关于带外管理的 AMT 设置
应用到: System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
必须针对 AMT 设置这些计算机(安装和配置),才能在 Configuration Manager 2007 SP1 和更高版本中带外管理基于 AMT 的计算机。
备注
本主题中的信息仅适用于 Configuration Manager 2007 SP1 和更高版本。
AMT 设置在 Configuration Manager 和网络基础结构之间产生下列外部交互结果:
站点服务器检查 Configuration Manager 数据库,以确保有服务器身份验证功能的公钥基础结构 (PKI) 证书不向基于 AMT 的计算机颁发。如果找到证书,则调用该证书。
站点服务器代表基于 AMT 的计算机从内部证书颁发机构申请一个或多个 PKI 证书。只有在 Configuration Manager 2007 SP1 中,才会为服务器身份验证功能申请单个证书。此证书申请包含将被带外管理的计算机的 FQDN,并且使用配置有服务器身份验证功能的证书模板。此外,在 Configuration Manager 2007 SP2 和更高版本中,如果客户端证书已配置为用于 802.1X 经过身份验证的网络或者一个或多个无线网络,则也会申请这些证书。这些证书也包含将被带外管理的计算机的 FQDN,并且使用配置有服务器身份验证功能的证书模板。证书颁发机构 (CA) 服务器审批请求,并将证书授予站点服务器计算机。
基于 AMT 的计算机作为 AMT 帐户发布至 Active Directory 域服务,并且与 Active Directory 域服务中的 Windows 计算机对象建立链接。
Active Directory 域服务中注册了基于 AMT 计算机的服务主体名称 (SPN),从而管理员可以使用带外管理控制台连接到服务。
对于 Configuration Manager 2007 SP2 和更高版本,进行带内设置时,AMT 帐户将自动添加到为 802.1X 和无线网络指定的安全组中。但默认情况下不启用此选项。
此外,在站点服务器上的带外管理组件使用指定的 AMT 设置帐户和端口号之后,在 Configuration Manager 和基于 AMT 的计算机中的管理控制器的稳定随机存取内存 (NVRAM) 之间将发生以下内部交互:
站点服务器检索的具有服务器身份验证功能的 PKI 证书安装在基于 AMT 的计算机上,包括直到根证书颁发机构证书的证书链。对于 Configuration Manager 2007 SP2 和更高版本,还将在基于 AMT 的计算机上安装由站点服务器检索的具有客户端身份验证功能的 PKI 证书以及用于 RADIUS 服务器的根证书。
基于 AMT 的计算机的完全限定的域名 (FQDN) 从 Configuration Manager 数据库检索,并且在基于 AMT 的计算机的 AMT 中进行配置。Windows 计算机时间用于配置系统时间。
Configuration Manager 中配置的 AMT 设置(例如是否使用 IDE 重定向和 serial over LAN、响应网络 ping 和支持 Web 界面),在基于 AMT 的计算机的 AMT 中配置。在 Configuration Manager 2007 SP2 中,此设置还包括电源状态设置。除 AMT 设置之外,AMT 远程密码重设为随机密码和强密码,删除任何 AMT 用户帐户,并且在基于 AMT 的计算机上启用 Kerberos 身份验证支持。
备注
在日志文件 Amtopmgr.log 中,您会看到对第一阶段设置和第二阶段设置的引用。在第一阶段设置过程中,先前列表中的前两个点出现。在第二阶段设置过程中,先前列表中的最后一个点出现。有关带外管理使用的日志文件的详细信息,请参阅带外管理的日志文件。
有关如何设置计算机的详细信息,请参阅如何针对 AMT 设置计算机。
有关用于 AMT 设置证书的详细信息,请参阅关于带外管理的证书。
更新管理控制器内存中的数据
已针对 AMT 设置的计算机不会动态地重新配置在 Configuration Manager 中配置的新的 AMT 设置。如果在针对 AMT 设置基于 AMT 的计算机之后更改 Configuration Manager AMT 设置,必须启动对这些计算机资源的操作,以便更新管理控制器内存中的数据。为基于 AMT 的计算机更新管理控制器内存中的数据将使其获取最新的 AMT 设置和配置。此外,注册基于 AMT 的计算机的 SPN 并刷新其 Active Directory 对象(或者如果该对象不存在,则发布该对象)。更新管理控制器内存中的数据不会吊销用于服务器身份验证的 AMT 证书,但将吊销已配置为用于 802.1X 经过身份验证的有线或无线网络的任何客户端身份验证证书。如果在 802.1X 经过身份验证的有线或无线配置中指定了这些设置,将申请新的客户端身份验证证书。
如果已使用 Configuration Manager 2007 SP2 配置了 802.1X 经过身份验证的有线或无线网络支持,将支持更新这些网络上的管理控制器,但请注意以下警告:
如果基于 AMT 的计算机连接到无线网络,将不会更新无线配置文件中的设置。
如果基于 AMT 的计算机连接到 802.1X 经过身份验证的有线网络,将更新此配置的设置。如果新设置与所需的网络设置不兼容,将会在操作系统不运行时丢失连接。
删除 AMT 设置信息
当您要删除基于 AMT 的计算机的设置信息时,例如不再想由 Configuration Manager 2007 带外管理计算机,但希望使用另一带外解决方案时,可能会存在这种情况。下列选项可用于从计算机删除设置信息:
您可以从管理控制器删除配置数据,而保留有关计算机的标识信息,例如其名称、IP 地址和 DNS 后缀。配置数据包括是否启用 IDE 重定向和 serial over LAN、支持网络 ping 和启用 Web 接口。
您可以从管理控制器删除配置数据和标识信息。
在这两种情况下,将吊销安装在 AMT 中的所有证书、删除 SPN,并从 Active Directory 域服务中删除 ATM 帐户。
删除 AMT 设置信息后,该信息可能将由 Configuration Manager 再次自动设置。例如,如果基于 AMT 的计算机可以进行带内设置,并且位于启用了自动 AMT 设置的集合中,默认情况下将自动应用该设置。如果基于 AMT 的计算机可以进行带外设置,默认情况下也将应用此设置。但是,如果您选择了删除设置信息的选项,则可以禁用自动设置并在以后需要时重新启用。
有关删除基于 AMT 的计算机设置信息和再次使用自动设置的详细信息,请参阅如何删除基于 AMT 的计算机的设置信息。
重命名基于 AMT 的计算机和域更改
如果重命名已由 Configuration Manager 针对 AMT 进行了设置的计算机,或者将计算机移至另一域,则必须从基于 AMT 的计算机中删除所有设置信息,然后重新设置计算机。您可以在命名或移动计算机之前或者在重命名或移动计算机之后删除设置信息。但是,在完成名称更改或域移动之前,不要重新设置计算机。如果无法执行这些过程,在更改名称或移动域之后,基于 AMT 的计算机将无法进行带外管理。
删除设置信息时,选择从管理控制器删除配置数据和标识信息的选项;而且如果适用,在名称更改或域移动之后,选择禁用自动设置和重新启用自动设置的选项。
另请参阅
任务
概念
关于带外管理的证书
带外管理的证书要求
带外管理的 Configuration Manager AMT 设置过程
决定如何从基于 AMT 的管理解决方案迁移到 Configuration Manager 中的带外管理
带外管理概述