Delen via

  • Artikel

Vereisten voor out-of Bandbeheer in Configuration Manager

 

Van toepassing op: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Out-of bandbeheer in System Center 2012 Configuration Manager heeft externe afhankelijkheden en afhankelijkheden binnen het product.

System_CAPS_importantBelangrijk

Out-of bandbeheer in Configuration Manager heeft externe afhankelijkheden op Intel Active Management-technologie (Intel AMT) en technologieën van Microsoft-infrastructuur voor openbare sleutel (PKI).Zie de productdocumentatie voor de gerelateerde technologieën voor gemachtigde informatie over de configuratie of technische gegevens over de externe afhankelijkheden.

Voor informatie over de Intel AMT- en Intel Setup en configuratie van Software, Zie de documentatie van Intel of de fabrikant van uw computer.Zie voor meer informatie, Intel vPro Expert Center: Microsoft vPro beheersbaarheid.

Zie voor meer informatie over technologieën van Microsoft-infrastructuur voor openbare sleutel (PKI) Windows Server 2008 Active Directory Certificate Services.

Externe afhankelijkheden Configuration Manager

De volgende tabel bevat de externe afhankelijkheden voor het uitvoeren van bandbeheer.

Afhankelijkheid

Meer informatie

Een Microsoft enterprise-certificeringsinstantie (CA) met certificaatsjablonen te implementeren en beheren van de certificaten die vereist zijn voor out-of bandbeheer.

De Certificeringsinstantie moet certificaat aanvragen van de computer AMT-accounts die automatisch goedkeuren Configuration Manager tijdens het inrichtingsproces AMT wordt gemaakt in Active Directory Domain Services.

Als u wilt intrekken AMT-certificaten, moet de Certificeringsinstantie worden geconfigureerd met de machtiging Certificaten verlenen en beheren voor de server waarop de registratie beheerpunt siterol is geïnstalleerd.

System_CAPS_importantBelangrijk

AMT ondersteunt geen CA-certificaten met een sleutel lengte groter is dan 2048 bits.

De buiten-band-servicepunt en elke desktop of laptop-computer die wordt beheerd buiten het bereik moet hebben specifieke PKI-certificaten die onafhankelijk van Configuration Manager worden beheerd.

Zie PKI-certificaatvereisten voor Configuration Manager voor meer informatie over certificaatvereisten.

Zie De certificaten voor AMT implementeren voor stapsgewijze instructies.

Het computeraccount voor de registratie beheerpunt siteserver moet DCOM-machtigingen intrekken AMT-certificaten van de Certificeringsinstantie hebben.Zorg ervoor dat deze site system computer lid is van de beveiligingsgroep certificaat Service DCOM toegang (voor Windows Server 2008) of CERTSVC_DCOM_ACCESS (voor Windows Server 2003 SP1 en hoger) in het domein waarin de Certificeringsinstantie zich bevindt.

Desktop of laptop computers met de volgende configuratie:

  • Intel vPro technologie of Intel Centrino Pro-technologie

  • Een ondersteunde versie van de Intel AMT die is geconfigureerd voor ondernemingsmodus met de modus voor de levering van PKI

  • Intel HECI stuurprogramma

Voor informatie over de AMT-versies die Configuration Manager ondersteunt, Zie de sectie de onderwerp.No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigOOB

De meest recente stuurprogramma HECI downloaden van de Intel-website en Raadpleeg de documentatie van de computerfabrikant van uw voor de Intel vereisten.

Een Active Directory-container en een universele beveiligingsgroep:

  • De Active Directory-container moet worden geconfigureerd met de juiste machtigingen voor het domein waarin de AMT-computers zich bevindt.Als de site AMT gebaseerde computers van meerdere domeinen beheert, moeten de dezelfde containernaam en het pad worden gebruikt voor alle domeinen.

  • Een universele beveiligingsgroep met computer-accounts voor de AMT-computers.

Notitie

U hebt niet de Active Directory-schema voor out-of bandbeheer uitbreiden.

Tijdens het inrichtingsproces AMT Configuration Manager maakt computeraccounts in deze Active Directory-container of organisatie-eenheid (OE) en voegt de accounts toe aan de universele beveiligingsgroep.

De site server-computer vereist de volgende machtigingen:

  • Voor de organisatie-eenheid die wordt gebruikt tijdens het inrichtingsproces AMT: Toestaan alle onderliggende objecten maken en alle onderliggende objecten verwijderen en van toepassing op Dit object alleen.

  • Voor de universele beveiligingsgroep die wordt gebruikt tijdens het inrichtingsproces AMT: Toestaan lezen en schrijven, en van toepassing op Dit object alleen.

De volgende netwerkservices:

  • DHCP-server met een actieve scope

  • DNS-servers voor naamomzetting

Zorg ervoor dat de DHCP-bereikopties omvatten DNS-servers (006) en de domeinnaam (015) en dat de DHCP-server dynamisch DNS wordt bijgewerkt met de computer record voor DHCP.

WINS kunnen niet worden gebruikt voor het oplossen van computernamen en DNS is vereist voor alle verbindingen die gebruik buiten band-beheer.Dit omvat verbinding maken met AMT-computers uit de buiten-band-beheerconsole bovendien met AMT-levering.

Notitie

AMT kan niet record voor een host registreren in DNS, dus u ervoor zorgen moet dat DHCP of het besturingssysteem DNS met een hostrecord voor de AMT gebaseerde computer volledig gekwalificeerde domeinnaam (FQDN werkt).U kunt ook handmatig deze records maken in DNS indien nodig.Zorg ervoor dat DNS records met het draadloze IP-adres voor de AMT gebaseerde computer FQDN-naam bevat voor draadloze ondersteuning.

Site system rolafhankelijkheden voor de computers die worden uitgevoerd het registratiepunt en de buiten-band-servicepunt sitesysteemrollen.

Zie de sectie in het onderwerp .No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SiteSystemRolePrereqs

Windows Remote Management (WinRM) 1.1 of hoger moet zijn geïnstalleerd op computers met Windows XP als de buiten-band management console wordt uitgevoerd.

Zie voor meer informatie over WinRM versies versies van Windows Remote Management.

Op computers waarop de buiten-band-beheerconsole is MSXML 6.0 vereist.

De Setup-vereisten voor voor Configuration Manager de controle voor Microsoft MSXML 6.0 bevat.

De Windows-functie Telnet-Client moet worden geïnstalleerd op computers waarop Windows 7, Windows Vista of Windows Server 2008 wordt uitgevoerd als de computers die de buiten-band-beheer uitvoeren console en serie via LAN-opdrachten uitvoeren.

Serienummer via LAN gebruikt het Telnet-protocol voor het uitvoeren van een sessie terminalemulatie voor de beheerde computer, waarin u opdrachten en tekens gebaseerde toepassingen kunt uitvoeren.Zie Inleiding tot out-of Bandbeheer in Configuration Manager voor meer informatie.

Computers die moeten worden beheerd buiten het bereik moeten behoren tot dezelfde Active Directory-forest als de site-servers die de buiten-uitzonderingsservicepunt en het registratiepunt worden uitgevoerd.

Bovendien moeten computers dezelfde naamruimte; delen gescheiden naamruimten worden niet ondersteund.

De volgende scenario's computers die worden niet ondersteund voor out-of bandbeheer worden geïdentificeerd.AMT moet worden uitgeschakeld op deze computers:

  • Computers in werkgroepen.

  • Computers die zich in een ander Active Directory-forest van de computers waarop de buiten-band-service wordt uitgevoerd, wijst siterol systeem en het registratiepunt.

  • Computers die zich in hetzelfde Active Directory-forest als de site-servers waarop de buiten-band service punt en het registratiepunt maar niet dezelfde naamruimte (niet-aaneengesloten naamruimte delen).

    Bijvoorbeeld kan niet een AMT gebaseerde computer met de FQDN-naam van computer1.northwindtraders.com worden geleverd door de buiten-band-servicepunt sitesysteem met de FQDN-naam Contoso.com, zelfs als ze tot dezelfde Active Directory-forest behoren.

  • Computers die zich in hetzelfde Active Directory-forest als de buiten-band-servicepunt system siteserver maar gescheiden naamruimte hebben, bijvoorbeeld een AMT gebaseerde computer met een DNS-naam van computer1.corp.fabrikam.com en bevindt zich in een Active Directory-domein met de naam na.corp.fabrikam.com.

Tussenliggende netwerkapparaten zoals routers en firewalls en Windows Firewall indien van toepassing, moeten het verkeer die zijn gekoppeld aan buiten band management activiteit toestaan.

De volgende poorten worden gebruikt door out-of bandbeheer:

  • Uit de buiten-band-servicepunt naar het registratiepunt: HTTPS (standaard poort 443 TCP).

  • Uit de buiten-band servicepunt siteserver tot AMT management controllers voor power control gestart vanaf de Configuration Manager-console en geplande activiteiten, inrichten en detectie: TCP 16993.

  • Van computers met de buiten-band-beheerconsole naar AMT management controllers voor alle taken starten vanuit de buiten-band management console (inclusief aan-opdrachten): TCP 16993.

  • Computers met de buiten-band-beheerconsole naar AMT management controllers voor serie LAN en IDE-omleiding over: TCP 16995.

IPv4.

IPv6-adres wordt niet ondersteund.Buiten-bandbeheer management alleen IPv4 wordt gebruikt.

Volledige IPSec-omgevingen worden niet ondersteund.

Configureer geen IPSec-beleid voor de AMT-communicatie tussen de buiten-band-service-punt-siteserver en computers die buiten het bereik moeten worden beheerd.

Infrastructuurondersteuning voor 802.1 X geverifieerde bekabelde netwerken en draadloze netwerken:

  • Ondersteuning voor geverifieerde bekabelde 802.1 X: Client-verificatie-opties van EAP-TLS of EAP-TTLS/MSCHAPv2 of PEAPv0/EAP-MSCHAPv2.

  • Ondersteuning voor draadloze: WPA en WPA2-beveiliging, AES of TKIP-codering, verificatie-opties van EAP-TLS of EAP-TTLS/MSCHAPv2 of PEAPv0/EAP-MSCHAPv2 client.

Notitie

Als u client-verificatiemethoden van EAP-TLS of EAP-TTLS/MSCHAPv2 met een clientcertificaat gebruiken, de oplossing van RADIUS-verificatie moet ondersteunen met behulp van de volgende notatie: domain\computer_account.

Als u wilt beheren AMT gebaseerde computers buiten het bereik op een 802. 1 X geverifieerde bekabelde netwerk of een draadloze verbinding, moet u een ondersteunende infrastructuur voor deze omgevingen hebben.Deze netwerken kunnen worden geconfigureerd met behulp van een oplossing van Microsoft RADIUS, zoals Network Policy Server op Windows Server 2008.Andere RADIUS-oplossingen kunnen worden gebruikt als ze 802. 1 X-compatibele en ondersteuning voor die de configuratieopties weergegeven voor bekabelde 802. 1 X support en draadloze geverifieerd.

Zie voor meer informatie over Network Policy Server op Windows Server 2008 Network Policy Server.

Zie voor meer informatie over andere RADIUS-oplossingen Intel vPro Expert Center: Microsoft vPro beheersbaarheid.

Configuration Manager-afhankelijkheden

De volgende tabel bevat de afhankelijkheden binnen Configuration Manager voor het uitvoeren van band-beheer.

Afhankelijkheid

Meer informatie

De primaire site moet worden uitgevoerd System Center 2012 Configuration Manager en de buiten-uitzonderingsservicepunt en het registratiepunt hebt geïnstalleerd.

De buiten-band-servicepunt moet in dezelfde Active Directory-forest als de siteserver en u kunt slechts één uitzonderingsservicepunt in elke primaire site installeren.

Stap 4: Het registratiepunt en van de Uitzonderingsservicepunt configureren voor AMT-levering 

Computers die u wilt beheren buiten het bereik moeten hebben de Configuration Manager client geïnstalleerd en moet worden toegewezen aan een primaire site.

System_CAPS_importantBelangrijk

Intel AMT-computers die zijn toegewezen aan dezelfde Configuration Manager site moet een unieke computernaam hebben, zelfs wanneer ze deel uitmaken van verschillende domeinen en daarom een unieke FQDN-naam hebben.

 Clients installeren op Windows-computers in Configuration Manager

Als u wilt configureren out-of bandbeheer, hebt u de volgende machtigingen:

  • Site: Lezen en wijzigen

  • Mobiel apparaat Registratieprofiel: Lezen, maken, wijzigen, Softwarelicentiecontroleregels Site, en certificaten beheren voor implementatie van besturingssysteem

De volledige beheerder rol bevat deze machtigingen.

Voor het beheren van computers buiten het bereik, hebt u de volgende machtigingen voor de collecties met de computers:

  • AMT inrichten: Deze machtiging voor beveiliging kunt u AMT-computers beheren vanaf de Configuration Manager-console, inclusief detecteren van de status van AMT management controllers, inrichten van computers voor AMT en de controle acties van inschakelen en het toepassen van instellingen voor controlelogboeken, controle en het controlelogboek wissen uit te schakelen.

  • AMT besturingselement: Deze machtiging voor beveiliging kunt u bekijken en beheren van computers met behulp van de buiten-band-beheerconsole en power besturingselement acties in de Configuration Manager-console starten.De externe hulpprogramma's rol omvat de besturingselement AMT toestemming.

  • Lezen en verzameling instelling wijzigen om in te schakelen AMT-levering voor de verzameling.

  • Richten AMT, lezen, en leesbewerkingen Inrichtingsgegevens verwijderen en AMT management controllers bijwerken.

Zie voor meer informatie over het configureren van beveiligingsmachtigingen Configureer beheer op basis van rollen.

Reporting services-punt.

Gebruik Configuration Manager rapporten voor out-of bandbeheer, moet u installeren en configureren een reporting services-punt.

Zie Rapportage in Configuration Manager voor meer informatie.