Dela via


Introduktion till out-of-Band-hantering i Configuration Manager

 

Gäller för: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Out-of-band-hantering i System Center 2012 Configuration Manager ger en kraftfull management-kontroll för datorer som har Intel vPro chip som angetts och en version av Intel Active Management teknik (Intel AMT) som Configuration Manager stöder.

Out-of-band kan management en administratör som ansluter till en dator AMT management controller när datorn är avstängd, i viloläge eller på annat sätt inte svarar via operativsystemet.Däremot-band-hantering är klassiskt anpassning som Configuration Manager och dess föregående användning, där en agent körs i hela operativsystemet på den hanterade datorn och management controller genomför uppgifter genom att kommunicera med hanteringsagenten.

Out-of-band-hantering kompletterar-band-hantering.Medan-band-hantering stöder fler åtgärder eftersom dess miljö är det fullständiga operativsystemet, kanske-band-hantering inte fungerar om operativsystemet finns inte eller är inte i drift.I dessa fall kan med kompletterande kapaciteterna för out-of-band-hantering administrativa användare hantera dessa datorer utan lokal åtkomst till datorn.

Out-of-band-hanteringsuppgifter inkludera följande:

  • Starta en eller flera datorer (till exempel för underhåll på datorer utanför kontorstid).

  • Stänga en eller flera datorer (till exempel operativsystem svarar).

  • Starta om denna dator eller starta från ett lokalt anslutna enheter eller en känd bra boot bildfil.

  • Avbilda en dator på nytt genom att starta från en startavbildningsfil som finns på nätverket eller genom att använda en PXE-server.

  • Konfigurera BIOS-inställningarna på en markerad dator (och kringgår BIOS-lösenord om detta stöds av BIOS-tillverkaren).

  • Starta till ett kommandobaserat operativsystem för att köra kommandon, reparera verktyg eller diagnostiska program (till exempel uppgradera programvaran eller köra ett diskreparationsverktyg).

  • Konfigurera schemalagda programdistributioner datorer aktiveras innan datorerna som kör.

Dessa out-of-band-hanteringsuppgifter stöds på en autentiserade, kabelanslutna anslutning och en autentiserad 802.1 X kabelanslutna anslutning och trådlös anslutning.Out-of-band har management också följande funktioner:

  • Granskning för AMT-funktioner som valts.

  • Stöd för olika power tillstånd att spara energiförbrukning och att IT-princip.

  • Datalagring i AMT, där upp till 4096 byte i ASCII-tecken kan sparas i nonvolatile RAM-minne (NVRAM) på management controller.

Till exempel scenarier för hur ut av band management kan användas, se Scenarier för att använda out-of-Band-hantering i Configuration Manager.

Några av de föregående aktiviteterna utförs från den Configuration Manager konsolen, medan andra kräver körs out-of-band-hanteringskonsol som medföljer Configuration Manager.Out-of-band använder management teknik för Windows remote management (WS-MAN) för att ansluta till AMT management controller på en dator.

System_CAPS_noteInformation

Management stöds inte för klienter som hanteras via Internet med Internetbaserad klienthantering out-of-band.Configuration Manager klienter som är blockerad eller inte har godkänts av Configuration Manager kan inte hanteras out-of-band.

I följande tabell beskrivs de alternativ och funktioner med out-of-band-hantering i Configuration Manager.

Funktionen eller scenario

Mer information

Säkerhet för hantering

Out-of-band integreras management med en intern infrastruktur för offentliga nycklar (PKI) med hjälp av följande certifikat:

  • En allokering certifikat som har installerats på out-of-band-servicepunkten, vilket gör att datorer kan konfigureras för out-of-band-hantering.

  • Ett servercertifikat för webbprogram som är installerad på registreringsplatsen för säker kommunikation med out of-band-servicepunkten vid allokering processen.

  • Ett servercertifikat för webbprogram som är installerad på varje dator som hanteras out-of-band så att kommunikation autentiseras och krypteras med hjälp av säkerhet för TLS (Transport Layer).

  • Klientcertifikat, om det behövs för 802.1 X-autentisering.

Mer information om dessa certifikat finns i PKI-certifikatkrav för Configuration Manager.

Administratörer måste autentiseras med hjälp av Kerberos innan de kan hantera datorer med hjälp av out-of-band-konsolen.

Out-of-band-hantering är aktivitet registrerade och granskningsbara genom att använda en granskningslogg på AMT-baserade datorer.

Stöd för 802.1 X autentiserad kabelanslutna nätverk och trådlösa nätverk:

  • Stöd för autentiserad kabelanslutna 802.1 X: klienten verifieringsalternativ EAP-TLS eller EAP-TTL-värden/MSCHAPv2 PEAPv0/EAP-MSCHAPv2.

  • Stöd för trådlös: WPA och WPA2 säkerhet, AES eller TKIP kryptering klienten verifieringsalternativ EAP-TLS eller EAP-TTL-värden/MSCHAPv2 PEAPv0/EAP-MSCHAPv2.

AMT-etablering

Aktiverar och konfigurerar Intel AMT-baserade datorer som kör Configuration Manager-klienten.

Förbättrad lagerdata

Innehåller hårdvaruinventeringsdata från AMT-chip, till exempel inventarienummer, BIOS UUID, power tillstånd, processor, minne och enhetsinformationen.

Identifiera AMT styrenheter

Identifierar datorer med en AMT-styrenhet och dess Etableringsstatus.

Den här informationen kan användas för att skapa frågan-baserade samlingar till gruppen datorer för out-of-band management aktiviteter, till exempel allokering och effekt.

Strömförsörjning

Gör det möjligt att starta om funktioner för en enstaka dator, valda datorer eller en samling datorer, stänga av och slå på.

Datorer kan också woken av schemalagda programdistributioner som har en schemalagd tidsgräns.

Out-of-band-hanteringskonsol

En särskild hanteringskonsol som körs från den Configuration Manager konsolen eller vid en kommandotolk inleda out-of-band-hanteringsuppgifter, inklusive IDE omdirigering och serie-över-LAN-sessioner.

System_CAPS_noteInformation

Funktioner kan variera beroende på tillverkaren av den hanterade datorn.IDE omdirigering och serie-över-LAN-funktioner kan till exempel inaktiveras av tillverkaren.

IDE-omdirigering

Gör att datorn kan starta från en bildfil boot eller lokalt anslutna enheter i stället för från dess disken IDE gränssnitt.Detta är praktiskt för att diagnostisera, reparation eller imaging en hårddisk.

Serienummer via LAN

Serienummer-över-LAN-teknik kapslar data från en virtuell serienr port och skickar över befintliga nätverksanslutningen som out-of-band-hanteringskonsol upprättas.

Serienummer-över-LAN-teknik kan du köra en terminalemulering session för den hanterade datorn där du kan köra kommandon och tecknet-baserade program.Exempel: Det kan inbegripa omkonfigurera BIOS eller arbeta tillsammans med IDE omdirigering kan du uppdatera den inbyggda programvaran eller kör diagnosverktyg.

Utöka out-of-Band-hantering i Configuration Manager

Ytterligare teknisk information att stödja och utöka out-of-band-hantering i Configuration Manager, se Intel program erbjudanden på webbplatsen Microsoft Pinpoint.

Nyheter i Configuration Manager

System_CAPS_noteInformation

Informationen i det här avsnittet visas även i handboken Komma i gång med System Center 2012 Configuration Manager.

Följande objekt är nya eller har ändrats för out-of-band-hantering sedan Configuration Manager 2007:

  • System Center 2012 Configuration Manager stöder inte längre etablering out-of-band, vilket kan användas i Configuration Manager 2007 när Configuration Manager-klienten inte har installerats, eller om inget operativsystem har installerats på datorn.Om du vill allokera datorer för AMT i System Center 2012 Configuration Manager måste de tillhöra en Active Directory-domän, ha System Center 2012 Configuration Manager-klienten installerad och vara tilldelad till en primär plats i System Center 2012 Configuration Manager.

  • Om du vill allokera datorer för AMT måste du installera den nya platssystemrollen, registreringsplatsen, förutom out of band-tjänsten.Du måste installera båda dessa platssystemroller på samma primära plats.

  • Det finns ett nytt konto i AMT-etablering borttagning av konto, som du anger på den Out-of Band Management egenskaper: Provisioning fliken.När du anger det här kontot och använder samma Windows-konto som du har angett som ett AMT-användarkonto kan du använda det här kontot för att ta bort AMT-etableringsinformation om du måste återställa platsen.Du kan också använda den när klienten har omtilldelats och AMT-etableringsinformationen inte har tagits bort från den gamla platsen.

  • Configuration Manager inte längre genererar ett meddelande om att varna att AMT-etablering certifikatet håller på att gå ut.Du måste kontrollera den återstående giltighetsperioden själv och garantera att du förnyar det här certifikatet innan det upphör att gälla.

  • AMT-identifieringen använder inte längre porten TCP 16992. Endast porten TCP 16993 används.

  • Porten TCP 9971 används inte längre för att ansluta AMT-hanteringsstyrenheten till out-of-band-tjänsten för att allokera datorer för AMT.

  • Out-of-band-tjänsten använder HTTPS (som standard porten TCP 443) för att ansluta till registreringsplatsen.

  • WS-MAN-översättaren stöds inte längre.

  • Underhållsuppgiften Återställ AMT-datorlösenord har tagits bort.

  • Du väljer inte längre enskilda behörigheter för varje AMT-användarkonto.I stället konfigureras AMT-användarkonton automatiskt för rättigheten PT-administration (Configuration Manager 2007 SP1) eller Plattformsadministration (Configuration Manager 2007 SP2), som ger behörigheter till alla AMT-funktioner.

  • Du måste ange en universell säkerhetsgrupp i Komponentegenskaper för out-of-band-hantering som innehåller AMT-datorkonton som Configuration Manager skapar under AMT-etableringsprocessen.

  • Platsserverdatorn kräver inte längre fullständig kontroll över den organisationsenhet (OU) som används under AMT-etableringen.I stället beviljas Läsmedlemmar och Skrivmedlemmar (endast det här objektet) behörigheter.

  • Nu är det registreringsplatsen snarare än den primära platsserverdatorn som kräver behörigheten Utfärda och hantera certifikat för certifikatutfärdaren.Den här behörigheten krävs för att återkalla AMT-certifikat.För det här datorkontot krävs, precis som i Configuration Manager 2007, DCOM-behörigheter för att kommunicera med certifikatutfärdaren.Om du vill konfigurera detta ska du, för Windows Server 2008, se till att datorkontot för systemserverns registreringsplats är en medlem i säkerhetsgruppen DCOM-åtkomst för certifikattjänst eller, för Windows Server 2003 SP1 och senare, en medlem i säkerhetsgruppen CERTSVC_DCOM_ACCESS i domänen där certifikatutfärdaren finns.

  • Certifikatmallarna för AMT-webbservercertifikatet och AMT 802.1X-klientcertifikatet använder inte längre Anges i begäran och datorkontot för platsservern kräver inte längre behörigheter till följande certifikatmallar:

    • För mallen för AMT-webbservercertifikat: Välj Skapa utifrån följande Active Directory-information på fliken Certifikatmottagare och välj sedan Allmänt namn för Format för namn på certifikatmottagare.På fliken Säkerhet beviljar du Läs- och registrerings behörigheter till den universella säkerhetsgrupp som du anger i Komponentegenskaper för out-of-band-hantering.

    • För AMT 802.1X-klientcertifikatmallen: Välj Skapa utifrån följande Active Directory-information på fliken Certifikatmottagare och välj sedan Allmänt namn för Format för namn på certifikatmottagare.Avmarkera kryssrutan DNS-namn och välj sedan UPN (User Principal Name) som alternativt namn på certifikatmottagare.På fliken Säkerhet beviljar du Läs- och registrerings behörigheter till den universella säkerhetsgrupp som du anger i Komponentegenskaper för out-of-band-hantering.

  • AMT-etableringscertifikatet kräver inte längre att den privata nyckeln kan exporteras.

  • Som standard kontrollerar out-of-band-tjänsten AMT-etableringen för certifikatåterkallelse.Detta inträffar när platssystemet körs för första gången och när AMT-etableringscertifikatet ändras.Du kan inaktivera det här alternativet i Egenskaper för out-of-band-tjänst.

  • Du kan aktivera eller inaktivera CRL-kontroll för AMT-webbservercertifikat i out-of-band-hanteringskonsolen.Klicka på Verktyg-menyn och sedan på Alternativ för att ändra inställningarna.Den nya inställningen används när du sedan ansluter till en AMT-baserad dator.

  • När ett certifikat för en AMT-baserad dator återkallas är återkallningsorsaken nu Åtgärdsavbrott i stället för Ersatt.

  • AMT-baserade datorer som är tilldelade till samma Configuration Manager-plats måste ha ett unikt datornamn, även om de tillhör olika domäner och därför har ett unikt FQDN.

  • När du omtilldelar en AMT-baserad dator från en Configuration Manager-plats till en annan, måste du först ta bort AMT-etableringsinformation, omtilldela klienten och sedan allokera klienten igen för AMT.

  • Säkerhetsbehörigheterna Visa hanteringskontrollanter och Hantera hanteringskontrollanter i Configuration Manager 2007 har nu namnet Etablera AMT respektive Kontrollera AMT.Behörigheten Kontrollera AMT läggs automatiskt till i säkerhetsrollen Ansvarig för fjärrverktyg.Om en administrativ användare är tilldelad till säkerhetsrollen Ansvarig för fjärrverktyg och du vill att den här administrativa användaren ska allokera AMT-baserade datorer eller kontrollera AMT-granskningsloggen måste du lägga till behörigheten Etablera AMT till den här säkerhetsrollen eller garantera att den administrativa användaren tillhör en annan säkerhetsroll som inkluderar den här behörigheten.