Wymagania wstępne dotyczące zarządzania poza pasmem w programie Configuration Manager

 

Dotyczy: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Zarządzanie poza pasmem w System Center 2012 Configuration Manager ma zależności zewnętrznych i zależności w ramach produktu.

Ważne

Zarządzanie poza pasmem w Menedżer konfiguracji ma zależnościami zewnętrznymi na Intel Active zarządzania technologii (Intel AMT) i na technologiach infrastruktury kluczy publicznych (PKI) firmy Microsoft.Autorytatywny informacji o konfiguracji lub informacje techniczne na temat tych zależności zewnętrznych zobacz dokumentację produktu dla technologii pokrewnych. Aby uzyskać informacje o technologii Intel AMT i Intel instalacji i konfiguracji oprogramowania Zobacz dokumentacji Intel lub w dokumentacji, od producenta komputera.Aby uzyskać dodatkowe informacje, zobacz Intel vPro Centrum ekspertów: Microsoft vPro zarządzania. Aby uzyskać informacje o technologiach infrastruktury kluczy publicznych (PKI) firmy Microsoft, zobacz usług systemu Windows Server 2008 Active Directory certyfikatu.

Zależności zewnętrznych do programu Configuration Manager

W poniższej tabeli przedstawiono zależności zewnętrznych do uruchamiania pasmem zarządzania.

Zależność	Więcej informacji
Microsoft enterprise urząd certyfikacji (CA) z szablonami certyfikatów do wdrożenia i zarządzania certyfikatami wymaganych do zarządzania poza pasmem. Wystawiającemu automatycznie musi zatwierdzić certyfikatu żądania z komputera AMT konta, które Menedżer konfiguracji podczas AMT, w trakcie udostępniania jest tworzona w usług domenowych w usłudze Active Directory. Odwołać certyfikaty AMT, Wystawiającemu musi być skonfigurowany z uprawnieniem Wystawianie i zarządzanie certyfikatami dla serwera, na którym jest zainstalowana rola systemu lokacji punktu rejestracyjnego. Ważne AMT nie może obsługiwać certyfikatów urzędu certyfikacji za pomocą klucza o długości większej niż 2048 bitów.	Poza punkt obsługi poza pasmem i każdy komputer lub komputer przenośny, który jest zarządzany poza pasmem musi mieć określony certyfikatów PKI, które są zarządzane niezależnie od programu Configuration Manager. Więcej informacji na temat wymagań dotyczących certyfikatów znajduje się w temacie Wymagania dotyczące certyfikatu PKI dla programu Configuration Manager. Instrukcje krok po kroku znajdują się w temacie Wdrażanie certyfikatów dla komputerów AMT. Konto komputera z serwerem systemu lokacji punktu rejestracyjnego musi mieć uprawnienia DCOM odwołać certyfikaty AMT od wystawcy urzędu certyfikacji.Upewnij się, że ten komputer system lokacji jest członkiem grupy zabezpieczeń dostęp do DCOM usługi certyfikatu (dla systemu Windows Server 2008) lub CERTSVC_DCOM_ACCESS (dla systemu Windows Server 2003 z dodatkiem SP1 i nowszych) w domenie, w którym znajduje się Wystawiającemu.
Komputery Desktop lub komputer przenośny z następującą konfigurację: Intel vPro technologii lub Intel Centrino Pro technologii Obsługiwana wersja technologii Intel AMT skonfigurowanego dla trybu przedsiębiorstwa, z trybu zapis infrastruktury kluczy publicznych Sterownik Intel HECI	Aby uzyskać informacje o wersji AMT który Menedżer konfiguracji obsługuje, zobacz w sekcji tematu.No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigOOB Pobierz najnowszy sterownik HECI w witrynie sieci Web Intel i wymagania Intel w dokumentacji producenta komputera.
Kontener usługi Active Directory i grupy zabezpieczeń uniwersalnym: Kontener usługi Active Directory musi być skonfigurowany z odpowiednich uprawnień zabezpieczenia domeny, w którym znajdują się komputery z systemem AMT.Jeśli witryna zarządza komputerach opartych na technologii AMT z wielu domen, tej samej nazwy kontenera i ścieżki muszą być używane dla wszystkich domen. Komputery z systemem AMT kont grupę uniwersalnym zabezpieczeń, która zawiera komputer. Uwaga Nie masz rozszerzyć schemat usługi Active Directory dla zarządzania poza pasmem.	Podczas procesu obsługi administracyjnej technologii AMT programu Configuration Manager tworzy konta komputera z tego kontenera usługi Active Directory lub jednostkę organizacyjną (OU) i dodaje do grupy zabezpieczeń uniwersalnym konta. Komputerze serwera lokacji musi mieć następujące uprawnienia: Jednostki organizacyjnej, który jest używany podczas AMT, w trakcie udostępniania: Zezwalaj na Tworzenie wszystkich obiektów podrzędnych i Usuń wszystkie obiekty podrzędne i stosuje się do tylko ten obiekt. Dla grupy zabezpieczeń uniwersalnym używany podczas AMT, w trakcie udostępniania: Zezwalaj na odczytu i zapisu, i stosuje się do tylko ten obiekt.
Następujących usług sieciowych: Serwer DHCP z aktywnym zakresem Serwery DNS do rozpoznawania nazw	DHCP upewnij się, że opcje zakresu DHCP należą: serwer DNS (006) i nazwę domeny (015) oraz że serwer DHCP aktualizuje dynamicznie DNS rekordy zasobów komputera. Usługi WINS nie można używać w celu rozpoznawania nazw komputerów, a usługa DNS jest wymagana dla wszystkich połączeń, które są Użyj zarządzania poza pasmem.Dotyczy to również nawiązywanie połączeń na komputerach opartych na technologii AMT z poza pasmem management Console, oprócz obsługi administracyjnej technologii AMT. Uwaga AMT nie można zarejestrować rekordu hosta w systemie DNS, należy się upewnić, że DHCP lub system operacyjny aktualizuje DNS rekord hosta na komputerze opartym na technologii AMT w pełni kwalifikowaną nazwę domeny (FQDN).Alternatywnie można ręcznie utworzyć te rekordy w systemie DNS zgodnie z potrzebami.Obsługę sieci bezprzewodowej upewnij się, czy DNS zawiera rekordy o adresie IP sieci bezprzewodowej na komputerze opartym na technologii AMT w pełni kwalifikowaną nazwę domeny.
Zależności ról systemu lokacji dla komputerów, które będą uruchamiane punkt rejestracji i poza pasmem punktu Usługi ról systemu lokacji.	Patrz sekcja w temacie .No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SiteSystemRolePrereqs
Zdalne zarządzanie systemem Windows (WinRM) 1.1 lub nowszej, należy zainstalować na komputerach z systemem Windows XP czy działają one poza pasmem management Console.	Aby uzyskać więcej informacji dotyczących wersji usługi WinRM, zobacz wersji programu zdalnego zarządzania systemem Windows.
Na komputerach działających poza pasmem management Console, należy podać MSXML 6.0.	Sprawdzanie wymagań wstępnych Instalator Menedżer konfiguracji obejmuje sprawdzenie programu Microsoft MSXML 6.0.
Funkcja systemu Windows, klient Telnet, należy zainstalować na komputerach z systemem Windows 7, Windows Vista lub Windows Server 2008, jeśli komputery Uruchom poza pasmem zarządzania konsoli i wykonać polecenia seryjny over-LAN.	Seryjny w sieci LAN za pośrednictwem protokołu Telnet do uruchomienia sesji emulacji terminali dla komputerów zarządzanych, w którym można uruchomić polecenia oraz aplikacje oparte na znak.Aby uzyskać więcej informacji, zobacz Wprowadzenie do zarządzania poza pasmem w programie Configuration Manager.
Komputery można zarządzać poza pasmem muszą należeć do tej samej las usługi Active Directory jako serwery systemu lokacji, działających poza punkt obsługi poza pasmem i punkt rejestracyjny. Ponadto w komputerach muszą mieć tej samej przestrzeni nazw; odłączone obszary nazw nie są obsługiwane.	Następujące scenariusze zidentyfikować komputery, które nie są obsługiwane dla zarządzania poza pasmem.AMT powinno zostać wyłączone na tych komputerach: Komputery grupy roboczej. Komputery, które znajdują się w innym lesie usługi Active Directory na komputerach działających poza pasmem usługi punktu rolę systemu lokacji a punktem rejestracyjnym. Komputery, które znajdują się w tym samym lesie usługi Active Directory jako serwery sytemu lokacji działających poza pasmem usług punktu i punkt rejestracyjny, ale nie mają tej samej przestrzeni nazw (nieciągły obszar nazw). Na przykład na komputerze opartym na technologii AMT, z nazwę FQDN computer1.northwindtraders.com nie można udostępnić przez poza pasmem usługi punktu witryny systemu z nazwy FQDN contoso.com, nawet jeśli należą do tego samego lasu usługi Active Directory. Komputery, które znajdują się w tym samym lesie usługi Active Directory, co poza punkt obsługi poza pasmem serwera systemu lokacji, ale występują odłączony obszar nazw — na przykład opartym na technologii AMT komputera zawiera nazwę DNS computer1.corp.fabrikam.com, który znajduje się w domenie usługi Active Directory o nazwie na.corp.fabrikam.com.
Interwencji urządzeń sieciowych, takich jak routery i zapory i zapory systemu Windows, jeśli to możliwe, muszą zezwalać na ruch skojarzone z poza pasmem działania zarządzania.	Następujące porty są używane przez zarządzanie poza pasmem: Z poza punkt obsługi poza pasmem z punktem rejestracyjnym: HTTPS (domyślnie port TCP 443). Z poza pasmem serwer systemu lokacji punktu usługi do AMT kontrolerów zarządzania energią kontroli inicjowane z konsoli programu Configuration Manager i zaplanowane działania, udostępniania i odnajdywania: TCP 16993. Z komputerów z systemem poza pasmem management Console do zarządzania AMT kontrolerów dla wszystkich zadań związanych z zarządzaniem inicjowane z poza pasmem management Console (włącznie włączyć polecenia): TCP 16993. Z komputerów z systemem poza pasmem management Console do kontrolerów zarządzania AMT dla seryjny przez przekierowanie LAN i IDE: TCP 16995.
IPv4.	Protokół IPv6 nie jest obsługiwany.Poza pasmem zarządzania używa tylko IPv4.
Pełnych środowisk IPsec nie są obsługiwane.	Nie należy konfigurować zasady IPsec dla AMT komunikacja między poza pasmem — serwer systemu lokacji punktu Usługi i komputery, które będą zarządzane poza pasmem.
Obsługa infrastruktury 802.1 X uwierzytelniony sieci przewodowej i sieci bezprzewodowej: Obsługa uwierzytelniania sieci przewodowej 802.1 X: Opcje uwierzytelniania klienta EAP-TLS lub EAP-TTLS/MSCHAPv2 lub PEAPv0/EAP-MSCHAPv2. Obsługa sieci bezprzewodowej: WPA i WPA2 zabezpieczeń, AES lub szyfrowanie TKIP, opcje uwierzytelniania klienta EAP-TLS lub EAP-TTLS/MSCHAPv2 lub PEAPv0/EAP-MSCHAPv2. Uwaga Użycie metody uwierzytelniania klienta EAP-TLS lub EAP-TTLS/MSCHAPv2 z certyfikatem klienta, rozwiązania RADIUS musi obsługiwać uwierzytelnianie przy użyciu następującego formatu: domain\computer_account.	Aby zarządzać komputerach opartych na technologii AMT poza pasmem w 802.1 X uwierzytelniony sieci przewodowej lub bezprzewodowej połączenia, musi mieć pomocniczej infrastruktury dla tych środowisk.Te sieci można skonfigurować za pomocą rozwiązania RADIUS firmy Microsoft, takich jak serwer zasad sieciowych w systemie Windows Server 2008.Jeśli są one standardem 802.1 X i pomocy technicznej, na liście Opcje konfiguracji dla uwierzytelnienia sieci przewodowej 802.1 X pomocy technicznej Premier i bezprzewodowej można rozwiązań innego serwera RADIUS. Aby uzyskać więcej informacji dotyczących serwera zasad sieciowych w systemie Windows Server 2008, zobacz serwer zasad sieciowych. Aby uzyskać więcej informacji na temat innych rozwiązań RADIUS, zobacz Intel vPro Centrum ekspertów: Microsoft vPro zarządzania.

Zależności programu Configuration Manager

Poniższa tabela przedstawia zależności w ramach Menedżer konfiguracji do uruchamiania zarządzania poza pasmem.

Zależność	Więcej informacji
Musi być uruchomiona lokacji podstawowej System Center 2012 Configuration Manager i muszą być zainstalowane poza punkt obsługi poza pasmem i punkt rejestracyjny. Poza punkt obsługi poza pasmem musi w tym samym lesie usługi Active Directory jako serwer lokacji, a można zainstalować tylko jeden punkt obsługi poza pasmem w każdej lokacji podstawowej.	Krok 4: Konfigurowanie punktu rejestracyjnego i punkt poza pasmem usługi w celu udostępniania AMT
Komputery, które mają być zarządzane poza pasmem musi mieć Menedżer konfiguracji klienta zainstalowane i muszą być przypisane do lokacji podstawowej. Ważne Intel AMT komputerów, na których przypisano do tej samej Menedżer konfiguracji lokacji musi mieć unikatową nazwę komputera, nawet wtedy, gdy należą do różnych domenach i dlatego mogą wywoływać unikatową nazwę FQDN.	Jak zainstalować klientów na komputerach z systemem Windows w programie Configuration Manager
Aby skonfigurować zarządzanie poza pasmem, musi mieć następujące uprawnienia: Site: Odczytu i zmodyfikować Profilu rejestracji urządzenia przenośnego: Odczytu, Tworzenie, zmodyfikować, zliczać witryny, i zarządzania certyfikatami do użycia we wdrożeniach w systemie Pełnego dostępu administratora roli zabezpieczeń obejmuje tych uprawnień. Do zarządzania komputerami poza pasmem, musi mieć następujące uprawnienia zabezpieczeń dla kolekcji, które zawierają komputerów: Obsługi administracyjnej technologii AMT: To uprawnienie zabezpieczeń umożliwia zarządzanie komputery AMT z konsoli programu Configuration Manager obejmuje odnajdywania stan kontrolerów zarządzania AMT, obsługi administracyjnej komputerów AMT i inspekcji działań włączania i stosowanie ustawień dziennik inspekcji, wyłączenie inspekcji i wyczyszczenie dziennika inspekcji. Kontrolować AMT: To uprawnienie zabezpieczeń umożliwia wyświetlanie i zarządzanie komputerami przy użyciu poza pasmem management console i rozpocząć power kontroli działania w konsoli programu Configuration Manager.Remote Tools roli zabezpieczeń obejmuje AMT sterowania uprawnienia. Odczytu i zmodyfikować ustawienia zbierania umożliwiające udostępniania AMT dla kolekcji. AMT świadczenia, odczytu, i odczytu zasobów do Usuń informacje obsługi administracyjnej i aktualizowania AMT kontrolerów zarządzania.	Aby uzyskać więcej informacji na temat konfigurowania uprawnień zabezpieczeń, zobacz Konfigurowanie administracji opartej na rolach.
Punkt usług raportowania.	Aby użyć Menedżer konfiguracji raportów dla zarządzania poza pasmem, należy zainstalować i skonfigurować punkt usług raportowania. Aby uzyskać więcej informacji, zobacz Raportowanie w programie Configuration Manager.

Zobacz też

Planowanie zarządzania poza pasmem w programie Configuration Manager