[アーティクル]
10/26/2015

Out of Band Management in Configuration Manager の帯域外管理の実装のシナリオ例

適用対象: System Center 2012 Configuration Manager,System Center 2012 Configuration Manager SP1,System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1

[!メモ]

このトピックは次の場所に表示されます:「System Center 2012 Configuration Manager の資産とコンプライアンス」ガイドおよび「System Center 2012 Configuration Manager を使用したシナリオとソリューション」ガイド

このトピックの以下のセクションでは、次の 3 段階のアプローチを使用して System Center 2012 Configuration Manager で帯域外管理を実装するシナリオ例について説明します。

パイロット:プロビジョニング証明書に証明書サービス (内部 CA) を使用した、数台のコンピューターの実装およびテスト
展開:プロビジョニング証明書に外部 CA を使用した完全な展開
ワイヤレスサポートの追加:ワイヤレスネットワークへの管理の拡張

次のシナリオの Trey Research では、起動に失敗したり応答を停止したコンピューター、定期メンテナンスのために電源投入が必要なコンピューター、または BIOS 設定の再構成が必要なコンピューターのトラブルシューティングを効率よく行うために、帯域外管理を使用することに関心を持っています。Trey Research では、Configuration Manager によってサポートされているバージョンの AMT を装備した Intel AMT 搭載コンピューターを使用していますが、独自の内部ルート証明機関 (CA) の証明書の拇印が含まれた、カスタマイズされたファームウェアは所有していません。

Trey Research では、単一の Configuration Manager プライマリサイトを使用しており、すべての社内コンピューターが testnet.treyresearch.net ドメイン内に存在します。Trey Research には既に、Windows Server 2008 証明書サービスを使用する既存の公開キー基盤 (PKI) インフラストラクチャがあり、Windows Server 2008 Enterprise Edition で実行されるエンタープライズ証明機関も所有しています。

Adam は Configuration Manager の管理ユーザーで、3 段階のアプローチを使用して帯域外管理を実装するように指示されています。Adam はまず、数台のデスクトップコンピューターを使用して、外部 CA からプロビジョニング証明書を購入せずに機能をテストします。テストが成功したら、AMT プロビジョニング証明書を購入して、すべての AMT 搭載デスクトップコンピューターをプロビジョニングすることができます。最初の展開段階では、ワイヤレスネットワークを使用するラップトップに帯域外管理を拡張するように指示されています。

パイロット:プロビジョニング証明書に証明書サービス (内部 CA) を使用した、数台のコンピューターの実装およびテスト

帯域外管理を実装してテストするパイロット段階では、Adam は次の表に示す一連のプロセスで作業を行います。

プロセス	参照先
Adam は、帯域外管理の前提条件を確認し、帯域外サービスポイントと登録ポイントをインストールするサイトシステムサーバーを作成することを決定します。このコンピューターには、完全修飾ドメイン名 (FQDN) server15.testnet.treyresearch.net が指定されています。また、既存の DHCP と DNS の構成が AMT の要件を満たしていることを確認します。	前提条件の詳細については、「Configuration Manager での帯域外管理の前提条件」を参照してください。
Active Directory サービス管理者と協力し、以下の Windows セキュリティグループを作成します。 server15 が含まれた ConfigMgr Out Band Service Points という名前のグループ。プライマリサイトサーバーのコンピューターアカウントが含まれた ConfigMgr Primary Site Servers という名前のグループ。 AMT コンピューターアカウントを含める ConfigMgr AMT Computers という名前のユニバーサルセキュリティグループ次に、公開された AMT 搭載コンピューターアカウント用に testnet.treyresearch.net ドメイン内に組織単位 (OU) を作成し、新しく作成したグループ ConfigMgr Primary Site Servers にこの OU に対するアクセス許可コンピューターオブジェクトの作成とコンピューターオブジェクトの削除を付与します。	グループと OU の作成方法については、Active Directory ドメインサービスのドキュメントを参照してください。
次の結果に基づいて、PKI チームとともに作業を行います。 Web サーバー証明書テンプレートが複製され、登録ポイント用に構成されて、server15 にインストールされて IIS で構成されています。 AMT プロビジョニング証明書を要求して server15 にインストールするためのカスタムテンプレートが作成されています。 Web サーバー証明書テンプレートが複製されて、帯域外管理用に構成されています。外部 CA からプロビジョニング証明書を購入するまで AMT ファームウェアに手動で追加する必要がある、ルート CA の証明書の拇印を特定して書き留めます。	帯域外管理に必要な PKI 証明書を展開する方法については、次を参照してください。、 AMT 用の証明書の展開セクション、 Configuration Manager PKI 証明書の展開手順の例:Windows Server 2008 証明機関トピックです。証明書の要件の詳細については、「Configuration Manager での PKI 証明書の要件」を参照してください。
最初のテストで使用する AMT 搭載デスクトップコンピューターを準備するため、Adam は AMT のファームウェア構成が正しいことを確認し、次の手順を実行して内部ルート CA の証明書の拇印を追加します。コンピューターが起動したら、CTRL キーを押しながら P キーを押して ME モジュールを構成します。 [Intel (R) ME Configuration]、[Intel (R) ME Feature Control]、[Manageability Feature Selection] を選択してから、[Intel (R) AMT] を選択します。ME モジュールを終了し、コンピューターを再起動します。 [Current provision mode] の値が [PKI] であることを確認するため、ME モジュールを再度実行して、[Intel (R) AMT Configuration]、[Setup and Configuration] を選択します。値が PKI でないため、[TLS PKI] を選択して、[Remote Configuration] を [Enable] に設定します。 [TLS-PKI] セクションで [Manage Certificate Hashes] を選択し、Insert キーを押して、内部ルート CA の証明書の拇印を入力します。変更を保存し、ME モジュールを終了してから、コンピューターを再起動します。	詳細については、Intel のドキュメントを参照してください。
次に、Configuration Manager のプライマリサイトを構成し、次の変更を行います。 server15 に新しいサイトシステムサーバーをインストールし、このサーバーを server15.treyresearch.net というイントラネットの FQDN を使用して構成してから、帯域外サービスポイントと登録ポイントをインストールします。次に、[帯域外管理] コンポーネントを構成します。帯域外サービスポイントの [AMT プロビジョニング証明書] ページで、インストールした AMT プロビジョニング証明書に移動します。 [帯域外管理コンポーネントのプロパティ] ダイアログボックスで、次の構成を行います。全般的な ] タブで、彼の指定に作成した OU testnet.treyresearch.net, 、彼が作成したユニバーサルセキュリティグループは、AMT web サーバー証明書テンプレート彼は、前に作成し、MEBx アカウントの強力なパスワードを構成することを参照します。 [AMT 設定] タブで、AMT ユーザーアカウントに自身のアカウントを指定し、帯域外管理コンソールを使用するヘルプデスクのエンジニアが含まれる Windows グローバルドメインセキュリティグループを指定します。また、[Serial over LAN と IDE リダイレクトを有効にする]、[Ping に応答する]、[電源オンコマンドおよび再起動コマンドの BIOS パスワードバイパスを有効にする] も選択します。	詳細については、「Configuration Manager でAMT ベースのコンピューターをプロビジョニングし、設定する方法」の以下のセクションを参照してください。インストールして、AMT プロビジョニングサイトシステムを構成します。(新しいサイトシステムサーバーの場合) 手順 5:帯域外管理コンポーネントの構成
Adam は、Wake on LAN テクノロジを使用して、重要なソフトウェアの更新をコンピューターにインストールする必要があります。以前この機能を使用したことがありますが、サブネット向けのブロードキャストがリモートリンク経由で使用するネットワーク帯域幅が大きすぎることと、そのほとんどのネットワークアダプターはユニキャスト送信で動作しないことに気付きました。そのため、Wake on LAN を有効にし、既定のオプション [コンピューターが電源オンコマンドをサポートしている場合はこのコマンドを使用し、サポートしていない場合はウェイクアップパケットを使用する] をそのまま使用することにします。	詳細については、次を参照してください。、手順 6:スケジュールされたウェイクアップアクティビティ用に電源オンコマンドを送信するためのサイト構成手順、 Configuration Manager でAMT ベースのコンピューターをプロビジョニングし、設定する方法トピックです。
Configuration Manager コンソールに [AMT のステータス] 列を追加し、最初のパイロットとして 5 台の AMT 搭載コンピューターのみが含まれる新しいコレクションを作成します。これらのコンピューターはテスト用にのみ使用され、サポートされている複数のバージョンの AMT を搭載しています。このコレクションを AMT プロビジョニング用に構成します。	詳細については、次を参照してください。、手順 7:AMT ステータスの表示と AMT プロビジョニングの有効化手順、 Configuration Manager でAMT ベースのコンピューターをプロビジョニングし、設定する方法トピックです。
AMT のプロビジョニングプロセスを監視します。	詳細については、次を参照してください。、手順 8:AMT プロビジョニングの監視手順、 Configuration Manager でAMT ベースのコンピューターをプロビジョニングし、設定する方法トピックです。

コンピューターが AMT 用に正常にプロビジョニングされたら、これらのコンピューターで帯域外管理のテストを開始できます。

帯域外管理を使用したシナリオ例については、「Configuration Manager の帯域外管理の使用のシナリオ例」を参照してください。

展開:プロビジョニング証明書に外部 CA を使用した完全な展開

最初のテストが完了すると、Adam はマネージャーから、帯域外管理をすべての AMT 搭載ワークステーションコンピューターに展開してもよいという確認を得ます。内部ルート CA 証明書の拇印を各 AMT 搭載コンピューターに追加するという要件をなくすため、Adam は外部 CA からプロビジョニング証明書を購入し、添付の指示内容に従って server15 にインストールします。

次に、次の表に示す一連のプロセスで作業を行います。

プロセス	参照先
帯域外管理の前提条件を再度確認し、さらに変更を行う必要がないかどうかを確認します。以下のことに気付きます。会社の内部ファイアウォールで保護されているリモートサイトの AMT 搭載コンピューターにヘルプデスクエンジニアが接続できるよう、ポート要件についてファイアウォール管理者と連携する必要があります。ヘルプデスクの一部のコンピューターではまだなお Windows XP が実行されているため、これらのコンピューターの Windows Remote Management (WinRM) のバージョンを確認し、必要に応じてバージョンを更新する必要があります。帯域外管理コンソールを実行するのに適したセキュリティロールに、ヘルプデスクエンジニアを追加する必要があります。	詳細については、「Configuration Manager での帯域外管理の前提条件」をご覧ください。
帯域外サービスポイントのプロパティを構成し、新しく購入した AMT プロビジョニング証明書を参照し、変更を保存します。	詳細については、次を参照してください。、手順 4:AMT プロビジョニング用の登録ポイントと帯域外サービスポイントの構成手順、 Configuration Manager でAMT ベースのコンピューターをプロビジョニングし、設定する方法トピックです。
新しいコレクションを作成して、ワークステーションコンピューターの AMT プロビジョニングを徐々に展開します。4 週間かけて、これらのコレクションで AMT プロビジョニングを有効にし、進捗状況を監視します。	詳細については、次を参照してください。、手順 7:AMT ステータスの表示と AMT プロビジョニングの有効化手順、 Configuration Manager でAMT ベースのコンピューターをプロビジョニングし、設定する方法トピックです。

帯域外管理の前提条件を再度確認し、さらに変更を行う必要がないかどうかを確認します。以下のことに気付きます。

会社の内部ファイアウォールで保護されているリモートサイトの AMT 搭載コンピューターにヘルプデスクエンジニアが接続できるよう、ポート要件についてファイアウォール管理者と連携する必要があります。
ヘルプデスクの一部のコンピューターではまだなお Windows XP が実行されているため、これらのコンピューターの Windows Remote Management (WinRM) のバージョンを確認し、必要に応じてバージョンを更新する必要があります。
帯域外管理コンソールを実行するのに適したセキュリティロールに、ヘルプデスクエンジニアを追加する必要があります。

詳細については、「Configuration Manager での帯域外管理の前提条件」をご覧ください。

帯域外サービスポイントのプロパティを構成し、新しく購入した AMT プロビジョニング証明書を参照し、変更を保存します。

詳細については、次を参照してください。、手順 4:AMT プロビジョニング用の登録ポイントと帯域外サービスポイントの構成手順、 Configuration Manager でAMT ベースのコンピューターをプロビジョニングし、設定する方法トピックです。

新しいコレクションを作成して、ワークステーションコンピューターの AMT プロビジョニングを徐々に展開します。4 週間かけて、これらのコレクションで AMT プロビジョニングを有効にし、進捗状況を監視します。

詳細については、次を参照してください。、手順 7:AMT ステータスの表示と AMT プロビジョニングの有効化手順、 Configuration Manager でAMT ベースのコンピューターをプロビジョニングし、設定する方法トピックです。

この一連のプロセスの結果、すべての Intel AMT 搭載ワークステーションコンピューターが AMT 用にプロビジョニングされ、ヘルプデスクが帯域外管理を実行できるようになりました。エンジニアがコンピューターにローカルでアクセスせずに済むようになったため、オペレーティングシステムが機能していないコンピューターのトラブルシューティングと修復作業において、会社の総所有コストが大幅に削減されています。

ワイヤレスサポートの追加:ワイヤレスネットワークへの管理の拡張

帯域外管理を使用するためのワークステーションの展開が成功し、現在、Trey Research では、このサポートをワイヤレスネットワークを使用するラップトップコンピューターに拡張することを考えています。同社のワイヤレスネットワークでは、ネットワークポリシーサーバー (NPS) を実行し、認証にクライアント証明書を必要とする Windows Server 2008 ベースのサーバーを使用しています。

Adam は、次の表に示す一連のプロセスで作業を行います。

Adam は帯域外管理用のワイヤレスサポートの前提条件を調べ、ラップトップに搭載されているバージョンの AMT がワイヤレスプロファイルをサポートすることを確認します。ネットワークポリシーサーバーで必要となるワイヤレス構成設定は、WPA2 セキュリティ、AES 暗号化、および EAP-TLS 認証であることを確認します。

前提条件の詳細については、「Configuration Manager での帯域外管理の前提条件」を参照してください。

Adam は PKI チームと協力し、AMT 搭載コンピューターがネットワークポリシーサーバーでの認証に使用する追加の証明書テンプレートを作成します。

詳細については、クライアントの証明書テンプレートを作成するを参照してください「の作成と 802.1 X AMT ベースコンピュータ用のクライアント認証証明書を発行する」、 AMT 用の証明書の展開のセクション、 Configuration Manager PKI 証明書の展開手順の例:Windows Server 2008 証明機関トピックです。

証明書の要件の詳細については、「Configuration Manager での PKI 証明書の要件」を参照してください。

構成、 の帯域外管理コンポーネントのプロパティ:802.1 X とワイヤレス ] タブ。

ワイヤレスネットワーク名、WPA2-Enterprise のセキュリティの種類、AES の暗号化方式を含むワイヤレスプロファイルを作成します。次に、ネットワークポリシーサーバーの信頼されたルート証明書、および先ほど作成したクライアント証明書テンプレートを選択します。

詳細については、次の手順 26 ～ 39 を参照してください、手順 5:帯域外管理コンポーネントの構成セクション、 Configuration Manager でAMT ベースのコンピューターをプロビジョニングし、設定する方法トピックです。

Adam は、AMT をサポートできる、ラップトップの新しいコレクションを作成します。[帯域外管理] タブで、[AMT 搭載コンピューターのプロビジョニングを有効にする] を選択します。

これらのラップトップのプロビジョニングステータスを監視し、ログファイル Amtopmgr.log を使用して、これらの AMT 搭載コンピューターにワイヤレスプロファイルが正しく構成されていることを確認します。

これらのラップトップがワイヤレスプロファイルを構成せずに AMT 用に既にプロビジョニングされている場合、[管理コントローラーのメモリ内のプロビジョニングデータを更新する] コマンドを実行してワイヤレス設定を適用します。詳細については、「新しい AMT 設定用にコンピューターを更新する方法」トピックの「Configuration Manager の AMT プロビジョニング情報の管理方法」セクションを参照してください。

AMT プロビジョニングの監視の詳細については、次を参照してください。、手順 8:AMT プロビジョニングの監視手順、 Configuration Manager でAMT ベースのコンピューターをプロビジョニングし、設定する方法トピックです。

この一連のプロセスの結果、ラップトップについてもヘルプデスクが帯域外管理を実行できるようになり、ラップトップユーザーから報告された問題を解決するのにかかる時間が短縮されています。

参照

Configuration Manager の帯域外管理のテクニカルリファレンス

Share via

Out of Band Management in Configuration Manager の帯域外管理の実装のシナリオ例

パイロット:プロビジョニング証明書に証明書サービス (内部 CA) を使用した、数台のコンピューターの実装およびテスト

展開:プロビジョニング証明書に外部 CA を使用した完全な展開

ワイヤレスサポートの追加:ワイヤレスネットワークへの管理の拡張

参照

その他のリソース

Share via

Out of Band Management in Configuration Manager の帯域外管理の実装のシナリオ例

パイロット:プロビジョニング証明書に証明書サービス (内部 CA) を使用した、数台のコンピューターの実装およびテスト

展開:プロビジョニング証明書に外部 CA を使用した完全な展開

ワイヤレス サポートの追加:ワイヤレス ネットワークへの管理の拡張

参照

その他のリソース

ワイヤレスサポートの追加:ワイヤレスネットワークへの管理の拡張