Introdução ao gerenciamento fora de banda no Configuration Manager
Aplica-se a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Gerenciamento fora da banda em System Center 2012 Configuration Manager fornece um controle de gerenciamento avançado para computadores com o chip do Intel vPro definida e uma versão do Intel Active Management Technology (Intel AMT) que Gerenciador de Configurações oferece suporte.
Fora da banda management permite que um usuário administrativo se conectar ao controlador de gerenciamento do computador AMT quando o computador é desligado, em hibernação, ou não responde por meio do sistema operacional.Em contraste, o gerenciamento em banda é a abordagem clássica Gerenciador de Configurações e seu uso predecessores, no qual um agente é executado no sistema operacional completo no computador gerenciado, e o controlador de gerenciamento executa tarefas comunicando-se com o agente de gerenciamento.
Fora da banda gerenciamento complementa o gerenciamento em banda.Embora o gerenciamento em banda oferece suporte a uma vasta gama de operações como seu ambiente é o sistema operacional completo, gerenciamento em banda talvez não seja funcional se o sistema operacional não estiver presente ou não está funcionando.Nessas situações, usando os recursos complementares do gerenciamento fora da banda, os usuários administrativos podem gerenciar esses computadores sem a necessidade de acesso local no computador.
Gerenciamento fora da banda tarefas incluem o seguinte:
Ligar um ou mais computadores (por exemplo, para manutenção em computadores fora do horário comercial).
Desligar um ou mais computadores (por exemplo, o sistema operacional pára de responder).
Reiniciar um computador inoperante ou inicialização a partir de um dispositivo conectado localmente ou arquivo de imagem de inicialização válido conhecido.
Nova geração de imagens de um computador com inicialização por meio de um arquivo de imagem localizado na rede ou usando um servidor PXE.
Reconfigurar as configurações de BIOS em um computador selecionado (e ignorar a senha do BIOS se isso for suportado pelo fabricante do BIOS).
Inicialização de um sistema operacional baseado em comandos para executar comandos, reparar ferramentas ou aplicativos de diagnóstico (por exemplo, a atualização do firmware ou execução de uma ferramenta de reparo de disco).
Configurando as implantações de software agendada para ativar computadores antes que os computadores estão executando.
Essas fora de tarefas de gerenciamento de banda são suportadas em uma conexão com fio autenticada e um autenticado 802.1 X com fio, conexão e conexão sem fio.Fora da banda gerenciamento também tem os seguintes recursos adicionais:
A auditoria para os recursos selecionados do AMT.
Suporte para estados de energia diferente, a fim de economizar o consumo de energia e conformidade com a política de TI.
Armazenamento de dados em AMT, onde até 4096 bytes em caracteres ASCII pode ser salvos na memória de acesso aleatório não volátil (NVRAM) do controlador de gerenciamento.
Por exemplo cenários de como fora da faixa de gerenciamento pode ser usado, consulte Cenários de exemplo para usar o gerenciamento fora de banda no Configuration Manager.
Algumas das tarefas anteriores são executadas no Gerenciador de Configurações console, enquanto outros exigem a execução fora do console de gerenciamento de banda que é fornecido com Gerenciador de Configurações.Fora da banda gerenciamento usa a tecnologia de gerenciamento remoto do Windows (WS-MAN) para se conectar ao controlador de gerenciamento AMT em um computador.
Observação |
---|
Fora da banda gerenciamento não há suporte para clientes que são gerenciados pela Internet com o gerenciamento de clientes baseados na Internet.Gerenciador de Configurações os clientes que estão bloqueados ou não aprovadas por Gerenciador de Configurações não podem ser gerenciados fora da banda. |
A tabela a seguir descreve as opções e os recursos que fornece gerenciamento fora da banda Gerenciador de Configurações.
Cenário ou recurso |
Mais informações |
||
---|---|---|---|
Gerenciamento de segurança |
Fora da banda, gerenciamento integra uma infraestrutura de chave pública interna (PKI) usando os seguintes certificados:
Para obter mais informações sobre esses certificados, consulte Requisitos de certificado PKI para o Configuration Manager. Os administradores devem ser autenticados usando o Kerberos antes que eles podem gerenciar computadores usando o fora de banda do console de gerenciamento. Gerenciamento fora de banda a atividade é gravado e auditável usando um log de auditoria nos computadores baseados em AMT. Suporte para 802.1 X autenticado redes com fio e redes sem fio:
|
||
Provisionamento AMT |
Habilita e configura computadores Intel AMT que estão executando o cliente do Configuration Manager. |
||
Dados de inventário aprimorado |
Fornece dados de inventário de hardware do chip AMT, como a marca de ativo, BIOS UUID, estado de alimentação, processador, memória e informações da unidade. |
||
Identifique os controladores de gerenciamento AMT |
Identifica os computadores com um controlador de gerenciamento AMT e seu status de provisionamento. Essas informações podem ser usadas para criar coleções baseadas em consulta para agrupar computadores para fora de banda gerenciamento atividades, como controle de energia e provisionamento. |
||
Controle de energia |
Permite ligar, desligar e recursos de reinicialização para um único computador, os computadores selecionados ou uma coleção de computadores. Computadores também podem ser ativados por implantações de software agendada que têm um prazo agendado. |
||
Console de gerenciamento de banda fora |
Um console de gerenciamento dedicado que é executado a partir do Gerenciador de Configurações console ou em um prompt de comando, iniciar de tarefas de gerenciamento de banda, incluindo sessões de serial através de LAN e redirecionamento de IDE.
|
||
Redirecionamento de IDE |
Permite que o computador inicializar a partir de um arquivo de imagem de inicialização ou dispositivo conectado localmente em vez de seu disco IDE de interface.Isso é útil para diagnosticar, reparar ou uma unidade de disco rígido de geração de imagens. |
||
Serial através de LAN |
Encapsula os dados de uma porta serial virtual serial através de LAN tecnologia e a envia na conexão de rede existente fora do console de gerenciamento de banda estabelecida. Tecnologia Serial através de LAN permite executar uma sessão de emulação de terminal para o computador gerenciado, no qual você pode executar comandos e aplicativos baseados em caracteres.Por exemplo, isso pode incluir a reconfiguração do BIOS ou trabalhando em conjunto com o redirecionamento de IDE, você pode atualizar o firmware ou executar ferramentas de diagnóstico. |
Estendendo o gerenciamento fora de banda no Configuration Manager
Para obter informações técnicas adicionais dar suporte e estender o gerenciamento fora da banda em Gerenciador de Configurações, consulte ofertas de aplicativos da Intel no site do Microsoft Pinpoint.
Novidades no Configuration Manager
Observação |
---|
As informações nesta seção também aparecem em no guia Introdução ao System Center 2012 Configuration Manager. |
Os seguintes itens são novos ou foram alterados para gerenciamento fora da banda desde Configuration Manager 2007:
O System Center 2012 Configuration Manager já não oferece suporte a provisionamento fora da banda, o que poderia ser usado no Configuration Manager 2007 quando o cliente do Gerenciador de Configurações não estivesse instalado, ou o computador não tivesse um sistema operacional instalado.Para provisionar computadores para AMT no System Center 2012 Configuration Manager, eles devem pertencer a um domínio Active Directory, ter o cliente do System Center 2012 Configuration Manager instalado, e devem ter sido atribuídos a um site primário do System Center 2012 Configuration Manager.
Para provisionar computadores para AMT, é necessário instalar a nova função do sistema de site, o ponto de registro, além do ponto de serviço fora da banda.Você deve instalar essas funções do sistema de site no mesmo local primário.
Há uma nova conta, o conta de remoção de provisionamento AMT, que você especificar na Propriedades de componente de gerenciamento fora de banda: Provisionamento guia.Quando você especifica essa conta e usa a mesma conta do Windows especificada como uma conta de usuário AMT, você pode usar essa conta para remover as informações de provisionamento AMT, se precisar recuperar o site.Você também poderá usá-la quando o cliente tiver sido reatribuído e as informações de provisionamento AMT não tiverem sido removidas do site antigo.
Gerenciador de Configurações não gera uma mensagem de status para avisar que o certificado de provisionamento AMT está prestes a expirar.Você deve verificar o prazo de validade restante por sua conta e garantir que ele seja renovado antes que expire.
A descoberta AMT não usa mais a porta TCP 16992; somente a porta TCP 16993 é usada.
A porta TCP 9971 não é mais usada para conectar o controlador de gerenciamento AMT ao ponto de serviço da banda para provisionar computadores para AMT.
O ponto de serviço fora da banda usa HTTPS (por padrão, porta TCP 443) para se conectar ao ponto de registro.
O conversor WS-MAN não tem mais suporte.
A tarefa de manutenção Redefinir Senhas de Computador AMT foi removida.
Não é mais possível selecionar permissões individuais para cada conta de usuário AMT.Em vez disso, todas as contas de usuários AMT são automaticamente configuradas com direitos de Administração de PT (Configuration Manager 2007 SP1) ou Administração de Plataforma (Configuration Manager 2007 SP2), que concede permissões para todos os recursos AMT.
Você deve especificar um grupo de segurança universal em Propriedades de Componente de Gerenciamento Fora de Banda para conter as contas de computador AMT que o Gerenciador de Configurações cria durante o processo de provisionamento AMT.
O computador do servidor do site não requer mais controle total da Unidade Organizacional (UO) usada durante o provisionamento AMT.Em vez disso, ele concede permissões de Membros de leitura e Membros de gravação (somente este objeto).
O ponto de registro, em vez de computador do servidor do site primário, agora requer a permissão Emitir e Gerenciar Certificados na autoridade de certificação (AC) emissora.Essa permissão é necessária para revogar certificados AMT.Como no Configuration Manager 2007, esta conta de computador requer permissões DCOM para se comunicar com a AC emissora.Para configurar isso, verifique se no Windows Server 2008, a conta de computador do servidor do sistema de site do ponto de registro é membro do grupo de segurança Acesso DCOM a Serviços de Cert. ou, no Windows Server 2003 SP1 e posterior, membro do grupo de segurança CERTSVC_DCOM_ACCESS no domínio onde a AC reside.
Os modelos de certificado para o certificado do servidor Web AMT e o certificado de cliente AMT 802.1X não usam mais Fornecer na solicitação, e a conta de computador do servidor do site não requer mais permissões para os seguintes modelos de certificado:
Para o modelo de certificado do servidor Web AMT: Na guia Entidade, selecione Criar com base nas informações do Active Directory e selecione Nome comum para o Formato de nome de entidade.Na guia Segurança, conceda permissões de Leitura e Registro ao grupo de segurança universal que você especificar em Propriedades de Componente de Gerenciamento Fora de Banda.
Para o modelo de certificado de cliente AMT 802.1 X: Na guia Entidade, selecione Criar com base nas informações do Active Directory e selecione Nome comum para o Formato de nome de entidade.Desmarque a caixa de seleção Nome DNS e selecione Nome principal do usuário (UPN) como nome alternativo da entidade.Na guia Segurança, conceda permissões de Leitura e Registro ao grupo de segurança universal que você especificar em Propriedades de Componente de Gerenciamento Fora de Banda.
O certificado de provisionamento AMT não exige mais que a chave privada possa ser exportada.
Por padrão, o ponto de serviço fora da banda verifica o certificado do provisionamento AMT para revogação de certificados.Isso ocorre quando o sistema de site é executado pela primeira vez e quando o certificado de provisionamento AMT é alterado.Você pode desabilitar essa opção em Propriedades do Ponto de Serviço Fora da Banda.
Você pode habilitar ou desabilitar a Verificação CRL para o certificado do servidor Web AMT no console de gerenciamento fora da banda.Para alterar as configurações, clique no menu Ferramentas e clique em Opções.A nova configuração será usada na próxima vez que você se conectar a um computador baseado em AMT.
Quando o certificado para um computador baseado em AMT é revogado, o motivo da revogação agora é Cessação da operação em vez de Substituído.
Computadores baseados em AMT atribuídos ao mesmo site do Gerenciador de Configurações devem ter um nome de computador exclusivo, mesmo quando pertencem a diferentes domínios, e, portanto, ter um FQDN único.
Ao transferir um computador baseado em AMT de um site do Gerenciador de Configurações para outro, você deverá primeiro remover as informações de provisionamento AMT, reatribuir o cliente e depois provisionar o cliente novamente para AMT.
Os direitos de segurança Exibir controladores de gerenciamento e Gerenciar controladores de gerenciamento no Configuration Manager 2007 agora são denominados Provisionar AMT e Controlar AMT, respectivamente.A permissão Controlar AMT é automaticamente adicionada à função de segurança Operador de Ferramentas Remoto.Se um usuário administrativo for atribuído à função de segurança Operador de Ferramentas Remoto, e você quiser que esse usuário administrativo provisione computadores baseados em AMT ou controle logs de auditoria AMT, você deverá adicionar a permissão Provisionar AMT a essa função de segurança ou garantir que o usuário administrativo pertença a outra função de segurança que inclua essa permissão.