラル サイト内のプライマリ サイト サーバーが含まれた ConfigMgr Primary Site Servers という名前のグループ。

詳細については、次のトピックを参照してください。

Terry は自分のサイトと支社の間にファイアウォールが存在することを認識しているため、サイト システムと AMT ベースのコンピュータ間の帯域外接続を可能にするために、開く必要があるポートを特定します。次に、必要なファイアウォールの変更要求を提出します。

帯域外管理通信で使用されるポートの詳細については、「帯域外管理の前提条件」に記載された外部との依存関係にある場合のポート情報を参照してください。

次の結果を使用して、PKI チームとともに作業を行います。

  • 内部 CA の AMT プロビジョニング証明書を要求するためのカスタム テンプレートを作成します。

  • AMT プロビジョニング証明書の証明書要求は、server15 から発行され、自動的に承認されてインストールされます。

  • インストールされた AMT プロビジョニング証明書は .PFX ファイルにエクスポートされ、サーバー上に安全に保存されます。

  • Web サーバー証明書のテンプレートは、帯域外管理用に複製され、構成されます。

帯域外管理に必要な PKI 証明書の展開方法については、「AMT および帯域外管理に必要な PKI 証明書の展開手順の例: Windows Server 2003 証明機関」を参照してください。

証明書の要件の詳細については、「帯域外管理の証明書要件」を参照してください。

帯域外管理における証明書の使用方法の詳細については、「帯域外管理の証明書について」を参照してください。

次に、Configuration Manager のプライマリ サイトを構成し、次の変更を行います。

  • server15 に新しいサイト システム サーバーをインストールし、このサーバーを server15.treyresearch.net というイントラネットの FQDN を使用して構成し、帯域外サービス ポイントをインストールします。

  • [帯域外管理のプロパティ] ダイアログ ボックスで、次の手順で帯域外管理を構成します。

    • [全般] タブで、testnet.treyresearch.net に作成した OU を指定し、MEBx アカウントに対して強力なパスワードを構成し、エクスポートした AMT 証明書ファイルを参照して、エクスポート処理時に使用したパスワードを入力します。次に、CA の発行と使用する AMT 証明書テンプレートを選択します。

    • [AMT 設定] タブで、AMT ユーザーアカウントに Windows グローバル ドメイン セキュリティ グループを指定します。このグループには、帯域外管理コンソールを使用するヘルプ デスクのエンジニアが含まれます。この AMT ユーザー アカウントには、使用できる AMT 機能をすべて選択します。また、[Serial over LAN と IDE リダイレクトを有効にする]、[Ping に応答する]、[電源オン コマンドおよび再起動コマンドの BIOS パスワード バイパスを有効にする] オプションも選択します。

詳細については、次のトピックを参照してください。

Terry は、Wake on LAN を使用して、コンピュータ上に重要なソフトウェアの更新をインストールしようと考えています。以前この機能を使用したことがありますが、リモート リンク上でサブネット向けのブロードキャストが消費するネットワーク帯域幅が大きすぎることと、そのほとんどのネットワーク アダプタはユニキャスト送信と連携しないことに気付きました。

そこで Wake on LAN を有効にし、既定のオプションである [コンピュータが電源オン コマンドをサポートしている場合はこのコマンドを使用し、サポートしていない場合はウェイクアップ パケットを使用する] を選択した状態にしておくことにしました。

詳細については、次のトピックを参照してください。

AMT の帯域内自動プロビジョニングを有効にするには、次に示す最後の手順を実行します。

  • 管理コントローラの探索を有効にします。

  • Configuration Manager による AMT プロビジョニングを実行可能な管理コントローラを持つコンピュータを動的に追加する、クエリ ベース コレクションを作成します。

  • コレクション設定を使用してコレクションを構成し、帯域外管理コントローラの自動プロビジョニングを有効にします。

詳細については、次のトピックを参照してください。

新しいコンピュータがインストールされ、サイトに参加するときに、コレクションと新しいコンピュータのプロビジョニング プロセスを監視します。

詳細については、「AMT 用にプロビジョニングされているコンピュータを特定する方法」を参照してください。

この一連の作業の結果、Configuration Manager 2007 SP1 クライアントを実行するコンピュータは、AMT 用にプロビジョニングされるため、この後、起動に失敗したり、オペレーティング システムが応答を停止した場合や、定期保守のためにコンピュータの電源を入れる必要がある場合、またはコンピュータの BIOS 設定を再構成する必要がある場合でも、帯域外での管理が可能になります。

帯域管理を使用したシナリオ例は、「帯域外管理の使用のシナリオ例」を参照してください。

Configuration Manager 2007 SP2 を使ったワイヤレス ネットワーク のAMT プロビジョニング

このシナリオでは、ワイヤレス ネットワーク上で管理するために、元々は Configuration Manager 2007 SP1 を使ってプロビジョニングしていた AMT ベース コンピュータを、Configuration Manager 2007 SP2 を使ってプロビジョニングする方法を解説します。

Trey Research は最近 Configuration Manager 2007 SP1 階層とクライアントを Configuration Manager 2007 SP2 にアップグレードしたところで、そのラップトップ コンピュータの帯域外サポートをワイヤレス ネットワークまで拡張することを希望しています。 同社のワイヤレス ネットワークは、ネットワーク ポリシー サーバー (NPS) を実行し、認証にクライアント証明書を必要とする Windows Server 2008 ベースのサーバーを使っています。

Terry Adams は Configuration Manager 管理者で、これらのラップトップ コンピュータがワイヤレス ネットワーク上の帯域外で管理され続けるように保証する責任があります。彼は、次の表に示す一連の措置を実行しました。

プロセス 参照

Terry は帯域外管理用のワイヤレス サポートの前提条件を調べ、ラップトップ上の AMT のバージョンがワイヤレス プロファイルをサポートすることを確認します。ネットワーク ポリシー サーバーに必要とされるワイヤレス構成設定は、WPA2 セキュリティ、AES 暗号化、および EAP-TLS 認証であることを確認します。

この環境のサポートにこれ以外に構成するものがないかを調べるため、計画ドキュメントを見て、ワイヤレスネットワークのサポートに関連する追加情報も確認します。

前提条件の詳細については、「帯域外管理の前提条件」を参照してください。

ワイヤレス ネットワーク用の帯域外管理サポートを構成する決定を確認するには、802.1X ネットワークおよびワイヤレス ネットワークのサポートを構成するかどうかを判断するを参照してください。

Terry は PKI チームと協力し、AMT ベースのコンピュータがネットワーク ポリシー サーバーでの承認に使う追加の証明書テンプレートを作成します。

クライアント証明書テンプレートを作成方法の詳細については、AMT および帯域外管理に必要な PKI 証明書の展開手順の例: Windows Server 2003 証明機関の「802.1X AMT ベース コンピュータ用のクライアント認証証明書の準備」のセクションを参照してください。

証明書の要件の詳細については、「帯域外管理の証明書について」を参照してください。

Terry は、Configuration Manager のプライマリ サイトの コンポーネントの構成 ノードにある [帯域外管理のプロパティ: 802.1X と Wireless] を構成します。

  • 彼は、ワイヤレス ネットワーク名、WPA2-Enterprise のセキュリティの種類、AES の暗号化方式を含むワイヤレス プロファイルを作成します。その後、ネットワーク ポリシー サーバーの信頼されたルート証明書および前述で作成したクライアント証明書テンプレートを選択します。

  • [AMT ベースのコンピュータを自動的にセキュリティ グループに追加する] オプションは選択せず、セキュリティ強化のため、ネットワーク ポリシー サーバーへの認証用に AMT ベースのラップトップ コンピュータのアカウントを、セキュリティ グループに手動で追加します。

詳細については、「AMT ベース コンピュータを 802.1X 認証ワイヤード (有線) ネットワークおよびワイヤレス ネットワーク用に構成する方法」を参照してください。

ラップトップ用にカスタム コレクションを使い、Terryは、"プロビジョニング済み" の AMT ステータスを使って AMT 用のプロビジョニングが済んでいるコンピュータ名を識別します。 ネットワーク ポリシー サーバーの管理者が、ネットワークへのアクセスの提供に使用されるセキュリティ グループに追加できるように、コンピュータ名の一覧をコンソールからエクスポートして渡します。

AMT ステータスの詳細については、「AMT のステータスおよび帯域外管理について」を参照してください。

Configuration Manager コンソールからの一覧表示のエクスポートの詳細については、「ファイルにリスト表示をエクスポートする方法」を参照してください。

プロビジョニング情報を更新し、これらのラップトップ コンピュータがワイヤレス ネットワーク上の帯域外で管理できるようにするため、Terry はコレクションのコンピュータを右クリックし、[帯域外管理]、[管理コントローラメモリ内のプロビジョニングデータの更新] の順にクリックします。

詳細については、「帯域外管理を使用してプロビジョニングされたコンピュータの AMT 設定を更新する方法」を参照してください。

Terry は Amtopmgr.log ログファイルを使い、AMT ベースのコンピュータ用にワイヤレス プロファイルを正常に構成したことを確認します。

詳細については、「AMT ベース コンピュータを 802.1X 認証ワイヤード (有線) ネットワークおよびワイヤレス ネットワーク用に構成する方法」の「AMT ベースのコンピュータが認証ワイヤード (有線) 接続およびワイヤレス接続用に構成されているかどうか確認するには」の手順を参照してください。

この一連の操作の結果、これらの AMT ベースのコンピュータ用の帯域外管理のサポートは、ワイヤレス ネットワークまで拡張されました。 たとえば、これらのコンピュータが起動できなかった場合、オペレーティング システムが応答を停止した場合、定期的保守のための電源を入れる必要がある場合、また BIOS 設定の再構成が必要な場合に、ワイヤレス ネットワークに接続していても管理することができます。

帯域外管理の使い方の詳細や例となるシナリオについては、「帯域外管理の使用のシナリオ例」を参照してください。

参照:

概念

帯域外管理用の AMT プロビジョニングについて
管理者チェックリスト :帯域外管理の有効化
帯域外管理の証明書要件
帯域外管理の管理者の役割とプロセスを決定する
帯域外管理の概要

その他のリソース

帯域外管理の構成
帯域外管理のテクニカル リファレンス

その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.