带外管理的先决条件

项目
06/10/2011

应用到: System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

在 Configuration Manager 2007 SP1 和更高版本中运行带外管理将创建该产品的外部依赖关系和内部依赖关系。

备注

本主题中的信息仅适用于 Configuration Manager 2007 SP1 和更高版本。

重要

Configuration Manager 2007 中的带外管理对 Intel 主动管理技术 (Intel AMT) 和 Microsoft 公钥基础结构 (PKI) 技术具有外部依赖关系。如果您需要有关这些外部依赖关系的权威性的配置信息或技术详细信息，请参阅相关技术的产品文档。

有关 Intel 主动管理技术 (Intel AMT) 信息，请参阅 Intel 文档或您的计算机制造商提供的文档。还可以参阅 Intel vPro Expert Center：Microsoft vPro Manageability 网站 (https://go.microsoft.com/fwlink/?LinkId=132001)（页面可能为英文）。

有关 Microsoft PKI 信息，请参阅“Windows Server 2008 Active Directory 证书服务”(https://go.microsoft.com/fwlink/?LinkId=115018)（页面可能为英文）和“Windows Server 2003 的公钥基础结构”(https://go.microsoft.com/fwlink/?LinkId=78389)（页面可能为英文）。

Configuration Manager 2007 的外部依赖关系

下表列出了用于运行带外管理的外部依赖关系。

依赖关系	更多信息
Microsoft 企业证书颁发机构 (CA) 提供了一些证书模板来部署和管理执行带外管理所需的证书。颁发 CA 必须代表基于 AMT 的计算机自动批准来自主站点服务器的证书申请。重要基于 AMT 的计算机不能支持密钥长度大于 2048 位的证书颁发机构证书。	带外服务点和每台将通过带外管理功能来管理的台式计算机必须具有可从 Configuration Manager 进行独立管理的特定 PKI 证书。有关详细信息，请参阅下列主题：带外管理的证书要求关于带外管理的证书 AMT 和带外管理所需的 PKI 证书的分步部署示例：Windows Server 2003 证书颁发机构 AMT 和带外管理所需的 PKI 证书的分步部署示例：Windows Server 2008 证书颁发机构
具有下列配置的台式计算机： Intel vPro 技术或 Intel Centrino Pro 技术。支持版本的 Intel AMT。 Intel HECI 驱动程序。	有关 Intel 要求，请查看计算机制造商的文档。如果您将对基于 AMT 的计算机（已安装 Configuration Manager 2007 SP1 或更高版本的客户端）进行带内设置，请从 Intel 网站下载最新的 HECI 驱动程序。有关 Configuration Manager 本机所支持的 AMT 版本的信息，请参阅 Configuration Manager 2007 SP1 支持的配置和 Configuration Manager 2007 SP2 支持的配置。如果您拥有 Configuration Manager 本机不支持的基于 AMT 的计算机，则可通过使用 Intel 的转换器借助带外管理和精简功能来支持这些计算机。有关详细信息，请参阅 https://go.microsoft.com/fwlink/?LinkId=108363（页面可能为英文）。备注若要使用 Configuration Manager 2007 SP2 中的审核功能，您必须拥有支持审核的 AMT 版本。早于 4.0 的 AMT 版本不支持审核。
使用基于 AMT 的计算机所在的域的适当安全权限配置的 Active Directory 容器。如果站点管理多个域中的基于 AMT 的计算机，则必须对所有域使用同一容器名称和路径。备注不必为带外管理扩展 Active Directory 架构。	在执行 AMT 设置过程中，需要此 Active Directory 容器（或组织单位），才能发布基于 AMT 的计算机对象。有关详细信息，请参阅如何为带外管理准备 Active Directory 域服务。
以下网络服务：具有活动作用域的 DHCP 服务器。用于名称解析的 DNS 服务器。此外，如果您将对基于 AMT 的计算机（未安装 Configuration Manager 2007 SP1 客户端）进行带外设置，则可能需要 DNS 将 ProvisionServer 的主机名解析为带外服务点站点系统服务器的 IP 地址。	对于 DHCP，请确保 DHCP 作用域选项包括 DNS 服务器 (006) 和域名 (015)，并确保 DHCP 服务器使用计算机资源记录动态更新 DNS。 WINS 不能用于解析计算机名称，带外管理功能使用的所有连接都需要 DNS。除了设置之外，还包括从带外管理控制台连接到基于 AMT 的计算机。备注 AMT 无法在 DNS 中注册主机记录，因此您必须确保 DHCP 或操作系统使用基于 AMT 的计算机完全限定域名的主机记录更新 DNS。或者，您也可以根据需要在 DNS 中手动创建这些记录。若要获得 Configuration Manager 2007 SP2 和无线支持，请确保 DNS 包含的记录具有基于 AMT 的计算机完全限定域名的无线 IP 地址。如果 DNS 支持自动更新，则 Configuration Manager 可以自动注册 ProvisionServer 的 DNS 主机名。有关详细信息，请参阅决定是否应该在 DNS 中为带外服务点注册别名。
必须在承载带外服务点角色的每台站点系统服务器以及运行远程 Configuration Manager 控制台的任何计算机上安装 Windows 远程管理 (WinRM) 1.1 或更高版本。	有关 WinRM 版本的详细信息，请参阅 https://go.microsoft.com/fwlink/?LinkId=105682。
如果在 Windows Server 2003 上安装了带外服务点站点系统角色，则需要 Windows Server 2003 Service Pack 2 或更高版本。重要如果正在运行 Windows Server 2003 Service Pack 2，则必须安装下列修补程序：942841.	有关修补程序的详细信息，请参阅 https://go.microsoft.com/fwlink/?LinkId=106107（页面可能为英文）。 Configuration Manager 2007 SP1 支持的配置
在运行带外管理控制台的计算机上需要 MSXML 6.0。	Configuration Manager 2007 SP1 和更高版本的安装程序先决条件检查包括对 Microsoft MSXML 6.0 的检查。有关详细信息，请参阅安装程序先决条件检查。
如果运行 Windows Vista 或 Windows Server 2008 的计算机将运行带外管理控制台并且执行 Serial-over-LAN 命令，则必须在这些计算机上安装 Windows 功能 Telnet 客户端。	Serial over LAN 使用 Telnet 协议对被管理的计算机运行终端仿真会话，在该会话中，您可以运行命令和基于字符的应用程序。有关详细信息，请参阅带外管理概述。
被带外管理的计算机必须属于与带外服务点林相同的 Active Directory 林，并且必须共享同一命名空间。不支持不连续的命名空间。	下列方案可识别不支持带外管理的计算机。应在以下计算机上禁用 AMT：工作组计算机。位于不同于带外服务点站点系统服务器的其他 Active Directory 林中的计算机。位于与带外服务点站点系统服务器相同的 Active Directory 林中，但不共享同一命名空间（非连续命名空间）的计算机。例如，FQDN 为 computer1.northwindtraders.com 的基于 AMT 的计算机无法由 FQDN 为 contoso.com 的带外服务点站点系统进行设置，即使它们属于同一 Active Directory 林亦如此。与带外服务点站点系统服务器位于同一 Active Directory 林中，但具有不连续命名空间的计算机 - 例如，DNS 名称为 computer1.corp.fabrikam.com 并且位于名为 na.corp.fabrikam.com 的 Active Directory 域中的基于 AMT 的计算机。
像路由器和防火墙以及 Windows 防火墙（如果适用）这样的干预网络设备必须允许与带外管理活动相关联的流量。	带外管理使用下列端口：从 AMT 管理控制器到带外服务点站点系统服务器（用于带外设置）：TCP 9971。从带外服务点站点系统服务器到 AMT 管理的控制器（用于发现）：TCP 16992。从带外服务点站点系统服务器到 AMT 管理控制器（用于从 Configuration Manager 控制台及计划活动启动的电源控制、设置和发现）：TCP 16993。从运行带外管理控制台的计算机到 AMT 管理控制器（用于从带外管理控制台启动的所有管理任务，包括开机命令）：TCP 16993。从运行带外管理控制台的计算机到 AMT 管理控制器（用于 Serial over LAN 和 IDE 重定向）：TCP 16995。
IPv4。	不支持 IPv6。带外管理仅使用 IPv4。
不支持全部 IPsec 环境。	不要为带外服务点站点系统服务器和被带外管理的计算机之间的 AMT 通信配置 IPsec 策略。请参阅前一行中的端口信息以确定带外管理需要哪些端口。
Configuration Manager 2007 SP1 并不提供对 802.1X 环境的本机支持。	如果您拥有基于 AMT 的计算机，该计算机在 Configuration Manager 2007 SP1 站点中使用 802.1X，则可以使用 Intel Genscript 工具来支持此网络环境：https://go.microsoft.com/fwlink/?LinkId=108363（页面可能为英文）。当 AMT 的版本为 4.0 以及更高时，带外管理可以在 Configuration Manager 2007 SP2 站点中本机支持经过 802.1X 身份验证的有线网络和无线网络。有关详细信息，请参阅如何为 802.1X 经过身份验证的有线网络和无线网络配置基于 AMT 的计算机。
对经过 802.1X 身份验证的有线网络和无线网络的基础结构支持：经过身份验证的有线 802.1X 支持：EAP-TLS、EAP-TTLS/MSCHAPv2 或 PEAPv0/EAP-MSCHAPv2 的客户端身份验证选项。无线支持：WPA 和 WPA2 安全、AES 或 TKIP 加密、EAP-TLS、EAP-TTLS/MSCHAPv2 或 PEAPv0/EAP-MSCHAPv2 的客户端身份验证选项。备注如果您使用 EAP-TLS 或 EAP-TTLS/MSCHAPv2 的客户端身份验证方法和客户端证书，则 RADIUS 解决方案必须使用以下格式支持身份验证：域\计算机帐户。	仅适用于 Configuration Manager 2007 SP2。若要在经过 802.1X 身份验证的有线网络或无线连接上对基于 AMT 的计算机进行带外管理，您必须拥有对这些环境的支持基础结构。可以使用 Microsoft RADIUS 解决方案配置这些网络，该解决方案为 Windows Server 2008 上的网络策略服务器或 Windows Server 2003 上的 Internet 验证服务 (IAS)。如果其他 RADIUS 解决方案与 802.1X 兼容并且支持为经过身份验证的有线 802.1X 支持和无线支持列出的配置选项，则可以使用其他 RADIUS 解决方案。有关 Microsoft RADIUS 解决方案的详细信息，请参阅下列 Web 资源：网络策略服务器 (https://go.microsoft.com/fwlink/?LinkId=150894)（页面可能为英文）。 Internet 验证服务 (https://go.microsoft.com/fwlink/?LinkId=150893)（页面可能为英文）。有关其他 RADIUS 解决方案的详细信息，请参阅 Intel vPro Expert Center：Microsoft vPro Manageability 网站 (https://go.microsoft.com/fwlink/?LinkId=132001)（页面可能为英文）。在 Configuration Manager 2007 SP2 中，经过 802.1X 身份验证的有线网络和无线网络不支持低于 4.0 的 AMT 版本。

Microsoft 企业证书颁发机构 (CA) 提供了一些证书模板来部署和管理执行带外管理所需的证书。

颁发 CA 必须代表基于 AMT 的计算机自动批准来自主站点服务器的证书申请。

重要

基于 AMT 的计算机不能支持密钥长度大于 2048 位的证书颁发机构证书。

带外服务点和每台将通过带外管理功能来管理的台式计算机必须具有可从 Configuration Manager 进行独立管理的特定 PKI 证书。

有关详细信息，请参阅下列主题：

具有下列配置的台式计算机：

Intel vPro 技术或 Intel Centrino Pro 技术。
支持版本的 Intel AMT。
Intel HECI 驱动程序。

有关 Intel 要求，请查看计算机制造商的文档。如果您将对基于 AMT 的计算机（已安装 Configuration Manager 2007 SP1 或更高版本的客户端）进行带内设置，请从 Intel 网站下载最新的 HECI 驱动程序。

有关 Configuration Manager 本机所支持的 AMT 版本的信息，请参阅 Configuration Manager 2007 SP1 支持的配置和 Configuration Manager 2007 SP2 支持的配置。如果您拥有 Configuration Manager 本机不支持的基于 AMT 的计算机，则可通过使用 Intel 的转换器借助带外管理和精简功能来支持这些计算机。有关详细信息，请参阅 https://go.microsoft.com/fwlink/?LinkId=108363（页面可能为英文）。

备注

若要使用 Configuration Manager 2007 SP2 中的审核功能，您必须拥有支持审核的 AMT 版本。早于 4.0 的 AMT 版本不支持审核。

使用基于 AMT 的计算机所在的域的适当安全权限配置的 Active Directory 容器。如果站点管理多个域中的基于 AMT 的计算机，则必须对所有域使用同一容器名称和路径。

备注

不必为带外管理扩展 Active Directory 架构。

在执行 AMT 设置过程中，需要此 Active Directory 容器（或组织单位），才能发布基于 AMT 的计算机对象。

有关详细信息，请参阅如何为带外管理准备 Active Directory 域服务。

以下网络服务：

具有活动作用域的 DHCP 服务器。
用于名称解析的 DNS 服务器。此外，如果您将对基于 AMT 的计算机（未安装 Configuration Manager 2007 SP1 客户端）进行带外设置，则可能需要 DNS 将 ProvisionServer 的主机名解析为带外服务点站点系统服务器的 IP 地址。

对于 DHCP，请确保 DHCP 作用域选项包括 DNS 服务器 (006) 和域名 (015)，并确保 DHCP 服务器使用计算机资源记录动态更新 DNS。

WINS 不能用于解析计算机名称，带外管理功能使用的所有连接都需要 DNS。除了设置之外，还包括从带外管理控制台连接到基于 AMT 的计算机。

备注

AMT 无法在 DNS 中注册主机记录，因此您必须确保 DHCP 或操作系统使用基于 AMT 的计算机完全限定域名的主机记录更新 DNS。或者，您也可以根据需要在 DNS 中手动创建这些记录。若要获得 Configuration Manager 2007 SP2 和无线支持，请确保 DNS 包含的记录具有基于 AMT 的计算机完全限定域名的无线 IP 地址。

如果 DNS 支持自动更新，则 Configuration Manager 可以自动注册 ProvisionServer 的 DNS 主机名。有关详细信息，请参阅决定是否应该在 DNS 中为带外服务点注册别名。

必须在承载带外服务点角色的每台站点系统服务器以及运行远程 Configuration Manager 控制台的任何计算机上安装 Windows 远程管理 (WinRM) 1.1 或更高版本。

有关 WinRM 版本的详细信息，请参阅 https://go.microsoft.com/fwlink/?LinkId=105682。

如果在 Windows Server 2003 上安装了带外服务点站点系统角色，则需要 Windows Server 2003 Service Pack 2 或更高版本。

重要

如果正在运行 Windows Server 2003 Service Pack 2，则必须安装下列修补程序：942841.

有关修补程序的详细信息，请参阅 https://go.microsoft.com/fwlink/?LinkId=106107（页面可能为英文）。

Configuration Manager 2007 SP1 支持的配置

在运行带外管理控制台的计算机上需要 MSXML 6.0。

Configuration Manager 2007 SP1 和更高版本的安装程序先决条件检查包括对 Microsoft MSXML 6.0 的检查。

有关详细信息，请参阅安装程序先决条件检查。

如果运行 Windows Vista 或 Windows Server 2008 的计算机将运行带外管理控制台并且执行 Serial-over-LAN 命令，则必须在这些计算机上安装 Windows 功能 Telnet 客户端。

Serial over LAN 使用 Telnet 协议对被管理的计算机运行终端仿真会话，在该会话中，您可以运行命令和基于字符的应用程序。有关详细信息，请参阅带外管理概述。

被带外管理的计算机必须属于与带外服务点林相同的 Active Directory 林，并且必须共享同一命名空间。不支持不连续的命名空间。

下列方案可识别不支持带外管理的计算机。应在以下计算机上禁用 AMT：

工作组计算机。
位于不同于带外服务点站点系统服务器的其他 Active Directory 林中的计算机。
位于与带外服务点站点系统服务器相同的 Active Directory 林中，但不共享同一命名空间（非连续命名空间）的计算机。

例如，FQDN 为 computer1.northwindtraders.com 的基于 AMT 的计算机无法由 FQDN 为 contoso.com 的带外服务点站点系统进行设置，即使它们属于同一 Active Directory 林亦如此。
与带外服务点站点系统服务器位于同一 Active Directory 林中，但具有不连续命名空间的计算机 - 例如，DNS 名称为 computer1.corp.fabrikam.com 并且位于名为 na.corp.fabrikam.com 的 Active Directory 域中的基于 AMT 的计算机。

像路由器和防火墙以及 Windows 防火墙（如果适用）这样的干预网络设备必须允许与带外管理活动相关联的流量。

带外管理使用下列端口：

从 AMT 管理控制器到带外服务点站点系统服务器（用于带外设置）：TCP 9971。
从带外服务点站点系统服务器到 AMT 管理的控制器（用于发现）：TCP 16992。
从带外服务点站点系统服务器到 AMT 管理控制器（用于从 Configuration Manager 控制台及计划活动启动的电源控制、设置和发现）：TCP 16993。
从运行带外管理控制台的计算机到 AMT 管理控制器（用于从带外管理控制台启动的所有管理任务，包括开机命令）：TCP 16993。
从运行带外管理控制台的计算机到 AMT 管理控制器（用于 Serial over LAN 和 IDE 重定向）：TCP 16995。

IPv4。

不支持 IPv6。带外管理仅使用 IPv4。

不支持全部 IPsec 环境。

不要为带外服务点站点系统服务器和被带外管理的计算机之间的 AMT 通信配置 IPsec 策略。

请参阅前一行中的端口信息以确定带外管理需要哪些端口。

Configuration Manager 2007 SP1 并不提供对 802.1X 环境的本机支持。

如果您拥有基于 AMT 的计算机，该计算机在 Configuration Manager 2007 SP1 站点中使用 802.1X，则可以使用 Intel Genscript 工具来支持此网络环境：https://go.microsoft.com/fwlink/?LinkId=108363（页面可能为英文）。

当 AMT 的版本为 4.0 以及更高时，带外管理可以在 Configuration Manager 2007 SP2 站点中本机支持经过 802.1X 身份验证的有线网络和无线网络。有关详细信息，请参阅如何为 802.1X 经过身份验证的有线网络和无线网络配置基于 AMT 的计算机。

对经过 802.1X 身份验证的有线网络和无线网络的基础结构支持：

经过身份验证的有线 802.1X 支持：EAP-TLS、EAP-TTLS/MSCHAPv2 或 PEAPv0/EAP-MSCHAPv2 的客户端身份验证选项。
无线支持：WPA 和 WPA2 安全、AES 或 TKIP 加密、EAP-TLS、EAP-TTLS/MSCHAPv2 或 PEAPv0/EAP-MSCHAPv2 的客户端身份验证选项。

备注

如果您使用 EAP-TLS 或 EAP-TTLS/MSCHAPv2 的客户端身份验证方法和客户端证书，则 RADIUS 解决方案必须使用以下格式支持身份验证：域\计算机帐户。

仅适用于 Configuration Manager 2007 SP2。

若要在经过 802.1X 身份验证的有线网络或无线连接上对基于 AMT 的计算机进行带外管理，您必须拥有对这些环境的支持基础结构。可以使用 Microsoft RADIUS 解决方案配置这些网络，该解决方案为 Windows Server 2008 上的网络策略服务器或 Windows Server 2003 上的 Internet 验证服务 (IAS)。如果其他 RADIUS 解决方案与 802.1X 兼容并且支持为经过身份验证的有线 802.1X 支持和无线支持列出的配置选项，则可以使用其他 RADIUS 解决方案。

有关 Microsoft RADIUS 解决方案的详细信息，请参阅下列 Web 资源：

网络策略服务器 (https://go.microsoft.com/fwlink/?LinkId=150894)（页面可能为英文）。
Internet 验证服务 (https://go.microsoft.com/fwlink/?LinkId=150893)（页面可能为英文）。

有关其他 RADIUS 解决方案的详细信息，请参阅 Intel vPro Expert Center：Microsoft vPro Manageability 网站 (https://go.microsoft.com/fwlink/?LinkId=132001)（页面可能为英文）。

在 Configuration Manager 2007 SP2 中，经过 802.1X 身份验证的有线网络和无线网络不支持低于 4.0 的 AMT 版本。

Configuration Manager 2007 依赖关系

下表列出了 Configuration Manager 2007 中用于运行带外管理的依赖关系。

依赖关系	更多信息
主站点必须运行 Configuration Manager 2007 SP1 或更高版本并且安装了带外服务点。	请参阅如何安装带外服务点。
如果将使用 Configuration Manager 客户端针对 AMT 设置计算机，则计算机必须安装了 Configuration Manager 2007 SP1 或更高版本的客户端。这些客户端不得运行 Windows 2000 Professional、Windows XP Tablet PC 或早于 SP2 的 Windows XP 版本。	Configuration Manager 2007 SP1 之前的客户端无法初始化 AMT 设置。这些计算机必须使用 AMT 带外设置，或者必须升级到 Configuration Manager 2007 SP1 或更高版本。有关 AMT 设置选择的详细信息，请参阅在带内设置和带外设置之间选择。
如果将使用网络发现来识别具有管理控制器的计算机，则必须首先安装带外服务点，并且可能必须配置 AMT 设置和发现帐户。	有关详细信息，请参阅下列主题：如何发现具有管理控制器的计算机确定是否配置用于带外管理的 AMT 设置和发现帐户如何添加 AMT 设置和发现帐户
您必须对包含您想要进行带外管理的计算机的集合具有下列安全权限：查看管理控制器：此安全权限允许您发现具有管理控制器的计算机，并从 Configuration Manager 控制台启动电源控制操作。在 Configuration Manager 2007 SP2 中，此安全权限还包括启用和应用审核日志设置、禁用审核以及清除审核日志的审核操作。管理管理控制器：此安全权限允许您使用带外管理控制台查看和管理计算机。此外，还必须拥有“修改集合设置”安全权限以配置带内设置、删除设置信息以及更新 AMT 管理控制器。	有关在 Configuration Manager 控制台中配置安全权限的详细信息，请参阅Configuration Manager 对象安全和 WMI 概述。
如果您想使用下列任一功能，Configuration Manager 站点必须运行 Configuration Manager 2007 SP2：在经过 802.1X 身份验证的有线或无线网络上进行带外管理。必须使用 Configuration Manager 2007 SP2 站点中的带外服务点设置基于 AMT 的计算机，或者必须使用这些带外服务点更新其管理控制器。对所选 AMT 操作进行审核。 AMT 中的数据存储。对不同电源状态提供支持。若要使用某个电源状态而不是默认的“始终开机”，必须使用 Configuration Manager 2007 SP2 站点中的带外服务点更新管理控制器。进行带内设置的设置计划。	这些功能是 Configuration Manager 2007 SP2 的新增功能。
报表点站点系统。	必须安装报表点站点系统角色，才能显示带外管理报表。有关创建报表点的详细信息，请参阅如何创建报表点。

另请参阅

概念

Configuration Manager 2007 SP1 支持的配置
 Configuration Manager 2007 SP2 支持的配置

其他资源

Configuration Manager 2007 SP1 和更高版本中的带外管理